Onlinebanking-Betrug: Sparkasse zahlt vollen Schadensersatz nach Phishing & Spoofing

Das Landgericht Köln hat in Sachen Onlinebanking-Betrug zum Aktenzeichen 22 O 43/22 ein ebenso interessantes wie weitreichendes Urteil gefällt. Das Gericht verurteilte eine Sparkasse, einem Kunden einen durch sogenanntes Spoofing entstandenen Schaden komplett zu ersetzen – insgesamt 14.000 Euro.

Der Kunde hatte das sogenannte Push-TAN-Verfahren benutzt, das Banken deutschlandweit als sicher anpreisen und anbieten.

Dabei wird ein Vorgang über das klassische Onlinebanking auf den Weg gebracht, die Transaktion dann über eine spezielle Handy-App – Push-Tan-App - bestätigt, bevor z.B. eine Überweisung abgeschlossen wird. Verbraucherschützer kritisieren das Verfahren, da eine abschließende Genehmigung für was auch immer einzig und allein an einem einzigen „Ich bestätige“-Klick hängt und es Betrügern oft leicht fällt, sich solche Bestätigungen zu ergaunern, z.B. durch diverses hochmanipulatives „Social Engineering“.

Zugang zum Onlinebanking des späteren Opfers verschaffen sich Betrüger in aller Regel im Vorlauf über das sogenannte Phishing: Dabei werden mit täuschend echten Kopien der Bankseite unter diversen Vorwänden Benutzername und PIN des Zugangs abgefragt. Manche Täter machen es sich gleich leichter: Sie kaufen im sog. Darknet Datenbestände aus sog. Datenlecks auf. Diese Bestände enthalten oftmals nicht nur die Zugangsdaten zum Online-Banking selbst, sondern praktischerweise auch sämtliche persönliche Daten potentieller Opfer. 

In der letzteren Konstellation ist es dann gerade nicht so, dass das spätere Opfer zunächst Opfer von Phishing war, was besonders perfide Täuschungsmanöver ermöglicht. Wer nun an das Geld des Opfers heranwill, muss es in beiden Konstellationen nur noch dazu bringen, eine Transaktion zu bestätigen. Je nach Abhebungslimit kann der Schaden schon mal 5-stellig sein.

Der Kunde war mit angezeigter Sparkassennummer angerufen worden und um eine Bestätigung gebeten worden. Das verhüllen der eigenen Identität wird als Spoofing bezeichnet. Im vorliegenden Fall hatte der Text der PushTan-App um „Registrierung Karte“ gebeten, der vermeintlichen Aufforderung der Bank war der Kunde gefolgt und hatte damit eine digitale Debitkarte aktiviert, über die die Betrüger insgesamt 14.000 Euro abbuchten, bevor der Bank die ungewöhnlichen Transaktionen auffielen.

Da die Bank eine Mitschuld des Kunden zu erkennen glaubte, erstattete sie nur 4000 Euro. Das Landgericht sah die Schadensvermeidungspflicht und damit auch die Verantwortung allerdings zu 100 % bei der Bank und verpflichtete diese zum kompletten Schadensausgleich.

Fritsch: „Das perfide ist, dass das potentielle Opfer einen Anruf von der richtigen Nummer seiner Bank erhält und der Anrufer dabei nicht etwa Daten abfragt, sondern direkt Details zur Person und Konto liefern kann und hierdurch erst einmal unerschütterlich den Eindruck der Seriosität erweckt. Gepaart mit einer Drucksituation bevorstehender Abbuchungen, die es zu verhindern gilt, ist die nächste „Freigabe“ zur Abwendung ansonsten unvermeidlich bevorstehenden Schadens nicht mehr weit…

Rechtsanwalt Fritsch, der Opfer von Phishing, Spoofing und Social Engineering deutschlandweit erfolgreich vertritt, empfiehlt, sich auf keinerlei Diskussion mit der Bank einzulassen und nach einer ersten vergeblichen Ansprache sofort juristische Schritte einzuleiten