Was ist Phishing ?
Phishing-Angiffe nennt man Vorgehensweisen, die bezwecken, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten das Vertrauen der Kommunikationspartner zu erschleichen, um an deren persönliche Daten zu gelangen oder sie zur Ausführung einer schädlichen Aktion zu bewegen. Die Beispiele sind zahlreich. Klassisch ist der Angriff über die E-Mails. Der Gesetzgeber schützt den Kunden vor den Folgen durch die Regelungen zum Zahlungsdiensterecht, insbesondere § 675 u BGB. Einen Überblick über die aktuellen Varianten erhalten Sie unter
Phishing-Radar: Aktuelle Warnungen | Verbraucherzentrale.de
https://www.br.de/nachrichten/netzwelt/betrug-mit-qr-code-falsches-bankschreiben-geht-um,UMdn0ji
Klassische Phishing E-Mail
Anrufer geben sich später als Bankmitarbeiter aus und fordern den Kunden mit erfundenen Begründungen dazu auf, für die Freischaltung des Kontos Tans durchzugeben. Dabei haben die Täter zuvor bereits die Zugangsdaten des Kunden für das online Banking sowie weitere persönliche Daten über eine E-Mail „abgefischt“.
In anderen Fällen werden Kunden über eine SMS aufgefordert, einen Link anzuklicken, das so genannte sms-phishing. Was die Kunden nicht wissen ist, dass sie über diesen Link auf eine betrügerische Webseite gelangen. Darüber meldet sich der Kunde in seinem Online- Banking an, so dass der Täter die Anmeldedaten erkennt und abfischt. Der Kunde wird dann zur Tan-Eingabe aufgefordert und gibt diese ein. Der Täter kann so Überweisungen ausführen. Das ist ein klassischer Angriff.
Auf Phishing-Versuch reingefallen – was tun?
Schalten Sie umgehend einen spezialisierten Anwalt ein ! Ihre Chancen, das Geld von der Bank wiederzubekommen, sind hoch. Die Bank darf das Konto des Kunden nur dann belasten, wenn der Zahlungsvorgang autorisiert ist. Ist der Zahlungsvorgang nicht autorisiert, hat der Kunde einen Erstattungsanspruch, der sofort zu erfüllen ist. Das ergibt sich aus § 675 u BGB. Nach dieser Vorschrift schuldet die Bank bei nicht durch den Kunden autorisierten Verfügungen die Wiedergutschrift des abgebuchten Betrages mit Wertstellungstag genau zu der Belastung.
Die Bank wird sich regelmäßig weigern, die Erstattung nach Reinfall auf eine Phishing E-Mail vorzunehmen. Sie wird argumentieren, der Kunde habe die Abbuchung autorisiert und falls nicht, habe er sich jedenfalls grob fahrlässig verhalten. Diese Korrespondenz sollte der Kunde von Beginn an dem Anwalt überlassen. Denn die Darlegungs- und Beweislast liegt zu einem großen Teil bei der Bank und nicht beim Kunden! Daher gilt es unbedingt zu vermeiden, durch unbedachte Ausführungen die eigentlich günstige Ausgangsrechtslage für den Kunden unnötig zu belasten. Fakemail comdirect, Fakemail DKB, Fakemail Sparkasse, Fakemail Postbank – nicht jeder, der darauf reinfällt, handelt deshalb grob fahrlässig.
Die auf Seiten der Bank tätigen Mitarbeiter und Berater kennen in der Regel die Rechtslage. Nicht immer muss gerichtliche Hilfe in Anspruch genommen werden. Gerade eine außergerichtliche Lösung, die in vielen Fällen möglich ist, setzt eine rechtlich zutreffende Argumentation von Beginn an voraus.
Wer haftet bei Phishing? Wie erfolgt die Erstattung ?
Nach der gesetzlichen Haftungsverteilung haftet der Zahlungsdienstenutzer (Kunde) erst ab der Grenze der groben Fahrlässigkeit. Das ergibt sich aus § 675 v BGB. Der Bundesgerichtshof hat mit Urteil vom 26.1.2016, XI ZR 91/14, detailliert beschrieben, wer was darlegen und beweisen muss in diesem Zusammenhang. Dabei hat er hervorgehoben, dass die gesetzliche Regelung einen Schutz des Zahlungsdienstenutzers bezweckt, der nicht unterlaufen werden darf. Dadurch hat er für die Bankkunden Sicherheit geschaffen.
