Onlinebanking-Betrug: Postbank-Konten von Phishing betroffen

Derzeit mehren sich bei uns die Anfragen von Kundinnen und Kunden der Postbank, deren Konto nach einer betrügerischen E-Mail leer geräumt wurde. Die Täter:innen gehen dabei geschickt vor. Durch eine gefälschte E-Mail werden Daten abgefischt, um dann in mehreren Überweisungen große Summen ins Ausland zu verschieben. In den uns bekannten Fällen geht es zumeist um mehrere zehntausend Euro. Wir erklären ob die Bank für den Schaden aufkommen muss.

Wie funktioniert die Masche?

Für die Täter:innen ist es entscheidend, einen Zugriff auf das Konto zu erlangen. Dafür nutzen sie gefälschte E-Mails, die Kund:innen auf eine gefälschte Login-Seite locken. Die Phishing-Mail ist im Design der Postbank gestaltet. Im Postfach liege eine neue Nachricht vor. Um das Konto anzuzeigen, solle man auf den folgenden Link klicken.

Geben die Betroffenen ihre Zugangsdaten dort ein, werden diese abgefischt und dafür genutzt, in mehreren Überweisungen das vorhandene Guthaben zu transferieren. Dies geschieht in kürzester Zeit, damit die Betroffenen das Konto nicht rechtzeitig sperren können.

Die technischen Hintergründe noch nicht vollständig geklärt. Offenbar geht es aber darum, ein neues Gerät für die BestSign-App der Postbank zu hinterlegen, um TANs für die Überweisungen ohne Wissen der Betroffenen selbst zu generieren.

Sind Sie betroffen?

Oftmals berichten uns Betroffene, dass sie selbst nie gedacht hätten, auf eine Phishing-Mail reinzufallen. Die Täter:innen nutzen aber aus, dass wir nicht immer aufmerksam sein können. Generell sollten Sie vermeiden, auf Links in E-Mails zu klicken, die auf Login-Seiten führen und stattdessen lieber selbst die Webseite der Bank im Browser eingeben.

Falls Sie den Verdacht haben, Ihre Daten auf einer gefälschten Webseite eingegeben zu haben, informieren Sie sofort Ihre Bank und lassen Sie das Onlinebanking sperren.

Sollten bereits Überweisungen vorgenommen worden sein, müssen Sie ebenfalls sofort Ihre Bank informieren und eine Sperrung des Kontos veranlassen. Die Postbank kann dann versuchen, ausgeführte Überweisungen zurück zu holen. Mitunter gelingt es so, einen Teil des Geldes zurück zu bekommen.

Muss die Postbank den Schaden ersetzen?

Können die Überweisungen nicht zurückgeholt werden, stellt sich die Frage, ob die Postbank für den Schaden haftet.

Rechtlich dürfen Banken nur autorisierte Überweisungen ausführen. Im Falle, dass der Kunde bzw. die Kundin eine Überweisung nicht freigegeben hat, muss Bank das Konto unverzüglich wieder auf den Stand bringen, den es ohne den unautorisierten Vorgang gehabt hätte.

Die Bank muss also zügig handeln, wenn sie von dem Betrug erfahren hat. Wann die Pflicht, das Konto wieder auf den ursprünglichen Betrag zu setzen, zu erfüllen ist, ergibt sich aus § 675u BGB:

„Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat.“

Wochenlange Prüfungen durch die Bank sind damit nicht angezeigt. Kommt die Bank ihrer Verpflichtung nicht nach, gerät sie in Verzug. Das bedeutet, dass sie die Schäden zu ersetzen hat, die durch die verspätete Erstattung des Zahlungsbetrags eingetreten sind.

Ab dem übernächsten Geschäftstag nach Anzeige des nicht autorisierten Zahlungsvorgangs haftet die Bank somit unter anderem für

  • Kreditzinsen, die anfallen, um notwendige Ausgaben zu decken
  • Rücklastschriften
  • Mahngebühren

Darüber hinaus ist der zu erstattende Betrag zu verzinsen (LG Hannover, Urteil vom 21.12.2010 – 18 O 166/10). Wird ein Rechtsanwalt damit beauftragt, die Erstattung durchzusetzen, muss die Bank die dadurch entstehenden Kosten ebenfalls im Wege des Schadensersatzes tragen.

Wann kann die Bank eine Erstattung verweigern?

Die Erstattungspflicht der Bank ist ausgeschlossen, wenn dem Kunden bzw. der Kundin

  • ein betrügerisches Handeln oder
  • grobe Fahrlässigkeit

vorzuwerfen ist. In diesen Fällen besteht ein Schadensersatzanspruch der Bank, den sie mit dem Erstattungsbetrag aufrechnen kann. Die Betroffenen bleiben dann auf ihrem Schaden sitzen.

Rechtlich bedeutsam: Die Postbank muss nachweisen, dass im Falle von Phishing eine grobe Fahrlässigkeit des Kunden bzw. der Kundin vorliegt. Denn sie hat die Möglichkeiten, die technischen Hintergründe des Betrugs aufzuklären. Wenn die Bank also meint, dass sie nicht zahlen muss, wird sie dies in einem Gerichtsverfahren beweisen müssen.

Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt und auch ganz naheliegende Überlegungen nicht angestellt werden oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen. Das bedeutet, dass nicht jeder Fehler dazu führt, dass die Bank eine Erstattung ablehnen kann. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich genommen noch keinen zwingenden Schluss auf ein entsprechend gesteigertes Verschulden der Person (BGH, Urteil vom 26.01.2016 – XI ZR 91/14).

Beispiel

Als grobe Fahrlässigkeit hat das LG Düsseldorf beurteilt, wenn ein Kunde auf einer gefälschten Webseite 120 TANs eingibt. Denn in diesem Fall habe sich dem Kunden ein Verdacht eines manipulierten Vorganges aufdrängen müssen (LG Düsseldorf, Urteil vom 27.03.2014 – 21 S 211/13).

Wie stehen die Chancen?

Ob letztlich die Bank für den Schaden einzustehen hat, ist eine Frage des Einzelfalls. Bei einem Klick auf einen Link wird im Allgemeinen noch nicht von grober Fahrlässigkeit auszugehen sein, wenn die E-Mail zumindest auf den ersten Blick unauffällig ist.

Wir beraten Sie gerne zu Ihren Möglichkeiten. Nehmen Sie direkt Kontakt auf, wir melden uns bei Ihnen in der Regel noch am selben Tag zurück.

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.