Onlinebanking: Haftet die DKB bei Betrug durch Phishing und Kreditkartenmissbrauch?

Sie sind Kunde der DKB und schauen auf Ihre Kontoumsätze. Dort entdecken Sie mehrere Überweisungen, die Sie nie in Auftrag gegeben haben. Innerhalb kürzester Zeit wurde Ihr Konto leer geräumt. Ein Albtraum, der für manche Kunden zur Realität wird. Denn wie andere Banken ist auch die DKB von Betrug beim Onlinebanking betroffen.

Bekommen betroffene Kunden ihr Geld wieder, haftet die Bank für den Schaden? In diesem Beitrag erläutern wir das Vorgehen der Kriminellen und geben Tipps, was Sie im Schadensfall tun sollten.

Wie gehen die Täter vor?

In der Regel geht es den Tätern darum, einen Zugriff auf das Onlinebanking zu erhalten, um selbst Überweisungen vornehmen zu können. In manchen Fällen versuchen sie auch, Kreditkartendaten abzugreifen.

Dabei wird nicht das Onlinebanking „gehackt“, es werden also keine Sicherheitslücken der Bank ausgenutzt. Vielmehr haben die Täter komplexe Vorgehensweisen entwickelt, um Kunden unbemerkt sicherheitsrelevante Informationen zu entlocken. Hierfür nutzen sie eine ganze Bandbreite von Mitteln, angefangen von gefälschten E-Mails und SMS bis zu Anrufen angeblicher Bankmitarbeiter.

Geschickte Manipulation von DKB-Kunden

Entscheidende Schwachstelle bei Onlinebanking-Betrug ist der Mensch. Kunden durch geschicktes „Social Engineering“ manipuliert, vertrauliche Informationen preiszugeben, Sicherheitsfaktoren auszuhebeln oder Überweisungen zu tätigen.

Die Täter gehen dabei in zwei Schritten vor:

Schritt 1: Die werden Kunden auf eine gefälschte Webseite geleitet. Diese ist exakt dem Onlinebanking der DKB nachempfunden. Geben die Kunden dort ihre Zugangsdaten ein, haben die Täter bereits die Hälfte der notwendigen Daten, um die Kontrolle über das Onlinebanking zu übernehmen. Dieses Abgreifen von Zugangsdaten wird als „Phishing“ (engl. für password und fishing) bezeichnet.

Screenshot einer Phishing-E-Mail, in der behauptet wird, dass die DKB-App deaktiviert wurde und neu aktiviert werden muss.
Beispiel einer Phishing-E-Mail: Zu erkennen u. a. an den Links, die zu unseriösen Webseiten leiten.

Schritt 2: Neben den Zugangsdaten benötigen die Täter aber noch eine TAN als zweiten Faktor. Denn für das Login oder die Freigabe von Überweisungen braucht es bei allen Banken eine Freigabe per App oder SMS. Diese Zwei-Faktor-Authentifizierung soll die Sicherheit des Onlinebankings erhöhen und ist europarechtlich durch die PSD2-Richtlinie vorgeschrieben.

Die DKB setzt als zweiten Faktor auf die TAN2Go-App. Wird für eine Transaktion eine TAN benötigt, kann sie direkt auf dem Smartphone oder Tablet generiert werden. Den Tätern kommt es nun darauf an, die App auf sich selbst zu registrieren.

Betrug gegenüber DKB-Kunden: Häufige Vorgehensweisen

Wie genau der Betrug abläuft, ist in jedem Einzelfall unterschiedlich. Es gibt aber einige grundlegende Vorgehensweisen, die wir aus unserer Praxis kennen.

Um Kunden auf eine gefälschte Webseite zu leiten, nutzen Kriminelle oftmals manipulierte E-Mails oder SMS. Diese stammen angeblich von der Bank und fordern die Empfänger zu einer Handlung auf. Oft werden aktuelle Themen, die in der Presse besprochen werden, als Vorwand genutzt. In anderen Fällen muss angeblich das Sicherheitsverfahren aktualisiert werden oder das Onlinebanking wurde gesperrt und der Kunde muss es wieder freischalten.
Sie geben die Adresse für das Onlinebanking nicht direkt in die Adresszeile ein, sondern suchen nach „DKB Onlinebanking“ oder ähnlichem? Das machen sich die Täter zunutze, indem sie Werbeanzeigen bei Suchmaschinen wie Google oder Bing schalten, die angeblich von der Bank stammen. In Wirklichkeit führen sie nicht zur Webseite der DKB, sondern auf eine exakte Kopie, über die Zugangsdaten abgegriffen werden.
Sie verkaufen etwas über eBay-Kleinanzeigen. Es meldet sich eine Interessentin. Sie kommunizieren im Folgenden über Whatsapp und werden sich einig. Die „Käuferin“ behauptet, über eBay gezahlt zu haben. Sie müssten die Zahlung über einen Link bestätigen. Dieser Link sieht so aus, als stamme er von eBay, in Wahrheit handelt es sich – auch hier – um eine Webseite der Täter. Geben Sie auf dieser Ihre Kreditkartendaten an, können die Kriminellen nach Belieben shoppen.

