Die Gefahr von Phishing-Angriffen bei Online-Banken

Es steht außer Frage, dass die wachsende Digitalisierung viele Bereiche unseres Alltags vereinfacht hat, vor allem im Bereich der Finanzdienstleistungen. Mit Online-Banking können Kunden ihre Konten von zu Hause oder unterwegs bequem verwalten, ohne sich auf konventionelle Geschäfte verlassen zu müssen. Allerdings stellte diese Bequemlichkeit auch neue Sicherheitsrisiken dar, die nicht außer Acht gelassen werden sollten.

Der Fall

Herr Müller, der Bankkunde, hatte ein Konto bei einer Online-Bank. Die Bank nutzte hauptsächlich E-Mail und Telefon für die Kommunikation mit ihren Kunden, hatte jedoch kein herkömmliches Filialnetz. Daher war es für Herrn Müller üblich, dass er von seiner Bank per E-Mail kontaktiert wurde. Manchmal gab es Veränderungen im "E-Mail-Header", also der Bezeichnung des Klartext-Absenders.

Die Bank gab bekannt, dass sie in Zukunft Gebühren für die ausgegebenen Kreditkarten erheben wird, die auch von Herrn Müller verwendet wurden. Jedoch gab es die Option, auf eine kostenlose Debitkarte umzusteigen. Herr Müller erhob sich. Er erhielt eine Bestätigungs-E-Mail der Bank sowie eine Einladung, die neue App herunterzuladen, um Online-Zahlungen mit der Karte durchzuführen. Die Bank hat tatsächlich diese E-Mail gesendet. Zunächst hat Herr Müller die App nicht heruntergeladen.

Eine zusätzliche E-Mail kam ungefähr zwei Wochen später. In dieser E-Mail wurde darauf hingewiesen, dass die Möglichkeit der SMS-Authentifizierung zum Ende des Monats ausläuft und stattdessen ein neues, App-basiertes Freigabeverfahren für Online-Käufe verwendet werden muss. Es ist notwendig, dass bereits installierte Apps aktualisiert werden. Es wurden Anweisungen gegeben, wie man dieses Verfahren aktivieren kann. Herr Müller, der beruflich involviert war, erkannte die E-Mail nur kurz und legte sie in einen Ordner, um sie später zu bearbeiten. Wie sich später herausstellte, war diese E-Mail eine Phishing-E-Mail, die nicht von der tatsächlichen Bank stammte. Jedoch schien sie von der tatsächlichen Bank zu stammen und präsentierte auch einen passenden Klartext-Header.

Eine weitere E-Mail kam einige Wochen später. Später wurde festgestellt, dass es sich bei der Phishing-E-Mail um eine echte E-Mail der Bank handelte, solange man den Klartext-Header nicht auflöste und nicht nur den Klartextabsender, sondern auch die nicht zur Bank gehörende Absenderadresse erkannte. Standardmäßig zeigte das E-Mail-Programm nur den Klartextabsender an. Es wird in der E-Mail erklärt, dass das Konto nun aus Sicherheitsgründen begrenzt werden muss, da die App bisher nicht aktualisiert wurde. Es besteht die Möglichkeit, die Installation innerhalb von 14 Tagen durchzuführen, wenn dies nicht möglich ist, wird eine Gebühr berechnet.

Herr Müller hatte den Eindruck, dass E-Mails seiner Bank in der Regel nichts Außergewöhnliches waren, sondern eher üblich. Vermutlich hatte er durch die Umstellung der Karten einen Grund für die Installation der erforderlichen Anwendung geschaffen. Außerdem erinnerte er sich an die vor einigen Wochen zur Bearbeitung vorgemerkte, nur überflogene E-Mail, sodass die aktuelle E-Mail gut in den Prozess passte. Herr Müller war subjektiv sehr auf die Funktionalität des Kontos angewiesen.

Daher griff er auf sein Handy und wurde aufgefordert, den Link in der E-Mail zu nutzen, um sich in sein Online-Banking einzuloggen. Es wurde der Benutzername eingegeben und der Fingerabdruck wurde automatisch ausgefüllt. Danach wurde eine Freigabe in der ursprünglich installierten Original-App der Bank auf eine wie angekündigt angezeigte Abfrage erteilt. Herr Müller hatte angenommen, dass die Anwendung aktualisiert wurde.

Herr Müller bemerkte in den folgenden Tagen, dass der Zugriff auf das Konto nicht mehr möglich war. Bei seiner Anmeldung bei der Bank wurde ihm auch mitgeteilt, dass in mehreren Einzelüberweisungen insgesamt etwa 13.000,00 Euro von seinem Konto überwiesen wurden.

Was ist hier eigentlich passiert?

Es ist wahrscheinlich, dass folgendes tatsächlich passiert ist: Dank des Klicks auf den Link in der zweiten E-Mail wurde Herr Müller auf eine Website der Bank weitergeleitet, die täuschend echt aussieht. Er übermittelte seine Anmeldedaten tatsächlich an die Täter, die die Website aufgebaut hatten, als er meinte, sich dort wie üblich einzuloggen.

