Phishing – Haftung der Banken: Juristischer Überblick und praktische Tipps

Im Zeitalter der Digitalisierung wird der Schutz persönlicher Daten immer wichtiger. Nicht nur Einzelpersonen, sondern auch Banken und andere Finanzinstitutionen geraten immer häufiger ins Visier von Cyberkriminellen. Besonders die Methode des Phishings ist hierbei eine der bekanntesten und am weitesten verbreiteten Angriffstechniken. Doch wer haftet eigentlich, wenn es zu einem Phishing-Angriff kommt und Konten geplündert werden? In diesem Artikel möchte ich, als beratender Fachanwalt für IT-Recht, Ihnen einen Überblick über die rechtliche Lage im Bereich „Phishing – Haftung der Banken“ geben und Ihnen Tipps zur Risikominimierung an die Hand geben.

Update 01.11.2023 – ChatGPT sorgt für exponentiellen Anstieg von Phishing-Angriffen

Laut dem SlashNext State of Phishing Report 2023 ist die Zahl böswilliger Phishing-E-Mails im letzten Jahr um 1265 Prozent gestiegen. Dies ist ein deutliches Zeichen für eine neue Ära der Cyberkriminalität, in der KI-gestützte Tools zum Erstellen von ausgefeilten Phishing-E-Mails eingesetzt werden.

Die Studie ergab, dass es durchschnittlich 31.000 Phishing-Angriffe pro Tag gab, von denen 68 % als textbasierte Business Email Compromise (BEC) identifiziert wurden. BEC ist eine Art Phishing-Angriff, bei dem sich Angreifer als Mitarbeiter eines legitimen Unternehmens ausgeben, um Opfer dazu zu bringen, vertrauliche Informationen oder Geld zu überweisen.

Die Analyse von SlashNext umfasste Threads, die über E-Mail-, Mobil- und Browser-Kanäle im 12-Monatszeitraum vom vierten Quartal 2022 bis zum dritten Quartal 2023 übermittelt wurden.

Die Ergebnisse des Berichts sind ein Weckruf für Unternehmen und Verbraucher. Es ist wichtig, sich der zunehmenden Bedrohung durch Phishing-Angriffe bewusst zu sein und sich vor ihnen zu schützen.

Zusätzliche Erläuterungen:

KI-gestützte Phishing-E-Mails sind schwieriger zu erkennen als herkömmliche Phishing-E-Mails. KI-Tools können verwendet werden, um E-Mails zu erstellen, die den Stil und die Formatierung legitimer E-Mails imitieren. Dadurch ist es für Opfer schwieriger, zu erkennen, dass es sich um eine Phishing-E-Mail handelt.

BEC-Angriffe sind eine besonders gefährliche Art von Phishing-Angriff. Bei BEC-Angriffen geben sich Angreifer als Mitarbeiter eines legitimen Unternehmens aus, um Opfer dazu zu bringen, vertrauliche Informationen oder Geld zu überweisen.

Was ist Phishing und wie funktioniert es?

Grundlagen des Phishing-Angriffs

Bevor wir uns der Haftungsfrage widmen, sollten wir zunächst klären, was Phishing eigentlich ist. Unter Phishing versteht man den Versuch, an sensible Daten wie Passwörter, Kreditkarteninformationen oder Kontodaten zu gelangen, indem man sich als vertrauenswürdige Institution ausgibt. Diese Angriffe erfolgen häufig über E-Mails, die scheinbar von Ihrer Bank oder einem anderen Finanzdienstleister stammen und in denen Sie aufgefordert werden, persönliche Informationen preiszugeben oder auf einen Link zu klicken.

Erkennungsmethoden

Es gibt verschiedene Methoden, um Phishing-Angriffe zu erkennen. Einige der häufigsten Anzeichen sind Rechtschreib- und Grammatikfehler, die Verwendung einer allgemeinen Anrede wie „Sehr geehrter Kunde“ anstelle Ihres Namens, sowie URL-Adressen, die nicht mit der offiziellen Webseite der Bank übereinstimmen.

