Anwalt Internetrecht: Phishing E-Mails – Anspruch auf Erstattung der Zahlung gegenüber der Bank?

Mit der Einführung des Onlinebankings bei Kreditinstituten, hat sich eine neue Möglichkeit des Online-Betruges entwickelt, welche sich Täter und Täterinnen seit vielen Jahren zu Nutze machen um ahnungslosen Opfern um ihr Geld zu bringen, das sogenannte „Phishing“. Doch was ist Phishing? Wie kann man sich dagegen schützen? Was gilt es zu beachten? Kann man das Geld von der Bank zurückerhalten?

Mit diesen Fragen beschäftigen wir uns in diesem Blog-Beitrag.

Was ist Phishing?

Der Begriff des „Phishings“ leitet sich vom englischen Begriff des „fishings“ ab und bedeutet „nach etwas angeln“. Vom Gedanken des Angeln ist das Online-Phishing auch gar nicht so weit entfernt. Betrüger werfen ihre „Angel“ aus, indem sie unter falschen Namen (z.B. der Sparkasse, Paypal, Amazon oder auch anderen bekannten und etablierten Unternehmen) E-Mails, SMS oder Internetseiten verschicken um ahnungslose Opfer zu ködern.

Hat besagtes Opfer erst einmal „angebissen“, ist das Ziel das abfragen und abfangen streng vertraulicher Daten. Dies kann mit Kleinigkeiten, wie dem Namen und der E-Mail-Adresse beginnen, aber auch schnell zu sensiblen Daten wie Online-Banking PIN und TAN wie anderen Passwörtern reichen. Einmal in den Besitz dieser Daten gelangt, stehen Täter*innen alle Türen offen dem Opfer zu schaden. So können Identitäten für Betrugstaten oder sensible Daten zum Onlinebanking sofort für Geldabbuchungen genutzt werden.

Wie erkenne ich Phishing?

In ihrem Email-Konto taucht eine E-Mail mit dem augenscheinlichen Absender ihrer Bank auf. Was gilt es hier zu beachten?

Unternehmen, Banken und andere Dienstleister sprechen ihre Kunden immer namentlich an. Sollte dies nicht der Fall sein, handelt es sich meist um Betrug. Dennoch kann es Täter*innen auch im Vorhinein möglich geworden sein, Ihren Namen in Erfahrung zu bringen und Sie ebenfalls persönlich anzusprechen. Aufgrund dessen ist eine namentliche Ansprache leider kein eindeutiger Beweis für eine seriöse E-Mail.

Ein zweiter Punkt der zu beachten gilt, ist die Richtigkeit von Grammatik, Satzbau und Zeichensetzung. Oftmals sind verschickte Phishing-Mails schlecht übersetze Texte aus einer anderen Sprache. Wirkt der Ihnen zugeschickte Text auf den ersten Blick authentisch, sollten sie auf Rechtschreib- oder Grammatikfehler bzw. fehlende Satzzeichen achten. Denn in der Regel sind an Sie geschickte E-Mails automatisiert oder aus zuvor schon bestehenden Textbausteinen zusammengestellt und sollten solche Fehler auf keinen Fall aufweisen.

Stimmt sowohl die namentliche Ansprache, als auch der Ihnen zugesendete Text? Richten Sie ihr Augenmerk auf den Absender. Immer häufiger verbirgt sich hinter einer auf den ersten Blick seriösen Absender-Email eine nicht dem Unternehmen zuweisbare Email-Adresse oder Domain. Aus dem Absender „Paypal“ kann mit einem Klick auf den entsprechenden Absender schnell die E-Mail Adresse: „dfjjeruz132hdf@provider.de“ werden. Sie sollten daher immer die Absenderadresse überprüfen.

Leider werden auch die Täter immer besser und machen weniger auffällige Fehler. Daher sollte gerade bei ungewöhnlich erscheinenden Anfragen lieber einmal zuviel beim vermeintlichen Absender (Bank) direkt über deren Internetseite oder ein anderes Medium (Telefon) angefragt werden, ob diese die Information tatsächlich benötigt und üblicherweise abgefragt werden.

Zumeist wird in der E-Mail dazu aufgefordert Daten zu aktualisieren oder diese zu bestätigen und diese zu verifizieren, selbstverständlich werden bekannte Banken und deren Logos und Marken verwendet.

Typischer Inhalt einer Phishing E-Mail (Bank):

„Sehr geehrter Kunde,

wir haben Ihren Onlinebanking Account aktualisiert. Um sicherzustellen, dass Sie der rechtmäßige Eigentümer des Kontos sind …

Aktualisieren Sie Ihr Konto

Mit freundlichen Grüßen

XYZ Bank“

Aktuelle Beispiele solcher Phishing E-Mails finden Sie auf der Webseite der Verbraucherzentrale „Phishing-Radar“: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar

Wie enttarne ich Phishing-Webseiten?

