Phishing: Bekomme ich als Sparkassen-Kunde mein Geld wieder?

Nicht wenige Kundinnen und Kunden der Sparkassen sind pro Jahr von Onlinebanking-Betrug betroffen. Die Methoden, mit denen Betrüger:innen vorgehen sind raffiniert und die Schadensbeträge liegen häufig bei mehreren tausend Euro. In diesem Beitrag erklären wir gängige Maschen und wir zeigen Ihnen, ob Sie als Kund:in Ihr Geld wiederbekommen.

Wie funktioniert der Betrug beim Online-Banking?

Es gibt zahlreiche unterschiedliche Vorgehensweisen, mit denen die Täter:innen vorgehen. Das Ziel bleibt aber immer gleich: Die Zugangsdaten erbeuten und die betroffenen Sparkassen-Kunden dazu bringen, einzelne Transaktionen freizugeben oder das Sicherheitsverfahren zu ändern. Im schlimmsten Fall gelingt es den Kriminellen, in Echtzeit selbstständig Überweisungen auf fremde Konten, zumeist ins Ausland, vorzunehmen.

So gehen die Kriminellen vor:

In den meisten Fällen werden die Opfer dazu gebracht, auf einer gefälschten Webseite ihre Zugangsdaten (Benutzername und Passwort) einzugeben (Schritt 1). Dies gelingt den Kriminellen in der Regel auf zwei Wegen:

  • Phshing-Mail: Die Opfer erhalten eine E-Mail, die angeblich von ihrer Bank stammt. Diese fordert sie auf, einen Link anzuklicken, beispielsweise weil eine Nachricht für sie vorliegt oder das Sicherheitsverfahren aktualisiert werden muss.
  • Google-Anzeige: Viele Menschen gelangen über Google auf die Login-Seite ihrer Bank. Das nutzen die Kriminellen aus, indem sie Werbeanzeigen schalten, die so aussehen, als seien sie von der Sparkasse des Opfers. Ein Klick auf den Link führt aber auf eine gefälschte Seite.
Screenshot einer Phishing-Mail.

Neben den Zugangsdaten benötigen die Kriminellen noch eine Freigabe, bei der Sparkasse zumeist durch die push-TAN-App (Schritt 2). Schwachstelle ist an dieser Stelle der Mensch. Durch geschickte Manipulation auf der Webseite oder am Telefon werden Sparkassen-Kund:innen dazu gebracht, sicherheitsrelevante Informationen preiszugeben oder Überweisungen zu veranlassen.

Sind Sie Opfer von Onlinebanking-Betrug?

Füllen Sie einfach das nachfolgende Formular aus und wir helfen Ihnen Ihr Geld zurückzuerhalten. Sie erhalten noch am selben Tag eine Antwort.

Click or drag files to this area to upload.You can upload up to 4 files.

Fallbeispiel 1: Kundin gibt TAN weiter

Eine Sparkassen-Kundin erhält einen Anruf mit der Absendernummer ihrer Sparkasse. Ein „Herr Fischer“ meldet sich, spricht die Kundin mit ihrem Namen an und weiß auch, welche Geschäftsstelle sie normalerweise aufsucht.

Der Anrufer redet schnell. Er wirft mit Fachbegriffen um sich und argumentiert, es gebe eine Sicherheitslücke, weshalb ein „Notfallzugriff“ eingerichtet werden müsse. Dabei macht er Druck: Innerhalb eines Tages müsse er aktiviert werden, andernfalls habe die Kunden keinen Zugriff mehr auf ihr Onlinebanking. Zur Betrugsprävention benötige er ihr Geburtsdatum und eine TAN, die Kundin gibt beide Informationen durch. Durch das Geburtsdatum und die TAN können die Kriminellen eine eigene pushTAN-App auf sich registrieren und ungehindert Überweisungen veranlassen.

Als sich die Kundin einen Tag später in ihrem Onlinebanking einloggte folgte der Schock: Mehr als 40.000 € waren an eine Bitcoin-Börse überwiesen worden.

Fallbeispiel 2: Nicht autorisierte Überweisung

Angeblich ist es die Sparkasse, die einen Kunden anruft und darüber informiert, dass zwei verdächtige Überweisungen aufgefallen seien. Eine in Höhe von 2.000 € und eine weitere in Höhe von 30.000 €. Der Kunde ist entsetzt und bittet darum, die Überweisungen zu stoppen und das Konto zu sperren. Dies sei möglich, sagt der Anrufer, aus Sicherheitsgründen müsse der Rückruf über die pushTAN-App freigegeben werden.

Nacheinander erhält der Kunde zwei Anforderungen auf sein Gerät. In Wirklichkeit handelt es sich um ein Login und die Überweisung in Höhe von 30.000 €, was der Kunde nicht bemerkt. Mit seiner Freigabe sperrt der Anrufer wunschgemäß das Konto, hierzu muss er nur die Zugangsdaten mehrfach falsch eingeben. Aus diesem Grunde bekommt der Kunde einige Tage nicht mit, dass Geld auf seinem Konto fehlt.