Eine Haftung des Kunden nach § 675 v BGB scheidet häufig aus, weil der Kunde erst bei grob fahrlässiger Verletzung seiner Sorgfaltspflichten herangezogen werden kann. Nach ständiger Rechtsprechung setzt dies einen objektiv schwerwiegenden und subjektiv schlechthin unentschuldbaren Sorgfaltspflichtverstoß des Kunden voraus.
Daraus ergibt sich: selbst ein objektiv schwerwiegender Sorgfaltsverstoß ergibt noch keinen zwingenden Schluss auf gesteigertes persönliches Verschulden. War der Kunde an der unberechtigten Abbuchung überhaupt nicht beteiligt, kann er sich auch nicht grob fahrlässig verhalten haben. Diese Erkenntnis spielt zum Beispiel bei den Fällen des Kreditmarktkartenmissbrauchs bei der DKB-Bank nicht selten eine Rolle.
Die Bank muss den Nachweis erbringen, dass eine Authentifizierung erfolgt ist, der Zahlungsvorgang ordnungsgemäß aufgezeichnet wurde, verbucht und nicht durch eine Störung beeinträchtigt wurde.
Je nach dem konkreten Verhalten des Kunden können Beweiserleichterungen zu Gunsten der Bank bestehen. Insoweit sind die zivilprozessualen Regeln über den Anscheinsbeweis zu beachten. Hierzu hat sich mittlerweile eine detaillierte Rechtsprechung zu den einzelnen Problematiken herausgebildet. Diese muss der Anwalt kennen.
Kunden sollten deshalb die Abbuchungen nicht einfach hinnehmen, sondern den Fall durch einen spezialisierten Anwalt prüfen lassen.
Wichtig: Für die Rückforderung ist eine Frist von 13 Monaten zu beachten.
Kreditkartendaten auf Fake Seite eingegeben
Von Kreditkartenbetrug spricht man, wenn die Täter ihre Kreditkarte oder die Kreditkartendaten stehlen, falls Sie die Karte online nutzen.
Sobald sie von einem Kreditkartenbetrug betroffen sind, sollten Sie die Karte unverzüglich sperren lassen und Strafanzeige bei der Polizei stellen. Haben Sie nicht grob fahrlässig gehandelt, haftet in den meisten Fällen die Bank.
Die Haftungsverteilung gemäß § 675 v BGB gilt auch beim Kreditkartenmissbrauch. Auf dort haftet der Kunde von Gesetzes wegen nur für grobe Fahrlässigkeit. Beim Betrug im Zusammenhang mit der Kreditkarte bekommt der Kunde sein Geld zurück, solange er sich nicht grob fahrlässig verhalten hat. Das ist zu beachten, wenn die Kreditkartendaten auf einer Fake Seite eingegeben werden. Fälle von Kreditkartenbetrug im Internet nehmen rasant zu.
Ob Sie als Kreditkarteninhaber grob fahrlässig gehandelt haben, hängt davon ab, ob Sie Sorgfaltspflichten verletzt haben. Daran ist in folgenden Fällen zu denken:
• Die Kreditkarte lag unbeaufsichtigt frei herum
• Geheimzahl auf einem Zettel notiert,dieser befand sich zusammen mit der Kreditkarte in Ihrer Geldbörse
• PIN an andere Personen weitergegeben
• Kreditkartendaten in einer E-Mail mitgeteilt
Kreditkartenbetrug: Geld zurück von der Bank?
Immer häufiger tritt der Fall von Kreditkartenbetrug auf. Hier stellt sich die Frage, ob es fahrlässig ist, wenn Sie zum Beispiel auf einen Link innerhalb einer E-Mail klicken. Häufig haftet die Bank auch in diesen Fällen, sollte sie Ihnen keine grobe Fahrlässigkeit nachweisen können.
Wie Ihre Chancen sind, dass der Schaden ersetzt wird, dazu erhalten Sie eine Einschätzung von mir im Rahmen der kostenlosen Erstberatung.
