Phishing: Wer zahlt beim Angriff auf das Konto?

Wenn Betrüger das Konto plündern, springen manche Hausratversicherer ein. Doch die meisten Kunden haben keine solchen Verträge - und das kann teuer werden.

Für den Bankkunden in den 60ern war Online-Banking schon lange eine Selbstverständlichkeit. Umso ärgerlicher, dass er seit Tagen technische Probleme hatte mit dem Zugang zu seinen Konten bei einer Bank in Köln. Er hatte mehrfach mit dem Support telefoniert. Deshalb wunderte er sich nicht, als er eine SMS von der Bank erhielt mit dem Hinweis, jetzt könne man seine Probleme lösen. Er klickte auf einen Link und gab wie gewünscht seine Telefonnummer an. Minuten später klingelte das Telefon. Ein freundlicher und kompetent wirkender Herr teilte ihm mit, er werde jetzt zusammen mit dem Bankkunden alle bestehenden Probleme lösen.

In den nächsten Minuten konnte der Angreifer - denn darum handelte es sich - mehrere Tausend Euro vom Konto stehlen. Das Geld war weg. Weder Bank noch Versicherung wollten den Schaden übernehmen. Der Mann hatte grob fahrlässig gehandelt. Seine damalige Versicherungspolice deckte solche Angriffe nicht ab.

Offenbar hatten die Verbrecher ihre SMS breit gestreut und darauf gesetzt, dass es immer Bankkunden gibt, die Zugangsprobleme haben. Das hat funktioniert.

Phishing-Mails oder SMS gehören zu den beliebtesten Angriffswerkzeugen von Betrügern, um sich Zugang zu den Konten ihrer Opfer zu verschaffen. Häufig nutzen sie auch Anrufe, die ihre Empfänger unter erfundenem Vorwand dazu bringen sollen, ihre Bankdaten bei einer gefälschten Login-Seite anzugeben.

Noch raffinierter ist das sogenannte Pharming. Dabei verschaffen sich die Betrüger direkt Zugang zum Laptop, Handy oder Tablet des Nutzers und leiten ihn auf eine täuschend echt aussehende, aber gefälschte Bank-Website. Während sich das unwissende Opfer also vermeintlich bei seinem Online-Banking anmeldet, erbeuten die Betrüger im Hintergrund die Zugangsdaten.

Neben Phishing und Pharming gibt es eine Vielzahl weiterer Maschen, mit denen Kriminelle die Banking-Zugänge ihrer Opfer kapern. Sie alle eint der schlimme Ausgang für die Opfer: Das Konto ist am Ende teilweise oder sogar ganz leer geräumt. Nach dem ersten großen Schock stellt sich für Betroffene schnell die Frage, ob und wie sie ihr Geld zurückbekommen. Meistens ist das nicht einfach.

Grobe Fahrlässigkeit nimmt Banken aus der Verantwortung

Zwar sind Banken per Gesetz grundsätzlich dazu verpflichtet, ausschließlich vom Kunden autorisierte Zahlungsvorgänge auszuführen und unrechtmäßige Abbuchungen zurückzuerstatten. Allerdings kann die Bank das verweigern, wenn sie auf grobe Fahrlässigkeit des Kunden plädiert. In einem solchen Fall muss sie nicht für den Verlust aufkommen.

Das Landgericht Köln urteilte 2019, dass die Weitergabe einer TAN am Telefon grob fahrlässig ist. Es gibt zahlreiche ähnliche Urteile. Wenn ein Betrüger sich also als Mitarbeiter einer Bank ausgibt und der Kunde ihm über das Telefon seine TAN mitteilt, ist der Kunde für den entstandenen Schaden selbst verantwortlich. "In einem solchen Fall gibt es keine Aussichten, sich mit der Bank zu einigen", sagt Jasper Prigge, Fachanwalt für IT-Recht. Seine Kanzlei bearbeitet eine Vielzahl von Anfragen zu Betrug beim Online-Banking. Meist geht es für seine Mandanten dabei um Schadensummen im fünf- bis sechsstelligen Bereich.

Nicht immer gewinnt die Bank den Rechtsstreit. So gab das Landgericht Köln im Januar dieses Jahres einem Kläger recht, der 14 000 Euro von seiner Bank zurückgefordert hatte. Das Argument: Die Kriminellen hatten sogar die Telefonnummer der Bank gekapert. Der Kunden habe somit keine Chance gehabt, den Betrug zu erkennen.

Verbraucherschützer David Riechmann erlebt die Banken und Sparkassen als wenig kulant. "Die Kreditinstitute verweisen meist ziemlich schnell darauf, dass sie keine Schuld am Verlust haben", sagt der Jurist und Bankenexperte der Verbraucherzentrale NRW. Will der Kunde sich gegen den Vorwurf der groben Fahrlässigkeit wehren, muss er ihn selbst entkräften.

