Mit 150 Transaktionen an einem Wochenende räumen Kriminelle das Konto eines Sparkassen-Kunden leer. Seine Bank will er nun verklagen, weil diese den Betrug nicht verhindert hätte - dabei gab er selbst den Tätern seine Daten preis.

Von Joachim Mölter

Mit welchem Namen sich der angebliche Mitarbeiter der Stadtsparkasse bei ihm am Telefon vorgestellt hat, weiß Karsten D. nicht mehr. Es könne schon sein, dass sich der Mann als "Herr Nowak" ausgegeben hat. Das ist "der klassische Name, den die Betrüger gern nutzen", hat Antonia R. im vorigen Sommer verraten, in einem Podcast der Stadtsparkasse München. Sie ist dort für Betrugsprävention zuständig, ein sensibler Bereich, weshalb sie ihren vollen Namen nicht genannt haben wollte. Eine Viertelstunde hat die Frau damals über Betrugsmaschen beim Online-Banking erzählt und aufgeklärt.

Es sind eher jüngere Menschen, die Podcasts hören. Karsten D. ist jenseits der 70, er hat ihn wohl nicht mitbekommen. Womöglich hat er auch die E-Mails übersehen, die die Stadtsparkasse allen Kunden jährlich einmal ins elektronische Postfach stellt, um sie vor den neuesten Tricks der Online-Betrüger zu warnen. Karsten D. wurde jedenfalls an einem Freitag Anfang Dezember angerufen, am Montag darauf waren seine Konten bei der Stadtsparkasse leer geräumt.

469 Anzeigen wegen Onlinebanking-Betrugs hat die Münchner Polizei 2022 aufgenommen, der finanzielle Schaden summierte sich auf rund 1,5 Millionen Euro. Knapp ein Zehntel entfiel auf einen einzigen Fall, den von Karsten D. - 143 102,18 Euro wurden ihm gestohlen. Das Geld will er nun von der Stadtsparkasse zurück, aber die findet, D. sei selbst schuld an dem Verlust: Er habe grob fahrlässig gehandelt.

Vieles an dem Fall ist typisch für Onlinebanking-Betrug: erst der Anruf eines vermeintlichen Bankmitarbeiters, dann eine SMS aufs Handy mit einem Link. Wenn man den anklickt, werden in der Regel Zugangsdaten abgefragt wie Nutzername, PIN, Bankkartennummer, Geburtsdatum. Und damit gibt man den Betrügern alle Schlüssel zum Konto in die Hand: Sie können dann alles mögliche anstellen. Im Fall von Karsten D. haben sie Geld, das er bereits ans Finanzamt überwiesen hatte, wieder zurückbeordert und später zu ihren Gunsten abgebucht; auch sein Tageslimit für Überweisungen haben sie dem Anschein nach hinaufgesetzt. Antonia R. hat im Podcast gewarnt, auf Links zu klicken, die angeblich von einer Bank stammen; auch das Sparkassen-Vorstandsmitglied Bernd Hochberger hat das in einer späteren Folge getan.

Karsten D. hat trotzdem draufgeklickt, als er eine SMS erhielt. "Ich wache manchmal schweißgebadet auf und schimpfe auf mich selber, dass ich das getan habe", sagt er. Aber er habe sich "in der Obhut der Bank gefühlt": Im Display seines Handys sei die Telefonnummer der Stadtsparkasse erschienen, der Anrufer habe den Namen seiner Kundenbetreuerin gekannt und genannt; er habe auf eine Aktualisierung des Push-Tan-Verfahrens hingewiesen, das man braucht, um online Bankgeschäfte zu erledigen, und dass er deswegen gleich eine SMS mit einem Link schicke: "Auch bei der SMS hat die Sparkasse als Absender gestimmt", sagt Karsten D. Also habe er den Link weitergeleitet - aber nicht zurück zur Bank, sondern direkt zu den Betrügern.

"Natürlich trage ich eine Mitschuld"

"Es ist nicht schwierig, die Anzeige von Telefonnummern zu manipulieren", sagt ein Cybercrime-Spezialist der bayerischen Polizei, der anonym bleiben will. Man brauche kein großes Wissen für das sogenannte "Spoofing", entsprechende Programme gibt es im Darknet zu kaufen, dem Schwarzmarkt des Internets. Der Ermittler weiß auch: "Wenn falsche Bankmitarbeiter anrufen, haben sie meistens schon bestimmte Daten erlangt. Dadurch, dass die Täter schon so viel wissen, ist das Vertrauen ihrer Opfer sehr groß."

