Vorsicht wegen starker Zunahme von Cyber-Kriminalität beim Online-Banking

In den vergangenen Monaten ist die Anzahl betrügerischer Cyber-Angriffe auf Bankkonten außergewöhnlich stark angestiegen. Ich möchte kurz auf zwei derzeit beliebte typische Begehungsmuster und die Rechtslage zur Risikoverteilung aufmerksam machen:

1.

Zwei typische kriminelle Begehungsmuster sind derzeit besonders häufig:

Tatmuster 1

Oft nehmen Kriminelle Kontakt zu Bankkunden auf und geben sich als Bankmitarbeiter aus. Durch „Insiderinformationen“ über den Kunden, auf die sie zuvor unter Überwindung des Sicherheitssystems des Kreditinstituts zugegriffen haben, erreichen sie es in vielen Fällen, dass der Kunde in der ad-hoc Situation zunächst einmal keinen Verdacht schöpft.

Um dem Bankkunden Handlungsdruck zu suggerieren, gibt der angebliche Bankmitarbeiter außerdem vor, dass der Bank eine aktuelle Buchung auf dem Kundenkonto als „ungewöhnlich“ aufgefallen sei. Vermutlich sei der Kunde Betrugsopfer geworden. Der Kunde könne den Schaden aber noch abwenden und die Transaktion in Zusammenwirken mit dem vermeintlichen Bankmitarbeiter rückgängig machen, müsse hierzu aber persönliche Daten (PIN und TAN) eingeben.

Tatmuster 2

„Beliebt“ in kriminellen Kreisen ist es auch, dem Kunden eine scheinbar von seiner Bank übersandte SMS zuzustellen, die den Kunden verleiten soll, zur „Erneuerung oder Wiederherstellung“ seines Online-Accounts bzw. zur Vermeidung einer „Sperrung seines Zugangs“ auf sein Konto einem Link zu folgen und über diesen dann seine Daten (TAN) preiszugeben.

Solche unangekündigten Kontaktaufnahmen per Telefon oder SMS durch Kreditinstitute sind regelmäßig unüblich, so dass sich Kunden hierauf nie einlassen sollten.

2.

Gelingt es dem Kriminellen, auf das Bankkonto des Kunden zuzugreifen, stellt sich in rechtlicher Hinsicht zwischen dem Kunden und dem Kreditinstitut bezüglich des entstandenen Schadens die Frage der Risikoverteilung.

Die instanzgerichtliche Rechtsprechung hierzu ist aktuell entsprechend dem technischen Fortschritt im Fluss.

Folgende Grundsätze gelten:

a)

Der Kunden hat gegenüber seinem Kreditinstitut dann einen Anspruch auf Wiedergutschrift des abgebuchten Betrags, wenn er die Transaktion nicht autorisiert hat (§ 675 u BGB)

b)

Im Hinblick auf die regelmäßig umstrittene Kundenautorisierung durch eine TAN-Eingabe kommen Beweiserleichterungen zu Gunsten der Bank in Betracht (§ 675 w BGB).

c)

Grundvoraussetzung für die Beweiserleichterung zu Gunsten des Kreditinstituts ist nach der Entscheidung des

BGH vom 26.01.2016 – XI ZR 91/14 –

allerdings, dass das zum Online-Banking vorgehaltene Zahlungssystem „praktisch unüberwindbar“ für Angriffe von außen ist.

Dieser Punkt ist derzeit Gegenstand vieler Rechtsstreitigkeiten vor Instanzgerichten (soweit Kreditinstitute nicht außergerichtlich zur Regulierung bereit sind, was bei vielen durchaus der Fall ist).

Insbesondere beim immer noch sehr gebräuchlichen SMS-TAN-Verfahren (mTAN-Verfahren) ist die „praktische Unüberwindbarkeit“ neuerdings durchaus zweifelhaft, nachdem diesbezüglich sogar Bedenken auf der Homepage des Bundesamts für Sicherheit in der Informationstechnik (BSI) veröffentlicht sind.

Viele Kreditinstitute sind daher in der jüngeren Vergangenheit vom SMS-TAN-Verfahren (mTAN-Verfahren) abgerückt.

d)

Aufgrund der deutlichen Zunahme von Cyber-Attacken in der jüngeren Vergangenheit sind Kunden – unabhängig von der rechtlichen Risikoverteilung und der Frage der technischen Überwindbarkeit des vorgehaltenen Online-Zahlungssystems – darauf hinzuweisen, dass bei grober Fahrlässigkeit des Kunden Ansprüche gegen die Bank ganz oder teilweise ausgeschlossen sein können.