Das ist in der Praxis oft schwer, weil die Betrugssituation genau rekonstruiert werden muss. Kommt es zu einem Prozess, seien die Betrugsopfer zudem oft in der schwächeren Position, kritisiert Riechmann. "Wenn das Konto leer ist und Rechnungen bezahlt werden müssen, einigt man sich mit der Bank schneller auf einen vielleicht ungerechtfertigten Vergleich."

Die Europäische Kommission hat im vergangenen Jahr einen Vorschlag zur Novellierung der Zahlungsdienstleister-Richtlinie gemacht. Damit könnten Banken und Sparkassen künftig stärker in Haftung genommen werden. Der Branchenverband Deutsche Kreditwirtschaft lehnt den Vorschlag entschieden ab. "Kreditinstitute müssten damit für etwas haften, was außerhalb ihrer Kontrolle liegt", teilte der Verband mit. Außerdem könne der Anreiz für Kundinnen und Kunden abnehmen, sich vorsichtig zu verhalten.

Hausratpolicen unterscheiden sich deutlich

Wenn die Bank nichts vom Schaden oder nur einen Teil übernimmt, können Betroffene es bei ihrem Versicherer versuchen. Wer eine Hausratpolice abgeschlossen hat, bekommt seinen Verlust unter Umständen bis zu einer bestimmten Summe ersetzt. Das gilt jedoch nur für modernere Tarife, die einen Cyberschutz-Baustein beinhalten, betont Philipp Opfermann, Versicherungsexperte bei der Verbraucherzentrale NRW. Er empfiehlt Versicherten, ihren Schutz regelmäßig auch daraufhin zu überprüfen.

Die Policen unterscheiden sich deutlich. Der Versicherer Ergo ersetzt den Kunden seiner normalen Hausratspolice 1500 Euro pro Betrugsfall. Eine maximale Schadensumme pro Jahr gibt es nicht. Voraussetzung für eine Zahlung des Versicherers ist, dass der Betrug bei der Polizei und der Bank des Kunden gemeldet wurde. Die Ergo kommt dann für den Teil auf, den die Bank nicht übernommen hat.

Oft müssen Versicherte auch einen teureren Tarif abschließen oder einen speziellen Baustein dazukaufen, damit der Online-Betrug in ihrer Police abgesichert ist. Beim Komfort-Hausrattarif der Allianz beispielsweise ist ungewollter Zahlungsverkehr durch Phishing oder Pharming bis maximal 10 000 Euro pro Fall abgesichert.

Der Zusatzbaustein Internet-Schutz der Gothaer umfasst 15 000 Euro Schutz pro Jahr. Die Deckung ist dabei auf maximal drei Versicherungsfälle im Jahr begrenzt. Doch Kunden sollten bei diesen Bausteinen genau hinschauen: Der sogenannte Internet-Schutz der Axa bietet zwar Hilfe bei Online-Mobbing und Disputen mit Online-Händlern, beinhaltet jedoch keine Deckung für Vermögensschäden durch Betrüger, die Konten leer räumen. Eine solche Absicherung müssen Axa-Kunden an andere Stelle dazubuchen.

Wer sich für einen potenziellen Rechtsstreit mit seiner Bank wappnen will, kann über den Abschluss einer Rechtsschutzversicherung nachdenken.

Versicherer verkaufen auch spezielle Cyberversicherungen. Für Privatpersonen seien solche Policen fast immer überflüssig, findet Verbraucherschützer Opfermann. Statt eine Cyberpolice zu kaufen, sollten Kunden besser ihre bestehenden Verträge erweitern oder in ein gutes Anti-Virusprogramm investieren. Bankenexperte Riechmann empfiehlt, immer skeptisch zu bleiben und sich regelmäßig über aktuelle Betrugsmaschen zu informieren. "Zwar kennen viele Menschen heutzutage die gängigen Phishing-Methoden und sind bei auffälligen Mails und Anrufen vorsichtig", beobachtet er.

Doch bei neueren Zahlungsmethoden wie Apple Pay seien die Leute nicht so wachsam. Gerade dort habe sich in den vergangenen Jahren eine neue Angriffsfläche gebildet. "Immer mehr Menschen hinterlegen ihre Karte digital auf ihrem Handy, wittern hier allerdings keine Gefahr", warnt der Verbraucherschützer.

Ein moderner Phishing-Angriff kann wie folgt aussehen: Eine Frau bestellt etwas im Internet und bekommt ein paar Tage später die Nachricht, sie müsse noch Zollgebühren zahlen. Dafür soll sie eine Zahlungsmethode auswählen. Sie entscheidet sich für Apple Pay. Die Betrüger greifen ihre Daten ab, hinterlegen die Kreditkarte der Frau in einem eigenen Handy und können sie nun problemlos für ihre Zwecke nutzen. Ein solches Vorgehen zeigt laut Riechmann auch, dass sich der Fokus der Kriminellen in den vergangenen Jahren verändert hat. "Ziel der Betrüger ist es mittlerweile oft nicht mehr, nur einzelne Überweisungen auszuführen, sondern gleich das ganze Konto zu kapern."