Pleite über Nacht – für zahlreiche Banken-, Sparkassen- und ApplePay-Kunden ist das der real gewordene Alptraum. Zuletzt berichtete die Sendung „Marktcheck“ über Girokonto-Inhaber bei der Sparkasse, die auf dubiose Art und Weise innerhalb weniger Tage um bis zu 40.000 Euro ärmer wurden, weil Betrüger Daten und Zugangswege erfolgreich ausgespäht hatten und anschließend sehr intensiv auf Shoppingtour gehen konnten.
Was war passiert? Erster Zugang ist immer das Onlinebanking. Durch gefälschte Login-Seiten erhalten die Betrüger freien Eintritt zum Onlinebanking und können hier die Authentifizierungsmöglichkeiten manipulieren, z.B. die eigene Handy-Adresse für die Zusendung von Tans eintragen. Dazu ist es notwendig, dass der Kontoinhaber die Aktion legitimiert. Dieses Einverständnis wird indes durch eine SMS erschlichen, in dem das zukünftige Opfer beispielsweise aufgefordert wird, AGBs zu akzeptieren. Was diese nicht wissen: Durch Klick auf den Link bestätigen sie den Rufnummernwechsel. Das Betrüger-Handy ist nun ein allseits einsetzbarer Goldesel. Bezahlt wird vornehmlich mit Apple- oder Google Pay, weil auf diesem Weg die eigentliche Konto-Karte nicht mehr vorgelegt werden muss.
In den vorliegenden Fällen wird den Sparkassen vorgeworfen, dass sie mögliche Mustererkennung nicht genutzt haben, um Missbrauch zu verhindern.
Rechtsanwalt Fabian Fritsch: „Das ist der eigentliche Skandal, dass so etwas heute noch passieren kann!“
Juristisch sind Banken schadensersatzpflichtig, soweit der Kunde nicht fahrlässig gehandelt hat. Da in derartigen Fällen das Verschulden der Kontoinhaber oftmals zu verneinen ist, unterliegen Banken juristisch und müssen demgemäß den Schaden ersetzen. Denn obwohl Phishing Attacken oftmals zwar noch zu erkennen sind, ist dies bei einem (zusätzlichen) Einsatz von Social Engineering umso schwerer. Unter Social Engineering versteht man die zwischenmenschliche Beeinflussung durch Anrufe oder die Kontaktaufnahme per SMS oder Messenger-Dienste wie WhatsApp wie oben beschrieben. Wer in dieser Gemengelage die Hinweise nicht kennt, nicht gut aufgeklärt wurde und darauf vertraut, dass die Bank schon für die notwendige Sicherheit sorgt, der hat gute Aussichten, den Schaden von der Bank erstattet zu bekommen.
Die Kanzlei Hafencity in Hamburg ist auf Zahlungsdiensterecht in allen Varianten fokussiert. Rechtsanwalt Fritsch konnte bereits Schadenersatzansprüche gegen Zahlungsdienstleister in derart gelagerten Fällen durchsetzen.
