ING DiBa Konto gehackt & leergeräumt: Was tun?

Zahlreiche Bankkunden sind derzeit Opfer von Onlinebanking-Betrug, auch bei der ING DiBa. Zumeist sind es geschickte Phishing-Angriffe, mit denen sich die Täter:innen einen Zugang zum Bankkonto erschleichen – um es dann leerzuräumen. Wir erklären die Masche und was Sie beachten sollten, wenn Sie betroffen sind.

Avatar von Dr. Jasper Prigge, LL.M.
Rechtsanwalt, Fachanwalt für IT-Recht

So funktioniert der Betrug beim ING-Onlinebanking

Der Sicherheitsstandard beim Onlinebanking ist hoch. Dennoch gelingt es kriminellen Banden nach wie vor, hohe Beträge zu erbeuten. Dabei werden zumeist keine technischen Schwachstellen ausgenutzt.

Schwachstelle ist oft der Mensch

Bei den meisten Betrugstaten wird nicht das Onlinebanking im eigentlichen Sinne „gehackt“. Vielmehr werden die Opfer geschickt manipuliert, damit sie sensible Daten offenbaren. Dieses Vorgehen wird auch als „Social Engineering“ bezeichnet.

Das Vorgehen unterscheidet sich dabei im Detail. Da alle Banken durch die Zahlungsdienste-Richtlinie der EU (PSD2) mittlerweile bei Zahlungen zu einer Zwei-Faktor-Authentifizierung verpflichtet sind, benötigen die Täter:innen im Allgemeinen zweierlei:

  • Wissenselement: Benutzername und Passwort
  • Besitzelement: Freigabe einer Zahlung durch TAN oder App

Daher folgen Betrugstaten fast immer einem zweistufigen Aufbau. Zunächst werden die Zugangsdaten der Kund:innen ausgespäht, zum Beispiel durch eine manipulierte Webseite. Auf diese gelangen die Opfer entweder über einen Link in einer Phishing-Mail oder eine gefälschte Anzeige in der Google-Suche. Oft fordern die Mails und Webseiten dazu auf, das Sicherheitsverfahren zu aktualisieren. Natürlich handelt es sich dabei nur um einen Vorwand, um an die benötigten Daten zu kommen.

Avatar von Dr. Jasper Prigge, LL.M.

„Muss Ihre Bank für den Schaden aufkommen? Mit unserem rechtlichen und technischen Wissen prüfen wir Ihren Fall. Fragen Sie jetzt ein Angebot an.“


Rechtsanwalt 

 

In einem zweiten Schritt müssen die Opfer eine Freigabe über die App der Bank oder durch Eingabe einer TAN vornehmen. Dabei machen es viele Banken den Betrüger:innen zu einfach, weil sie den Kund:innen die Folgen einer Freigabe nicht deutlich vor Augen führen.

Die Betrugsmaschen im Detail

Die gängigsten Betrugsszenarien haben wir in unserem Grundlagenbeitrag „Onlinebanking-Betrug: Wer haftet bei leer geräumtem Konto?“ für Sie aufgeschrieben.

Dabei bauen die Täter:innen gegenüber den Betroffenen einen Handlungsdruck auf: So wird ihnen vorgegaukelt, sie müssten jetzt etwas tun, weil sie andernfalls das Onlinebanking nicht mehr nutzen könnten. Teilweise wird sogar behauptet, es sei zu unberechtigten Abbuchungen gekommen, die gestoppt werden müssten.

Das Ziel ist klar: Den Opfern soll nicht genügend Zeit bleiben, den Betrug zu durchschauen. Wenn ihnen bewusst wird, was da gerade eigentlich passiert ist, haben die Täter:innen das Geld bereits in der Tasche.

Wie häufig sind Betrugstaten beim Onlinebanking?

Das Bundeskriminalamt berichtet in seinem Bundeslagebild Cybercrime seit 2020 von einer Zunahme von Betrugstaten im Zusammenhang mit mobilen Zahlungsmethoden. Den Täter:innen gelingt es dabei, durch abgefischte Daten digitale Kredit- oder Debitkarten zu erstellen, die sie dann an Bezahlterminals oder Geldautomaten einsetzen.

