Artikel erschienen im Januar / Februar 2025

Autorin: Carmen Mausbach

Ein Computerbildschirm mit Codes, die auf Hacking hinweisen. Sie sind in gelber, weisser, roter und grüner Schriftfarbe.

© Unsplash; Markus Spiske; Skf7HxARcoc

Kriminelle können durch betrügerische Maßnahmen im Bankensektor hohe Gewinne erzielen, insbesondere durch Phishing-Attacken. Laut Kaspersky Lab, dem führenden Unternehmen für Sicherheitssoftwarelösungen, zielten im Jahr 2023 rund 27 Prozent aller Phishing-Angriffe weltweit auf Finanzinstitute ab (2022 waren es 36,3 %). Beim Phishing versenden Kriminelle Spam-E-Mails mit infizierten Anhängen oder Links zu gefälschten Webseiten, die von den echten kaum noch zu unterscheiden sind. Erkennen Kund:in nen den Betrug nicht, können die Täter:innen sensible Daten wie Kontonummern, Passwörter oder Transaktionsnummern (TANs) abgreifen, mit denen sie im Namen der Opfer Überweisungen tätigen und schlimmstenfalls deren Konten leerräumen. Meist lassen sich solche Transaktion nicht rechtzeitig stoppen. Echtzeit-Überweisungen, bei denen das Geld in Sekundenschnelle das Empfänger-Konto erreicht, begünstigen diese Betrugsmasche.

Indizien für Cyberkriminalität

Phishing-Briefe mit gefälschtem QR-Code und Bitte um Aktualisierung: Grundsätzlich versenden Banken keine Briefe, die QR-Codes zur Aktualisierung von Daten oder TAN-Verfahren enthalten. Die QR-Codes lotsen Opfer auf eine gefälschte Bankenwebseite. Wenn Sie dort ihre Log-in-Daten eingeben, können Kriminelle diese für ihre Zwecke nutzen.

Links- und Anhänge in E-Mails und SMS: Ebenso verschickt keine Bank E-Mails oder SMS mit Links oder Dateianhängen mit der Aufforderung, diese zu öffnen oder anzuklicken. Mittlerweile sind Phishing-E-Mails kaum von echten zu unterscheiden, weil sie zum Beispiel das Corporate Design eines Unternehmens kopieren oder die Empfänger:innen namentlich adressieren. Indizien für einen Betrugsversuch sind häufig viele Rechtschreibfehler, eine schlechte grafische Umsetzung oder Drohungen zu Kontosperrungen sowie das Suggerieren eines dringenden Handlungsbedarfs.

Ablauf und Deaktivierung der Photo-TAN-App: SMS oder E-Mails, die darüber informieren, dass der Onlinebanking-Zugriff bald endet und Empfänger:innen zur Wiederherstellung des photoTAN-Verfahrens oder zur Aktualisierung der persönlichen Daten auffordern, sind ein Betrugsversuch. Das gilt auch, wenn Kund:innen zum Fotografieren oder Hochladen ihres photoTAN-Aktivierungsbriefs aufgefordert werden. Anrufe von Bankmitarbeiter:innen: Banken fragen vertrauliche Daten wie Kontonummern, PINs und TANs niemals telefonisch, per E-Mail, SMS oder WhatsApp ab. Hier hilft nur eines: Das Gespräch sofort beenden und den Anrufer möglichst sperren.

Kreditkartenbetrug: Kreditkarten spielen im bargeldlosen Zahlungsverkehr eine große Rolle. Die Betrugsmaschen funktionieren ähnlich wie beim Phishing nach Log-in-Daten, wobei hier die Kreditkartennummer abgegriffen werden soll. Nutzer:innen müssen beim Onlineshopping genau hinschauen, auf welche URL (sichtbar im Adress-Eingabefeld des Browsers) sie geleitet werden. Ein Blick auf das Impressum kann ebenfalls helfen. Zudem sollten sie nur sichere HTTPS-Verbindungen nutzen und unsichere HTTP-Verbindungen meiden.

Idealerweise bemerken bankinterne Algorithmen Unregelmäßigkeiten und wenden durch den Abbruch des Überweisungsvorgangs Schaden ab. Eine hundertprozentige Sicherheit kann aber keine Bank garantieren.

Beweislast liegt bei Banken

Wird der Betrug erkannt, sind die Cyberkriminellen oft schon mit dem Geld über alle Berge. Damit stellt sich die Frage, ob die Bank den Kund:innen Schadenersatz leisten muss. Gemäß § 675u Satz 2 Bürgerliches Gesetzbuch (BGB) ist die Bank bei nicht autorisierten Zahlungsaufträgen verpflichtet, den Betrag wieder gutzuschreiben beziehungsweise zu erstatten. Nicht autorisierten Zahlungen liegt keine wirksame Weisung oder kein wirksamer Überweisungsvertrag zugrunde (z. B. bei vielen Online-Überweisungen). Allerdings hat auch die Bank Ansprüche gegenüber Kundschaft, die sich zu sorglos im Internet bewegt. Der Gesetzgeber spricht von grob fahrlässigem Verhalten, wenn ein Schaden durch die Verletzung von Sorgfaltspflichten oder leichtfertiges Handeln entsteht. Die grobe Fahrlässigkeit unterscheidet sich vom Vorsatz. Vorsätzliche Handlungen werden bewusst und aktiv ausgeführt. Auch in diesem Fall haben Kund:innen keinen Anspruch auf Schadenersatz.

