Online-Banking gehackt – So erhalten Sie Ihr Geld zurück
- Wenn Ihr Online-Banking gehackt wurde, können Sie eine Wiedergutschrift von Ihrer Bank verlangen.
- Betrugsmethoden zum Abgreifen von TANs werden immer raffinierter.
- Unsere Expert:innen im Bankrecht besprechen mit Ihnen die nächsten Schritte in einer kostenlosen Erstberatung.
Online-Banking gehackt – was nun?
Man blickt auf den Kontoauszug und bekommt einen Schreck: Es wurde online Geld überwiesen, ohne dass Sie dafür einen Auftrag erteilt haben. Der Anruf bei der Bank führt dann nicht zur schnellen Klärung, sondern verstärkt den Ärger, weil sie nicht bereit ist, den „verschwundenen“ Betrag wieder gutzuschreiben.
Die Ablehnung jeder Verantwortung und die Abwehr von Forderungen ist nicht untypisch für Banken und Sparkassen bei der „Plünderung“ eines Kontos. Doch damit machen es sich die Kreditinstitute zu leicht. Banken haften, wenn unautorisierte Überweisungen vorgenommen wurden.
Unsere Expert:innen beraten Sie im Ernstfall, ob Ihnen ein Anspruch auf Wiedergutschrift von der Bank zusteht, wenn Ihr Online-Banking gehackt wurde. Machen Sie jetzt unseren kostenlosen Online-Check und erhalten Sie unverbindlich eine Ersteinschätzung zu Ihrem Fall.
So erhalten Sie eine Erstattung
Wenn Ihr Konto gehackt wurde, ist es in den meisten Fällen schwer möglich, die Täter:innen ausfindig zu machen und das Geld auf diesem Weg zurückzuholen. Deshalb geht es nun darum, eine Wiedergutschrift des abgezogenen Geldes von der Bank zu fordern: Darauf haben Sie nämlich Anspruch, wenn eine unautorisierte Überweisung stattgefunden hat.
Die Bank wird wiederum versuchen, Schadensersatz von Ihnen zu fordern. Sie wird behaupten, dass die Verfügung nur deswegen möglich gewesen wäre, weil Sie als Kontoinhaber:in grob fahrlässig mit den Sicherheitsmerkmalen umgegangen seien.
In vielen Fällen ist es allerdings unbestritten, dass kriminelle Dritte die Verfügungen veranlasst haben. Lassen Sie sich von unseren Expert:innen beraten, wie Ihre nächsten Schritte aussehen und welche Ansprüche Sie gegenüber der Bank geltend machen können.
- Individuellen Fall schildern
- Unverbindliche Ersteinschätzung erhalten
Häufige und raffinierte Betrugsfälle
Die Betrugsfälle beim Online-Banking häufen sich. Die Methoden werden immer raffinierter, sodass selbst umsichtige Bankkund:innen manchmal keine Chance haben, rechtzeitig den Betrugsversuch zu erkennen. Hier einige der gängigsten Maschen des Betrugs:
Abgreifen von TANs für mehrmalige Buchung
Aus Ihrem Kontoauszug und/oder durch eine Mitteilung der Bank erfahren Sie, dass über ein bis drei Tage hinweg immer wieder größere Summen an Ihnen unbekannte Empfänger:innen im Ausland, aber auch im Inland überwiesen wurden. Eine „Rückholung“ der Beträge ist nur selten möglich, da sie meist bereits vom Zielkonto abgehoben oder weiter überwiesen wurden.
In solchen Konstellationen haben sich die Täter:innen in der Regel eine eigene Möglichkeit geschaffen, TANs zu generieren. Dafür beschaffen sie sich – beispielsweise über einen Trojaner – die Zugangsdaten zum Konto (Onlinebanking-Log-in/Benutzername und Onlinebanking-PIN). Sie warten ab, bis der/die berechtigte Nutzer:in selbst eine Aktion ausführt, für die eine TAN notwendig ist. Der/die Nutzer:in gibt die TAN ein, doch die Eingabe wird umgeleitet (und z.B. ein Wartungsbildschirm angezeigt). Mit der – abgegriffenen, unverbrauchten – TAN schalten sich die Täter z.B. ein eigenes Handy für weitere TANs frei.
Teilweise, insbesondere bei älteren Kund:innen, wird mit einer maskierten Nummer angerufen und vorgespiegelt, man spreche mit einem/einer Bankmitarbeiter:in. So wird dann wiederum ein Sicherheitszertifikat für ein eigenes Gerät des Täters eingerichtet.
Abgreifen einer TAN für einmalige Buchung
In solchen Fällen fand nur eine einzelne, betragsmäßig sehr hohe, missbräuchliche Buchung statt. Dabei wurde eine abgegriffene TAN nicht wie in Fall 1 zur Einrichtung eines Geräts beim Täter, sondern direkt für die Freigabe einer Überweisung verwendet.
