Veröffentlicht am von Justus

Phishing: Urteile, News zum Betrug beim Online-Banking

In letzter Zeit gibt es immer mehr Fälle und Urteile zu Kontoplünderungen durch das sogenannte Phishing. Die Fallzahlen beim Betrug beim Online-Banking, Cybercrime durch Phishing, Pharming, Skimming, Spoofing und Kreditkartenmissbrauch steigen erheblich. Viele Banken und Sparkassen verweigern zu Unrecht die Erstattung des Schadens. Hier geben wir eine Übersicht zu Urteilen, welche Banken betroffen sind und ob und in welchen Fällen die Bank Ihren Schaden nach einem Phishing Angriff erstatten muss.

Betrug beim Online-Banking

Justus Rechtsanwälte vertritt bundesweit Bankkunden, die Opfer von Internetbetrug beim Online-Banking und Kreditkartenmissbrauch geworden sind. Wir haben viel Erfahrung in diesem Bereich und ausgewiesene Expertise als Fachanwälte unter anderem für Bank – und Kapitalmarktrecht. In dem sich ständig ändernen Rechtsbereich sind wir durch laufende Fortbildung immer auf dem aktuellen Stand. Sie schildern uns einfach den Sachverhalt und wir geben Ihnen eine kostenfreie Ersteinschätzung.

kostenfreie Erstberatung
Phishing: Kontoplünderung durch Ausspähen der Banking Daten

Was ist Phishing?

Unter dem Begriff Phishing (von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird (Quelle Wikipedia).

Hohe und weiter stark steigenden Phishing Fälle

Cyberkriminalität hat 2021 Höchststand erreicht: 146.363 Cyber-
crimedelikte wurden in Deutschland registriert, 12 % mehr als im Vorjahr. 2021 war der Finanzsektor weltweit am stärksten von Phishing betroffen, auch in Folge der Corona-Pandemie.

Häufige Phishing Maschen und Fallgruppen:

Bankmitarbeiter ruft an wegen Wartungsarbeiten

Zunächst fischen die Täter die Zugangsdaten für das Onlinebanking des
Kunden sowie weitere persönliche Daten (Geburtsdatum, Nummer der Girocard) über eine
Phishing-Mail ab. Dann erhält das Opfer einen Anruf. Hier gibt sich der Täter als Bankmitarbeiter aus und gibt vor, dass das Online-Banking des Kunden wegen Wartungsarbeiten gesperrt sei und für die Freischaltung TANs oder
„Start-Codes“ benötigt werden. Der Kunde soll dann mit seinem TAN-Generator TANs erstellen und am Telefon durchgeben. Nun können die Täter Überweisungen ausführen.

PushTAN App vom Handy

Kunde gibt wie oben durch eine Phishing-Mail die Zugangsdaten zu seinem Onlinebanking ab. Dann wird er von Täter kontaktiert, der sich meist als Bankmitarbeiter ausgibt. Auch stimmt oft die Telefonnummer der Bank. Da es beim Update des Onlinebankings des
Kunden Probleme gebe, wird ihm eine SMS mit einem Link geschickt, über den er die
Zurücksetzung seiner PushTAN-App beauftragt. Dann erhält der Kunde eine weitere SMS mit Link zur Neu-Installation der PushTAN-App. Diesen Link gibt er in einem
Fenster ein, welches die Betrüger auslesen können. Mit dem Aktivierungslink für die PushTAN-App kann die App auf neuen Endgeräten installiert und benutzt werden.

Die gespiegelte Bank oder Sparkassen-Webseite

Das Opfer erhält von der vermeintlichen Sparkasse, DKB oder anderen Bank eine SMS, in der behauptet wird, ihre PushTAN-Registrierung sei abgelaufen. Es wird dazu aufgefordert, den in der SMS enthaltenen Link anzuklicken. Über diesen Link gelangt der Kunde auf eine “gefälschte” Webseite, die dem Original täuschend ähnlich sieht. Durch die Anmeldung erhält der Täter die Anmeldedaten. Danach erscheint ein Fenster zur TAN-Eingabe und der Kunde generiert mit ihrer PushTAN-App eine TAN und gibt diese in das Fenster ein. Das Fenster stürzt scheinbar ab, ein neues Fenster erscheint und der Kunde generiert nochmals eine TAN. Der Täter kann so mehrere Überweisungen ausführen.

