Das Konto wurde gehackt: wer haftet bei Cyberattacken?
14.11.2022, Autor: Frau Katharina Schnellbacher / Lesedauer ca. 4 Min. (2689 mal gelesen)
Wer haftet, wenn das Konto gehackt wurde?
In den letzten Monaten erreichen mich immer häufiger Mandatsanfragen von verzweifelten Bankkunden, die plötzlich feststellen mussten, Das Konto wurde gehackt: wer haftet bei Cyberattacken?
Der wirtschaftliche Schaden ist für die Mandanten meist immens, da die Konten meist vollständig „leergeräumt“ werden.
Mit dem wirtschaftlichen Verlust einher, geht zudem auch oft noch ein Vertrauensverlust des Betroffenen in seine Bank. Das Gefühl, dass man sein Geld sicher auf dem eigenen Konto liegen hat, ist plötzlich weg. Zudem besteht eine große Unsicherheit, ob das eigene Konto künftig überhaupt noch von Zugriffen Dritter sicher geschützt ist.
Der erste Schritt betroffener Bankkunden führt natürlich zur eigenen Bank. Das Konto muss schnellstmöglich gesperrt werden. Die Bank muss umgehend versuchen, das Geld zurückholen. Mandanten berichten uns hier häufig von zahlreichen Versuchen, in der Hotline ihrer Bank jemanden zu erreichen. Die Erreichbarkeit gestaltet sich insbesondere an den Wochenenden schwierig und dies, obwohl es gerade dann auf ein schnelles Handeln der Bank ankommt.
Der folgende Beitrag soll einen Überblick über die einzelnen Methoden der Täter geben und über die Frage, was Betroffene tun können und wer letztlich für den Schaden haften muss.
Wie gehen Täter vor?
Eine der dringendsten Fragen, welche Betroffene mir stellen, sind oft: wie konnte überhaupt ein Dritter auf mein Konto zugreifen? Ich dachte, die Bank hätte ein Sicherheitssystem, welches die Konten schützt. Auf dieses System verweisen Banken dann auch häufig.
Die Methoden der Täter werden jedoch leider immer einfallsreicher. Die uns bisher bekannten Methoden werden nun im Einzelnen kurz dargestellt. Denn nur, wenn man weiß, wie Täter vorgehen können, kann man sich im Vorfeld – möglicherweise – etwas schützen.
Phishing:
Bei dieser Betrugsmethode verschaffen sich Täter mittels gefälschter E-Mails vertrauliche Zugangs- und Identifikationsdaten von unbeteiligten Dritten. Der Täter nutzt so durch die Täuschung über seine Identität das Vertrauensverhältnis der Betroffenen aus. Ein wichtiges Beispiel hierfür sind E-Mails, die den Anschein erwecken sollen, sie kämen von einer Bank und der Betroffene müsse dringend handeln, sonst würde sein Account, Konto etc. gesperrt.
Pharming:
Hier verschaffen sich die Täter durch das Umleiten des Internetnutzers auf gefälschte Webseiten durch Manipulation des Webbrowsers vertraulich Zugangs- und Identifikationsdaten. Die so gewonnen Daten ermöglichen dann natürlich Handlungen im Online-Banking des Betroffenen unter seiner Identität.
Smishing:
Dieser Begriff setzt sich aus der Kombination von SMS und Phishing zusammen. Die Täter treten beispielsweise als Bank, Kartenaussteller oder als seriöser Dienstanbieter auf und versenden SMS an die Betroffenen. Mittels dieser SMS werden Betroffenen dann dazu verleitet, sicherheitsrelevante Daten preiszugeben. Die Täter fordern in diesen Nachrichten meist dazu auf, einen Link zu einer Webseite anzuklicken oder eine Telefonnummer zur Überprüfung, Aktualisierung oder Reaktivierung des Kontos anzurufen. Der Link führt natürlich zu einer gefälschten Webseite. Die Telefonnummer führt zu einem Betrüger, der sich als Vertreter eines Unternehmens ausgibt und dann die Identifikationsdaten abfragt. Mandanten haben uns berichtet, dass sie solche SMS teilweise im gewöhnlichen SMS-Verlauf mit ihrer Bank erhalten haben. Da sie bereits zuvor durch SMS mit ihrer Bank kommuniziert hatten, konnten sie nicht erkennen, dass diese eine SMS dann gerade nicht von ihrer Bank versandt wurde, sondern von Dritten.
Skimming:
Bei dieser Methode versuchen Täter Kartendaten und die PIN auszuspähen. Diese Methode wird meist an Bankautomaten angewendet. Es werden illegal die Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen werden und dann auf gefälschte Karten kopiert werden. Der Täter kann dann durch die gewonnenen Daten dann Zahlungsvorgänge für den Betroffenen auslösen, beispielsweise Einkäufe tätigen.
Was ist zu tun?
Für die Betroffenen stellt sich dann die Frage, was ist zu tun?