Der vermutliche Ablauf: Täter:in hat Nutzername und PIN schon abgegriffen. Es wird abgewartet, bis der/die Nutzer:in eine Überweisung auslösen will. Die Anfrage wird nach der Eingabe blockiert. Der Täter gibt seine eigene Überweisung ein und der Kunde bekommt auf seinem Gerät eine TAN - nur eben nicht für seine Überweisung, sondern die des Täters. Der Täter greift die TAN ab, gibt die Überweisung frei und zeigt dem Kunden z.B. einen Wartungsbildschirm.
Social Engineering
In diesen Fällen wird z.B. einem Buchhaltungsmitarbeiter vorgespiegelt, dass die Chefin eine dringende Überweisung für einen Geschäftsabschluss benötigt. Wird diese Überweisung dann ausgelöst, erfolgt das zwar täuschungsbedingt, aber - wenn der Mitarbeiter verfügungsbefugt war - aus Sicht der Bank durch die „richtige Person“ und damit autorisiert.
Diese Fälle sind allerdings eher selten, wohl auch aus Scham der betroffenen Unternehmen.
Insider-Attacken
Ein Insider schädigt das Unternehmen, in dem er arbeitet bzw. gearbeitet hat und in welchem er Zugriff auf sensible Daten bekommen hat. Davon gibt es ebenfalls eher weniger Fälle, dann allerdings mit sehr hohen Schadenssummen.
Unsere Expert:innen beraten Sie im Ernstfall, ob Ihnen ein Anspruch auf Wiedergutschrift von der Bank zusteht, wenn Ihr Online-Banking gehackt wurde. Machen Sie jetzt unseren kostenlosen Online-Check und erhalten Sie unverbindlich eine Ersteinschätzung zu Ihrem Fall.
Welche rechtliche Grundlage gibt es für den Schadensersatz beim Betrug im Online-Banking?
Wenn eine Kontoverfügung (Abhebung, Überweisung, usw.) nicht vom Kontoinhaber/der Kontoinhaberin autorisiert ist, hat diese:r gegen die Bank einen Anspruch auf Wiedergutschrift des Betrages nach § 675u Bürgerliches Gesetzbuch (BGB).
Man streitet sich also in der Regel um zwei Punkte:
1. Hat der Kontoinhaber/die Kontoinhaberin selbst die missbräuchlichen Verfügungen veranlasst – und versucht also, die Bank mit der „Rückforderung“ zu betrügen?
2. Wenn es der Kontoinhaber/die Kontoinhaberin nicht selbst war: Wurde der Schaden – mit der Folge eines Schadensersatzanspruches der Bank – grob fahrlässig ermöglicht?
Erstattet die Bank automatisch Geld, das durch Betrug abgebucht wurde?
Wenn das Konto gehackt und Geld gestohlen wurde, ist die Bank zwar die erste Ansprechpartnerin, doch eine Erstattung des verloren gegangenen Betrags findet keineswegs automatisch statt. Selbst auf Nachfrage wird sich die Bank in den meisten Fällen vor einer Erstattung drücken.
Wem durch einen digitalen Angriff Geld von seinem Konto abgebucht wurde, braucht daher Hilfe eines Fachanwaltes oder Fachanwältin für Bank- und Kapitalmarktrecht. Banken spielen oft Katz und Maus mit ihren geschädigten Kund:innen. Dabei ist die Gesetzeslage klar und die Rechtsprechung eindeutig. Ohne Autorisierung haftet die Bank und nicht der Kunde bzw. Kundin.
Was bedeutet „grobe Fahrlässigkeit“?
Ein entscheidender Faktor bei der Frage, ob die Bank Geld erstatten muss, ist, ob der Geschädigte die vertragliche Sorgfaltspflicht „grob fahrlässig“ verletzt hat. Das ist dann der Fall, wenn das Hacking-Opfer sehr naheliegende Überlegungen nicht angestellt hat und beispielsweise eine PIN telefonisch herausgegeben hat.
Von einer Verletzung der Sorgfaltspflichten geht man etwa dann aus, wenn:
- die Bankkarte zusammen mit der Geheimzahl in der Geldbörse aufbewahrt wurde,
- die PIN oder TAN an unbekannte Personen per Mail oder Telefon herausgegeben wurde,
- eine digitale Transaktion auf ungesicherten Geräten durchgeführt wurde,
- oder Online-Banking auf Endgeräten durchgeführt wurde, die keinen oder nicht ausreichenden Antiviren-Schutz besitzen.
Beitrag geprüft von
Rechtsanwalt Philipp Caba**
Philipp Caba ist ein erfahrener Rechtsanwalt mit Schwerpunkt auf Zivil-, Bank- und Versicherungsrecht. Er studierte in Deutschland und Schweden und ist Geschäftsführer der Gansel Rechtsanwälte Rechtsanwaltsgesellschaft mbH.
* Angestellte Anwälte, ** Geschäftsführer, *** Freischaffende Rechtsanwälte