Am 5. Juli wollte sich Rita P. in ihr Online-Banking bei der Hanseatic Bank einloggen – wie so oft. Doch dieses Mal hätten bei ihr die Alarmglocken schrillen müssen, denn ihre Kreditkartendaten wurden verlangt. Nach der Eingabe bekam sie eine TAN auf ihr Handy geschickt – eine Transaktionsnummer, die man für die Abwicklung von Online-Bankgeschäften benötigt. Allerdings nur im geschützten Bereichs des Online-Bankings, sagt Sibylle Miller-Trach, Rechtsreferentin bei der Verbraucherzentrale Bayern (siehe Kasten).
„Fast unverzüglich nachdem ich die TAN eingegeben hatte, bekam ich eine E-Mail, dass mein Konto gesperrt wurde“, sagt Rita P. Sie habe sofort bei der Bank angerufen. Doch die Betrugsabteilung habe sie erst tags drauf erreicht. Sie erfuhr: Von ihrem Konto wurden mehr als 2000 Euro abgebucht. Rita P. ist Opfer eines Phishing-Angriffs geworden, wie momentan sehr viele Kunden von Online-Banking in Bayern.
Phishing bedeutet „Angeln nach Passwörtern“. Darunter versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen oder ihn zum Beispiel zur Ausführung einer schädlichen Aktion zu bewegen.
Der Mitarbeiter der Bank schickte P. per E-Mail ein Rückerstattungsformular, mit dem sie etwaige Ansprüche auf Rückerstattung des Geldes durch die Bank geltend machen sollte. „Aber ich konnte das Formular gar nicht ausfüllen, weil mir Daten gefehlt haben.“ Ein weiterer Tag verstrich. Aus Sicht der Münchnerin wertvolle Zeit, in der die Bank hätte tätig werden können, um Schaden zu verhindern. „Erst am 7. Juli wurden mir die Daten des Betrügers mitgeteilt.“
Rita P. erfuhr jetzt auch den Namen der Bestellfirma – ein Elektrohändler, bei dem der Gauner für 2049,17 Euro Notebooks bestellt und mit ihrem Geld bezahlt hatte. Sie rief bei dem Geschäft an und erfuhr, dass die Ware gerade versandt worden sei. „Hätte die Betrugsabteilung schneller reagiert, hätte man den Schaden vielleicht noch verhindern können.“
Bei der Hanseatic Bank ist man laut einer Sprecherin indes der Auffassung, dass man „umgehend und umfassend reagiert“ habe. Den Antrag auf Rückerstattung hat die Bank abgelehnt. „Bei Zahlungen, die von Bankkunden selbst autorisiert wurden oder deren Autorisierung durch die Weitergabe der notwendigen Daten ermöglicht wurden – zum Beispiel durch die Aktivierung einer Freigabe-App, für die eine 2-Faktor-Authentifizierung des Kunden notwendig ist –, liegt die Verantwortung auf Kundenseite“, sagt die Sprecherin. Heißt: Weil Rita P. sensible Daten auf einer gefälschten Seite selbst eingegeben hat, sei sie selbst schuld.
Das sieht man bei der Verbraucherzentrale anders. „Nicht jedes Hereinfallen auf eine Phishing-Falle bedeutet grobe Fahrlässigkeit seitens des Kunden“, sagt Miller-Trach. Es müsse differenziert werden, welchen Kenntnisstand der Kunde habe, ob er sehr unaufmerksam war und wie offensichtlich die Falle war. Könne man keine „grobe Fahrlässigkeit“ vorwerfen, bleibe es bei seinem Erstattungsanspruch gegenüber der Bank. „In einigen Fällen ist durchaus ein sogenanntes Organisationsverschulden der Bank denkbar, wenn diese ihre Sicherheitsvorkehrungen nicht effektiv genug gestaltet hat“, sagt Miller-Trach.
Wie es den Tätern genau gelingen konnte, die Abbuchungen vom Konto vorzunehmen, bleibe in manchen Fällen unklar. So auch im Fall von Rita P. Es sei aber auch nicht die Aufgabe des Bankkunden, das herauszufinden, sagt die Rechtsexpertin. „Auf jeden Fall lohnt es sich, nach dem ablehnenden Schreiben der Bank weiterzukämpfen.“