Phishing und Online-Betrug erkennen und vermeiden

Phishing und Online-Betrug nehmen rasant zu und bedrohen die Sicherheit von Bankkunden. Dieser Artikel zeigt, wie Sie Betrugsmaschen erkennen, sich schützen und im Ernstfall handeln können. Informieren Sie sich über wichtige Tipps und rechtliche Hintergründe, um Ihr Online-Banking sicherer zu machen.

Seit Jahren steigen die Betrugszahlen und die Schadenssummen stetig an – eine alarmierende Entwicklung. Die Cybercrime-Statistik weist allein im Bereich des Online-Banking-Betrugs ca. 90.000 Schadensfälle und eine Gesamtschadenssumme von jährlich ca. 70 Mio. Euro aus. Damit ist Cybercrime zu einem Massenphänomen geworden.

Die steigende Popularität des Online-Banking – aktuell tätigen neun von zehn Internetnutzern ihre Bankgeschäfte ausschließlich digital – geht mit der Zunahme hochkrimineller und sich ständig weiterentwickelnder und immer raffinierter werdender Betrugsmaschen einher, insbesondere dem sogenannten „Phishing“ mit seinen zahlreichen Betrugsfacetten.

Beim „Phishing“ werden arglose Bankkundinnen und Bankkunden über gefälschte Apps, über manipulierte Webseiten, über Schadsoftware bis hin zu betrügerischen E-Mails oder durch persönlichen Telefonkontakt zur Preisgabe ihre persönlichen Zugangsdaten (Kennwörter, PINs, TANs, Handynummern oder Kontonummern) veranlasst. In den Telefonaten wird den Bankkunden häufig z. B. vorgegaukelt, die eigene Hausbank rufe an und wolle bzw. müsse „dringend und sofort“ etwas „Sicherheitstechnisches beim Online-Banking“ überprüfen, checken oder aktualisieren. Mit den auf diese kriminelle Weise erlangten persönlichen Zugangsdaten werden – sind sie erst einmal in den Händen von Kriminellen – in der Folge dann unberechtigt Gelder transferiert. Dies geschieht zum Teil über in der Praxis kaum greifbare sogenannte Finanzagenten, über Drittkonten bzw. über Mittäter im Ausland, so dass diese Zahlungen nicht mehr rückholbar sind.

Täter manipulieren Opfer durch Angst oder Dringlichkeit, oft basierend auf recherchierten Informationen aus sozialen Medien. Die Betrüger spielen oft mit den persönlichen Befindlichkeiten und Ängsten (z. B. um nahe Familienangehörige) ihrer Opfer. Regelmäßig sind sie über das Internet und Social Media bestens über das persönliche, soziale und wirtschaftliche Umfeld ihrer Opfer informiert und so in der Lage, die Arglosigkeit und Gutgläubigkeit ihrer Opfer auszunutzen.

Mit den Zugangsdaten zum Online-Banking des Kunden – dem persönlichen Kennwort, der selten geheimgehaltenen IBAN/Girokontonummer und dem PIN – in den Händen haben die Kriminellen viele Möglichkeiten: selbst Überweisungen vorzunehmen, vorhandene Kontenlimits zu erhöhen, Tagesgeldkontenguthaben auf Girokonten zu übertragen und Echtzeitüberweisungen am Bankkunden vorbei selbst auszuführen. Die Überweisungen erfolgen in der Regel auf Konten, von denen das Geld sehr schnell auf andere Konten transferiert oder auch in Kryptowährungen umgewandelt wird, um eine Rückverfolgung zu erschweren.

Grundsätzlich gilt: Ihre Bank ist für die Sicherheit Ihres Geldes verantwortlich. Hat der Bankkunde seine Sorgfaltspflichten eingehalten, hat er einen Anspruch auf Schadensersatz und die verantwortliche Bank des geprellten und betrogenen Kunden ist verpflichtet, das verlorene Geld zu 100 Prozent zu erstatten.

§ 675 BGB verankert – gesetzlich im Verbraucherrecht verortet – die grundsätzlich umfängliche Haftung des Kreditinstituts für sog. nicht (vom Kunden) autorisierte Zahlungsvorgänge.

Die Erstattungspflicht der Bank gilt aber nur, sofern der Kunde nicht grob fahrlässig gehandelt hat. Die Bank kann die sofortige Erstattung also verweigern, wenn dem Kunden eine grob fahrlässige Pflichtverletzung entgegengehalten werden kann.

Der Bundesgerichtshof hat in 2016 in einem Grundsatzurteil zum Online-Banking in Anlehnung an die Geldautomatenbetrugsfälle dazu formuliert (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rz. 71): „Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt.“

Die Rechtsprechung hat diese Grundsatzentscheidung des BGH in den letzten Jahren in der instanz- und obergerichtlichen Rechtsprechung in einer Fülle „sich seither entwickelnder“ Einzelfall-Rechtsprechung konkretisiert.

So wird beispielsweise in der aktuellen Rechtsprechung die Auffassung vertreten, dass „personalisierte Sicherheitsmerkmale“ eines Bankkunden niemals gegenüber Dritten offenbart werden dürfen und dies im Einzelfall einen grob fahrlässigen Pflichtverstoß des Kunden darstellen kann. Eine solche Pflichtverletzung wäre z. B. die Freigabe einer pushTAN auf die telefonische Aufforderung eines unbekannten Dritten (oder einer Person, die vorgibt, der bekannte Bankberater bzw. dessen Vertreter zu sein) oder die telefonische Weitergabe von TANs.

Nach dem Gesetz und der Rechtsprechung muss die Bank den Beweis erbringen, dass der Kunde vorsätzlich oder grob fahrlässig gehandelt hat. Eine Bank genügt ihrer Obliegenheit und Pflicht bereits dann, wenn sie anhand von Aufzeichnungen nachweist und belegen kann, dass ein Zahlungsvorgang tatsächlich vom Kunden ausgelöst bzw. autorisiert wurde und nicht durch technische oder systemische (bankinterne) Störungen bedingt ist. In der Praxis werden diese Aufzeichnungen dem Bankkunden jedoch häufig bis zum Gerichtsverfahren vorenthalten. In diesem Zusammenhang werden in der Regel auch gerichtliche Sachverständige hinzuzuziehen und zu hören sein.

Spätestens dann, wenn eine Bank dem Kunden grobe Fahrlässigkeit vorwirft und die gesetzlich vorgesehene unverzügliche Erstattung verweigert, sollte ein im Bankrecht erfahrener und versierter Rechtsanwalt oder Rechtsanwältin eingeschaltet werden.

Bei Verdacht auf „Phishing“ bzw. Online-Banking-Betrug ist vor allem ein frühzeitiges Erkennen der „Phishing“ Attacke gefragt. Die folgenden Überlegungen sollten immer im Hinterkopf behalten werden

• Banken kontaktieren Kunden niemals per E-Mail oder SMS zu sicherheitsrelevanten Themen. Banken nutzen für die Kommunikation bzgl. ihres Online-Bankings ausschließlich den Postweg oder ihre eigenen (Banken-) Apps.
• „Phishing“-Nachrichten zielen in der Regel darauf ab, psychischen oder emotionalen Druck auf den Kunden auszuüben, in der Regel wird ein schnelles Handeln des arglosen Kunden gefordert. Typischerweise werden solche „Phishing“-Nachrichten am Wochenende oder abends verschickt, um eine sofortige Rücksprache mit der eigenen Bank zu verhindern. Zudem enthalten diese betrügerischen Nachrichten oft kryptische Links, verweisen auf fehlerhafte, unvollständige oder auch „vermeintlich täuschend echte“ Webseiten – Fake-Seiten – Ihrer Bank oder Sparkasse.

Es gibt einige Tipps, wie sie sich schützen und im Ernstfall handeln können:

• Zugangsdaten niemals preisgeben
  Geben Sie niemals Zugangsdaten oder TAN-Nummern am Telefon oder per E-Mail weiter.
• Passwörter und Zugangsdaten regelmäßig ändern
  Sie sollten Ihre Passwörter und Zugangsdaten regelmäßig ändern. Jederzeit – bei dem geringsten Verdacht, es möglicherweise mit einem Betrüger zu tun zu haben – können Sie als Kunde selbst im eigenen Online-Banking bspw. Ihre persönliche PIN ändern; die zuvor erschlichenen Zugangsdaten sind dann für den Betrüger sofort wertlos.
• Zwei-Faktor-Authentifizierung nutzen
  Sie sollten, um die Sicherheit zu erhöhen, möglichst die sog. Zwei-Faktor-Authentifizierung (über ein weiteres Endgerät) nutzen.
• Ausschließlich sichere und verschlüsselte Verbindungen verwenden
  Sie sollten immer eine sichere und verschlüsselte Internetverbindung verwenden und keinesfalls über Suchmaschinen ins Online-Banking eintreten. Der Einstieg über Suchmaschinen birgt ein recht hohes Risiko, auf Fake-Seiten zu landen, und stellt in der Regel einen Verstoß des Kunden gegen die mit seiner Bank oder Sparkasse schriftlich vereinbarten Online-Vertragsbedingungen dar.
• Verwendung anerkannt sicherer Banking-Apps
  Nutzen Sie für Ihr Online-Banking möglichst eine sichere Banking-App.
• Kontenbewegungen kontinuierlich überwachen
  Überwachen Sie fortlaufend die Kontobewegungen auf Ihrem Konto.
• Überweisungslimits mit der Bank festlegen
  Vereinbaren Sie unbedingt mit Ihrer Bank ein betragsmäßiges Überweisungslimit für Inlands- und Auslandsüberweisungen. In der Regel können Sie dies im Online-Banking selbst einstellen.
• E-Mails und Links kritisch prüfen
  Vorsicht bei E-Mails und Nachrichten: Seien Sie immer misstrauisch gegenüber E-Mails oder Nachrichten, die nach persönlichen oder finanziellen Informationen fragen. Überprüfen Sie immer die Echtheit von E-Mails, bevor Sie auf Links in einer E-Mail klicken oder persönliche Informationen weitergeben.
• Regelmäßige Updates durchführen
  Halten Sie Ihr Betriebssystem, Ihre Antiviren-Software und andere Sicherheitsanwendungen auf dem neuesten Stand.
• Keine fremden Endgeräte nutzen
  Benutzen Sie für Ihr Online-Banking immer Ihr eigenes Endgerät, loggen Sie sich nicht auf fremden Endgeräten ein.
• Schnell handeln
  Erstatten Sie Im Verdachtsfall schnellstmöglich Anzeige bei der Polizei und kontaktieren Sie Ihre Hausbank. Rechtsberatung im Ernstfall: Ziehen Sie am besten von Anfang an einen erfahrenen Anwalt hinzu.
• Sofortmaßnahmen ergreifen
  Fertigen Sie im Schadensfall unbedingt ein Gedächtnisprotokoll an, in dem Sie genau festhalten, wann und wie Sie im Internet bzw. beim Online-Banking agiert haben. Notieren Sie genau, was wann passiert ist, und sammeln Sie alle verfügbaren Informationen, z. B. E-Mails, SMS, Einträge in der Anrufliste, Browserverläufe. Diese werden bei der Abwicklung des Schadenfalls zivilrechtlich und strafrechtlich dringend benötigt.
• Professionelle Überprüfung
  Erwägen Sie, Ihre Endgeräte professionell auf sogenannte Schadsoftware untersuchen zu lassen.

Aus aktuellem Anlass, weil aktuell zur Bearbeitung auf dem Schreibtisch des Autors liegend, ergänzende Hinweise zum Call-ID-Spoofing:

Call-ID-Spoofing (auch als Fake-Anrufe bezeichnet) ist eine Technik, bei der ein Angreifer die Anrufer-ID manipuliert, um bei einem Anruf eine gefälschte Nummer anzuzeigen. Dies kann durch spezielle Software oder Dienste erreicht werden, die es ermöglichen, die Anrufer-ID zu ändern, bevor der Anruf zum Empfänger durchgestellt wird. Diese Technik wird oft von Betrügern genutzt, um Anrufe zu tätigen, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle, wie beispielsweise einer Bank, einer Regulierungsbehörde oder einem Unternehmen. Auf diese Weise wird versucht, das Vertrauen des Opfers zu gewinnen und die Opfer dazu zu bringen, persönliche oder finanzielle Informationen preiszugeben oder um andere betrügerische Handlungen durchzuführen.

Auch wenn Call-ID-Spoofing von legitimen Unternehmen, z. B. Kunden-Support-Centern, eingesetzt wird (hier werden in der Regel und gewollt die individuellen Durchwahlen von Mitarbeitern unterdrückt), ist immer dann Vorsicht geboten, wenn es um finanzielle und persönliche Angelegenheiten geht. Lassen Sie sich nicht unter Druck setzen. Sicherheitshalber sollten Sie sofort auflegen und einen bekannten Telefonkontakt selbst zurückrufen.

Phishing und Online-Betrug sind ernstzunehmende Gefahren, die durch gezielte Prävention und schnelles Handeln minimiert werden können. Indem Sie wachsam bleiben, Sicherheitsvorkehrungen treffen und im Verdachtsfall entschlossen reagieren, schützen Sie sich und Ihre Bankdaten wirksam. Wir beraten und vertreten Sie, prüfen Ihren Einzelfall und unterstützen Sie bei der Durchsetzung Ihrer Rechte. Setzen Sie sich jederzeit gerne mit uns in Verbindung für eine individuelle Beratung.

Im Interview mit Detlef Fleischer, EXISTENZ Magazin, gibt Rechtsanwalt Gindorf einen spannenden Einblick in die wachsende Bedrohung durch Cyber-Angriffe und zeigt, wie sich Unternehmen und Verbraucher schützen können.