Ungebrochen ist auch die Zahl der Fälle, in denen die Opfer unwissentlich dabei mithelfen, eine neue Sicherheits-App (im Fall der ING DiBa: Banking to go) zu aktivieren, sodass die Täter:innen selbst Überweisungen auf fremde Bankkonten vornehmen können.

Die Anzahl der Taten und der durch sie verursachte Schaden sind unbekannt. Wir gehen aber von sehr hohen Summen aus. Allein im Jahr 2022 haben wir Anfragen von Geschädigten verschiedener Banken erhalten, deren Gesamtschaden im Millionenbereich liegt.

Sie sind betroffen? Das müssen Sie nun tun!

Wenn Sie das Gefühl haben, dass Sie es mit Betrüger:innen zu tun gehabt haben könnten, tun Sie unbedingt Folgendes:

  • Entfernen Sie unbekannte Sicherheitsverfahren aus dem Onlinebanking: In Ihren Kontoeinstellungen können Sie prüfen, welche Sicherheitsverfahren hinterlegt ist. Löschen Sie alle Geräte, die Sie nicht kennen.
  • Prüfen Sie, ob Überweisungen freigegeben wurden: Schauen Sie dabei nicht nur auf Ihre Umsätze, sondern auch auf terminierte Überweisungen oder Daueraufträge.
  • Sperren Sie das Onlinebanking: Oft ist die Hotline der Bank zu langsam. Geben Sie daher mehrfach absichtlich Ihr Passwort falsch ein, dadurch wird der Zugang ebenfalls gesperrt. Die Rufnummer 116 116 hilft hier nicht, weil über diese nur Karten gesperrt werden können.
  • Melden Sie den Vorfall bei der Bank: Geben Sie an, dass Sie einen Betrugsverdacht haben und bitten Sie darum, dass die Bank Ihr Konto auf verdächtige Aktivitäten prüft und Ihnen neue Zugangsdaten schickt.
  • Erstatten Sie eine Strafanzeige: Dies können Sie zum Beispiel über die Internetwache der Polizei in Ihrem Bundesland tun.
  • Dokumentieren Sie den Vorfall: Schreiben Sie ein Gedächtnisprotokoll, löschen Sie unter keinen Umständen den Browserverlauf oder die Phishingmail. Es handelt sich um wichtige Beweismittel!

Die ING DiBa gibt Ihnen ein „Sicherheitsversprechen“. Ob dieses eingehalten wird, ist eine andere Frage. Auch wenn die Bank sagt, dass ein Schaden unbürokratisch ersetzt wird, sollten Sie die weitere Kommunikation einem Fachanwalt für IT-Recht überlassen.

Haftet die ING DiBa für den Schaden?

Rechtlich muss die Bank für nicht autorisierte Zahlungsvorgänge einstehen. Wenn Sie selbst also eine Überweisung oder einen Kartenumsatz nicht getätigt haben, ist die ING DiBa grundsätzlich dazu verpflichtet, Ihnen den Schaden zu ersetzen.

Dies ergibt sich aus § 675u BGB:

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten …

§ 675u Satz 1 und 2 BGB

Die Bank kann sich aber nach § 675v BGB darauf berufen, dass der Schaden grob fahrlässig herbeigeführt wurde. In diesem Fall kann sie eine Rückzahlung verweigern.

Dazu muss die Bank nachweisen, dass Sorgfaltspflichten in besonders schwerem Maße verletzt wurden. Wann grobe Fahrlässigkeit vorliegt, ist ein häufiger Streitpunkt, wenn die Bank eine Erstattung des Schadens verweigert.

Beispiele für grobe Fahrlässigkeit

  • Telefonische Weitergabe einer TAN (AG München, Urteil vom 05.01.2017 – 132 C 49/15)
  • Eingabe diverser TANs auf einer gefälschten Webseite (AG Krefeld, Urteil vom 06.07.2012 – 7 C 605/11)

Aber auch im Falle einer groben Fahrlässigkeit muss die Bank ein sicheres Onlinebanking zur Verfügung stellen. Das bedeutet, dass selbst in dem Fall, dass Kund:innen ihre Sorgfaltspflichten verletzt haben, ein Erstattungsanspruch bestehen kann. Es kommt aber auf den Einzelfall an.