Neben den oben genannten Schritten, das betroffenen Konto schnellstmöglich sperren zulassen, sollte immer auch eine Strafanzeige gegen Unbekannt gestellt werden. Zudem sollte umgehend der Schaden bei der Bank reklamiert werden.
Rechtlicher Grundsatz der Haftung:
Nach §§ 675 u Satz 1 und 2 BGB hat der Zahlungsdiensteleister (Bank) im Falle eines nicht autorisierten Zahlungsvorgangenges gegen den Kontoinhaber keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist im Gegenteil dazu verpflichtet, dem Kontoinhaber den Zahlungsvorgang unverzüglich zu erstatten und das Konto wieder auf den Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.
Grundsätzlich haftet, vereinfacht gesagt, die Bank!
Wann haftet die Bank jedoch nicht?
Das Gesetz sieht im Falle einer Schadenverursachung durch Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen auf Grund von Vorsatz oder grober Fahrlässigkeit seitens des Kontoinhabers nach § 675 v Absatz 3 BGB vor, dass dieser der Bank zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden verpflichtet ist.
Vorsatz liegt vor, wenn die schädigende Handlung, also die Abbuchung durch Dritte, wissentlich oder gewollt vorgenommen wird, in dem Bewusstsein, gegen bestehende Regeln zu verstoßen und dadurch jemanden zu schädigen. Vorsatz wird also in der Regel seitens der Betroffenen nicht vorliegen.
Grobe Fahrlässigkeit liegt bei der Außerachtlassung der erforderlichen Sorgfalt in besonders schwerem Maße vor und bedeutet leichtfertiges Handeln. Banken wenden häufig gegenüber den Betroffenen ein, dass man den Schachen nicht regulieren müsse, da der Kunde grob fahrlässig gehandelt habe, also beispielsweise im Rahmen des Smishing dem Link in der SMS gefolgt sei und dann Daten preisgegeben habe.
Hier gilt es gegen zu argumentieren und die von der Bank eingewandten Argumente nötigenfalls auch überprüfen zu lassen, denn Banken bringen in diesen Fällen häufig die gleichen bekannten Argumente. Gerade in Fällen, in denen für den Bankkunden gar nicht erkennbar war, dass es sich um z.B. eine betrügerische SMS o.ä. handelt, würde es zu keinem gerechten Ergebnis führen, dass der Kunde letztlich den Schaden hat und die Bank trotz ihres offensichtlich angreifbaren Sicherheitssystems aus der Haftung ist.
Katharina Schnellbacher
Rechtsanwältin und Fachanwältin
für Bank- und Kapitalmarktrecht
In den letzten Monaten erreichen mich immer häufiger Mandatsanfragen von verzweifelten Bankkunden, die plötzlich feststellen mussten, Das Konto wurde gehackt: wer haftet bei Cyberattacken?
Der wirtschaftliche Schaden ist für die Mandanten meist immens, da die Konten meist vollständig „leergeräumt“ werden.
Mit dem wirtschaftlichen Verlust einher, geht zudem auch oft noch ein Vertrauensverlust des Betroffenen in seine Bank. Das Gefühl, dass man sein Geld sicher auf dem eigenen Konto liegen hat, ist plötzlich weg. Zudem besteht eine große Unsicherheit, ob das eigene Konto künftig überhaupt noch von Zugriffen Dritter sicher geschützt ist.
Der erste Schritt betroffener Bankkunden führt natürlich zur eigenen Bank. Das Konto muss schnellstmöglich gesperrt werden. Die Bank muss umgehend versuchen, das Geld zurückholen. Mandanten berichten uns hier häufig von zahlreichen Versuchen, in der Hotline ihrer Bank jemanden zu erreichen. Die Erreichbarkeit gestaltet sich insbesondere an den Wochenenden schwierig und dies, obwohl es gerade dann auf ein schnelles Handeln der Bank ankommt.
Der folgende Beitrag soll einen Überblick über die einzelnen Methoden der Täter geben und über die Frage, was Betroffene tun können und wer letztlich für den Schaden haften muss.
Wie gehen Täter vor?
Eine der dringendsten Fragen, welche Betroffene mir stellen, sind oft: wie konnte überhaupt ein Dritter auf mein Konto zugreifen? Ich dachte, die Bank hätte ein Sicherheitssystem, welches die Konten schützt. Auf dieses System verweisen Banken dann auch häufig.
Die Methoden der Täter werden jedoch leider immer einfallsreicher. Die uns bisher bekannten Methoden werden nun im Einzelnen kurz dargestellt. Denn nur, wenn man weiß, wie Täter vorgehen können, kann man sich im Vorfeld – möglicherweise – etwas schützen.