Funktion von PIN und TAN
Die Unterschrift des Kunden wird beim Online-Banking durch die PIN zum Login ins Online-Banking und die TAN zur Authentisierung des Zahlungsvorgangs ersetzt. Zur Erstellung der TAN wird beispielsweise bei der DKB die TAN2go-App verwendet. Diese wird auf dem hierfür speziell freigeschalteten Endgerät des Kunden installiert. Dadurch erfolgt eine sogenannte Gerätebindung. Um ein Endgerät freischalten zu lassen, müssen die Kunden der DKB per Brief einen Code anfordern und erhalten diesen Code von der DKB per Post zugesandt:
Das bedeutet, die DKB verstößt gegen ihr eigenes Sicherheitskonzept, wenn sie den Code für die Freischaltung eines neuen Endgeräts für das TAN2go-Verfahren per SMS an die von den Tätern geänderte Telefonnummer versandt hat. In einem derartigen Fall haftet die DKB wegen Verletzung der Pflichten aus dem Girovertrag. Die Bank muss die Abbuchungen wieder gutschreiben.
Phishing bei Online-Depots – z.B. comdirect
Eine besondere Situation besteht beim Phishing in Verbindung mit einem Online-Depot, beispielsweise bei comdirect. Die Online Bank führt zu dem Online-Depot ein so genanntes Verrechnungsskonto. Dieses Verrechnungsskonto dient ausschließlich dazu, Zahlungsvorgänge im Zusammenhang mit dem Wertpapierdepot zu verbuchen. Über das Verrechnungsskonto werden die Gegenwerte für die im Wertpapierdepot verwahrten Werte gebucht, dort werden die Kaufpreise zur Verfügung gestellt, die Kauferlöse gebucht und die Erträge.
Das Verrechnungsskonto dient jedoch nicht dem Zahlungsverkehr mit Dritten. Vielmehr wird zu dem Wertpapierdepot und dem Verrechnungsskonto ein so genanntes Referenzkonto angegeben. Das Referenzkonto ist zweifelsfrei ein Zahlungsdienstekonto. Ob man dies auch von dem Verrechnungsskonto sagen kann, ist zumindest zweifelhaft. Nach der aktuellen Rechtsprechung des EuGH ist für ein Zahlungsdienstekonto erforderlich, dass dort auch der Zahlungsverkehr mit Dritten abgewickelt werden kann.
Bei den Phishing-Fällen im Zusammenhang mit Online-Depots, verhält es sich oftmals so, dass die Täter sich Zugang zum Online Banking des Geschädigten verschaffen und dann den Wertpapierbestand verkaufen. Der Ertrag wird auf das Verrechnungsskonto gebucht. Von dort gelangt er aber nicht auf das vom Depotinhaber benannte Referenzkonto., sondern auf ein anderes Referenzkonto, welches die Täter zuvor im Online Banking des Geschädigten angelegt haben.
Bei dieser Konstellation findet eine Abbuchung von Zahlungsdienstekonto somit gar nicht statt. Dennoch sind hier natürlich entsprechende Ansprüche des Geschädigten gegen die Online Bank zu prüfen und durchzusetzen.
Quishing
Eine weitere Gefahr ist der Betrug über einen manipulierten QR-Code, genannt Quishing. Hat man einen solchen Code mit seiner Handykamera eingescannt, wird man zu der integrierten Web-Adresse weitergeführt. Ein Eintippen ist überflüssig. Dieses Verfahren bringt Risiken mit sich. Die Gefahr bei QR-Codes ist, dass nicht ersichtlich ist, wohin sie tatsächlich führen. Sie können somit auch zu einer gefälschten Seite führen. Die Software des Smartphones schützt dagegen in der Regel nicht. Denn ein QR-Code wird von den meisten Sicherheitsprogrammen nur als Bild erkannt und nicht für ein Risiko gehalten.
Geben Nutzer auf einer derart gefälschten Seite Login-Daten oder Sicherheitsmerkmale ein, werden diese direkt an die Betrüger weitergeleitet. Dadurch können diese sich Zugang zum Online-Banking des Nutzers verschaffen.
