So läuft der Betrug beim Postbank-Onlinebanking ab
Die Täter:innen gehen geschickt vor. Die Betrugsmaschen unterscheiden sich im Detail, grob unterteilen sie sich in zwei Arten:
- Social Engineering: Kund:innen werden geschickt manipuliert, damit sie sicherheitsrelevante Daten preisgeben, dies betrifft etwa 90 % der Taten
- Schadsoftware: Durch Malware wie Trojaner werden Daten ausgespäht, die dann genutzt werden, um z. B. Überweisungen zu veranlassen
Wann muss die Bank den Schaden ersetzen?
Die Postbank muss im Grundsatz für Betrugstaten einstehen, es sei denn, die Kundin bzw. der Kunde hat den Schaden grob fahrlässig verursacht. Optimale Voraussetzungen für die Erstattung haben Sie, wenn Sie das Vorgehen der Täter:innen ermitteln, denn die Strategie gegenüber der Bank ist abhängig von der Art des Betrugs (mehr hierzu siehe unten).
Für die Täter:innen ist es entscheidend, einen Zugriff auf das Konto zu erlangen. Dafür nutzen sie häufig gefälschte E-Mails, die Kund:innen auf eine manipulierte Login-Seite locken. Die Phishing-Mail ist dabei zumeist im Design der Postbank gestaltet.
Ein Beispiel: Im Postfach liege eine neue Nachricht vor. Um das Konto anzuzeigen, solle man auf den folgenden Link klicken.
Geben die Betroffenen ihre Zugangsdaten dort ein, werden diese abgefischt und dafür genutzt, in mehreren Überweisungen das vorhandene Guthaben zu transferieren. Dies geschieht in kürzester Zeit, damit die Betroffenen das Konto nicht rechtzeitig sperren können. Zumeist gehen die Überweisungen ins Ausland, vielfach aber auch zu deutschen Banken, vorzugsweise „Neobanks“ wie der N26.
Teilweise legen die Täter:innen auch virtuelle Kreditkarten bei Google Pay oder Apple Pay an. Mit diesen heben Kompliz:innen dann in Supermärkten oder an Automaten so viel Geld ab, wie möglich. Denn bei diesen Kreditkarten gilt im Unterschied zu „normalen“ EC-Abhebungen kein Limit.
„Sie sind Opfer von Onlinebanking-Betrug? Wir prüfen Ihren Fall. Setzen Sie auf unsere technische und rechtliche Erfahrung.“
Postbank-Konto gehackt: Betrug durch BestSign-App
Das europäische Recht verpflichtet die Banken, bei Zahlungsvorgängen zu einer 2-Faktor-Authentifizierung. Die Postbank nutzt hierfür die hauseigene BestSign-App. Den Kriminellen nutzt ein Zugriff auf das Konto nichts, sie benötigen den zweiten Faktor, um Transaktionen vornehmen zu können.
Dabei machen sie sich eine Schwäche des Postbank-Sicherheitskonzepts zunutze: Eine neu installierte BestSign-App kann mit einem Konto verknüpft werden, indem eine bereits berechtigte App eine entsprechende Freigabe erteilt. Anders als z. B. bei den Volksbanken, bei denen immer ein Brief mit einem Code versendet wird, was 1-2 Tage dauert, können die Kriminellen in Echtzeit eine Kontoverknüpfung herstellen.
Dazu installieren sie die BestSign-App auf einem Smartphone und verleiten das Opfer dazu, diese durch eine Freigabe für das Konto freizuschalten. Durch eine einzige Freigabe per Fingerabdruck oder Face-ID haben sie die uneingeschränkte Kontrolle über das Konto.
Die von der Postbank vorgesehene Form, das Konto mit einer neuen App zu verknüpfen ist einerseits praktisch für Kund:innen, da sie nicht auf einen Brief warten müssen. Sie führt aber andererseits auch dazu, dass die Betroffenen im Betrugsfall in „einem Rutsch“ die Kontrolle über ihr Konto abgeben. Wenn sie dann ein ungutes Gefühl bekommen, ist das Geld schon weg.
Das Geld ist weg – Was ist bei Betrugsverdacht zu tun?
Oftmals berichten uns Betroffene, dass sie selbst nie gedacht hätten, auf eine Phishing-Mail hereinzufallen. Die Täter:innen nutzen aber aus, dass Menschen nicht permanent aufmerksam sein können. Ein kleiner, schwacher Moment genügt.
Falls Sie den Verdacht haben, Ihre Daten auf einer gefälschten Webseite eingegeben zu haben, informieren Sie sofort Ihre Bank und lassen Sie das Onlinebanking sperren.