Haftung der Banken bei Phishing

Gesetzliche Grundlagen

Die Haftung der Banken bei Phishing ist in Deutschland primär im Bürgerlichen Gesetzbuch (BGB) geregelt. Gemäß § 675u BGB haftet die Bank grundsätzlich nicht für nicht autorisierte Zahlungsvorgänge, sofern der Kunde seine Sorgfaltspflichten verletzt hat. Dies bedeutet in der Praxis, dass die Banken oft versuchen werden, dem Kunden eine Mitschuld am Phishing-Angriff zuzuschreiben.

Urteile und Rechtsprechung

Es gibt jedoch auch Gerichtsurteile, die zu Gunsten der Kunden entschieden wurden. So hat beispielsweise der Bundesgerichtshof (BGH) entschieden, dass die Banken eine erhöhte Sorgfaltspflicht haben, wenn es um Phishing-Angriffe geht. Dies bedeutet, dass die Banken in vielen Fällen dazu verpflichtet sind, ihre Kunden vor Phishing-Angriffen zu schützen und entsprechende Sicherheitsmechanismen einzurichten.

Tipps zur Risikominimierung

Für Banken

Als beratender Fachanwalt für IT-Recht rate ich Banken dringend dazu, ihre Kunden aktiv über die Risiken von Phishing zu informieren und entsprechende Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung einzuführen.

Für Kunden

Für Kunden empfehle ich, stets wachsam zu sein und keine sensiblen Informationen per E-Mail oder Telefon preiszugeben. Überprüfen Sie immer die URL und achten Sie auf das Vorhandensein eines Sicherheitszertifikats.

Einige aktuelle Urteile Haftung der Banken bei Phishing

Hier sind einige aktuelle Urteile zur Haftung der Banken bei Phishing:

  1. Amtsgericht München: Die Weitergabe einer TAN in einem Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit, so dass eine Bank nicht verpflichtet ist, das über Phishing ergaunerte Geld zu erstatten1.
  2. Landgericht Osnabrück: Das Landgericht Osnabrück hat in einem Strafverfahren wegen des gewerbs- und bandenmäßigen Computerbetruges mittels “mTAN-Phishing” und weiterer Delikte die Täter zu mehrjährigen Haftstrafen verurteilt1.
  3. Landgericht Oldenburg: Das Landgerichts Oldenburg hat eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den ein Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hatte1.
  4. Kammergericht Berlin: Das Kammergericht Berlin hat entschieden, dass eine Bank 70 Prozent Mitschuld nach einer Phishing-Attacke auf Onlinebanking-Kunden trägt1.
  5. Landgericht München II: Das Landgericht München II hat entschieden, dass Kreditinstitute bei Phishing nicht zwangsläufig für den dabei entstandenen Schaden haften müssen2.
  6. Landgericht München: Eine Bank muss nach einem Phishing-Fall nicht 20.000 Euro ersetzen. Die Klägerin habe fahrlässig gehandelt, meint das Gericht3.
  7. Münchner Landgericht: Die Bank muss den Schaden nur teilweise ersetzen4.

Phishing – Haftung der Banken: Wie verhalte ich mich im Schadensfall?

Wenn Sie feststellen, dass Geld von Ihrem Konto abgebucht wurde, ohne dass Sie eine Transaktion veranlasst haben, sollten Sie folgende Schritte unternehmen:

  • Informieren Sie Ihre Bank sofort und sperren Sie Ihr Konto oder Ihre Karte. Dies verhindert weitere Abbuchungen und erleichtert die Rückbuchung.
  • Erstellen Sie eine schriftliche Schadensmeldung an Ihre Bank. Darin sollten Sie den Sachverhalt schildern, den Betrag und das Datum der Abbuchung angeben und die Erstattung des Schadens verlangen.
  • Erstatten Sie Anzeige bei der Polizei. Dies ist wichtig, um den Betrug zu dokumentieren und möglicherweise die Täter zu ermitteln.
  • Bewahren Sie alle Beweise auf. Dazu gehören E-Mails, Websites, Telefonprotokolle oder Kontoauszüge, die mit dem Phishing in Verbindung stehen.

