Was ist Phishing ?

Phishing-Angiffe nennt man Vorgehensweisen, die bezwecken, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten das Vertrauen der Kommunikationspartner zu erschleichen, um an deren persönliche Daten zu gelangen oder sie zur Ausführung einer schädlichen Aktion zu bewegen. Die Beispiele sind zahlreich. Klassisch ist der Angriff über die Phishing E-Mails. Der Gesetzgeber schützt den Kunden vor den Folgen des Phishing durch die Regelungen zum Zahlungsdiensterecht, insbesondere § 675 u BGB. Einen Überblick über die aktuellen Varianten erhalten Sie unter

Phishing-Radar: Aktuelle Warnungen | Verbraucherzentrale.de

Klassische Phishing E-Mail

Anrufer geben sich später als Bankmitarbeiter aus und fordern den Kunden mit erfundenen Begründungen dazu auf, für die Freischaltung des Kontos Tans durchzugeben. Dabei haben die Täter zuvor bereits die Zugangsdaten des Kunden für das online Banking sowie weitere persönliche Daten über eine E-Mail „abgefischt“.

In anderen Fällen werden Kunden über eine SMS aufgefordert, einen Link anzuklicken – sms phishing. Was die Kunden nicht wissen ist, dass sie über diesen Link auf eine betrügerische Webseite gelangen. Darüber meldet sich der Kunde in seinem Online- Banking an, so dass der Täter die Anmeldedaten erkennt und abfischt. Der Kunde wird dann zur Tan-Eingabe aufgefordert und gibt diese ein. Der Täter kann so Überweisungen ausführen. Das ist ein klassischer Phishing Angriff.

Auf Phishing Versuch reingefallen – was tun?

Schalten Sie umgehend einen spezialisierten Anwalt ein ! Ihre Chancen, das Geld von der Bank wiederzubekommen, sind hoch. Die Bank darf das Konto des Kunden nur dann belasten, wenn der Zahlungsvorgang autorisiert ist. Ist der Zahlungsvorgang nicht autorisiert, hat der Kunde einen Erstattungsanspruch, der sofort zu erfüllen ist. Das ergibt sich aus § 675 u BGB. Nach dieser Vorschrift schuldet die Bank bei nicht durch den Kunden autorisierten Verfügungen die Wiedergutschrift des abgebuchten Betrages mit Wertstellungstag genau zu der Belastung. 

Die Bank wird sich regelmäßig weigern, die Erstattung nach Reinfall auf eine Phishing Email vorzunehmen. Sie wird argumentieren, der Kunde habe die Abbuchung autorisiert und falls nicht, habe er sich jedenfalls grob fahrlässig verhalten. Diese Korrespondenz sollte der Kunde von Beginn an dem Anwalt überlassen. Denn die Darlegungs- und Beweislast liegt zu einem großen Teil bei der Bank und nicht beim Kunden! Daher gilt es unbedingt zu vermeiden, durch unbedachte Ausführungen die eigentlich günstige Ausgangsrechtslage für den Kunden unnötig zu belasten. Fakemail comdirekt, Fakemail DKB, Fakemail Sparkasse, Fakemail Postbank – nicht jeder, der darauf reinfällt, handelt deshalb grob fahrlässig.

 Die auf Seiten der Bank tätigen Mitarbeiter und Berater kennen in der Regel die Rechtslage. Nicht immer muss gerichtliche Hilfe in Anspruch genommen werden. Gerade eine außergerichtliche Lösung, die in vielen Fällen möglich ist, setzt eine rechtlich zutreffende Argumentation von Beginn an voraus.

Wer haftet und wie erfolgt die Erstattung ?

Nach der gesetzlichen Haftungsverteilung haftet der Zahlungsdienstenutzer (Kunde) erst ab der Grenze der groben Fahrlässigkeit. Das ergibt sich aus § 675 v BGB. Der Bundesgerichtshof hat mit Urteil vom 26.1.2016, XI ZR 91/14, detailliert beschrieben, wer was darlegen und beweisen muss in diesem Zusammenhang. Dabei hat er hervorgehoben, dass die gesetzliche Regelung einen Schutz des Zahlungsdienstenutzers bezweckt, der nicht unterlaufen werden darf. Dadurch hat er für die Bankkunden Sicherheit geschaffen.

Eine Haftung des Kunden nach § 675 v BGB scheidet häufig aus, weil der Kunde erst bei grob fahrlässiger Verletzung seiner Sorgfaltspflichten herangezogen werden kann. Nach ständiger Rechtsprechung setzt dies einen objektiv schwerwiegenden und subjektiv schlechthin unentschuldbaren Sorgfaltspflichtverstoß des Kunden voraus.

Daraus ergibt sich: selbst ein objektiv schwerwiegender Sorgfaltsverstoß ergibt noch keinen zwingenden Schluss auf gesteigertes persönliches Verschulden. War der Kunde an der unberechtigten Abbuchung überhaupt nicht beteiligt, kann er sich auch nicht grob fahrlässig verhalten haben. Diese Erkenntnis spielt zum Beispiel bei den Fällen des Kreditmarktkartenmissbrauchs bei der DKB-Bank nicht selten eine Rolle.

