Geld weg nach Telefonanruf: Muss die Sparkasse den Schaden ersetzen?

Die Methoden, mit denen Betrüger:innen versuchen, arglose Kund:innen der Sparkassen um ihr Geld zu erleichtern, sind raffiniert. Betrügerische E-Mails, sehen heute täuschend echt aus. Da auch die Banken ihre Sicherheitsmaßnahmen verbessert haben, geben sich professionelle Banden mittlerweile auch am Telefon als Bankberater aus.

Das Ziel: Neben den Zugangsdaten an eine TAN zu gelangen, mit der sie das TAN-Verfahren ändern und Überweisungen ins Ausland veranlassen. In diesem Beitrag erklären wir eine gängige Masche und zeigen Ihnen, was Sie tun müssen, um Ihr Geld wiederzubekommen.

Fallbeispiel: Kundin gibt TAN weiter

Die Kundin einer Sparkasse erhält eine E-Mail im typischen roten Design der Bank. Sie könne eine neue Funktion aktivieren: Den „Notfallzugriff“ für Verwandte, falls ihr etwas passiert. Dazu müsse sie sich in ihrem Onlinebanking einloggen.

Da die Kundin kein Interesse an der Funktion hat, klickt sie den Link nicht an. Am Tag darauf erhält sie einen Anruf. Ein „Herr Fischer“ meldet sich und gibt sich als Mitarbeiter der Sparkasse aus. Weil die Telefonnummer identisch mit der Nummer ihrer wirklichen Kundenberaterin ist, denkt sich die Kundin dabei nichts. „Herr Fischer“ spricht sie zudem mit ihrem Namen an und weiß auch, welche Geschäftsstelle sie normalerweise aufsucht.

Der Anrufer redet schnell. Er wirft mit Fachbegriffen um sich und argumentiert, es gebe eine Sicherheitslücke, weshalb der „Notfallzugriff“ eingerichtet werden müsse. Dabei macht er Druck: Innerhalb eines Tages müsse er aktiviert werden, andernfalls habe die Kunden keinen Zugriff mehr auf ihr Onlinebanking. Sie solle es sich überlegen und er werde sich deswegen am nächsten Tag bei ihr melden.

Nach dem Telefonat schaute sich die Kunden die E-Mail nochmal an und klickte auf den Link, der sie auf die Login-Seite der Sparkasse führte. Die Kundin loggte sich mit ihren Zugangsdaten ein.

Am nächsten Tag meldete sich „Herr Fischer“ erneut. Damit das Onlinebanking weiter funktioniere, benötige er eine TAN. Zur Betrugsprävention werde er der Kundin aber vorher einen Code per SMS senden. Die Kundin stimmte zu und gab die Nummer nach Erhalt telefonisch durch. Danach generierte sie eine TAN und gab auch diese weiter. Normalerweise hätte sie dies nicht getan, war durch die vermeintliche „Sicherheitsabfrage“ per SMS aber davon überzeugt, mit einem echten Mitarbeiter der Sparkasse zu sprechen.

Als sich die Kundin einen Tag später in ihrem Onlinebanking einloggte folgte der Schock: Mehr als 40.000 € waren an eine Bitcoin-Börse überwiesen worden.

Wie funktioniert die Masche?

Die Täter:innen haben ein Ziel: Die Zugangsdaten erlangen und mit einer TAN das Sicherheitsverfahren für das Onlinebanking auf sich umstellen. Dazu gehen sie zweischrittig vor:

Zunächst besorgen sie sich die Zugangsdaten für das Onlinebanking. Über eine professionell gestaltete E-Mail sorgen sie dann dafür, dass die Kund:innen auf den folgenden Anruf vorbereitet sind. Dabei sind die Mails professionell gestaltet. Vorbei sind die Zeiten, in denen sie wegen Rechtschreibfehlern oder schlampigem Design auf den ersten Blick zu erkennen waren.

Screenshot einer Phishing-Mail.

Am Telefon wiegen die Täter:innen die Betroffenen dann in Sicherheit, indem sie vorspielen, einen Zugriff auf die Daten und Infrastruktur der Sparkasse zu haben. Zugleich bauen künstliche sie einen zeitlichen Druck auf. Dabei greifen sie auch auf aktuelle Themen zurück, von denen die Betroffenen vielleicht schon etwas in der Zeitung gelesen haben, z.B. die PSD2-Richtlinie. Fast immer geht es um angebliche Änderungen im Onlinebanking.

Sobald das TAN-Verfahren auf die Täter:innen umgestellt wurde, können sie Überweisungen tätigen. Diese gehen entweder ins Ausland, werden schnell weiter überwiesen oder in Krytowährungen umgewandelt. Ist die Überweisung erst einmal angekommen, gibt es nur wenige Möglichkeiten, das Geld zurückzuholen.

So bekommen Sie Ihr Geld wieder

Wenn Sie bemerken, dass Geld ohne Ihr Wissen überwiesen wurde, müssen Sie sofort handeln. Rufen Sie Ihre Bank an, denn diese kann die Überweisung innerhalb eines kurzen Zeitfensters zurückbuchen. Im Falle der Kundin konnten auf diese Weise knapp 10.000 € gerettet werden. Lassen Sie zudem Ihr Onlinebanking sperren und melden Sie den Schaden bei der Polizei.

Sollte eine Rückbuchung nicht mehr möglich sein, müssen Sie nicht unbedingt auf dem Schaden sitzen bleiben. Denn nach dem deutsche Verbraucherschutzrecht gilt: Die Sparkasse ist zur Erstattung nicht autorisierter Überweisungen verpflichtet. Nur für den Fall, dass Sie grob fahrlässig gehandelt haben, ist die Bank nicht verpflichtet, den Schaden zu übernehmen.

Grobe Fahrlässigkeit liegt allerdings nur dann vor, wenn Sie Ihre Sorgfaltspflichten in besonders schwerem Maße verletzen. Bei professionellen Betrugsmaschen wird dies in der Regel nicht zutreffen. Dennoch kommt es auf den Einzelfall an.

Gerade bei größeren Geldbeträgen sollten Sie die Frage der Erstattung gemeinsam mit einem Anwalt besprechen, der die technischen und rechtlichen Hintergründe kennt. Gerade weil der Schock zunächst tief sitzt und Fehler viel Geld kosten können. In unserer Praxis ziehen wir zumeist einen Informatiker hinzu, um das Vorgehen der Täter:innen im Detail nachzuvollziehen.

Auch wenn die Überweisung also bereits im Ausland ist, gibt es Möglichkeiten, einen Ersatz zu erhalten. Entscheidend ist, dass Sie schnell und richtig handeln.

Übrigens: Hinweise zu aktuellen Betrugsmaschen stellen die Sparkassen auf ihren Webseiten bereit, z.B. die Stadtsparkasse Düsseldorf.

Kostenlose Ersteinschätzung anfragen

Zuletzt aktualisiert am 8. Januar 2022.

Share on Xing Share on LinkedIn

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.