Online-Banking: ist es noch sicher?

Das Online-Banking ist in den letzten Jahren immer beliebter geworden, da es eine bequeme Möglichkeit bietet, Finanzgeschäfte von überall und zu jeder Zeit auszuführen. Allerdings birgt diese Technik auch Risiken. Aktuell kommt es zu einer Vielzahl von Betrugsfällen und illegalen Zugriffen auf Online-Bankingkonten. Dabei bedienen sich die Täter unterschiedlicher Methoden:

Ausspähen von Zugangsdaten

Mit Meldung vom 09.01.2023 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vor einer neuen Art von Android-Malware gewarnt, die auf Online-Banking-Anwendungen abzielt. Diese Malware, die als "Godfather" bekannt ist, zeigt dem Nutzer eine gefälschte Website seiner Banking- oder Krypto-App an. Wenn der Nutzer versucht, sich mit seiner Kennung und seinem Passwort auf der gefälschten Seite anzumelden, werden diese Zugangsdaten an die Täter übermittelt. Diese können sich somit in den Online-Bankingaccount des Nutzers einwählen. Zwar ist dann noch eine weitere TAN-Eingabe erforderlich, um Bankgeschäfte zu bestätigen. Allerdings erhalten die Täter nach dem Login weitere Informationen über den Nutzer wie beispielsweise seinen Namen, die Kontodaten und in manchen Fällen auch den Namen des zuständigen Banksachbearbeiters oder die Kontaktdaten des Nutzers.

Anrufe von falschen Bankmitarbeitern

Oftmals werden die Nutzer dann von den Tätern kontaktiert und dazu verleitet, Bankgeschäfte mittels TAN-Eingabe zu bestätigen. Dabei geben sich die Täter oft als Bankmitarbeiter aus und können aufgrund des zuvor erlangten Zugangs zum Online-Konto des Nutzers internes Wissen vorweisen, dass sie als Bankmitarbeiter erscheinen lässt. Mandanten berichten uns zudem, dass im Telefondisplay die Anrufer-ID der Bank angezeigt wurde.

Missbräuchliche Freischaltung von mobilen Bezahldiensten

In anderen Fällen gelingt es den Tätern ein Mobilgerät (Mobiltelefon oder Smartwatch) als Zahlungsmittel für mobile Bezahldienste (Apple Pay, Google Pay) zulasten des Kreditkartenkontos oder Girokontos des Nutzers freizuschalten. Mit dem Gerät werden dann Einkäufe getätigt oder Auszahlungen bewilligt.

Abfangen von SMS

Tätern gelingt es dabei auch SMS mitzulesen oder umzuleiten, die von der Bank an den Kunden im Zuge der Freischaltung von mobilen Bezahldiensten gesendet werden. In einem unserer Fälle wurde ein per SMS versendeter Freischaltcode abgefangen und von den Tätern eingesetzt. In einem anderen Fall berichtete uns ein Mandant, dass er eine von der Bank an ihn per SMS versendete Benachrichtigung über die Freischaltung nicht erhalten hat.

Falsche Bezahldienste

Bei einer anderen Betrugsmasche melden sich die Täter auf eine Verkaufsanzeige der Opfer bei ebay-kleinanzeigen.de und geben sich als Käufer aus. Für die Ausführung der Bezahlung bestehen sie dabei auf die eigene Bezahlfunktion von ebay-kleinanzeigen.de. Die Geschädigten erhalten hierauf per SMS einen Link, der angeblich auf den Bezahldienst verweisen soll. Tatsächlich werden die Opfer mit dem Link auf eine gefälschte Internetseite der Täter umgeleitet, die die Kreditkartendaten der Opfer abfragt. Mit den Daten werden anschließend Abbuchungen vorgenommen.

Übernahme der Kontrolle über das Handy

Die größten unserer Kanzlei bekannten Schäden treten auf, wenn es den Tätern gelingt, den Nutzer dazu zu bewegen eine Remote Desktop Anwendung auf seinem Smartphone zu installieren wie z. B. die Android App von anydesk. Hiermit können die Täter das Mobiltelefon vollständig übernehmen, Passwörter ausspähen, im Namen des Nutzers Nachrichten empfangen und versenden, TANs freigeben und sogar Dokumente digital signieren.

Sicherheitsmaßnahmen

Um sich vor dieser Art von Malware zu schützen, wird empfohlen, dass Online-Banking-Nutzer ihre Geräte regelmäßig auf Sicherheitsupdates überprüfen und nur vertrauenswürdige Anwendungen aus offiziellen App-Stores herunterladen. Es sollten auch nur sichere Passwörter verwendet und diese regelmäßig geändert werden.

Zusätzlich sollten Nutzer ihre Online-Bankingtransaktionen nur von sicheren und bekannten Geräten durchführen und aufmerksam auf ungewöhnliche Aktivitäten in ihren Konten sein. Nutzer sollten auch die aktuellen Warnhinweise ihrer Bank beachten, die regelmäßig auf deren Homepage aktualisiert werden. Bei Anrufen eines angeblichen Bankmitarbeiters sollten Nutzer besonders misstrauisch bleiben und keinesfalls Zugangsdaten preisgeben oder TAN-Freigaben erteilen.

Wer trägt den Schaden?

Sollte es dennoch zu einem missbräuchlichen Zugriff gekommen sein, dann stellt sich die Frage, wer für den Schaden aufkommt. Maßgeblich ist dabei, wer die Zahlung autorisiert hat. Nur wenn der Nutzer selbst die Autorisierung vorgenommen hat, z. B. mittels Eingabe einer TAN oder Bewilligung der PushTan, muss er dies gegen sich gelten lassen. Haben aber die Täter die Zahlung ohne Autorisierung durch den Kontoinhaber veranlasst, dann kann der Bankkunde verlangen, dass die nicht autorisierte Zahlung seinem Konto wieder gutgeschrieben wird. Dabei muss die Bank nachweisen, dass der Kunde die Autorisierung vorgenommen hat.

Zwar kann die Bank verlangen, dass ein ihr hierdurch entstandener Schaden ersetzt wird. Für den Schaden muss der Bankkunde jedoch nur aufkommen, wenn er grob fahrlässig gehandelt hat. Die Beweislast hierfür trägt die Bank.

Betroffene sollten daher dringend fachkundigen anwaltlichen Rat einholen.

Dragisa Andjelkovic

Fachanwalt für Bank- und Kapitalmarktrecht