Sie haben auf eine Webseite geklickt und wissen nicht, ob diese auch sicher und echt ist?

Seriöse Webseiten geben sich in der Regel dadurch zu erkennen, dass sie eine sicheres Internet-Zertifikat nutzen. Dies erkennen Sie an der Abkürzung „https://“ am Anfang der Website-URL.

Dennoch könnten sich auch Betrüger unproblematisch solch ein Zertifikat verschaffen, wodurch auch eine verschlüsselte Internetseite kein eindeutiges Indiz dafür ist, dass es sich um eine „echte“ Seite des Unternehmens handelt.

Namhafte Unternehmen treten im Internet meist durch eine klare und eindeutig dem Unternehmen zuordenbare Webseiten-URL auf. Weist die von Ihnen angeklickte Internetseite seltsame Zeichen oder Ziffern auf oder ist auch nur die Domainendung ungewöhnlich, handelt es sich zumeist um eine Phishing-Webseite.

So warnt die DKB Bank AG (dkb.de) vor folgender Domain: dkb-sicherheit.com

Die Internetseite Ihrer Bank würde Sie auch niemals dazu auffordern, ohne eine zuvor getätigte Überweisung eine TAN oder andere der Bank schon bekannten Daten einzugeben oder wiederholt abzufordern.

Wie kann man sich vor Phishing und Internetbetrug schützen?

Der Schutz gegen solche Methoden des Phishings lässt sich nicht in jedem Fall gewährleisten.

In erster Linie ist anzuraten vorsichtig mit Ihren Daten umzugehen. Ihr Email-Postfach ist eine einfache und offene Anlaufstelle für Betrüger, sie an den „Haken“ zu bekommen.

Natürlich ist man im Internet nie vor Angriffen sicher.

Jedoch kann es helfen, Konten, welche sensible Daten beinhalten, wie Bankkonten, Amazon-Konten oder generelle Bezahlkonten mit einer sicheren und abgesonderten Email Adresse zu versehen. Damit beugen Sie vor, dass ihre Email durch Sicherheitslücken, Hackerangriffe oder zwielichtige Seiten in die Hände von Betrügern fällt.

Des weiteren sollten Sie immer äußerste Vorsicht bei der Eingabe vertraulicher Daten walten lassen. Banken und andere Unternehmen weisen sie regelmäßig darauf hin, dass sie niemals, weder telefonisch noch per Mail, ihr Passwort, PIN oder TAN abfragen werden. Sollte dieser Umstand dennoch eintreten, sollten auch Ihre Alarmglocken anspringen!

Enthalten von Ihnen empfange E-Mails Dateianhänge, öffnen Sie diese nur, wenn Sie sich absolut sicher sind, dass es sich bei dem Absender um eine vertrauensvolle und Ihnen bekannte Quelle handelt. Bestehen auch nur kleinste Zweifel, sollten Sie entweder bei dem Unternehmen anrufen, welche Ihnen die vermeintliche Nachricht zusandte oder die Datei unter keinen Umständen herunterladen oder öffnen.

Aktuelle Phishing Warnungen der Verbraucherzentrale: Phishing Radar

Habe ich einen Erstattungsanspruch gegenüber meiner Bank?

Grundsätzlich steht Ihnen bei nicht autorisierten Zahlungsvorgängen ein Erstattungsanspruch des Zahlungsbetrags aus § 675u S. 2 BGB gegen Ihre Bank zu.

Dafür dürfte die Veranlassung des Zahlungsvorganges jedoch nicht wegen Vorsatz oder grober Fahrlässigkeit  (§ 675v III Nr. 2b BGB) geschehen sein.

Vorsätzlich handelt, wer mit Wissen und Wollen einen Erfolg herbeiführt. Zumeist wird die unberechtigte Zahlung jedoch ohne Wissen des Opfers ausgeführt worden sein.

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt. Dabei muss dies die Bank nachweisen können, dass vorsätzlich oder zumindest grob fahrlässig gehandelt und hierdurch die nicht gewollte Geldüberweisung ausgeführt werden konnte.

Da diese Art des Online-Betruges schon seit geraumer Zeit existiert, erscheint es in der Praxis als schwierig gegen die Bank einen Anspruch geltend zu machen. Banken klären vermehrt über mögliche Phishing-Attacken auf und vom Kunden wird erwartet, mit äußerster Vorsicht im Umgang mit PINs und TANs umzugehen. In vielen Vertragsbedingungen finden sich dementsprechend auch Sorgfaltspflichten im Umgang mit Onlinebanking.