Wenn das Geld erstmal vom Konto abgebucht wurde, ist es kaum möglich, es von den Tätern zurückzubekommen. Denn die sitzen fast immer im Ausland und sind nicht zu ermitteln. Es stellt sich daher die Frage: Bleiben Kunden auf ihrem Schaden sitzen?

„Sie sind Opfer von Onlinebanking-Betrug? Wir prüfen Ihren Fall. Setzen Sie auf unsere technische und rechtliche Erfahrung.“

Dr. Jasper Prigge, Rechtsanwalt

Haftet die DKB für den Schaden?

Im Betrugsfall kann die Bank gegenüber dem Kunden für den eingetretenen Schaden haften. Die Rechtsbeziehungen zwischen der Bank und ihren Kunden richten sich nach dem abgeschlossenen Zahlungsdienstevertrag. Nach § 675f BGB ist die Bank zur Ausführung von Zahlungsvorgängen gegenüber dem Kunden als Zahlungsdienstnutzer verpflichtet.

Generell gilt, dass die Bank nur vom Kunden autorisierte Zahlungsvorgänge ausführen darf. Bei einem Missbrauch des Onlinebankings oder von Kreditkartendaten liegt eine solche Autorisierung nicht vor.

Im Falle eines nicht autorisierten Zahlungsvorgangs hat die Bank nach § 675u BGB hingegen keinen Anspruch gegen den Kunden auf Erstattung des abgebuchten Betrags. Vielmehr ist sie verpflichtet, das Konto unverzüglich auf den ursprünglichen Stand zu setzen. Kommt sie dem nicht nach, gerät sie in Verzug – es sei denn, sie kann nachweisen, dass eine Autorisierung vorlag oder ihr ein Gegenanspruch zusteht, weil der Kunde für den Schaden haftet.

Die Gerichte prüfen Schadensfälle in drei Schritten:

  1. Die Bank muss nachweisen, dass der Kunde den Zahlungsvorgang autorisiert hat. Nach § 675w BGB setzt dies voraus, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde.
  2. Gelingt der Bank der Nachweis, besteht ein Anscheinsbeweis für die Autorisierung (BGH, Urteil vom 26.01.2016 – XI ZR 91/14). Diesen Anscheinsbeweis muss der Kunde erschüttern, indem er die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache als die Autorisierung vorträgt.
  3. Dann ist es wiederum Sache der Bank, den Gegenbeweis zu führen oder nachzuweisen, dass der Kunde wegen grober Fahrlässigkeit für den Schaden einzustehen hat.

Entscheidend ist daher, die genauen technischen Abläufe zu rekonstruieren, die zu dem Schadensfall geführt haben.

Wann liegt grobe Fahrlässigkeit vor?

„Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren
und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die
Anforderungen der konkret erforderlichen Sorgfalt“ (BGH, Urteil vom 26.01.2016 – XI ZR 91/14). Selbst wenn der Kunde also einen Fehler gemacht hat, führt dies nicht automatisch zu einem Gegenanspruch der Bank.

Eine Haftung der Bank kann zudem vorliegen, wenn sie ihre Pflichten aus dem Zahlungsvertrag verletzt hat. Im Falle einer solchen Nebenpflichtverletzung kann ein Schadensersatzanspruch abseits der Haftungsregelungen des § 675u ff. BGB bestehen.

Muss die Empfängerbank für den Schaden einstehen?

Ist das Geld an eine andere Bank geflossen, kann auch diese auf Schadensersatz haften. Die Voraussetzungen hängen aber stark davon ab, in welcher Form der Empfängerbank ein Vorwurf zu machen ist. Dies ist eine Frage des Einzelfalls.

Ein Onlinebanking-Schadensfall bedarf daher einer gründlichen technischen und rechtlichen Analyse, um Möglichkeiten für eine Erstattung aufzudecken. Hierfür sind Spezialwissen im IT-Recht und umfangreiche Erfahrungen nötig.

Wie kann ein Anwalt bei der Schadensregulierung helfen?

Im Falle eines Betrugs über das Onlinebanking der DKB gehen wir in drei Schritten vor:

  1. Bestandsaufnahme
    In einem Beratungsgespräch klären wir, wie der Betrug abgelaufen ist und schätzen ein, welche Informationen wir noch benötigen.
  2. Sachverhaltsermittlung
    Wir bestellen uns gegenüber der Bank und ermitteln parallel den Sachverhalt, auch in Zusammenarbeit mit den Ermittlungsbehörden.
  3. Durchsetzung des Erstattungsanspruchs
    Gegenüber der Bank fordern wir den Schadensbetrag zunächst außergerichtlich ein. Sollte die Bank nicht zahlen, besprechen wir das Prozessrisiko und erheben Zahlungsklage.

Wenn Sie eine Rechtsschutzversicherung haben, die allgemeines Zivilrecht abdeckt, können die entstehenden Anwaltskosten teilweise übernommen werden. Sprechen Sie uns hierzu gerne an.

Sind Sie Opfer von Onlinebanking-Betrug?

Füllen Sie einfach das nachfolgende Formular aus und wir helfen Ihnen Ihr Geld zurückzuerhalten. Sie erhalten noch am selben Tag eine Antwort.

Click or drag files to this area to upload.You can upload up to 4 files.

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.