Sollten bereits Überweisungen vorgenommen worden sein, informieren Sie sofort die Postbank und veranlassen Sie eine Sperrung des Kontos. Die Bank kann dann versuchen, ausgeführte Überweisungen zurückzuholen. Mitunter gelingt es so, einen Teil des Geldes zurückzubekommen.
Erstatten Sie außerdem eine Strafanzeige, damit die Ermittlungsbehörden unverzüglich einen Kontakt zu den Empfängern aufnehmen. Achten Sie dabei darauf, dass Sie alle Informationen zu den Empfänger:innen zur Verfügung stellen, die Sie haben.
Muss die Postbank den Schaden bei Betrug ersetzen?
Können die Überweisungen nicht zurückgeholt werden, stellt sich die Frage, ob die Postbank für den Schaden einstehen muss.
Rechtlich dürfen Banken nur autorisierte Überweisungen ausführen. Im Falle, dass der Kunde bzw. die Kundin eine Überweisung nicht freigegeben hat, muss Bank das Konto unverzüglich wieder auf den Stand bringen, den es ohne den unautorisierten Vorgang gehabt hätte.
Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat.
§ 675u Satz 2 BGB
Die Bank muss also zügig handeln, wenn sie von dem Betrug erfahren hat.
Wochenlange Prüfungen durch die Bank sind damit nicht angezeigt. Kommt die Bank ihrer Verpflichtung nicht nach, gerät sie in Verzug. Das bedeutet, dass sie die Schäden zu ersetzen hat, die durch die verspätete Erstattung des Zahlungsbetrags eingetreten sind.
Ab dem übernächsten Geschäftstag nach Anzeige des nicht autorisierten Zahlungsvorgangs haftet die Bank somit unter anderem für
- Kreditzinsen, die anfallen, um notwendige Ausgaben zu decken
- Rücklastschriften
- Mahngebühren
Darüber hinaus ist der zu erstattende Betrag zu verzinsen (LG Hannover, Urteil vom 21.12.2010 – 18 O 166/10). Wird ein Rechtsanwalt damit beauftragt, die Erstattung durchzusetzen, muss die Bank die dadurch entstehenden Kosten ebenfalls im Wege des Schadensersatzes tragen.
Wann kann die Bank eine Erstattung verweigern?
Die Erstattungspflicht der Bank ist ausgeschlossen, wenn dem Kunden bzw. der Kundin
- ein betrügerisches Handeln oder
- grobe Fahrlässigkeit
vorzuwerfen ist. In diesen Fällen besteht ein Schadensersatzanspruch der Bank, den sie mit dem Erstattungsbetrag aufrechnen kann. Die Betroffenen bleiben dann auf ihrem Schaden sitzen.
Rechtlich bedeutsam: Die Postbank muss nachweisen, dass im Falle von Phishing eine grobe Fahrlässigkeit vorliegt. Denn sie hat die Möglichkeiten, die technischen Hintergründe des Betrugs aufzuklären. Wenn die Bank also meint, dass sie nicht zahlen muss, wird sie dies in einem Gerichtsverfahren beweisen müssen.
Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt und auch ganz naheliegende Überlegungen nicht angestellt werden oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen. Das bedeutet, dass nicht jeder Fehler dazu führt, dass die Bank eine Erstattung ablehnen kann.
Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich genommen noch keinen zwingenden Schluss auf ein entsprechend gesteigertes Verschulden der Person (BGH, Urteil vom 26.01.2016 – XI ZR 91/14).
Als grobe Fahrlässigkeit hat das Landgericht Düsseldorf beurteilt, wenn ein Kunde auf einer gefälschten Webseite 120 TANs eingibt. Denn in diesem Fall habe sich dem Kunden ein Verdacht eines manipulierten Vorganges aufdrängen müssen (LG Düsseldorf, Urteil vom 27.03.2014 – 21 S 211/13).
Wie stehen die Chancen?
Ob letztlich die Bank für den Schaden einzustehen hat, ist eine Frage des Einzelfalls. Bei einem Klick auf einen Link wird im Allgemeinen noch nicht von grober Fahrlässigkeit auszugehen sein, wenn die E-Mail zumindest auf den ersten Blick unauffällig ist.
Machen Sie es der Bank nicht zu leicht, eine Erstattung zu verweigern, indem Sie zu früh zu viele Informationen preisgeben. Wir beraten Sie gerne zu Ihren Möglichkeiten. Nehmen Sie direkt Kontakt auf, wir melden uns bei Ihnen in der Regel noch am selben Tag zurück.
Schreiben Sie einen Kommentar