Derzeit sind gefälschte Briefe im Umlauf, die den Anschein erwecken, von namhaften Kreditinstituten zu stammen. Diese Briefe enthalten einen QR-Code. Wer den QR-Code gescannt und dem darin hinterlegten Link folgt, landet auf einer gefälschten Bank-Seite und wird zur Eingabe sensibler Daten aufgefordert. Dadurch erlangen die Kriminellen den Zugriff auf das Online Banking der Briefempfänger. Aufhänger in den Briefen ist oft die Behauptung, aufgrund von EU-Vorschriften die Identität der Kundinnen und Kunden überprüfen zu müssen.
Sparkasse warnt
Die Sparkasse warnt in ihrem Info-Center aktuell vor einer Betrugsmasche via SMS. In den Nachrichten wird behauptet, dass die pushTAN-Registrierung des Kunden angeblich ablaufe. Über den angefügten Link wird das Opfer dann darum gebeten, seine persönlichen Daten anzugeben. Um pushTAN weiter nutzen zu können, soll der Kunde seine Online-Banking-Zugangsdaten sowie Daten der Sparkassen-Card und Sparkassenkreditkarte eintippen.
Achtung: bei Dateneingabe droht Geldverlust! Es handelt sich hierbei um keine echte Nachricht der Sparkasse, sondern um einen betrügerischen Angriff . Sie sollten bei Erhalt einer solchen SMS auf keinen Fall Ihre Daten angeben. Diese landen ansonsten direkt in den Händen der Betrüger.
Rechtsanwalt Dr. Gasser konnte bereits in einer Vielzahl von Fällen außergerichtliche und gerichtliche Lösungen zugunsten der Mandanten erzielen. Geschädigte sollten sich keinesfalls von der Durchsetzung einer Erstattung abhalten lassen. Die Erfahrung aus zahlreichen Fällen mit Banken und Sparkassen, Volkskanken Raiffeisenbanken, Sparda-Bank, DKB, Postbank u.a. beweist das. Weitere Schwerpunkte im Bankrecht:
Vorfälligkeitsentschädigung umgehen
0431/ 99 69 70 80
gasser@ingogasser.de
Faq
Schalten Sie in Phishing-Fällen möglichst frühzeitig einen auf diesem Gebiet spezialisierten Rechtsanwalt ein. Der Gesetzgeber hat ein detailliert abgestimmtes Regelwerk geschaffen, aus dem sich ergibt, wer was darlegen und beweisen muss. Dieses geht auf eine europäische Richtlinie zurück, die den Verbraucherschutz bezweckt. Auf dieser Richtlinie beruhen die einschlägigen Vorschriften des BGB. Dazu existiert eine ständige Rechtsprechung des Bundesgerichtshofs, aus der sich ergibt, wie diese Vorschriften auszulegen sind. Oft ist es Sache der Bank, die maßgeblichen Tatsachen vorzutragen und zu beweisen. Geschädigte sollten unbedingt vermeiden, durch unbedachte Äußerungen Tatsachen vorzutragen, für die nach dem Gesetz die Bank darlegungspflichtig gewesen wäre.
Sie schildern mir Ihren Fall. Rufen Sie mich an, senden Sie mir eine E-Mail oder nutzen Sie das Kontaktformular. Die dazugehörigen Unterlagen wie Kontoauszüge, Schreiben der Bank, Screenshots können Sie mir gern per E-Mail zusenden. Sie erhalten dann eine kostenlose Erstberatung und können danach unverbindlich entscheiden, ob ein Mandat erteilt werden soll. Die Anfrage bei Ihrer Rechtsschutzversicherung übernehme ich gerne für Sie.
Beim Kreditkartenmissbrauch haftet der Kunde gemäß § 675 v BGB erst ab grober Fahrlässigkeit. Erst wenn der Kunde seine Sorgfaltspflichten im Umgang mit der Kreditkarte grob fahrlässig verletzt hat, tritt seine Haftung ein. Bis dahin liegt die Haftung nach der gesetzlichen Verteilung bei der Bank. Überlassen Sie die Korrespondenz mit der Bank deshalb auch hier möglichst frühzeitig an spezialisierten Anwalt, um nicht durch unbedachte Äußerungen Fakten zu schaffen.