Technische Maßnahmen zur Phishing-Abwehr

1. Domain-based Message Authentication (DMARC): Diese Technik hilft, gefälschte E-Mail-Absender zu erkennen und abzuwehren.

2. Monitoring von E-Mail und Messaging: Überwachung des internen Netzwerkverkehrs auf ungewöhnliche Aktivitäten.

3. Einsatz von Multifaktor-Authentifizierung (MFA): Eine zusätzliche Sicherheitsebene, die über Benutzername und Passwort hinausgeht.

4. Externer Zugang nur per VPN: Sichere externe Verbindungen zum internen Netzwerk.

5. Malwareschutz: Einsatz von Virenschutz und weiteren Sicherheitsmaßnahmen an Gateways und Firewalls.

6. Keine privilegierten Berechtigungen für Benutzer: Beschränkung der Zugriffsrechte auf das Notwendigste.

7. Ausschließlicher Einsatz zugelassener Anwendungen: Nur geprüfte und freigegebene Anwendungen verwenden.

Sparkasse Phishing 2023

Comdirect Phishing 2023

Schutz vor Sparda-Bank Phishing: Ein rechtlicher Leitfaden

Schutz vor Targobank Phishing – Haftung der Banken

ING Phishing – Was kann ich als Betroffener tun?

Commerzbank Phishing 2023 – Haftung der Banken

Volksbank Phishing: Mail und Phishing-SMS 2023

Postbank Phishing: Betrugs-Mails und Betrugs-SMS 2023 – Fake und Spam

DKB Phishing – Haftung der Banken

Fazit Phishing – Haftung der Banken

Die Frage der Haftung der Banken bei Phishing ist komplex und hängt von vielen Faktoren ab. Banken und Kunden sollten gleichermaßen ihre Sorgfaltspflichten wahrnehmen, um das Risiko von Phishing-Angriffen zu minimieren. Als Fachanwalt für IT-Recht kann ich nur empfehlen, sich bei Unsicherheiten rechtlich beraten zu lassen, um im Ernstfall gut aufgestellt zu sein.

Ich hoffe, dass dieser Artikel Ihnen einen hilfreichen Überblick über die rechtliche Lage im Bereich „Phishing – Haftung der Banken“ geben konnte und dass Sie nun besser informiert sind, wie Sie sich vor Phishing-Angriffen schützen können.

Erfahrungen mit Phishing – Betroffene berichten (Letztes Update 30.10.2023)

Opfer von Phishing-Angriffen berichten von ihren Erfahrungen mit dem Betrug. Echte Berichte!

Letzte Woche ist mir durch einen betrügerischen Telefonanruf, der mir suggerieren sollte, dass mich meine Bank anruft, mein gesamtes Konto leergeräumt worden. Angeblich würde jemand gerade versuchen mehr Geld von meinem Konto zu überweisen als drauf ist. Der angebliche Bankmitarbeiter hätte diese Überweisung erst einmal gestoppt und wollte wissen, ob ich selbst diese Überweisung gemacht hätte. Ich habe dies verneint.

Der Mitarbeiter meinte dann, dass wir nun schnellstmöglich das Konto sperren müssten und ich mich deshalb verifizieren müsste. Ich habe aber in dem Telefonat keine Login Daten preisgegeben, die lagen den Betrügern wohl schon vor (wobei mir schleierhaft ist, woher sie diese Daten haben können). Allerdings habe ich meine mTan weitergegeben, wodurch sie das Geld auf ein anderes Konto überweisen konnten. Ich habe daraufhin am nächsten Tag meine Bank darüber informiert, bei der Polizei Strafanzeige gestellt und mein Konto sperren lassen. Nun weigert sich die Bank für den Schaden aufzukommen, wirkt aber auch ansonsten überfordert mit der Situation und sehr desinteressiert.