Nichts desto trotz wird es stets auf den Einzelfall ankommen und daher keine pauschale Aussage zu Erfolgschancen gemacht werden können.

Urteile, aktuelle Rechtsprechung zu Phishing und Erstattungsansprüchen gegen Banken:

Der klagende Bankkunde fordert einen Betrag von der Bank zurück, welcher ihm aufgrund eines Banking-Trojaners abgebucht wurde. Der Kläger (Bankkunde) bestätigte jedoch die Überweisung mit der ihm übersandten TAN:

„Nach Ziffer 7.4 der Sonderbedingungen der Beklagten (Bank) ist der Nutzer verpflichtet, bei der Übermittlung von TAN über das Mobiltelefon vor der Bestätigung der Überweisung die Übereinstimmung der angezeigten Daten mit den für die Transaktion vorgesehenen Daten zu prüfen.

Dieser Verpflichtung ist der Kläger (Bankkunde) nicht nachgekommen, weil er den Inhalt der ihm vor der streitgegenständlichen Überweisung mit der TAN übersandten SMS nicht im Sinne der vorgenannten Bedingungen geprüft hat. Wie der Kläger – auch in seiner persönlichen Anhörung im Termin vor dem Landgericht – eingeräumt hat, hat er in der SMS lediglich auf die TAN geschaut und diese sodann in seinen PC eingegeben.“ – OLG Oldenburg, 28.06.2018 – 8 U 163/17

Die Bestätigung einer Überweisung durch manuelle Eingabe einer TAN durch den Bankkunden stellt somit in vielen Fällen eine grobe Fahrlässigkeit dar. Den durch Kontoeröffnung und Nutzung von Online-Banking zugestimmten AGB legen dem Kunden gewisse Pflichten auf, welche sich unter anderem auch darin niederschlagen, dass TAN Benachrichtigungen auf Richtigkeit und Vollständigkeit überprüft. Gibt ein Kunde dennoch eine Überweisung mit seiner TAN frei, die er grundsätzlich nicht selbst ausgeführt hat und bestätigen wollte, handelt er grob fahrlässig.

Verschiedene Entscheidungen sehen daher grundsätzlich bereits Probleme bei der Übermittlung von TAN Nummern per Telefon.

„Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13).
… Jedoch verbietet sich eine pauschale Bewertung, vielmehr sind sämtliche Umstände des Einzelfalles zu würdigen.“ – LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21

Im Falle der Entscheidung des LG Saarbrücken handelte es sich um:

– ungewöhnliches Fenster bei Nutzung des Onlinebanking mit zahlreichen orthographischen Fehlern sowie nicht nachvollziehbarem Inhalt

– Betroffener war selbst bei Bank beschäftigt

– Anruf außerhalb der Öffnungszeiten am Wochenende

„Vor diesem Hintergrund musste es sich jedem Nutzer eines Online-Banking-Zuganges aufdrängen, dass dieses angezeigte Fenster und die anschließende telefonische Aufforderung, eine TAN weiterzugeben, nicht von der Beklagten stammen konnte. Dies gilt umso mehr für den Kläger, welcher ehemaliger Mitarbeiter der Beklagten ist und seit Jahren Online-Banking-Angebote der Beklagten nutzt.“ – LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21

„Dass es sich bei dem Täter um einen psychologisch gut geschulten Täter handelte und der Betrug zulasten des Klägers perfide ausgestaltet war, entlastet ihn angesichts der Vielzahl der aufgezählten Umstände, aufgrund deren sich ein Betrugsverdacht aufdrängen musste, und aufgrund der dazwischen liegenden Zeiträume, in denen der Kläger die jeweiligen Vorgänge hätte reflektieren können, nicht.“ – LG Köln, Urteil vom 10.09.2019 – 21 O 116/19 

Kriterien für die Bejahung des Vorliegens einer groben Fahrlässigkeit waren für das Landgericht Köln:

– unmissverständliche Warnnachricht wird nicht gelesen

„ACHTUNG: Ihr Institut verlangt niemals eine neue Mobilfunknr. zu registrieren. Mobilfunknr. +49/176/91005239 LS-Rückgabe hat dann Zugriff auf Ihre Konten. Die TAN für die Registrierung vom 24.12.2018 10:49:25 ist 253038. Bei Zweifeln brechen Sie den Vorgang ab und wenden sich an ihren Berater.“

– mitgeteilter Grund für Erfordernis der TAN nicht plausibel

– positive Kenntnis Auswahlmöglichkeiten von verschiedenen Telefonnummern bei online Überweisungen

– keine anderweitige schriftliche Mitteilung des Grundes für telefonische Kontaktaufnahme eines Bankmitarbeiters, ausschließlich telefonisch