Sparkasse muss ​14.000 Euro Schaden aus Onlinebanking-Betrug erstatten

Spoofing nennt man die Technik, wenn Anrufer in böser Absicht ihre wahre Identität verschleiern und als Rückrufnummer eine andere Verbindung anzeigen lassen. Betrüger nutzen Spoofing, um sich das Vertrauen Ihrer Opfer zu erschleichen. Aktuell haben einige Mandanten unserer Kanzlei ihre Erfahrungen mit Spoofing machen müssen und über Onlinebanking-Betrug erhebliche Schäden erlitten. Die betroffenen Mandanten sind allesamt Kunden einer Sparkasse. In einem aktuellen Fall vom Landgericht Köln (Urteil vom 08.01.2024, Az. 22 O 43/22) wurde eine Sparkasse zur Begleichung des angerichteten Schadens verurteilt wurde. Im aktuellen Fall ging es um 14.000 Euro.

Vertrauensaufbau durch Social Engineering

Doch der Reihe nach: Betrüger, die Spoofing nutzen, haben in aller Regel schon vollen Zugriff auf das Konto ihrer Opfer, verfügen über Benutzernamen und Pin für das Onlinebanking, um z.B. eine digitale Debitkarte zu beantragen. Diese Daten haben sie mit weiteren Informationen entweder im Darknet eingekauft oder durch Phishing-Angriffe selbst ausspioniert. Was ihnen zur Vollendung ihres Betruges fehlt, sind die Transaktionsbestätigungen für Überweisungen, Einkäufe etc. Hier kommt das sog. „Social Engineering“ ins Spiel, also der Vertrauensaufbau zum zukünftigen Geschädigten.

Uns liegen mehrere nahezu gleichlautende Schilderungen dieser Masche vor. Unsere Mandanten wurde angerufen und vom angeblichen Sparkassenmitarbeiter gebeten, nach Zusendung eines Links weiteren Anweisungen zu folgen.

Ziel: Aktivierung der digitalen Debitkarte

Mit der falschen Identität versuchen die Täter dadurch zeitnah,  ihre just beantragte digitale Debitkarte der Sparkasse aktivieren zu lassen. Dazu erzählt der vermeintliche Sparkassenmitarbeiter eine glaubwürdige Geschichte rund um Sicherheitsprobleme mit der bestehenden Mastercard, die neu aktiviert werden müsse, oder der TAN APP, die aktualisiert werden müsse. Zum Ende des Telefonats wird die Kartenbestellung aktiviert und der Kunde schaltet die Transaktion im guten Glauben – ohne Kenntnis - frei.

In dem vor dem Landgericht Köln verhandelten Fall wurde das Opfer aufgefordert, die Option „Karte freischalten“ per Tan zu aktivieren. Auch eine entsprechende Aufforderungsapp wird mit der Adresse der Sparkasse maskiert.

Wird die Bestätigung auf den Weg gebracht, dann haben die Betrüger Zugriff auf eine frei verwendbare digitale Debit- oder Masterkarte, mit der sie innerhalb des Verfügungsrahmens ohne weitere Tans einkaufen und Geld verschieben können. Mindestens so lange, bis das irgendwem auffällt und die Karte gesperrt wird.

Sparkasse verweigert Ersatz des Schadens

In keinem uns bekannten Fall hat eine Bank den Geschädigten den Schaden ohne anwaltliche Zuhilfenahme erstattet. Einen Erstattungsanspruch verneinen die Institute unisono mit dem Argument, die oder der Geschädigte habe den Tätern die Erlangung der erforderlichen Daten und Einwilligungen grob sorgfaltswidrig ermöglicht.

Das Urteil des Landgerichts Köln stellte nunmehr aber fest, dass ein Kunde, der den Anweisungen des vermeintlichen Mitarbeiters der Sparkasse folgt, eben nicht grob sorgfaltswidrig handelt und gegen die Bank einen Anspruch auf vollständigen Ersatz seines Schadens hat.

Dieser – und auch meiner – Rechtsauffassung entsprechend, wäre es Pflicht der Sparkasse gewesen, geeignete Sicherheitssysteme zu installieren und/oder ihre Kunden besser über Gefahren zu informieren.

Wenn Sie selbst das Opfer eines Phishing- oder Spoofing-Angriffs geworden sind, berate ich Sie gerne.