Es gibt natürlich noch viele weitere Fallbeispiele für das Phishing und die Betrugsmaschen werden ständig weiter entwickelt, so dass man sich als Bankkunde kaum davor schützen kann.

Wie erkenne ich eine Phishing Email oder SMS?

Achtung, bei folgenden Ereignissen oder EMails sollten Sie aufpassen:

  • Ihr Onlinezugang ist gesperrt
  • Schließe deine SMS-Verifizierung ab
  • Aktion erforderlich
  • Letzte Erinnerung von der Bank
  • Bestätigung deiner Tan2go erforderlich
  • Mail von Support-Bank
  • Deaktiviertes Konto einrichten

Phishing: muss die Bank zahlen?

Die entscheidenden Fragen sind daher: Wie verhalte ich mich nach Kenntnis der Kontenplünderung und Wer bleibt auf dem Schaden für die immer raffinierteren Betrugsmaschen hängen; die Bank oder der Kunde?

Was tun nach der Kontenplünderung?

  • Anfertigung von Screenshots von der Phishing-Mail, gespiegelter Webseite, Link, SMS, etc.
  • Anruf bei der Sperrhotline der eigenen Bank und Dokumentation des Anrufs, Email, etc
  • Beauftragung des sogenannten Rückrufs/Recall der nicht autorisierten Zahlungsanweisung
  • Strafanzeige stellen und das polizeiliche Aktenzeichen notieren
  • Schadensmeldung an die Bank entweder selbst, besser aber durch einen Fachanwalt abgeben lassen.
  • Rechtsschutzversicherung und Haftpflichtversicherung informieren

Wer muss wann zahlen? Die Rechtslage beim Phishing

Grundsätzlich hat der Bankkunde einen Erstattungsanspruch gegen die Bank (Zahlungsdienstleister) aus § 675 u BGB, wenn ein Zahlungsvorgang von seinem Konto ohne sein Wissen und Willen (Autorisierung) erfolgt ist.

Im Fall eines nicht autorisierten Zahlungsvorgangs entfällt der Aufwendungsersatzanspruch des Zahlungsdienstleisters (Bank) gegenüber dem Kunden (§ 675u S. 1 BGB). Die Bank oder Sparkasse hat dann unverzüglich dem Kunden den Zahlbetrag zu erstatten (§ 675u S. 2 BGB).

Erstattungsanspruch bei nicht autorisiertem Zahlungsvorgang

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat die Bank nachzuweisen, dass eine Authentifizierung durch den Kunden erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht und nicht durch eine Störung beeinträchtigt wurde (§ 675w S. 1 BGB).
Die Bank trägt also die Darlegungs- und Beweislast für das Vorliegen eines
Aufwendungsersatzanspruches. Sie hat zu beweisen, dass die streitige Zahlung durch den Kunden autorisiert worden ist.

Dies ist typischer Weise bei Phishing, Pharming oder Erschleichen ihrer Daten zum Onlinebanking nicht der Fall. Denn natürlich haben Sie hier die Überweisung nicht selbst ausgeführt oder nicht authorisiert. In diesem Fall muss die Bank oder Sparkasse den Schaden ersetzen.

Grobe Fahrlässigkeit

Kann Ihnen die Bank allerdings grobe Fahrlässigkeit im Umgang mit ihren Bankdaten nachweisen, so bleiben Sie oft auf dem Schaden sitzen. Grobe Fahrlässigkeit liegt insbesondere und nach aktueller Rechtsprechung in folgenden Fällen vor:

  • Sie haben Ihre Zugangsdaten telefonisch oder per E-Mail herausgegeben
  • Sie haben Ihren Online-Zugang (Passwort etc.) auf Ihrem Rechner gespeichert
  • Sie nutzen Online-Banking auf einem nicht geschützten Gerät
  • die Geamtschau des Verhaltens ergibt eine hohes Maß an Ausserachtlassung der gebotenen Sorgfalt.
  • Sie bewahren Ihre PIN zusammen mit der Kreditkarte auf

Sie sehen daher, wie schwer die pauschale Vorhersage ist und wie wichtig es ist, dass Sie sich rechtzeitig und möglichst vor pauschalen Angaben bei Polizei und Bank oder Sparkasse beraten lassen.

