Online-Banking Betrugsfälle – wer muss zahlen?

Betrugsfälle im Online-Banking

Online-Banking ist praktisch – keine Frage. Von unterwegs oder eben zwischendurch auf das Privat- oder Unternehmenskonto zugreifen und Überweisungen tätigen ist eine Bequemlichkeit, welche aus dem Alltag kaum mehr wegzudenken ist.

Wenn beim nächsten Blick auf das Konto jedoch festgestellt werden muss, dass Gelder überwiesen wurden, obwohl man selbst diese Überweisungen nicht autorisiert hat, ist das Entsetzen groß. Wenngleich die technischen Sicherheitsvorkehrungen immer besser werden, so scheinen Betrugsfälle im Online-Banking stark zuzunehmen. Die Art und Weise der Hacking-, Fishing und Farming-Angriffe sind vielfältig.

Sim Swapping Betrug Online-Banking Frederik Sonnenburg

Vorgehen der Angreifer

Die ersten Schritte sollten sein, seine Hausbank über die unberechtigten Überweisungen zu informieren und die Polizei zu verständigen.

Meist dürfte es aber bereits zu spät sein, um das Geld von dem Betrüger zurückholen zu können. Oftmals werden mehrere größtmögliche Teilbeträge innerhalb kurzer Zeit auf ein inländisches Konto überwiesen, dessen Kontoinhaber ebenfalls gehackt wurde. Von da aus wird das Geld auf ein ausländisches Konto transferiert und anschließend zu Bitcoin umgewandelt. Bis dieser Weg nachvollzogen ist, ist das Geld längst verschwunden.

In letzter Zeit haben wir z.B. Fälle des sog. „SIM-Swapping“. Hierbei wird das mTAN-Verfahren (auch SMS-TAN oder mobile-TAN) als Einfallstor genutzt. Eigentlich gilt dieses Verfahren als relativ sicher, da zwei separate Geräte genutzt werden müssen, um eine Überweisung zu autorisieren, in der Regel ein PC/Laptop und ein Handy. Der Zugang zum Online-Banking ist Passwortgeschützt und die SMS mit der TAN kommt auf das private Handy. Selbst, wenn das Passwort zum Online-Banking ausgespäht wurde, können keine Überweisungen getätigt werden, da der Zugriff auf das Handy fehlt.

So zumindest die Theorie. In der Praxis scheint es möglich zu sein, beim jeweiligen Provider des Telekommunikationsdienstleisters an eine zweite SIM-Karte zu gelangen, obwohl dies eigentlich mit einer Sicherheitsabfrage (In der Regel ein Passwort, welches zu Vertragsbeginn festgelegt/zugeteilt wurde) möglich sein sollte.

Trotzdem scheint es den Angreifern gelungen zu sein eine zweite SIM-Karte zu erlangen, mit der Konsequenz, dass die angeforderten SMS-TAN nicht mehr auf dem Gerät des Kontoinhabers angezeigt wurde, sondern nur noch auf dem Handy des Angreifers. Dadurch war es möglich innerhalb kürzester Zeit etliche Überweisungen zu tätigen damit hohe 5-stellige Beträge von den Konten zu überweisen. Betrugsfälle im Online – Banking sind in solchen Fällen häufig mit einem hohen Schaden verbunden.

Bleibt der Bankkunde auf dem Schaden sitzen?

Da die Betrüger/Angreifer/Hacker in den wenigsten Fällen bekannt werden, bleibt effektiv meist nur die Bank als möglicher Anspruchsgegner, obwohl diese in den wenigsten Fällen selbst eine Schuld trifft.

Der Gesetzgeber hat jedoch mit den §§ 675 ff. BGB Regelungen für derartige Fälle geschaffen.  Nach § 675u BGB hat der Kontoinhaber einen Anspruch darauf, das Konto wieder auf den Stand zu bringen, auf welchem es sich vor den nicht-autorisierten Abbuchungen befunden hat. Mit anderen Worten, das Konto auszugleichen.

Hierfür hat die Bank ab dem Moment, in dem sie über die unautorisierten Abbuchungen informiert wurde Zeit bis zum Ende des nächsten Geschäftstags. Es ist daher wichtig, die Bank umgehend über die unautorisierten Abbuchungen zu informieren.

Keine Regel ohne Ausnahme

Oftmals hat die Bank selbst keine Pflicht verletzt und möchte daher ebenfalls nicht auf dem Schaden sitzen bleiben. Der erste Reflex der Bank ist daher in der Regel die Weigerung das Konto auszugleichen. Dabei hilft ihr § 675v BGB. Dieser regelt, dass die Bank dann nicht zum Ausgleich verpflichtet ist, wenn dem Kontoinhaber eine grob fahrlässige Pflichtverletzung vorzuwerfen ist. Auf ein Fehlverhalten des Kontoinhabers wird sich die Bank häufig berufen.

Eine grob fahrlässige Pflichtverletzung dürfte vorliegen, wenn z.B. die TAN oder die PIN telefonisch oder per E-Mail herausgegeben oder die PIN auf der EC-Karte notiert wird. Es kann aber auch schon die unzureichende Sicherung des PCs/Laptops oder des Smartphones ausreichen, um eine grob fahrlässige Pflichtverletzung anzunehmen.

Beweislastumkehr

Das Gesetz hilft dem Kontoinhaber jedoch etwas. Denn die Bank muss beweisen, dass die Überweisungen autorisiert wurden und nicht der Kunde, dass er Opfer eines Hackerangriffs wurde. Auch, wenn die Bank anfänglich in der Regel etwas anderes behauptet.

Abschluss

Jeder Fall ist dennoch einzigartig und bedarf daher genauer Prüfung, damit die Argumentation gegenüber der Bank und ggf. später vor Gericht schlüssig ist. Ein Fachanwalt für IT-Recht zu kontaktieren ist in diesen Fällen ratsam, gerade wenn es um größere Summen geht und schnell gehandelt werden muss.

Sie möchten mehr über dieses Thema erfahren?

Wir konnten bereits erfolgreich Mandanten in diesen Fällen beraten und dabei helfen, dass die Konten wieder ausgeglichen wurden. Kontaktieren Sie uns in solchen Fällen gerne.