Ich habe seitdem mit etwa 8 verschiedenen Mitarbeitern der Bank gesprochen und die Mitarbeiterin meiner Filiale scheint weder große Lust sich dem ganzen anzunehmen, noch Ahnung zu haben. Ich habe noch immer keinen neuen Zugang zu meinem Konto und das scheint sich auch noch zu ziehen. Außerdem scheint meine Bank bei der anderen Bank, zu der das Geld transferiert wurde, keinen Druck zu machen, da es bisher keine Rückmeldung von dieser gibt. Ist so ein Verhalten normal und muss ich mir das gefallen lassen? Wir haben auch unsere Hausratversicherung mit dem Fall betreut, diese will aber auch nicht für einen Teil des Schadens aufkommen, da die Daten nicht durch eine Mail „abgefischt“ wurden.

Leidensweg einer Betroffenen Phishing 2023

Ich habe vor einer Woche eine SMS erhalten mit einem Link, ich solle mein Kontostand prüfen, denn mein Konto wird mit ca. 500€ belastet. Ich hab den Link angeklickt und konnte feststellen, dass es eine verdächtige Bankseite war. Dann habe ich die Seite zugemacht und mein Onlinebanking-App geprüft.

Da schien alles in Ordnung zu sein. Daraufhin habe ich der Bank per App eine Nachricht geschrieben, ich hätte eine verdächtige SMS bekommen und sie sollen bitte keinerlei Abzüge erlauben, hab ebenso die Telefonnummer mitgeteilt von der die SMS stammte. Ein Tag später wurde mein ganzes Guthaben vom Konto abgebucht + Dispo + Kreditkarte. Jetzt habe ich über 500€ Schulden bei der Bank und 1.200€ sind weg. Von der Bank wurde mir zuerst versichert, sie würden die Transaktion stoppen. Am nächsten Tag hat mir ein anderer Mitarbeiter gesagt, dies wäre nicht mehr machbar.

Dann sagten sie mir am Telefon in 14 Tagen erledigt sich des. In der Filiale am selben Tag wurde mir gesagt, ich kriege mein Geld in weniger als 14 Tagen zurück. Letzte Woche Donnerstag sagte mir die zuständige Abteilung am Telefon, ich müsste mind. 20 Tage warten, weil sie zu viele Betrugsfälle haben. Leider schwebt alles in der Luft und ich kann nichts unternehmen – Anzeige wurde bereits erstattet, diese habe ich auch der Bank zukommen lassen. Sie zeigen sich keinerlei bereit, mir weiterzuhelfen, es heißt immer nur ich soll warten. Leider war das mein ganzes Geld.

Ich musste mir für diesen Monat Geld leihen, und es kommen Rechnungen auf mich zu, die bezahlt werden müssen. Ich wusste leider nichts von solchen Betrugsfällen, die Bank hat meine TAN-Nummer einfach an ein fremdes Gerät geschickt – es wurde mir in der Filiale bestätigt, dass sie ein Samsung Galaxy registrieren konnten. Ich habe ein iPhone. Außerdem hat mir ein Filialleiter gesagt, er hätte schon die Identität des Betrügers, diese dürfte er mir aber nicht verraten – völlig in Ordnung, ist mir klar, Datenschutz.

Betrug durch Phishing-SMS – Erfahrung eines Betroffenen


Sie benötigen rechtliche Hilfe bei einem Phishing-Fall?

Schritt 1/2:
Lass dieses Feld leer

Vielen Dank für Ihre Anfrage!

Allerdings ist der Betrag nicht hoch genug, sodass sich eine rechtliche Vertretung für Sie in diesem Fall wirtschaftlich höchstwahrscheinlich nicht lohnen wird. 

Das können Sie dennoch tun:

 



Mussten Sie bereits negative Erfahrungen durch Phishing sammeln? Dann würden Sie auch anderen Betroffenen sehr helfen, wenn Sie das Vorgehen in einem Kommentar beschreiben. Vielen Dank!

Schreiben Sie einen Kommentar

WordPress Cookie Plugin von Real Cookie Banner