Haftet die Sparkasse für den Schaden?

Wenn Sie bemerken, dass Geld ohne Ihr Wissen überwiesen wurde, müssen Sie sofort handeln. Rufen Sie Ihre Bank an, denn diese kann die Überweisung innerhalb eines kurzen Zeitfensters zurückbuchen. Lassen Sie zudem Ihr Onlinebanking sperren und melden Sie den Schaden bei der Polizei.

Sollte eine Rückbuchung nicht mehr möglich sein, müssen Sie nicht unbedingt auf dem Schaden sitzen bleiben. Denn nach dem deutsche Verbraucherschutzrecht gilt: Die Sparkasse ist zur Erstattung nicht autorisierter Überweisungen verpflichtet. Nur für den Fall, dass Sie grob fahrlässig gehandelt haben, ist die Bank nicht verpflichtet, den Schaden zu übernehmen.

Grobe Fahrlässigkeit liegt allerdings nur dann vor, wenn Sie Ihre Sorgfaltspflichten in besonders schwerem Maße verletzen. Bei professionellen Betrugsmaschen wird dies gegebenenfalls nicht zutreffen. Dennoch kommt es auf den Einzelfall an.

Zudem haftet die Sparkasse, wenn sie nicht unverzüglich die Empfängerbank kontaktiert. Denn gegenüber den Kund:innen trifft sie eine vertragliche Nebenpflicht, schnellstmöglich die erforderlichen Schritte zu veranlassen, um den Schaden zu verringern. Bleibt die Sparkasse zu lange untätig oder ist sie zu langsam, muss sie den durch ihre Nachlässigkeit entstandenen Schaden ersetzen.

Kann die Sparkasse das Geld zurückholen?

Überweisungen bei Onlinebanking-Betrug erfolgen zumeist in Echtzeit und ins Ausland. Daher ist es in der Regel sehr schwer, die Transaktion anzuhalten oder die Kriminellen zu identifizieren. Auf dem Konto bei der Empfängerbank wird das Geld nicht „geparkt“, sondern sofort weiter überwiesen, um Spuren zu verschleiern.

Es kommt daher auf jede Sekunde an und Sie sollten schnellstmöglich handeln.

Muss die Empfängerbank den Schaden ersetzen?

Neben der Sparkasse kann nach unserer Auffassung auch die Empfängerbank für den Schaden haften. Dabei fallen uns manche Banken häufiger ins Auge als andere. In einigen Fällen war beispielsweise die N26 Bank aus Berlin die Empfängerbank bei Onlinebanking-Betrug. Aus welchen Gründen, ist uns nicht bekannt.

Entscheidend ist, dass Banken wie die N26 mit Kenntnis eines Betrugsfalls verpflichtet sind, die betroffenen Transaktionen sofort anzuhalten und eine Geldwäscheverdachtsanzeige bei der Financial Intelligence Unit (FIU) zu erstatten. Darüber hinaus muss die Bank ausreichende Sicherheitsmaßnahmen getroffen haben, um Geldwäsche zu verhindern.

Kommt die Empfängerbank ihren Pflichten nicht nach, kann sie selbst für den Schaden haften. Eun Verschulden nachzuweisen, ist allerdings nicht ganz einfach. Zunächst wird erforderlich sein, auf die Ermittlungen der Polizei einzuwirken und durch eine Akteneinsicht zusätzliche Erkenntnisse über das Handeln der Empfängerbank zu gewinnen.

Was kann ein Anwalt bei Onlinebanking-Betrug tun?

Gerade bei größeren Geldbeträgen sollten Sie die Frage der Erstattung gemeinsam mit einem Anwalt besprechen, der die technischen und rechtlichen Hintergründe kennt. Gerade weil der Schock zunächst tief sitzt und Fehler viel Geld kosten können. In unserer Praxis ziehen wir mitunter einen IT-Experten hinzu, um das Vorgehen im Detail nachzuvollziehen.

Auch wenn die Überweisung also bereits im Ausland ist, gibt es Möglichkeiten, einen Ersatz zu erhalten. Entscheidend ist, dass Sie schnell und richtig handeln.

Übrigens: Hinweise zu aktuellen Betrugsmaschen stellen die Sparkassen auf ihren Webseiten bereit, z.B. die Stadtsparkasse Düsseldorf.

Sind Sie Opfer von Onlinebanking-Betrug?

Füllen Sie einfach das nachfolgende Formular aus und wir helfen Ihnen Ihr Geld zurückzuerhalten. Sie erhalten noch am selben Tag eine Antwort.

Click or drag files to this area to upload.You can upload up to 4 files.

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.