Der moderne Bankraub findet im Internet statt
Wer Opfer von Betrügern im Internet geworden ist, ist nicht allein.
Immer häufiger werden Privat- und Geschäftskunden von Banken Opfer von Betrügern im Online-Banking. Cyberkriminelle nutzen sogenannte Trojaner, um an Kundendaten zu gelangen und fremde Konten leer zu räumen. Doch wer haftet bei einem gehackten Bankkonto? Und welche Sorgfaltspflichten muss man als Kunde erfüllen, um eine Mithaftung auszuschließen? Dieser Artikel beantwortet die wichtigsten Fragen rund um das Thema Online-Banking-Betrug.
Kunden von Banken und Sparkassen werden von Jahr zu Jahr Opfer von Betrügern im Online-Banking (lt. BKA mehr als 22.000 Fälle pro Jahr). Cyberkriminelle nutzen beispielsweise Trojaner, falsche E-Mails, Fake-Webseiten, fangen Postsendungen ab, geben sich am Telefon als Bankmitarbeiter aus, um an Ihre Kundendaten zu gelangen und Ihre Konten leer zu räumen. Es gibt die Möglichkeit, von Ihrer Bank den Schaden ersetzt zu bekommen.
Bankkonto gehackt? Banken haften für unautorisierte Zahlungen!
Der Gesetzgeber hat mit den §§ 675 ff. BGB spezielle gesetzliche Regelungen für den Online-Zahlungsverkehr erlassen, welche auch Regelungen zur Haftung der Banken bei nicht autorisierten Zahlungen (Online-Banking-Missbrauch) enthalten. Dem Bundeskriminalamt wurden für das Jahr 2017 rund 22.000 Betrugsfälle mit EC-Karten gemeldet, bei denen die Kriminellen die korrekte Geheimnummer eingesetzt hatten. Statistisch gesehen entspricht das etwa 60 Fällen pro Tag. Zahlen darüber, wie oft Bankkunden auf ihrem Schaden sitzen geblieben sind, liegen nicht vor. Ob Ihre Bank bei einem gehackten Bankkonto in Haftung genommen werden kann, muss anhand des Einzelfalls anwaltlich geprüft werden.
In drei Schritten zu Ihrer Erstattung
Gesetzliche Ansprüche der Kunden bei Online-Banking-Missbrauch
Wurde Ihr Konto gehackt und haben Sie so Gelder verloren, können Sie Ihre Bank oder Sparkasse gemäß § 675u BGB auf Zahlung von Schadensersatz in Anspruch nehmen. Die Höhe des Schadensersatzes entspricht dem entwendeten Geldbetrag. Nach § 675u BGB ist die Bank bei einem nicht autorisierten Zahlungsvorgang verpflichtet, dem Kunden die entwendeten Gelder unverzüglich zu erstatten und das gehackte Konto wieder auf den Stand zu bringen, auf dem es sich ohne die nicht autorisierte Zahlung befunden hätte. Unverzüglich im Sinne des § 675u BGB bedeutet, dass Ihre Bank die Erstattung spätestens einen Tag nachdem der Schadensersatz bei der Bank angezeigt wurde vorzunehmen hat.
UUm diesen Anspruch zu begründen, muss man als Kunde nur darlegen, dass ein Betrüger und nicht der Kunde selbst die Überweisung in Auftrag gegeben hat. Heben Cyberkriminelle an einem Geldautomaten einen Betrag mit der EC-Karte ab, muss der Kunde nur darlegen, wie die Bankkarte gestohlen wurde. Heben die Täter mit einer gefälschten Zahlungskarte Gelder ab, kann beispielsweise durch Darlegung, dass zuvor die Karte vom Kunden an einem Bankautomaten verwendet wurde, nachgewiesen werden, dass die Möglichkeit besteht, dass die Täter die Geheimnummer ausgespäht haben.
Banken können vom Schaden 50 Euro einbehalten
Die Bank kann bei einer missbräuchlichen Nutzung einer EC-Karte oder bei Online-Banking-Missbrauch von dem Erstattungsbetrag gemäß § 675v BGB grundsätzlich einen Betrag von 50 Euro einbehalten.
Kommt es zu einem Online-Banking-Betrug und hat der Kunde den Missbrauch vorsätzlich ermöglicht oder seine Sorgfaltspflichten gemäß § 675l BGB verletzt, steht der Bank ihrerseits ein Schadensersatz zu, mit dem sie dann gegen den Anspruch des Kunden aufrechnen kann. Dabei bestimmt § 675l BGB nur, dass der Kunde alle zumutbaren Vorkehrungen treffen muss, um die personalisierten Daten vor einem unbefugten Zugriff zu schützen. Wann ein Kunde seine Sorgfaltspflichten verletzt hat, kann nicht pauschal, sondern nur im Einzelfall beurteilt werden. Hier muss die Bank allerdings darlegen und nachweisen, in welcher Art und Weise der Kunde im Einzelfall seine Sorgfaltspflichten verletzt haben soll.
Hat der Kunde seine Sorgfaltspflichten erfüllt, muss die Bank das betroffene Konto wieder auf den Stand bringen, auf welchem es sich ohne die nicht autorisierte Zahlung befunden hätte.
Sorgfaltspflichten des Kunden beim Online-Banking
Der Nutzer des Online-Banking ist dazu verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Einen Verstoß gegen diese Sorgfaltspflichten begeht, wer beispielsweise:
- seine PIN zusammen mit seiner EC-Karte im Geldbeutel verwahrt
- seine Online-Banking-Vorgänge auf einem ungesicherten Gerät durchführt
- Online-Banking-Vorgänge auf Geräten ohne ausreichenden Virenschutz durchführt
Wird die EC-Karte mit der richtigen PIN zusammen eingesetzt, gibt es jedoch keine Vermutung zugunsten der Bank, dass sich die PIN bei der EC-Karte befunden hat. Die Bank muss ergänzende Indizien vorlegen, die für eine Sorgfaltspflichtverletzung sprechen. Das wird der Bank in der Regel doch erhebliche Schwierigkeiten bereiten.
Verzichtet man als Kontoinhaber auf Vorsichtsmaßnahmen und wird einem vor Gericht ein grob fahrlässiges Verhalten nachgewiesen, entfällt der Ersatzanspruch.
Online-Banking-Betrug: anwaltliche Hilfe unabdingbar
Ist man Opfer eines Online-Banking-Betrugs geworden, sollte man umgehend die Polizei informieren. Diese wird die strafrechtliche Relevanz ermitteln und ggf. Beweise sichern. Zusätzlich ist es empfehlenswert, einen Anwalt zu kontaktieren, der auf Internetbetrug spezialisiert ist. Dieser prüft Rückzahlungsansprüche und unterstützt bei der gerichtlichen Durchsetzung.
Welche Methoden wenden die Täter an, um an Ihre Daten zu kommen?
Die Cyberkriminellen benutzen eine Vielzahl von Methoden, um an Ihre Bankdaten zu kommen. Die populärsten Methoden sind das Phishing und das Skimming.
Was ist Phishing?
Das sog. Phishing ist ein Oberbegriff für den vielfältigen Datendiebstahl im Internet. Der Begriff ist eine Kombination aus den Begriffen „password“ und „fishing“.
Dabei versuchen Cyberkriminelle, beispielsweise über gefälschte E-Mails oder Fake-Websites an Ihre persönlichen Kartendaten zu kommen. Die Täter versuchen, durch das Phishing auch an Login-Daten und TANs für das Online-Banking zu gelangen.
Das Phishing kann teilweise schwer erkannt werden, weil die Täter mittlerweile hoch professionell vorgehen und gefälschte E-Mails und Websites nur noch schwer von authentischen und echten E-Mails und Websites zu unterscheiden sind. Achten Sie darüber hinaus darauf, dass Sie keine Links zum Login aus E-Mails Ihrer angeblichen Bank folgen. Immer häufiger kopieren Betrüger Webseiten, um dort an Ihre Login-Daten zu kommen.
Dieselbe Masche gibt es mittlerweile leider auch bei Webseiten im Allgemeinen. Vertippen Sie sich beispielsweise bei der Eingabe der Browser-Seite, könnten Sie auf kopierten Webseiten von Anbietern wie Amazon oder Otto landen. Die Betrüger bauen die Webseiten dabei komplett nach. Wenn es allerdings um die Bezahlung geht, erhalten Sie nicht etwa Ihre Ware. Stattdessen werden Ihre Kreditkartendaten gestohlen. Experten raten daher, die Webadresse vor dem Verkauf noch einmal zu kontrollieren und besonders auf die https-Verschlüsselung im Browser zu achten. So können Sie Phishing effektiv verhindern und sich selbst schützen.
Was ist Skimming?
Das sog. Skimming ist eine Form des Datendiebstahls ohne einen Bezug zum Internet. Die Täter manipulieren dabei Geldautomaten, um an Ihre Kartendaten zu gelangen. Die Geldautomaten sind so manipuliert, dass die Daten von Ihrer Karte gelesen und kopiert werden. Das Geldabheben funktioniert dann meist nicht. Ihre Daten sind aber dennoch verloren. Gleichzeitig sind oft versteckte Kameras angebracht, die Sie bei der Eingabe Ihrer PIN filmen. Im schlimmsten Fall können so sowohl Ihre Kartendaten als auch Ihre PIN ausgelesen und missbraucht werden. Generell sollten Sie nur Geldautomaten nutzen, die sich innerhalb einer Bankfiliale befinden. Das erhöht die Sicherheit bei der Abhebung und schützt Sie auch vor Skimming.
Weitere Methoden, um an Ihre Daten zu kommen
Eine neue Form des Betrugs ist etwa das sog. „Romanian Loop“. Dabei wird der Geldautomat so manipuliert, dass er die Karte nicht mehr ausspuckt. Ein angeblicher Helfer von der Bank bittet Sie daraufhin, noch einmal die PIN einzugeben. Statt damit zu helfen, soll allerdings nur die Geheimzahl ausspioniert werden. Sobald Sie den Automaten verlassen, sichern sich die Betrüger die Karte und können damit auf Einkaufstour gehen.
Auch das sogenannte „Cash Trapping“ wird immer häufiger zum Problem. Dabei handelt es sich um eine Manipulation des Geldautomaten. Die Betrüger bauen eine spezielle Vorrichtung ein, die das Auszahlen des Geldes verhindert. Als Kunde haben Sie den Eindruck, dass es sich um eine Störung handelt. Tatsächlich wird das Geld nur aufgehalten. Sobald Sie den Geldautomaten verlassen haben, sichern sich die Betrüger das Geld, indem sie die Vorrichtung wieder abbauen.
Als klassische Tricks haben sich zudem zwei weitere Methoden etabliert. Immer wieder spielen Betrüger als Team: Eine Person lässt zufällig neben dem Geldautomaten Geld fallen und baut auf Ihre Hilfsbereitschaft. Wenn Sie sich bücken, wird entweder Ihre Karte oder das bereits ausgezahlte Geld von einer zweiten Person gestohlen. Auf einem ähnlichen Muster basieren vorgespielte öffentliche Funktionen. Teilweise geben sich Betrüger als Polizisten oder Bankmitarbeiter aus und wollen angeblich helfen. Eine zweite Person spielt dann oft den „Verbrecher“, der vertrieben wird. Der angebliche Polizist oder Bankmitarbeiter stiehlt dann entweder die Karte oder Ihre sensiblen Daten, wenn Sie gerade nicht aufpassen.
