Vorsicht Phishing – Angriffe auf Girokonten und Kreditkartenkonten

Phishing Attacken – immer mehr und immer häufiger werden die Besitzer von Girokonten oder Kreditkarten Opfer von Cyberkriminellen, die Kontodaten per Mail oder Telefon ausspähen und dann entweder Abbuchungen vornehmen, Bargeld abheben, für sich Kryptowährungen kaufen oder Waren bezahlen. Besonders betroffen scheinen derzeit Volksbanken, die ING-Diba und die Comdirect-Bank zu sein. Rechtsanwalt Michael Staudenmayer erlebt im Kanzleialltag einen Anstieg der Fallzahlen. Er kann aber auch Positives berichten: „Geschädigte Opfer können in einer überwiegenden Zahl der Fälle Ihre Bank oder den Kreditkartenbetreiber für den Schaden verantwortlich machen und einen Ausgleich des Schadens erhalten!“!

Banken müssen Kunden besser schützen

Staudenmayer: „Geschädigte haben jedoch dann keinen Anspruch auf Schadenersatz, wenn der Verlust vermeidbar gewesen wäre. An diese Eigenverantwortung werden hohe, aber durchaus verbraucherfreundliche Maßstäbe gesetzt. Sie sollten sofort Strafanzeige erstatten und sich anwaltlich beraten lassen.“

Heißt: Je trickreicher die Betrüger vorgehen, je schwerer ist es, die Maschen zu erkennen. Banken müssen also entweder besser informieren oder bessere Schutzeinrichtungen installieren, um den Schaden von ihren Kunden und letztendlich auch von sich selbst fern zu halten.

Die Tatvarianten sind höchst unterschiedlich und letztendlich immer darauf angelegt, entweder das Einverständnis des Kunden zu einer Transaktion zu ergaunern oder sich mit funktionierenden Zugangsdaten Zugriff zu fremdem Vermögen zu verschaffen.

Als Fachanwalt für Bank- und Kapitalmarktrecht weiß Staudenmayer aber auch, dass die sogenannte Cyberkriminalität auch im ganz großen Rahmen bei den Datenbeständen von Banken und Zahlungsdienstleistern wie z.B. PayPal ansetzt. Für dortige Datenverluste sind Kunden nicht verantwortlich, und daraus resultierende Schäden müssen zwangsläufig von der Bank bzw. dem Zahlungsdienstleister getragen werden.

Extrem individualisierte Spear-Phishing-Mails

Die sogenannten „Spear-Phishing-Mails“ machen Banken, Kunden und Ermittlern derzeit die größten Sorgen. Gemeint sind hochprofessionelle und extrem individualisierte Mails, die sich als Standardinformation des Zahlungsdienstleisters verstecken, und nicht mehr einfach durch simple Schreibfehler und seltsame Formulierungen als Phishing erkennbar sind. Oft ist sogar die Absenderadresse „maskiert“ – die Versender-Adresse wird dabei durch die Bank-Adresse überschrieben.

Eine aktuelle Masche zeigt die Gefährlichkeit der Kriminellen. Der Empfänger wird aufgefordert, seine Identität über einen in der Fake - Mail enthaltenen Link der vermeintlichen Bank zu bestätigen. Klickt man auf diesen Link, werden persönliche Daten abgegriffen. Daher sollte man im Zweifel solche Mails in den Spam-Ordner verschieben. Besonders gefährlich ist das Ganze beim sogenannten handy-banking, weil man auf dem kleinen Bildschirm von Mobiltelefonen den Vorgang von vorneherein nicht so gut erfassen kann. 

Durch die Herausfilterung der entsprechenden Daten sind die Betrüger vielfach sogar in der Lage, selber Transaktionen im Onlinebanking vorzunehmen. Es kann sogar passieren, dass Pins und Tans durch Anrufe vermeintlicher Bankmitarbeiter zusätzlich per Telefon abgefragt werden. Rechtsanwalt Staudenmayer: „Höchstpersönlichen Daten wie eine Pin oder Tan dürfen niemals Dritten und insbesondere nicht am Telefon preisgegeben werden. Wenn Bankmitarbeiter danach fragen, stimmt etwas nicht. Legen Sie am besten sofort auf!“

Ausnahme Mitverschulden des Kunden

Letztendlich: Je geschickter der Betrug, desto geringer ist die Eigenverantwortlichkeit des Opfers – den Schaden hat die Bank zu tragen. Das Bürgerliche Gesetzbuch regelt Art und Umfang des Schadensersatzes in § 249 BGB. Nur bei nachgewiesener Fahrlässigkeit auf Seiten des Opfers ändert sich daran etwas. 

Rechtsanwalt Michael Staudenmayer empfiehlt, im Zweifelsfall schnell tätig zu werden und je nach Höhe des Schadens nach dem notwendigen Sperr-Notruf 116 116 neben der Bank auch gleich einen Fachanwalt zu informieren. Der Alarm beim Notrufservice des Anbieters ist wichtig, denn dadurch können nicht nur weitere Schäden vermieden, sondern man kann auch dokumentieren, dass alles getan wurde, um den Schaden zu begrenzen. Zur Schadensbegrenzung gehört auch eine Anzeige bei der Polizei, ein Trojaner-Scan der eigenen PC-Umgebung durch einen Fachbetrieb und eine komplette Dokumentation des Vorgangs.