Anschließend gaben sie sich zusammen mit diesen Informationen in das tatsächliche Online-Banking von Herrn Müller ein, gaben ihr eigenes Mobilfunkgerät als zusätzliches Gerät für die Freigabe ein und füllten die Bestätigungsanfrage aus. Herr Müller hat die Anfrage in seiner App erhalten und glaubt, dass sie im Zusammenhang mit der angekündigten Aktualisierung der App steht. Jedoch wurde das Gerät der Täter entsperrt, wodurch sie nun selbstständig handeln und Überweisungen ausführen konnten.

Die Rechtslage

Selbstverständlich hatte der Kunde der Bank Schadensersatzansprüche gegen die Täter. Jedoch wurden diese nicht untersucht. Es ist fraglich, ob sie solvent gewesen wären. Daher handelte es sich hauptsächlich darum, ob eine Forderung auf Wiedergutschrift gegenüber der eigenen Bank besteht. Wie hier detailliert erklärt, bestehen im Wesentlichen zwei Bedingungen für diesen Anspruch: Zuallererst war der Kunde der Bank nicht berechtigt, die Kontoverfügungen eigenständig zu autorisieren, was er möglicherweise nachweisen müsste. Zweitens war es ihm nicht gestattet, grob fahrlässig dabei mitgewirkt zu haben, dass die Betrüger Zugang hatten. Anders hätte die Bank einen Anspruch auf Schadensersatz gegen ihn, den sie gegen den Anspruch auf Wiedergutschrift aufrechnen könnte. Die Bank müsste nachweisen, dass sie grob fahrlässig mitgewirkt hat. 

Es gibt keine Zustimmung des Bankkunden in dieser Situation. Die Installation der App bei den Tätern ist nicht gleichbedeutend mit der späteren Freigabe von Überweisungen. Die Täter haben die entscheidende Freigabe sofort erteilt, da sie die Überweisungen vorher vorbereitet hatten. Normalerweise kann dies erst nachgewiesen werden, wenn die Bank im Prozess die technischen Aufzeichnungen der Ereignisse präsentiert. Zunächst einmal besteht der Anspruch auf Wiedergutschrift.

Unsere Meinung nach war die Bank im aktuellen Fall nicht in der Lage, mit einem Anspruch auf Schadensersatz zu rechtfertigen. Obwohl der Bankkunde zweifellos fahrlässig war. Wenn man sorgfältig gearbeitet hätte, hätte man die E-Mails als Phishing-Angriff identifizieren können. Es gab jedoch solide Argumente gegen übermäßige Fahrlässigkeit. Es ist grob fahrlässig, Sorgfaltspflichten objektiv schwer und subjektiv unentschuldbar zu verletzen. Dies ist nicht der Fall: Der Bankkunde war daran gewöhnt, mit seiner Bank hauptsächlich per E-Mail zu kommunizieren. In der Vergangenheit hatten die E-Mails der Bank wechselnde Klartextadressaten-Header, weshalb eine weitere etwas abweichende Bezeichnung nicht sofort Aufmerksamkeit erregen musste.

Der Erhalt der beiden Phishing-E-Mails schien logisch zu sein. Die Bank hatte zuvor selbst eine sofortige Änderung angekündigt, die auch mit einer Umstellung bei der App einherging, und der Bankkunde hatte aktiv eine Änderung durch die Kartenbestellung in Gang gebracht, was Reaktionen oder Folgeschriftverkehr offenbarte. Die zweite Phishing-E-Mail, auf die nicht reagiert wurde, wurde durch das Wegspeichern der ersten Phishing-E-Mail begründet. Auf subjektiver Ebene erhöhte sich der berufliche Stress.

Unsere Bewertung

Es bleibt häufig unklar, wie die Täter den Zugriff erlangt haben. Zunächst einmal ist dies negativ für die Bank, da sie beweisen muss, dass der Kunde fahrlässig gehandelt hat. Solange die Bank nicht genau sagen kann, was wirklich passiert ist, ist es nicht möglich, zu überprüfen, ob und was grob fahrlässig gewesen sein soll. Daher sind bloße Vermutungen nicht angemessen und sollten auch nicht ohne konkrete Beweise geäußert werden, um nicht die schlafenden Hunde zu wecken. Es ist wichtig, vorsichtig zu sein, wenn man Fragebögen von der Bank beantwortet. In manchen Fällen sind sie so konzipiert, dass sie dem Kunden eine ungünstige Vermutung einflößen, selbst wenn es unklar ist, was tatsächlich passiert ist.

Es ist wichtig, dass das Opfer des Betrugs seinem Anwalt erklärt, warum es so gehandelt hat, ohne dabei argwöhnisch zu werden, wenn es nachvollziehbar ist, wie die Täter vorgegangen sein könnten. Erst dann kann man argumentieren, dass es eine Erfolgsaussicht gibt, im Gegensatz zu grober Fahrlässigkeit. Es ist möglich, dass scheinbar unwichtige Details von Bedeutung sind. Das zeigt der Fall, der hier beschrieben wird.