Phishing:
Bei dieser Betrugsmethode verschaffen sich Täter mittels gefälschter E-Mails vertrauliche Zugangs- und Identifikationsdaten von unbeteiligten Dritten. Der Täter nutzt so durch die Täuschung über seine Identität das Vertrauensverhältnis der Betroffenen aus. Ein wichtiges Beispiel hierfür sind E-Mails, die den Anschein erwecken sollen, sie kämen von einer Bank und der Betroffene müsse dringend handeln, sonst würde sein Account, Konto etc. gesperrt.
Pharming:
Hier verschaffen sich die Täter durch das Umleiten des Internetnutzers auf gefälschte Webseiten durch Manipulation des Webbrowsers vertraulich Zugangs- und Identifikationsdaten. Die so gewonnen Daten ermöglichen dann natürlich Handlungen im Online-Banking des Betroffenen unter seiner Identität.
Smishing:
Dieser Begriff setzt sich aus der Kombination von SMS und Phishing zusammen. Die Täter treten beispielsweise als Bank, Kartenaussteller oder als seriöser Dienstanbieter auf und versenden SMS an die Betroffenen. Mittels dieser SMS werden Betroffenen dann dazu verleitet, sicherheitsrelevante Daten preiszugeben. Die Täter fordern in diesen Nachrichten meist dazu auf, einen Link zu einer Webseite anzuklicken oder eine Telefonnummer zur Überprüfung, Aktualisierung oder Reaktivierung des Kontos anzurufen. Der Link führt natürlich zu einer gefälschten Webseite. Die Telefonnummer führt zu einem Betrüger, der sich als Vertreter eines Unternehmens ausgibt und dann die Identifikationsdaten abfragt. Mandanten haben uns berichtet, dass sie solche SMS teilweise im gewöhnlichen SMS-Verlauf mit ihrer Bank erhalten haben. Da sie bereits zuvor durch SMS mit ihrer Bank kommuniziert hatten, konnten sie nicht erkennen, dass diese eine SMS dann gerade nicht von ihrer Bank versandt wurde, sondern von Dritten.
Skimming:
Bei dieser Methode versuchen Täter Kartendaten und die PIN auszuspähen. Diese Methode wird meist an Bankautomaten angewendet. Es werden illegal die Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen werden und dann auf gefälschte Karten kopiert werden. Der Täter kann dann durch die gewonnenen Daten dann Zahlungsvorgänge für den Betroffenen auslösen, beispielsweise Einkäufe tätigen.
Was ist zu tun?
Für die Betroffenen stellt sich dann die Frage, was ist zu tun?
Neben den oben genannten Schritten, das betroffenen Konto schnellstmöglich sperren zulassen, sollte immer auch eine Strafanzeige gegen Unbekannt gestellt werden. Zudem sollte umgehend der Schaden bei der Bank reklamiert werden.
Rechtlicher Grundsatz der Haftung:
Nach §§ 675 u Satz 1 und 2 BGB hat der Zahlungsdiensteleister (Bank) im Falle eines nicht autorisierten Zahlungsvorgangenges gegen den Kontoinhaber keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist im Gegenteil dazu verpflichtet, dem Kontoinhaber den Zahlungsvorgang unverzüglich zu erstatten und das Konto wieder auf den Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.
Grundsätzlich haftet, vereinfacht gesagt, die Bank!
Wann haftet die Bank jedoch nicht?
Das Gesetz sieht im Falle einer Schadenverursachung durch Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen auf Grund von Vorsatz oder grober Fahrlässigkeit seitens des Kontoinhabers nach § 675 v Absatz 3 BGB vor, dass dieser der Bank zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden verpflichtet ist.
Vorsatz liegt vor, wenn die schädigende Handlung, also die Abbuchung durch Dritte, wissentlich oder gewollt vorgenommen wird, in dem Bewusstsein, gegen bestehende Regeln zu verstoßen und dadurch jemanden zu schädigen. Vorsatz wird also in der Regel seitens der Betroffenen nicht vorliegen.
Grobe Fahrlässigkeit liegt bei der Außerachtlassung der erforderlichen Sorgfalt in besonders schwerem Maße vor und bedeutet leichtfertiges Handeln. Banken wenden häufig gegenüber den Betroffenen ein, dass man den Schachen nicht regulieren müsse, da der Kunde grob fahrlässig gehandelt habe, also beispielsweise im Rahmen des Smishing dem Link in der SMS gefolgt sei und dann Daten preisgegeben habe.
Hier gilt es gegen zu argumentieren und die von der Bank eingewandten Argumente nötigenfalls auch überprüfen zu lassen, denn Banken bringen in diesen Fällen häufig die gleichen bekannten Argumente. Gerade in Fällen, in denen für den Bankkunden gar nicht erkennbar war, dass es sich um z.B. eine betrügerische SMS o.ä. handelt, würde es zu keinem gerechten Ergebnis führen, dass der Kunde letztlich den Schaden hat und die Bank trotz ihres offensichtlich angreifbaren Sicherheitssystems aus der Haftung ist.
Katharina Schnellbacher
Rechtsanwältin und Fachanwältin
für Bank- und Kapitalmarktrecht