So wie bei Karsten D. "Natürlich trage ich eine Mitschuld", räumt er ein. Auf Bitte des vermeintlichen Bankmitarbeiters um Verifizierung seiner Person habe er sein Geburtsdatum und die Bankkartennummer genannt. Aber "ich habe keine Zugangsdaten zu meinem Konto herausgegeben, keinen User-Namen, kein Passwort. Das müssen die Täter anders bekommen haben". Dass er grob fahrlässig gehandelt habe, findet er jedenfalls nicht - das wirft er vielmehr der Stadtsparkasse vor. Dort hätten die ungewöhnlichen Transaktionen von seinen Konten zwischen Freitag- und Sonntagabend auffallen müssen, findet er: 150 Einzelüberweisungen auf ein und dasselbe Empfängerkonto, mit nahezu den gleichen Verwendungszwecken, alle Beträge knapp unterhalb von 1000 Euro.

Karsten D. ist zwar im Rentenalter, aber er arbeitet noch - als selbstständiger Software-Entwickler programmiert er Großrechner. Daher glaubt er, dass die Software der Stadtsparkasse bei den Überweisungen von seinen Konten Alarm hätte schlagen müssen: "So einen Algorithmus, der das verhindert, hätte ich in kürzester Zeit schreiben können."

13 Überweisungen innerhalb einer Minute

Die Software hat indes nicht verhindert, dass von D.s Konten immer wieder in kurzen Zeiträumen ein Dutzend Überweisungen und mehr veranlasst wurden. So zum Beispiel am Freitag, 2. Dezember, zwischen 23.16 und 23.35 Uhr 15 Stück zwischen 980,00 und 999,92 Euro. Oder am Samstag innerhalb von 50 Minuten 29 Stück zwischen 996,74 und 997,97 Euro. Das Ganze endete am Sonntagabend, als innerhalb von einer Minute, um 20.31 Uhr, 13 Beträge überwiesen wurden - zwischen 990,19 und 996,33 Euro. Auf diese Weise kamen durch 120 Überweisungen 118 359,92 Euro von D.s Geschäftskonto weg und durch 30 Transaktionen 24 742,26 Euro von seinem Privatkonto. "Da war auch ein Teil meiner Rente dabei", sagt er.

Einer seiner Freunde sitze im Aufsichtsrat einer Bank, "er hat mir erzählt, bei ihm wäre das Ganze nach drei Überweisungen gestoppt worden", sagt Karsten D. Auch der Cybercrime-Ermittler der Polizei findet: "Eine gut programmierte Bankensoftware müsste erkennen, dass 150 Transaktionen auf ein Konto keinen Sinn machen. Das könnte man auch mit fünf Überweisungen erledigen. Das müsste auf jeden Fall überprüft werden." Er wundert sich, dass die Empfängerbank in Baden-Württemberg ebenfalls nicht auf die ungewöhnlichen Geldeingänge reagierte. Denn er weiß: "Die Täter sind so schnell, dass das Geld nicht mehr zurückgeholt werden kann." Das von Karsten D. war jedenfalls am Montag bereits weitergebucht, auf ein Konto in Hongkong: "Und dort sind sie an einer Zusammenarbeit mit der deutschen Polizei nicht interessiert."

Aber warum Geld zurückholen, das man gar nicht abgeben muss? In §25 des Kreditwesengesetzes heißt es: "Kreditinstitute müssen (...) Datenverarbeitungssysteme betreiben, um (...) Transaktionen im Zahlungsverkehr zu erkennen, die Anhaltspunkte für Geldwäsche, Terrorismusfinanzierung und sonstige strafbare Handlungen aufweisen." Eine signifikante Zahl von gleichartigen Transaktionen innerhalb eines begrenzten Zeitraums könnte nach Einschätzung der Bundesanstalt für Finanzdienstleistungsaufsicht ein solches Indiz sein. Grenzwerte für eine Verdachtskontrolle seien aber nicht vorgegeben: "Diese werden vielmehr durch die Institute festgelegt."

Die angebotene Entschädigung reicht Karsten D. nicht

Bei der Stadtsparkasse wird der Kontrollmechanismus allem Anschein nach bei 1ooo Euro ausgelöst; dass die Täter in seinem Fall diese Grenze offensichtlich kannten, ist für Karsten D. ein Indiz für ein mögliches Datenleck in der Bank. Auf Anfrage der SZ wollte eine Sprecherin der Stadtsparkasse unter Verweis auf Bank- und Betriebsgeheimnisse keine Auskunft geben zu Details der Software-Programmierung oder der Anzahl der Schadensfälle. Bei Karsten D. suche die Stadtsparkasse "eine für beide Seiten passende Lösung".

Eine bislang auf Kulanzbasis angebotene Entschädigung ist Karsten D. zu wenig, er hat einen Anwalt eingeschaltet, den auf Bankrecht spezialisierten David Ritschel. Die Rechtslage basiert derzeit auf einem Hinweisbeschluss des Oberlandesgerichts München vom 22. September 2022, Aktenzeichen 19 U 2204/22: Darin gilt jede Herausgabe von Bankdaten per se als grob fahrlässig. "Ich glaube nicht, dass man das so pauschal behaupten kann", sagt Ritschel. "Ein Mitverschulden der Bank aufgrund fehlender Systemsicherheit ist denkbar." Sein Mandant ist kämpferisch: "Ich bin bereit zu prozessieren."