Wir können aus unserer Paxis aber feststellen, dass in den überwiegenden Phishing Fällen, in denen die Bank oder Sparkasse die Erstattung (Gutschrift) zunächst abgelehnt hat, diese im Ergebnis falsch lag.

Welche Banken und Sparkassen sind von Phishing Attakten betroffen?

Jedes Konto auf jeder Bank oder Sparkasse kann theoretisch von Betrügern durch Ausspäten ihrer Daten zum Online-Banking betroffen sein. Wir haben derzeit sehr viele Fälle bei folgenden Banken:

  • DKB
  • Sparkassen
  • Postbank
  • Comdirekt

Urteile zum Phishing: Urteilsübersicht

Landgericht Kiel im Urteil vom 22. Juni 2018 (Aktenzeichen: 12 O 562/17) und Oberlandesgericht (OLG) Schleswig vom 29. Oktober 2018 (Aktenzeichen: 5 U 290/18)

Bank zur Rückzahlung nicht autorisierter Online-Überweisungen verurteilt. Gegenstand war das SMSTan-Verfahren, bei dem dem Kunden ein Code zur Überweisung auf sein Handy geschickt wird. Der Kläger erhielt von der Bank eine Erstattung von 28.170 Euro.

LG Köln (Urteil vom 16.10.2015, Az.: 30 O 330/14 ) und OLG Köln (Beschluss vom 21.03.2016, Az.: 13 U 223/15)

Kunde hat der Zahlung zugestimmt oder zumindest den Rechtsschein der Autorisierung gesetzt, wenn er selbst die TAN generiert hat und daraufhin ein mit einer korrekten TAN versehener Überweisungsauftrag ausgeführt worden ist. Dies trifft nicht zu, wenn Täter z.B.
PushTAN-App gekapert haben oder ein Authentifizierungsverfahren verwendet worden ist,
bei dem gar keine TANs generiert werden.

BGH, Urteil vom 26.01.2016,Az.:XI ZR 91/14:

Der Bundesgerichtshof stellt hier die vier Kriterien auf, die die Bank beweisen muss um die Autorisierung der Überweisung durch den Kunden nachzuweisen.

LG Zweibrücken Urt. v. 23.1.2023 – 2 O 130/22, BeckRS 2023, 2293

Der Kläger unterhält bei der Beklagten sein privates Konto. Dieses Konto ist an vorab vereinbarte Sonderbedingungen geknüpft. Im Rahmen dessen ist ein Limit von 3000,- € festgelegt. Nur durch Änderung dessen darf das Limit überschritten werden.
Am 27.09.2021 erhält der Kläger eine Phishing-Mail mit einem Link. Über den Link gelangt er zu der angeblichen (gefälschten) Website der Bank, wo er aufgefordert wird seine Daten einzugeben. Über ein Secure-Go Verfahren wird der Kläger zur Eingabe von zwei TAN´s verleitet. In Folge dessen wird dem Kläger eine Summe von insgesamt 19.800,- € abgebucht und auf ausländische Konten überwiesen (4.900,- € (1. Überweisung), 7.400,- € (2. Überweisung), 7.500, – € (3. Überweisung)).
Das Gericht hat entscheidet für den Kläger und gegen die Beklagte. Die Beklagte wird zum Folgenden verurteilt:
„Die Beklagte wird verurteilt, auf dem Konto des Klägers bei der Beklagten 19.800 Euro mit Wertstellung zum 27.09.2021 wieder gutzuschreiben.”
Trotz grober Fahrlässigkeit des Klägers (ihm hätte die falsche Internetseite ins Auge springen müssen), verletzte die Beklagte maßgebliche die SOB und somit ihre Pflicht (Einhaltung des Tageslimits).