Reaktionsmöglichkeiten gegenüber der ING DiBa

Sollte die Bank eine Erstattung verweigern, kann ein gut begründetes Aufforderungsschreiben durch einen Rechtsanwalt oder eine Rechtsanwältin helfen. Denn auch in Fällen, in denen grobe Fahrlässigkeit nahe liegt, sind Banken nach unserer Erfahrung dazu bereit, über eine für beide Seiten akzeptable Lösung zu verhandeln.

Gibt die Bank nicht nach, haben Betroffene zwei Möglichkeiten:

  • Klage auf Erstattung des Schadens
  • Schlichtungsverfahren beim Ombudsmann der privaten Banken

Beide Wege haben Vor- und Nachteile. Eine Klage erhöht das Risiko, den Schaden zu vertiefen, weil Gerichts- und Anwaltskosten anfallen. Aber am Ende des Verfahrens steht ein Urteil, das die Bank beachten muss. Bis dahin gibt es weiterhin die Möglichkeit, einen Vergleich abzuschließen. Das Schlichtungsverfahren ist bei höheren Beträgen nur unverbindlich, selbst wenn es also im Sinne der Betroffenen ausfällt, können diese die Bank nicht dazu zwingen, den Schadensbetrag auszugleichen. Dafür ist es kostenfrei, nach unserer Erfahrung sind die Verfahrensdauern aber eher lang.

Hilfe anfordern
Sind Sie Opfer von Onlinebanking-Betrug?

Als Kanzlei für IT-Recht haben wir bereits zahlreiche Betroffene vertreten, denen Geld vom Konto gestohlen wurde. Wir beurteilen Ihren Fall nicht nur rechtlich, sondern auch technisch. Nutzen Sie unsere Expertise, wir machen Ihnen gerne ein Angebot.

Angaben zur Rechtsschutzversicherung

Sollten Sie nicht rechtsschutzversichert sein, können Sie die Felder leer lassen.

Kontaktdaten

Hier können Sie uns auch weitere Angaben machen, z.B. wann Sie am besten erreichbar sind. Wenn Sie möchten, können Sie uns zudem bereits Unterlagen hochladen. Für uns hilfreich wäre insbesondere eine Umsatzübersicht und eine Schilderung des Schadenshergangs.

Hier klicken oder Dateien hineinziehen

Bis zu 10 Dateien sind möglich

Wir sind ehrlich zu Ihnen

Vielen Dank für Ihre Angaben. Onlinebanking-Betrugsfälle sind komplex und wir möchten uns die Zeit für Ihren Fall nehmen, die erforderlich ist, um Sie optimal zu vertreten. Zugleich ist uns daran gelegen, dass unsere Beratung für Sie wirtschaftlich ist.

Ausgehend von dem Schadensbetrag, den Sie uns genannt haben, gehen wir allerdings davon aus, dass die Kosten für unsere Beratung und Vertretung möglicherweise nicht in einem angemessenen Verhältnis zum Ertrag stehen. Dies könnte dazu führen, dass Sie selbst in dem Fall, dass die Bank den Schadensbetrag erstattet, „draufzahlen“. Wir meinen, es entspricht es dem Gebot der Fairness, Ihnen dies vorab mitzuteilen. Zugleich möchten wir Ihnen eine günstige Alternative an die Hand geben: Die Verbraucherzentrale bietet eine Rechtsberatung an. Diese werden, anders als wir, vom Staat bezuschusst und können daher auch bei geringeren Schadensbeträgen tätig werden.

Symbol Papirflieger
Vielen Dank für Ihre Anfrage.

Wir prüfen Ihren Fall umgehend und melden uns bei Ihnen.

Unerwarteter Fehler

Leider konnte die Nachricht nicht versendet werden. Bitte versuchen Sie es später erneut.

War dieser Beitrag hilfreich für Sie?

Avatar von Dr. Jasper Prigge, LL.M.
Über den Autor
Rechtsanwalt 


Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert