Seit dem Jahr 2021 beobachten wir im Rahmen unserer Beauftragung durch Privat- und Geschäftskunden einen sehr starken Anstieg von Fällen mit hohen -teilweise sechsstelligen Schäden- im Zusammenhang mit der Plünderung von Kundenkonten (Onlinebanking). Zumeist werden betrügerische SMS im Namen von Sparkassen, Volksbanken oder anderen Geschäftsbanken verbreitet. Aktuell warnen zum Beispiel die Sparkassen wie folgt:
"Unter verschiedenen pushTAN- bzw. pushTAN 2.0-bezogenen Vorwänden wird versucht, Sie zum Aufruf einer betrügerischen Web-Seite (Phishing-Seite) zu bewegen. Dort werden Ihre Online-Banking-Zugangsdaten, ihr Geburtsdatum sowie die Daten Ihrer Sparkassen-Card erfragt. Eine namentliche Anrede erfolgt nicht.
VORSICHT: Bitte geben Sie keine Daten auf den Phishing-Seiten ein. Ihre Daten könnten ansonsten von Betrügern missbraucht werden, z. B., um Sie im Namen Ihrer Sparkasse anzurufen.
Das Computer-Notfallteam der Sparkassen-Finanzgruppe warnt darum dringend vor diesen SMS. Sofern Sie bereits Daten auf den Phishing-Seiten eingegeben haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs umgehend bei Ihrer Sparkasse. Veröffentlicht am 25.05.2022 um 16:29 Uhr"
Teilweise erhalten die Kunden solche SMS von der gleichen Rufnummer, die die Bank tatsächlich für Ihre Mitteilungen nutzt, so dass das Smartphone die gefälschte SMS in dem Ordner mit vergangenen (regulären) SMS der Bank anzeigt. Die Betrüger sind also in der Lage die Absendernummer (Rufnummer-Spoofing) zu manipulieren, was Ihnen die Betrugsmasche stark erleichtert.
Sind die Täter erfolgreich, gelingt es Ihnen teilweise die Guthaben auf den Konten vollständig abzuräumen. Die Opfer selbst sind nach einem erfolgreichen Angriff vom Online-Banking abgeschnitten und erhalten so auch keine Mitteilungen von den Verfügungen. Es kommt teilweise zu hunderten Abverfügungen des immer gleichen Betrages mit dem gleichen Betreff. Die Täter haben dabei offenbar auch Kenntnis von summenmäßigen Schwellenbeträgen, die keinen Verdacht zu erwecken scheinen (z.B. Euro 998,00). Auch bis zu 100 solcher Überweisungen gehen innerhalb von Stunden ggf. ohne Beanstandung durch. Teilweise werden von den Tätern auch mit der Bank vereinbarte Limits aufgehoben, um dann noch schneller zu verfügen. Die Nachverfolgung im Schadensfall verläuft aufgrund des trickreichen Vorgehens unter Ausnutzungen von weiteren Schwächen (z.B. begrenzte IP-Speicherung bei Dritten oder Auslandsbezug) oft im Sande und Banken berufen sich danach auf grobe Fahrlässigkeit der Kunden und verweigern den Ersatz des Schadens.
Nach Auffassung des Frankfurter Fachanwaltes für Bank- und Kapitalmarktrecht Matthias Schröder sind die derzeitigen Angriffe gut gemacht und es verwundert nicht, dass auch im Umgang mit modernen Kommunikationsmitteln durchaus erfahrene und gut ausgebildete Kunden, Opfer werden.
Grundsätzlich lohnt eine rechtliche Prüfung im Schadensfall. Es existiert nach der Rechtsprechung kein Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 3 BGB obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68).
Sollte es in einem Fall zudem noch zu den oben beschriebenen Massenverfügungen kommen, lohnt sich ggf. ein Vorgehen gegen die Bank besonders.
Einigen Instituten gelingt es nämlich durch den Einsatz von Algorithmen solche ungewöhnlichen Überweisungen leicht zu erkennen und sofort zu stoppen. Dies könnte ein Indiz für ein Verschulden einer Bank sein, die solche Anpassungen und Schutzmaßnahmen im Onlinebanking unterlässt.
Neben gesteigerter Vorsicht könnte auch der Abschluss geeigneter Versicherungspolicen (Cybercrime-Schutz etc.) für Verbraucher ratsam sein. Interessant ist, dass die Geschäftsbank ING aktuell Ihren Kunden ein sogenanntes "Sicherheitsversprechen" bei Datenmissbrauch gibt, dass eine Entschädigung vorsieht.