Die Bank muss den Nachweis erbringen, dass eine Authentifizierung erfolgt ist, der Zahlungsvorgang ordnungsgemäß aufgezeichnet wurde, verbucht und nicht durch eine Störung beeinträchtigt wurde.

Je nach dem konkreten Verhalten des Kunden können Beweiserleichterungen zu Gunsten der Bank bestehen. Insoweit sind die zivilprozessualen Regeln über den Anscheinsbeweis zu beachten. Hierzu hat sich mittlerweile eine detaillierte Rechtsprechung zu den einzelnen Problematiken herausgebildet. Diese muss der Anwalt kennen.

Kunden sollten deshalb die Abbuchungen nicht einfach hinnehmen, sondern den Fall durch einen spezialisierten Anwalt prüfen lassen.

Wichtig: Für die Rückforderung ist eine Frist von 13 Monaten zu beachten.

Kreditkartendaten auf Fake Seite eingegeben

Von Kreditkartenbetrug spricht man, wenn die Täter ihre Kreditkarte oder die Kreditkartendaten stehlen, falls Sie die Karte online nutzen.

Sobald sie von einem Kreditkartenbetrug betroffen sind, sollten Sie die Karte unverzüglich sperren lassen und Strafanzeige bei der Polizei stellen. Haben Sie nicht grob fahrlässig gehandelt, haftet in den meisten Fällen die Bank.

Die Haftungsverteilung gemäß § 675 v BGB gilt auch beim Kreditkartenmissbrauch. Auf dort haftet der Kunde von Gesetzes wegen nur für grobe Fahrlässigkeit. Beim Betrug im Zusammenhang mit der Kreditkarte bekommt der Kunde sein Geld zurück, solange er sich nicht grob fahrlässig verhalten hat. Das ist zu beachten, wenn die Kreditkartendaten auf einer Fake Seite eingegeben werden. Fälle von Kreditkartenbetrug im Internet nehmen rasant zu.

Ob Sie als Kreditkarteninhaber grob fahrlässig gehandelt haben, hängt davon ab, ob Sie Sorgfaltspflichten verletzt haben. Daran ist in folgenden Fällen zu denken:

• Die Kreditkarte lag unbeaufsichtigt frei herum

• Geheimzahl auf einem Zettel notiert,dieser befand sich zusammen mit der Kreditkarte in Ihrer Geldbörse

• PIN an andere Personen weitergegeben

• Kreditkartendaten in einer E-Mail mitgeteilt

Kreditkartenbetrug: Geld zurück von der Bank?

Immer häufiger tritt der Fall von Kreditkartenbetrug auf. Hier stellt sich die Frage, ob es fahrlässig ist, wenn Sie zum Beispiel auf einen Link innerhalb einer E-Mail klicken. Häufig haftet die Bank auch in diesen Fällen, sollte sie Ihnen keine grobe Fahrlässigkeit nachweisen können.

Wie Ihre Chancen sind, dass der Schaden ersetzt wird, dazu erhalten Sie eine Einschätzung von mir im Rahmen der kostenlosen Erstberatung.

Funktion von PIN und TAN

Die Unterschrift des Kunden wird beim Online-Banking durch die PIN zum Login ins Online-Banking und die TAN zur Authentisierung des Zahlungsvorgangs ersetzt. Zur Erstellung der TAN wird beispielsweise bei der DKB die TAN2go-App verwendet. Diese wird auf dem hierfür speziell freigeschalteten Endgerät des Kunden installiert. Dadurch erfolgt eine sogenannte Gerätebindung. Um ein Endgerät freischalten zu lassen, müssen die Kunden der DKB per Brief einen Code anfordern und erhalten diesen Code von der DKB per Post zugesandt:

Was muss ich tun, wenn ich das Passwort der TAN2go-App vergessen bzw. meine App gesperrt habe? – DKB AG

Das bedeutet, die DKB verstößt gegen ihr eigenes Sicherheitskonzept, wenn sie den Code für die Freischaltung eines neuen Endgeräts für das TAN2go-Verfahren per SMS an die von den Tätern geänderte Telefonnummer versandt hat. In einem derartigen Fall haftet die DKB wegen Verletzung der Pflichten aus dem Girovertrag. Die Bank muss die Abbuchungen wieder gutschreiben.

Sparkasse warnt vor Betrug

Die Sparkasse warnt in ihrem Info-Center aktuell vor einer Betrugsmasche via SMS. In den nachrichten wird behauptet, dass die pushTAN-Registrierung des Kunden angeblich ablaufe. Über den angefügten Link wird das Opfer dann darum gebeten, seine persönlichen Daten anzugeben. Um pushTAN weiter nutzen zu können, soll der Kunde seine Online-Banking-Zugangsdaten sowie Daten der Sparkassen-Card und Sparkassenkreditkarte eintippen.

Achtung: bei Dateneingabe droht Geldverlust! Es handelt sich hierbei um keine echte Nachricht der Sparkasse, sondern um einen Phishing-Angriff . Sie sollten bei Erhalt einer solchen SMS auf keinen Fall Ihre Daten angeben. Diese landen ansonsten direkt in den Händen der Betrüger.

https://www.sparkasse.de/ueber-uns/sicherheitswarnungen.html