290.000 EUR zurückgeholt
Seit ein, zwei Jahren sind die Angriffe auf das Online-Banking in die Höhe geschnellt. Eine Richterin beim Landgericht Berlin äußerte kürzlich in einer Verhandlung, es seien dort wirklich sehr viele Klagen anhängig, mit denen Bankkunden von ihrer Hausbank das von Kriminellen erbeutete Bankguthaben erstattet verlangen würden. Bei mir sind schon über 40 Fälle mit einem Gesamtschaden von rund 650.000 Euro eingegangen, bei denen ich bisher erreichen konnte, dass die Hausbanken rund 290.000 Euro erstattet haben.
Angriffsmethoden
Die Täter übersenden den Opfern z.B. einen Link per E-Mail oder SMS, wonach angeblich die TAN-App aktualisiert werden müsse. Klickt man auf den Link, landet man auf einer gefälschten Login-Seite für das Online-Banking, die die Täter auf ihrem Bildschirm 1zu1 mitverfolgen können. Gibt man dort seine Login-Daten ein, können die Täter sich schon einmal einloggen und dort zum Beispiel ein neues Handy für das Online-Banking hinterlegen. Beantragen die Täter sodann die Freischaltung des Handys für das Online-Banking erhält der Bankkunde eine push-Nachricht oder eine SMS mit einem Code. Gibt man den Auftrag in der irrigen Annahme frei, man würde damit die TAN-App aktualisieren, haben die Täter unbeschränkten Zugriff auf das Online-Banking.
Eine andere Variante ist, dass die Täter als Bankmitarbeiter anrufen, um sich vom Bankkunden einen Auftrag freigeben zu lassen. In einem Fall hatten die Täter einen Kauf von Bitcoins mit der Kreditkarte der Mandantin auf Binance.com vorbereitet. Die Kreditkartendaten hatten sie sich wahrscheinlich vorher in Darknet besorgt. Die Mandantin erhielt einen Anruf einer vermeintlichen Mitarbeiterin der Consorsbank, die behauptete, dass Kriminelle aus Litauen mit den Kreditkartendaten mehrere Tausend Euro von ihrem Konto gestohlen hätten. Sie könne die Abbuchung aber zusammen mit der Mandantin noch verhindern. Die Mandantin loggte sich daraufhin in ihr Onlinebanking ein und gab dabei wahrscheinlich versehentlich den Kauf der Bitcoins mit der SecurePlus App frei.
Nur bei grober Fahrlässigkeit kein Erstattungsanspruch des Bankkunden
Die Täter können von der Polizei i.d.R. nicht gefunden werden, weil sie die Telefonnummern fälschen und auch Zahlungsweg nicht zurückverfolgt werden kann. Den Bankkunden bleibt daher nichts anderes übrig, als das Geld von ihren Hausbanken zurückzuverlangen. Da die Zahlungsaufträge nicht vom Bankkunden, sondern von den Tätern erteilt worden sind, müssen die Hausbanken die Beträge ersetzen, es sei denn, der Bankkunde ist für den Schaden grob fahrlässig mitverantwortlich. Dies nehmen die Gerichte i.d.R. an, wenn der Bankkunde einen eindeutigen Text der push-Nachricht für die Freigabe des Auftrages nicht geprüft hat, wenn die Mandantin also hätte erkennen müssen, dass sie mit der SecurePlus App den Kauf von Bitcoins freigibt und gerade nicht verhindert.
Haftung der Bank bei Verwendung von SMS
Verwendet die Bank bei der Freigabe eines Auftrages allerdings kein sicheres System, ist nicht ausgeschlossen, dass nicht der Bankkunde den Auftrag freigeben hat, sondern Kriminelle, weshalb der Bankkunde die Zahlung auf jeden Fall erstattet verlangen kann. Dies ist insbesondere der Fall, wenn die Bank einen Code per SMS versendet, weil SMS von Dritten abgefangen und verfälscht werden können.
Immer Rechtsanwalt einschalten
Geschädigte sollten daher immer von einem mit diesen Fällen vertrauten Rechtsanwalt prüfen lassen, ob eine Haftung der Bank in Betracht kommt.