Banken müssen im Schadensfall daher ein grob fahrlässiges oder vorsätzliches Verhalten ihrer Kundschaft nachweisen, um einer Haftung zu entgehen. Viele Fälle von Cyberkriminalität landen daher bei den Schlichtungsstellen der Banken oder werden direkt vor Gericht ausgetragen. Daher hat sich mittlerweile eine umfangreiche Rechtsprechung herausgebildet, die einmal zugunsten der Kundschaft und einmal zugunsten der Geldhäuser ausfällt.

Herausgabe von TANs ist grob fahrlässig

Das Landgericht Oldenburg hat in einem Phishing-Fall zuungunsten der Bank entschieden (Urteil vom 15.01.2016, Az. 8 O 1454/15). Der klagende Kunde nutzte seit 15 Jahren das Online Banking der Bank und bediente sich zuletzt des mobilen TAN-Verfahrens (mTAN oder smsTAN genannt). Dabei bekommt er eine SMS mit einer TAN auf sein Handy geschickt, mit der er sich am PC legitimieren und Transaktionen tätigen kann. Trotz dieses Authentifizierungsprozesses verschwanden bei einer Phishing-Attacke durch 44 nicht autorisierte Überweisungen insgesamt 11.244,62 Euro von seinem Konto. Die Bank wollte den Schaden nicht übernehmen, weil der Kunde Apps aus fremden und unsicheren Quellen auf sein Mobiltelefon heruntergeladen habe. Das Gericht stellte klar, dass die Bank ein vorsätzliches oder grob fahrlässiges Verhalten nachweisen muss (§ 675w BGB). Die bloße Aufzeichnung des Transaktionsvorgangs und die Anwendung von PIN und TAN reichen dafür nicht aus.

Ähnlich urteilte das Landgericht Kiel (22.06.2018, Az. 12 O 562/17; bestätigt vom OLG Schleswig am 29.10.2018, Az. 5 U 290/18) in einem Fall, bei dem zwei Überweisungen in Höhe von 11.270 Euro und 16.900 Euro vom Konto des Klägers an einen unbekannten Empfänger erfolgt waren. Auch hier nutzte der Bankkunde das mobile TAN-Verfahren. Nachdem er den Fehlbetrag bemerkt hatte und es zu einer Störung auf seinem Smartphone kam, unterrichtete er seine Bank unverzüglich, dass er diese Überweisungen nicht beauftragt habe. Auch hier sah die beklagte Bank grob fahrlässiges Verhalten. Das Gericht konnte jedoch nicht erkennen, dass der Kunde sorglos mit PIN und TAN umgegangen war oder die personalisierten Sicherheitsmerkmale unsicher aufbewahrt hatte. Die Bank musste das Konto wieder auf den ursprünglichen Stand bringen.

Vor dem OLG Karlsruhe stritten eine Bank und ihre Kundin über Rückzahlungsansprüche wegen mutmaßlich nicht autorisierter Überweisungen. Die Bank hatte mehrere Überweisungen im Wert von 255.000 Euro aufgrund von E-Mail-Anweisungen durchgeführt. Die Kundin bestritt, diese Überweisungen genehmigt zu haben und verlangte von der Bank die Rückerstattung des Geldes. Die Bank konnte auch in diesem Fall die Autorisierung nicht beweisen. Somit entschied das Gericht zugunsten der Kundin (12.04.2022, Az. 17 U 823/20). Der Bundesgerichtshof (BGH) bestätigte das Urteil und entschied ebenfalls, dass die Bank die volle Beweislast trägt und den Betrag erstatten muss (05.03.2023, Az. XI ZR 107/22).

Anders sieht es aus, wenn Kund:innen sensible Kontodaten wie TAN-Nummern einfach herausgeben. In einem vor dem Landgericht Köln verhandelten Fall gab ein Kunde seine Log-in-Daten für das Onlinebanking sowie TAN-Nummern an einen Dritten heraus. Dieser gab sich telefonisch als Bankmitarbeiter aus und erzählte dem Kunden, Sicherheitsvorkehrungen treffen zu müssen, weil ausländische Firmen versuchten, auf sein Konto zuzugreifen. Daraufhin wurden 21.000 Euro durch drei Überweisungen an ein türkisches Konto geschickt. Das Landgericht wies die Klage des Kunden ab (10.09.2019, Az. 21 O 116/19). Es sah sein Verhalten als grob fahrlässig an, sodass die Bank nicht zum Ausgleich des Kontos verpflichtet wurde.

Kund:innen müssen stets vor jeder TAN-Eingabe den auf dem Mobiltelefon angezeigten Überweisungsbetrag und die dort ebenfalls genannte Ziel-IBAN überprüfen. Tun sie das nicht, handeln sie ebenfalls grob fahrlässig. So urteilt das OLG Oldenburg (21.08.2018, Az. 8 U 163/17). In diesem Fall wurde der Kunde zu einer Testüberweisung aufgefordert. Nach Auffassung des Gerichts hätte ihn dies misstrauisch machen müssen, zumal die Bank auf ihrer Log-in-Maske auf derartige Betrügereien hinwies und klarstellte, dass sie Kund:innen niemals zu solchen Testüberweisungen auffordert.

Ergänzende Informationen und Materialien

Sie wollen mehr zum Thema erfahren?  Dann empfehlen wir Ihnen aus der „Bankfachklasse” folgende Inhalte: