Welche Rechte habe ich als Kunde bei Onlinebanking-Betrug?

Betrug bei der Nutzung des Onlinebankings kann zu hohen Schäden führen. Ein Klick auf einen Link in einer gefälschten E-Mail – schon wird das Konto leer geräumt. Das Vorgehen der Cyberkriminellen ist raffiniert und letztlich stellt sich die Frage, ob die Betroffenen ihr Geld zurück bekommen. Wir erklären die gängigsten Maschen, was im Ernstfall zu tun ist und ob die Bank verpflichtet ist, den Schaden zu ersetzen.

Wie verbreitet ist der Betrug beim Onlinebanking?

Cybercrime ist ein Massenphänomen. Im Jahr 2018 verzeichnete das Bundeskriminalamt (BKA) insgesamt 87.106 Fälle mit denen ein Schaden von insgesamt 60,7 Millionen verursacht wurde.

Zuletzt haben die Betrugsfälle beim Onlinebanking stark zugenommen. Die Schadensbeträge sind dabei hoch. Die genossenschaftliche Versicherung R+V berichtet, dass in einem Einzelfall ein Schaden von 350.000 Euro entstanden ist. Auch wir können bestätigen, dass nicht selten Summen im Bereich von mehreren zehntausend Euro von Kriminellen erbeutet werden.

Trotzdem ist die Sicherheit im Onlinebanking als eher hoch einzuschätzen. Doch keine Technik ist vor Manipulationen sicher. Wenn Banken ihre Sicherheitssysteme auf eine Methode eingestellt haben, passen die Kriminellen ihr Vorgehen an.

Welche Arten von Onlinebanking-Betrug gibt es?

Den Kriminellen kommt es darauf an, die Zugangsdaten zum Onlinebanking zu erbeuten und vorhandene Sicherheitsmaßnahmen außer Kraft zu setzen. Dies geschieht vor allem mittels:

Phishing-Mails geben vor, von der Bank zu stammen und sollen Kund:innen dazu verleiten, ihre Zugangsdaten auf einer gefälschten Login-Seite einzugeben. Derartige Mails sind nach wie vor ein beliebter Weg, um an Zugangsdaten zu gelangen.
Durch Schadsoftware auf dem Endgerät wird eine gefälschte Login-Seite angezeigt, obwohl die richtige Adresse in den Browser eingegeben wurde. Für das Opfer sieht also alles normal aus, während im Hintergrund die Zugangsdaten erbeutet werden. Dabei sind mittlerweile nicht nur „klassische“ Computer betroffen, auch mobile Geräte wie Smartphones und Tablets werden zunehmend zum Ziel von Pharming-Angriffen.
Schadcode wird auf Webseiten von Onlineshops platziert, um die Zugangsdaten abzufischen, wenn Kund:innen diese im Bestellvorgang eingeben. Hier sind es also die Formularfelder, die von den Kriminellen manipuliert wurden.
Viele Nutzer:innen suchen das Onlinebanking auf, indem sie den Namen ihrer Bank bei Google eingeben. Das machen sich Kriminelle zunutze, indem sie Anzeigen schalten, die (angeblich) von der Bank stammen. Der Link führt aber auf eine gefälschte Login-Seite. Dort eingegebene Daten werden abgefischt und durch die Kriminellen genutzt.
Die Kriminellen geben sich beim am Telefon als Mitarbeiter:innen der Bank aus und versuchen, Vertrauen aufzubauen, um an TANs zu gelangen. Zumeist haben sie ihre Opfer im Vorfeld ausgespäht und können daher Details wie den Namen der eigentlichen Kundenbetreuer:innen nennen. Als Telefonnummer wird den Betroffenen zudem mittels Spoofing die Nummer ihrer Bank angezeigt. Zum Teil reden die Täter:innen schnell und eindringlich auf ihre Opfer ein, dass beispielsweise das Sicherheitsverfahren aktualisiert werden müsse, weil es einen Hacker-Angriff gab. Dies setzt die Opfer unter Druck und führt dazu, dass diese sicherheitsrelevante Daten weitergeben.

Zum Teil werden die genannten Methoden auch miteinander kombiniert. Zumeist ist aber der Mensch die entscheidende Schwachstelle, denn die Kriminellen sind auf die „Mithilfe“ angewiesen. Deshalb nutzen sie kleine Unaufmerksamkeiten aus.

Wie funktioniert der Betrug beim Onlinebanking?

Den Cyberkriminellen kommt es zumeist darauf an, einen Zugang zum Onlinebanking zu erhalten und weitere vorhandene Sicherheitsmechanismen zu überwinden. Zu diesem Zweck werden sowohl technische als auch menschliche Schwachpunkte ausgenutzt.

Sobald die Kriminellen die Möglichkeit haben, selbst Überweisungen vorzunehmen, geht es ganz schnell. Vorhandene Limits werden heraufgesetzt, Tagesgeldkonten auf das Girokonto übertragen und Echtzeitüberweisungen ausgeführt. Die Überweisungen erfolgen in der Regel auf Konten, von denen das Geld sehr schnell auf weitere Konten überwiesen oder in Kryptowährungen umgewandelt wird, um eine Nachverfolgbarkeit zu erschweren.

Mitunter wird nicht nur das Guthaben ins Ausland transferiert, sondern auch Kreditlinien werden ausgeschöpft. Bei Privatpersonen sind dann vielfach nicht nur die gesamten Ersparnisse weg, sondern die Betroffenen haben plötzlich Schulden bei ihrer Bank, statt eines kleinen Vermögens auf der hohen Kante.

Vor allem durch das Anheben von Überweisungslimits wird der Schaden deutlich erhöht. Manche Banken lassen eine Änderung des maximalen Überweisungsbetrags deshalb erst nach einem Tag wirksam werden. Denn die Kriminellen stehen in der Regel unter Zeitdruck. Bei den meisten Banken ist es aber nach wie vor möglich, das Überweisungslimit im Onlinebanking zu verändern.

Welche Banken und TAN-Verfahren sind betroffen?

Keine Bank kann eine hundertprozentige Sicherheit garantieren. Deshalb sind auch alle Banken von Betrugsmaschen betroffen. Dabei machen es die Institute den Kriminellen unterschiedlich schwer, an Geld zu kommen.

Die Sicherheitsmechanismen sind sehr unterschiedlich ausgestaltet. Die europäische Zahlungsdiensterichtlinie PSD2 hat dazu geführt, dass seit 2019 für jede Überweisung eine TAN generiert werden muss. Die Banken nutzen unterschiedliche Verfahren, um diese Vorgabe umzusetzen:

  • smsTAN: Für jede Überweisung wird eine TAN per SMS geschickt, die dann eingegeben werden muss. Viele Banken schaffen die smsTAN ab, weil Alternativen sicherer sind, so das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • pushTAN: Auch hier wird für jede Überweisung eine TAN angefordert. Diese wird über ein App auf dem Smartphone oder Tablet erzeugt, die vorher mit dem Onlinebanking verknüpft wird.
  • eTAN: Mit einem Chipkarten-Leser wird bei diesem Verfahren anhand einer flackernden Grafik eine TAN erzeugt. Es braucht also ein zusätzliches Gerät, um dieses Verfahren zu nutzen.
  • QR-TAN: Mit dem Smartphone und einer speziellen App wird ein QR-Code abgescannt und aus der Grafik wird dann die TAN generiert.

Alle TAN-Verfahren bieten grundsätzlich eine hohe Sicherheit. Werden TANs mittels einer App generiert, kann es Dritten aber gelingen, ein neues Gerät mit dem Onlinebanking zu verknüpfen, um Überweisungsaufträge selbst freigeben zu können.

Wurde das Onlinebanking „gehackt“?

In der Regel gehen Schadensfälle von Seite der Kund:innen aus. Das Onlinebanking wird nicht gehackt in dem Sinne, dass die Webseite der Bank kompromittiert wird.

Vielmehr versuchen die Kriminellen, durch geschickte Manipulation bei den Kund:innen an die benötigten Daten zu gelangen. Denn bei diesen gibt es eine Vielzahl unterschiedlicher Endgeräte und damit auch Sicherheitslücken. Zudem lassen sich menschliche Schwächen ausnutzen.

Auf welche Anzeichen für Betrugsversuche sollte ich achten?

Kommt Ihnen etwas im Zusammenhang mit dem Onlinebanking „komisch“ vor, sollten Sie den Vorgang sofort abbrechen. Achten Sie vor allem auf die folgenden Warnsignale:

  • Schlechte Rechtschreibung: Schreibfehler, aber auch ungewöhnliche Satzkonstruktionen oder englische Begriffe weisen darauf hin, dass eine Mail oder Webseite nicht von der Bank stammt. Aber die Qualität wird immer besser, sodass auch auf den ersten Blick fehlerfreie Seiten betrügerisch sein können.
  • Schlampiges Design: Verschobene Formularfelder oder Grafikfehler? Dann handelt es sich wahrscheinlich um einen Betrugsversuch.
  • Login-Bitten: Ihre Bank wird Sie niemals in E-Mails auffordern, sich einzuloggen, indem Sie auf einen Link klicken.
  • Anhänge in E-Mails: Keine Bank verschickt E-Mails mit Anhängen. Wenn Sie diese öffnen, riskieren Sie, sich Schadsoftware einzufangen. Jede Datei kann verseucht sein, auch Bilder oder PDF-Dateien.
  • Schloss-Symbol im Browser: Webseiten von Banken nutzen eine SSl-Verschlüsselung. Diese können Sie in ihrem Browser an dem Schloss in der Adresszeile erkennen und die Webadresse beginnt mit „https“. Webadressen, denen nur „http“ voransteht, sollten Sie misstrauisch machen.
  • Anrufe von der Bank: Wenn Sie angerufen werden und vermeintliche Bankmitarbeiter:innen etwas von Ihnen wollen, sei es auch nur das Geburtsdatum oder dass Sie eine Nummer vorlesen, beenden Sie das Gespräch und rufen Sie selbst die Nummer Ihrer Bank an. Ihre Bank wird Sie niemals nach TANs fragen.
  • Unaufgeforderte SMS mit Links: Wenn Sie eine SMS mit einem Link bekommen, sollten Sie diesen nicht anklicken, erst Recht wenn Sie nicht bewusst einen Vorgang im Onlinebanking ausgelöst haben.

Generell gilt: Es gibt keinen Grund, sich von vermeintlichen Mitarbeiter:innen unter Druck setzen zu lassen. Bei einer angeblichen Änderung des TAN-Verfahrens, einer Sicherheitslücke oder Schadensfällen wird Ihre Bank nicht anrufen, um in einem Telefonat mit Ihnen sicherheitsrelevante Umstände zu ändern.

Betrügerische E-Mails behandeln zumeist Themen, die verunsichern wie z.B. Kontosperrungen, angeblichen Identitätsklau, Änderungen im Onlinebanking, Datenabgleich oder Ähnliches. Sie können solche E-Mails von Ihrer Bank allenfalls lesen. Sie sollten aber niemals auf Links klicken oder Anhänge öffnen.

Checkliste: Was sollten Betroffene tun?

  1. Vorgang abbrechen

    Wenn Ihnen beim Onlinebanking etwas komisch vorkommt, brechen Sie den Vorgang sofort ab und melden Sie sich bei Ihrer Bank.

  2. Onlinebanking sperren

    Über die Rufnummer 116 116 können Sie Ihr Onlinebanking sperren lassen. Damit verhindern Sie, dass weitere Überweisungen ausgeführt werden.

  3. Bank informieren

    Wenn Sie Ihre Bank sofort informieren, können bereits ausgeführte Überweisungen eventuell zurückgeholt werden. Die Information über den Schadensfall ist zudem die Voraussetzung dafür, dass Sie später möglicherweise Ihr Geld zurück bekommen.

  4. E-Mails nicht löschen

    Wenn Sie auf eine Phishing-Mail hereingefallen sind, wird sie eventuell als Beweismittel benötigt. Daher sollten Sie sie nicht löschen.

  5. Strafanzeige erstatten

    Informieren Sie die Polizei, damit diese Ermittlungen aufnehmen kann. Auch wenn die Täter:innen in den meisten Fällen nicht gefasst werden, dokumentieren Sie mit diesem Schritt, dass eine nicht autorisierte Überweisung vorlag, falls bereits Geld abgeflossen ist. Dies ist wichtig für die spätere Schadensabwicklung.

  6. Gedächtnisprotokoll erstellen

    Halten Sie fest, was genau wann passiert ist. Sammeln Sie alle verfügbaren Informationen, z.B. E-Mails, SMS, Einträge aus der Anruferliste, Browserverlauf. Diese werden bei der Abwicklung des Schadensfalls benötigt.

  7. Endgeräte auf Schadsoftware untersuchen

    Lassen Sie fachkundig prüfen, ob die von Ihnen genutzten Endgeräte von Schadsoftware befallen sind.

  8. Schadensfall prüfen lassen

    Gerade bei hohen Schadenssummen empfehlen wir, die Regulierung nicht selbst vorzunehmen, sondern einen Rechtsanwalt oder eine Rechtsanwältin mit Erfahrung in Onlinebanking-Schadensfällen zu kontaktieren.

  9. Bank zur Erstattung auffordern (lassen)

    Schreiben Sie Ihrer Bank, dass diese den Schaden unverzüglich regulieren muss und setzen Sie eine Frist.

Ist es möglich, Überweisungen zurückzuholen?

In machen Fällen kann die Bank bereits erfolgte Überweisungen zurückholen. Bei Echtzeit-Überweisungen ist dies allerdings nur begrenzt möglich. Daher ist es entscheidend, dass Sie Ihre Bank sofort informieren, wenn Beträge von Ihrem Konto entwendet wurden.

Es rächt sich hier, wenn Ihre Bank einen schlechten Telefonsupport hat. Wer eine halbe Stunde in der Warteschleife hängt, wird kaum eine Möglichkeit haben, durch Dritte freigegebene Zahlungen aufzuhalten.

Welche Chancen bestehen, das Geld zurück zu bekommen?

Die bittere Wahrheit ist: In der Regel können die Kriminellen nicht dingfest gemacht werden. Es ist also unwahrscheinlich, erfolgreich gegen diese vorzugehen. Daher bleibt den Betroffenen in der Regel nur, sich an die eigene Bank zu halten.

Es ist durchaus möglich, nach einem Betrug beim Onlinebanking eine Erstattung zu erhalten. Wir haben bereits viele Fälle bearbeitet, in denen die Kund:innen kein oder nur ein geringer Schaden verblieben ist. Es kommt aber immer auf den Einzelfall an.

Haftet die Bank für betrügerische Überweisungen?

Ja, im Grundsatz schon. Überweisungen darf Ihre Bank nur ausführen, wenn Sie diese autorisiert haben. Sobald die Bank über eine nicht autorisierte Überweisung informiert ist, muss sie das Konto unverzüglich auf den ursprünglichen Kontostand zurücksetzen.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

§ 675u BGB

Die Bank haftet also für die nicht autorisierte Überweisung, selbst wenn die Kriminellen es ausgenutzt haben, dass Sie einen Moment unaufmerksam waren.

Der Nachweis für den Umstand, dass die Überweisung nicht autorisiert war, liegt bei der Kundin bzw. dem Kunden. Der Bundesgerichtshof hat dabei angenommen, dass bei einem funktionierenden Sicherheitssystem ein Anscheinsbeweis besteht, dass Überweisungen autorisiert werden, zugleich aber auch betont:

Darüber hinaus darf vom Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises nicht Vortrag und gegebenenfalls Nachweis verlangt werden, auf welche Weise die Schutzvorkehrungen des Authentifizierungsverfahrens überwunden worden oder weshalb sie wirkungslos geblieben sind.

BGH, Urteil vom 26.1.2016 – XI ZR 91/14

Im Falle eines Prozesses muss die Bank nachweisen, dass ihr Sicherheitsverfahren praktisch unüberwindbar war. Nur dann kommt ein Anscheinsbeweis für eine Autorisierung in Betracht.

Kann die Bank sich auf den Anscheinsbeweis berufen, muss dieser durch konkreten Vortrag erschüttert werden. Dies kann gelingen, wenn z.B. Schadsoftware auf dem Endgerät aufgefunden wird. Wichtig ist daher, die technischen Einzelheiten des Betrugsvorgangs aufzuklären.

Wann kann die Bank eine Erstattung verweigern?

Es gibt Situationen, in denen die Bank auf bei eindeutig betrügerischem Vorgehen eine Erstattung nicht vornehmen muss. Dies ist nach § 675v Abs. 2 BGB der Fall, wenn der Kundin bzw. dem Kunden Vorsatz oder grobe Fahrlässigkeit anzulasten ist.

Grobe Fahrlässigkeit liegt vor, wenn die erforderliche Sorgfalt in besonders schwerem Maße vernachlässigt wird. Das bedeutet die Nichtbeachtung einfacher, offenkundiger und grundlegender Regeln oder die Verletzung besonders wichtiger Sorgfaltsregeln und die Inkaufnahme eines möglichen Schadens.

Als grob fahrlässig ist es anzusehen, wenn grundlegende Sicherheitsvorgaben der Banken nicht beachtet werden.

  • Grob fahrlässig ist es, mehrere TANs einzugeben, obwohl nur ein Auftrag ausgeführt werden soll (AG Krefeld, Urteil vom 06.07.2012 – 7 C 605/11).
  • Die Weitergabe einer TAN am Telefon ist grob fahrlässig (AG München, Urteil vom 05.01.2017 – 132 C 49/15).
  • Der Kunde einer Bank handelt grob fahrlässig, wenn er der telefonischen Aufforderung eines angeblichen Mitarbeiters einer Bank Folge leistet, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern (LG Köln, Urteil vom 10.09.2019 – 21 O 116/19).
  • Ein Bankkunde ist beim Online-Banking verpflichtet, die ihm per SMS übermittelten Daten vor der Eingabe sorgfältig zu überprüfen. Dies gilt insbesondere dann, wenn der Bankkunde von seiner Bank zu einer angeblichen Testüberweisung aufgefordert wird (OLG Oldenburg, Beschluss vom 21.8.2018 – 8 U 163/17).

Es gibt allerdings keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits die korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung sprechen. Die Bank muss daher konkret darlegen, welche Sorgfaltspflichten verletzt wurden.

Wie lange darf die Erstattung dauern?

Die Bank darf eine Erstattung nicht auf die lange Bank schieben, sondern muss unverzüglich handeln. Gesetzlich geregelt ist dass das Konto nach der Information über die nicht autorisierte Überweisung bis zum Ende des nächsten Bankarbeitstags zurückzusetzen ist.

Diese Frist halten die Banken praktisch nicht ein. Es kommt häufiger vor, dass die zuständigen Abteilungen die Betroffenen alleine lassen und sich gar nicht melden.

Praktisch besteht das Problem, dass eine Zurücksetzung des Kontos sich gerichtlich nicht in einem Eilverfahren durchsetzen lässt.

Wie fordere ich die Bank auf, den Schadensbetrag zu erstatten?

Die Abwicklung von Schadensfällen ist kompliziert, da es stark auf die technischen Vorgänge ankommt. Wir empfehlen daher, frühzeitig eine Rechtsanwältin oder einen Rechtsanwalt mit Erfahrung in diesem Bereich heranzuziehen.

Wie gehe ich vor, wenn die Bank nicht zeitnah reagiert?

Stellt sich die Bank tot, ist das nicht nur schlechter Service. Fordern Sie die Bank dazu auf, das Konto wieder auf den ursprünglichen Betrag zurückzusetzen und setzen Sie eine Frist. Sollte dies nichts bringen, kann eine Klage erforderlich sein.

Übernimmt meine Rechtsschutzversicherung die Kosten?

Der Privatrechtsschutz kann Streitigkeiten mit der Bank abdecken. Am besten informieren Sie Ihre Rechtsschutzversicherung über den Vorfall und bitten um eine Deckungszusage für eine Erstberatung, in der ein Rechtsanwalt bzw. eine Rechtsanwältin die Chancen eines Vorgehen einschätzen kann.

Wie schütze ich mich vor Onlinebanking-Betrug?

  • Geben Sie niemals Zugangsdaten oder TAN-Nummern am Telefon oder per Mail weiter.
  • Nutzen Sie für das Onlinebanking immer Ihr eigenes Endgerät, loggen Sie sich nicht an fremden Endgeräten ein.
  • Rufen Sie das Onlinebanking nicht über Suchmaschinen auf, sondern über die Webseite Ihrer Bank.
  • Klicken Sie nicht auf Links in E-Mails, die angeblich von Ihrer Bank stammen.
  • Schützen Sie Ihre Endgeräte durch einen Virenscanner und halten Sie diesen aktuell.
  • Achten Sie bei Webseiten und E-Mails auf Auffälligkeiten wir Rechtschreibfehler oder schlechtes Design.
  • Wenn Ihnen etwas verdächtig vorkommt, brechen Sie den Vorgang sofort ab und informieren Sie Ihre Bank.
  • Achten Sie bei Freigaben von Vorgängen im Onlinebanking unbedingt darauf, was als Grund in der App angezeigt bzw. in der SMS genannt wird. Wenn Sie sich (angeblich) einloggen und in der App etwas von „Änderung TAN-Verfahren“ steht, handeln Sie grob fahrlässig und die Bank ist nicht verpflichtet, den Schaden zu ersetzen.

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.