2023 Online-Banking Rekordjahr bei Schadensfällen Das jedenfalls ist die -zugegebenermaßen ersteinmal- subjektive Beurteilung von Rechtsanwalt…
Schadensfälle mit sehr hohen Verlusten im Online-Banking nehmen stark zu
Vor allem Sparkassenkunden scheinen betroffen
Seit dem Jahr 2021 beobachten wir im Rahmen unserer Beauftragung durch Privat- und Geschäftskunden einen sehr starken Anstieg von Fällen mit hohen -teilweise sechsstelligen Schäden- im Zusammenhang mit der Plünderung von Kundenkonten (Onlinebanking).
Im letzten Jahresbericht der Bundesanstalt für Finanzdienstleistungsaufsicht findet sich der dürre Satz: „Immer mehr Kundinnen und Kunden der Sparkassen nutzen Online-Banking – ein Trend, der sich auch 2021 fortgesetzt hat. Dies zwang die Institute ihrerseits dazu, sich verstärkt mit Maßnahmen zu beschäftigen, um ihre Systeme gegen Cyberattacken abzusichern.“ Zu den Dimensionen der Angriffe und der Schäden finden sich keine Angaben. Ebenso vermisst man Angaben, wie erfolgreich die Absicherungsmaßnahmen waren bzw. sind und wie die Aufsicht ggf. unterstützt, begleitet oder gar Missstände sieht bzw. sanktioniert.
Zumeist werden betrügerische SMS im Namen von Sparkassen, Volksbanken oder anderen Geschäftsbanken verbreitet. Ende Mai warnten zum Beispiel die Sparkassen wie folgt:
„Unter verschiedenen pushTAN- bzw. pushTAN 2.0-bezogenen Vorwänden wird versucht, Sie zum Aufruf einer betrügerischen Web-Seite (Phishing-Seite) zu bewegen. Dort werden Ihre Online-Banking-Zugangsdaten, ihr Geburtsdatum sowie die Daten Ihrer Sparkassen-Card erfragt. Eine namentliche Anrede erfolgt nicht.
VORSICHT: Bitte geben Sie keine Daten auf den Phishing-Seiten ein. Ihre Daten könnten ansonsten von Betrügern missbraucht werden, z. B., um Sie im Namen Ihrer Sparkasse anzurufen.
Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt darum dringend vor diesen SMS. Sofern Sie bereits Daten auf den Phishing-Seiten eingegeben haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs umgehend bei Ihrer Sparkasse. Veröffentlicht am 25.05.2022 um 16:29 Uhr“
Zumeist erhalten die Kunden solche SMS von der gleichen Rufnummer, die die Bank tatsächlich für Ihre Mitteilungen nutzt, so dass das eigene Smartphone die gefälschte SMS in dem Ordner mit vergangenen (regulären) SMS der Bank anzeigt. Hat man die Nummer im Smartphone bereits mit einem Kontaktnamen gespeichert, wird dieser angezeigt. Einige Smartphones zeigen die sog. „Caller ID“ als Klarnamen auch an, wenn die Nummer nicht in den Kontakten gespeichert ist. Die Betrüger sind also in der Lage die Absendernummer (Rufnummer-Spoofing) zu manipulieren, was Ihnen die Betrugsmasche stark erleichtert.
Sind die Täter erfolgreich, gelingt es Ihnen teilweise die Guthaben auf den Konten vollständig abzuräumen. Die Opfer selbst sind nach einem erfolgreichen Angriff vom Online-Banking abgeschnitten und erhalten so auch keine Mitteilungen von den Verfügungen. Es kommt teilweise zu hunderten Abverfügungen des immer gleichen Betrages mit dem gleichen Betreff. Die Täter haben dabei offenbar auch Kenntnis von summenmäßigen Schwellenbeträgen, die keinen Verdacht zu erwecken scheinen (z.B. Euro 998,00). Auch mehr als 100 solcher Überweisungen gehen innerhalb von Stunden ggf. ohne Beanstandung durch. Teilweise werden von den Tätern zunächst ggf. mit der Bank vereinbarte Limits aufgehoben, um dann noch schneller zu verfügen. Die Nachverfolgung im Schadensfall verläuft aufgrund des trickreichen Vorgehens unter Ausnutzungen von weiteren Schwächen (z.B. begrenzte IP-Speicherung bei Dritten oder Auslandsbezug) oft im Sande und Banken berufen sich danach häufig auf grobe Fahrlässigkeit der Kunden und verweigern den Ersatz des Schadens.
Nach Auffassung des Frankfurter Fachanwaltes für Bank- und Kapitalmarktrecht Matthias Schröder sind die derzeitigen Angriffe extrem professionell und es verwundert nicht, dass auch im Umgang mit modernen Kommunikationsmitteln durchaus erfahrene und gut ausgebildete Kunden, Opfer werden.
Grundsätzlich lohnt eine rechtliche Prüfung im Schadensfall. Es existiert nach der Rechtsprechung kein Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 3 BGB obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68).
Sollte es in einem Fall zudem noch zu den oben beschriebenen Massenverfügungen kommen, lohnt sich ggf. ein Vorgehen gegen die Bank besonders.
Einigen Instituten gelingt es nämlich durch den Einsatz von Algorithmen solche ungewöhnlichen Überweisungen zu erkennen und sehr schnell zu stoppen. Spiegelbildlich könnte es ein Indiz für ein Verschulden einer Bank sein, wenn solche Anpassungen und Schutzmaßnahmen im Onlinebanking unterlassen werden.
Neben gesteigerter Vorsicht könnte auch der Abschluss geeigneter Versicherungspolicen (Cybercrime-Schutz etc.) für Verbraucher ratsam sein. Interessant ist, dass die Geschäftsbank ING aktuell Ihren Kunden ein sogenanntes „Sicherheitsversprechen“ bei Datenmissbrauch gibt, dass eine Entschädigung vorsieht. Auch Deutsche Bank und Commerzbank sowie mit Einschränkungen die Targobank geben Versprechen mit unterschiedlichen Reichweiten (Girokonto-Vergleich, Stiftung Warentest v. 27.07.2022).