LG München II Endurteil v. 11.3.2022 – 9 O 2630/21 Fin, BeckRS 2022, 38164

Die Kläger erhalten ein Schreiben (nicht von der Beklagten stammend) mit dem Titel „Willkommensbrief zur Aktivierung des e-Postfach TAN-Verfahrens“. In diesem Schreiben sollen sie einem Link folgen und ihre Zugangsdaten eingeben. Nach Anruf eines angeblichen Bankmitarbeiters geben die Kläger dann ihre Daten auf einer gefälschten Website ein. Daraufhin kommt es nach wenigen Tagen zu Abbuchungen i.H.v. 20.242, – €. Die Website weist folgende Makel auf: mehrere Rechtschreibfehler, Unterschiede zu sonst typischen Aufbauweisen (veränderte Grußformel, fehlende Daten), ein gänzlich anderes TAN-Verfahren. Die Beklagte weist seit Jahren auf die Problematik des Phishings hin. Die vertraglichen Bedingungen enthalten auch Vorschriften bezüglich dieser Problematik.
Die Klage wird abgewiesen aus den folgenden Gründen:

  • Die Kläger haben bereits ihre Konten gekündigt, somit ist keine Gutschrift mehr möglich
  • Den Klägern wird grobe Fahrlässigkeit nachgewiesen. Dies nicht aufgrund der gestalteten fake Website, sondern den jahrelangen Erfahrungen mit der Bank und dem gänzlich anderen TAN-Verfahren
    Folglich hat die Beklagte einen Anspruch gegen die Kläger und eine Aufrechnung erfolgt.

LG Berlin, Urteil vom 8.11.2011 – 21 O 80/11

Der Kläger führte ein PIN geschütztes Online Banking Konto bei der Beklagten. In diesem Fall übermittelte die Beklagte dem Kläger eine TAN-Liste. Jede TAN sollte nur einmal benutzt werden. Jede Aktion verschlüssle nur eine Aktion (nicht mehrere TANs für dieselbe Sache).
Der Kläger loggte sich mit seinen Daten auf der Website ein. Daraufhin öffnete sich eine Maske, in die er über 40 TANs eingab. Die Täter buchten 5.500, – € von seinem Konto ab.
Die Klage ist unbegründet. Der Kläger verletzte mit der Eingabe die Schutzbedingungen in den vereinbarten AGBs. Zusätzliche verletzte er grobfahrlässig die Sorgfaltspflicht, die ihn dazu hätte drängen müssen, das Sicherheitszertifikat der Website zu überprüfen.

LG Landshut Endurteil v. 14.7.2011 – 24 O 1129/11, BeckRS 2011, 20294

Der Kläger führt ein Bank Konto bei der Beklagten, das über ein iTAN-Verfahren (Direct-Banking) im Online Banking Bereich verfügt. Transaktionen können hier nur nach Legitimationsdaten durch allein den Nutzer durchgeführt werden.
Der Kläger loggte sich am Tattag ein, um selbst Geld zu überweisen. Währenddessen öffnete sich auf der echten Website eine gefälschte Website, die durch eine Trojaner Software (SpyEye) erzeugt wurde. Dort wurde er aufgrund von angeblich neuen Sicherheitsmaßnahmen dazu aufgefordert alle 100 TAN-Nummern einzugeben. Dies tat der Kläger. Infolgedessen buchten die Täter insgesamt 6.000,- € vom Konto des Kläger ab.
Das Gericht veruteilte die Bank zur Zahlungen des Schadens nebst Anwaltskosten und Zinsen.
Diese Entscheidung fußt auf den folgenden Gründen: Der Kläger ist in seiner Person nicht fähig gewesen die Tatsache anders zu bewerten. Der Kläger hat alle TANs eingegeben ohne Zweifel an der berechtigten Maßnahme zu haben. Die Phishing-Attacke erfolgte auf der Website der Beklagte über einen „Trojaner“.

Wir werden hier fortlaufend weiter wichtige Urteile zum Thema Phishing und Betrug beim Onlinebanking auflisten.

Es lohnt sich, den Sachverhalt mit Hilfe von Experten zu analysieren, bevor man der Bank vorschnell Zugeständnisse macht oder den Rechtsstreit in ein eventuell teures und ggf. aussichtsloses Klageverfahren führt.

Lesen Sie hier mehr zum Thema Phishing, Pharming und Cybercrime

kostenfreie Erstberatung

Lassen Sie sich durch einen Fachanwalt für Bankrecht kostenfrei beraten. Unserer Ersteinschätzung in den Fällen des Phishing, Pharming, Skomming, des Kreditkartenbetuges und zur Internetkriminalität ist kostenfrei und unverbindlich. Soweit wir weitere Recherchen oder Vertrags- und Unterlagenprüfung durchführen müssen, teielen wir Ihnen die hierdurch enstehenden Kosten transparent vorher schriftlich mit.

⇒ kostenfreie Erstberatung

Für  die kostenfreie Erstberatung schreiben Sie uns einfach über das Kontaktformular und geben den Sachverhalt möglichst genau an und laden die wesentlichen Unterlagen gleich hoch. Gern können Sie uns auch eine Email senden.
Justus icon
JUSTUS Rechtsanwälte,
Steffan und Kollegen
Kastanienallee 61
10119 Berlin

Telefon 030-440 449 66
Telefax 030-440 449 56
E-Mail: Justus@kanzleimitte.de
Please follow and like us:
fb-share-icon

Schreibe einen Kommentar

Mehr zum Thema

BANK- UND KAPITALMARKTRECHT232
Bank- und Kapitalmarktrecht "Es ist gut, dass die Menschen ihr Geldsystem nicht verstehen, denn sonst hätten wir noch vor morgen früh eine Revolution" Henry Ford Achtung: Absolute Verjährung, taggenau 10 Jahre ab Zeichnung bzw. Vertragsschluss  Bankrecht und Kapitalmarktrecht: Begriffsbestimmungen und rechtliche Grundlagen Das Bank- und Kapitalmarktrecht umfasst zwei in der Tradition und in der Ausformung völlig unterschiedliche Rechtsgebiete: Das Bankrecht ist ein althergebrachtes traditionelles Rechtsgebiet mit einer Fülle von Rechtsfragen vom Allgemeinen Teil des BGB bis hin zum speziellen Recht der Ausführungsverordnungen zum Kreditwesengesetz. Das Kapitalmarktrecht hingegen – als Begriff noch Anfang der siebziger Jahre des vorherigen Jahrhunderts weitgehend unbekannt – stellt in Deutschland ein vergleichsweise junges und spezielles Rechtsgebiet dar, welches in den letzten Jahren eine nahezu beispiellos stürmische und dynamische Entwicklung durchlaufen hat und sich nach wie vor in Bewegung befindet. Bankrecht Zum tief im Bürgerlichen Gesetzbuch verankerten Bankrecht gehören im Wesentlichen das Recht des Kredit- und Einlagengeschäfts der Kreditinstitute, des Zahlungsverkehrs, des Wertpapier- und Depotgeschäfts sowie die damit verbundenen Haftungsfragen, z. B. infolge fehlerhafter Beratung oder Aufklärung. Weiterhin zählen dazu das spezialgesetzlich geregelte Scheck- und Wechselrecht. Berührungspunkte bestehen insbesondere zum Handels- und Gesellschaftsrecht. Kapitalmarktrecht Kernbereiche des Kapitalmarktrechts, die Regelungen zum Insiderhandel, der Marktmanipulation, Publizitätspflichten und besondere Verhaltenspflichten für Wertpapierdienstleistungsunternehmen sind im WpHG – auch als Grundgesetz des Kapitalmarktrechts bezeichnet – verankert. Hinzu kommen das Börsenrecht, das InvG, das Prospektregime nach VerkaufsprospektG und WpPG sowie das Recht der Unternehmensübernahmen börsennotierter Aktiengesellschaften. Zahlreiche Gesetze – wie z. B. KWG, GwG, AktG, HGB oder auch das StGB – enthalten weitere für das Kapitalmarktrecht bedeutende Normen oder stehen mit diesem in unmittelbarem sachlichen Zusammenhang. Ergänzt werden die gesetzlichen Regelungen durch eine Fülle von Verordnungen, Satzungen, Richtlinien, Verwaltungsvorschriften, Mitteilungen (z. B. der Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin) und Allgemeinen Geschäftsbedingungen (z. B. Sonderbedingungen für Wertpapiergeschäfte).   Ansprechpartner: Enrico Weide, Rechtsanwalt Susanne Störmer, Rechtsanwältin Stephanie Schulze, Rechtsanwältin Knud J. Steffan, Fachanwalt für Bank- und Kapitalmarktrecht
Cybercrime4
Onlinebanking5
Phishing6