Fallbeispiel: Digitaler Betrug bei Online-Banken

Der Fall

Der Bankkunde, Herr Müller, hatte ein Konto bei einer Online-Bank. Die Bank kommunizierte mit ihren Kunden vor allem via E-Mail und Telefon, besaß aber kein klassisches Filialnetz. Deswegen war es für Herrn Müller normal, von seiner Bank via E-Mail kontaktiert zu werden. Dabei wechselte der „E-Mail-Header“, also die Klartext-Absenderbezeichnung, zuweilen. 

Die Bank kündigte an, für die ausgegebenen Kreditkarten, wie sie auch Herr Müller benutzte, künftig Gebühren zu erheben. Allerdings bestand die Möglichkeit, auf eine kostenfreie Debitkarte umzusteigen. Herr Müller stieg um. Hierfür erhielt er eine Bestätigungs-E-Mail der Bank, die auch eine Einladung enthielt, die neue App herunterzuladen, um mit der Karte Online-Zahlungen durchführen zu können. Diese E-Mail stammte wirklich von der Bank. Herr Müller lud die App zunächst nicht herunter. 

Etwa zwei Wochen später ging eine weitere E-Mail ein. In dieser E-Mail wurde darauf hingewiesen, dass zum Ende des Monats die Möglichkeit, Authentifizierungen per SMS auszuführen, auslaufe und stattdessen ein neues, App-gebundenes Freigabeverfahren für Käufe im Internet verwendet werden müsse. Bereits installierte Apps müssten aktualisiert werden. Es wurden Schritte zur Aktivierung dieses Verfahrens mitgeteilt. Herr Müller, beruflich eingebunden, nahm die E-Mail nur kurz zur Kenntnis und schob sie in einen Ordner für spätere Bearbeitung. Diese E-Mail war, wie sich um Nachhinein zeigte, eine Phishing-E-Mail, die nicht von der echten Bank stammte. Sie sah aber aus, als ob sie von der echten Bank kam und wies auch einen entsprechenden Klartext-Header auf. 

Einige Wochen später ging erneut eine E-Mail ein. Wiederum war das, wie sich später zeigte, eine Phishing-E-Mail, die aussah, wie eine echte E-Mail der Bank, solange man den Klartext-Header nicht auflöste, das heißt abgesehen vom Klartextabsender auch die – nicht zur Bank gehörende – Absenderadresse einsah. Das E-Mail-Programm stellte standardmäßig nur den Klartextabsender dar. In der E-Mail wird mitgeteilt, dass das Konto nun aus Sicherheitsgründen eingeschränkt werden müsse, weil die App bisher nicht aktualisiert worden sei. Die Installation könne noch 14 Tage lang erfolgen, danach werde dann eine Gebühr fällig. 

Herrn Müller kam das plausibel vor: E-Mails seiner Bank waren generell nichts Außergewöhnliches, ja Standard. Er hatte mit der Kartenumstellung vermeintlich einen Anlass für die notwendige App-Installation geschaffen. Außerdem erinnerte er sich an die vor einigen Wochen zur Bearbeitung vorgemerkte, nur überflogene E-Mail, wodurch die aktuelle E-Mail gut in den Vorgang passte. Auf subjektiver Seite kam hinzu, dass Herr Müller auf die Nutzbarkeit des Kontos sehr angewiesen war. 

Er nahm deswegen das Handy und wurde nach Benutzen des in der E-Mail mitgelieferten Links aufgefordert, sich bei seinem Online-Banking einzuloggen. Der Nutzername wurde eingegeben und das Kennwort durch den Fingerabdruck automatisch ausgefüllt. Anschließend wurde auf eine wie angekündigt angezeigte Abfrage hin noch eine Freigabe in der momentan installierten Original-App der Bank erteilt. Herr Müller ging davon aus, die App aktualisiert zu haben. 

In den folgenden Tagen merkte Herr Müller, dass der Kontozugriff nicht mehr funktionierte. Als er sich bei der Bank meldete, erhielt er außerdem die Mitteilung, dass in mehreren Einzelüberweisungen insgesamt ca. EUR 13.000,00 von seinem Konto wegüberwiesen worden waren. 

Was ist hier eigentlich passiert?

Wahrscheinlich ist hier tatsächlich folgendes passiert: Durch den Klick auf den Link in der zweiten E-Mail wurde Herr Müller auf eine täuschend echt nachgemachte Internetseite der Bank weitergeleitet. Als er meinte, sich dort wie üblich einzuloggen, übermittelte er seine Login Daten tatsächlich an die Täter, die die Internetseite aufgesetzt hatten. Diese loggten sich dann parallel mit diesen Daten in das echte Online-Banking von Herrn Müller ein, registrierten ihr eigenes Mobilfunkgerät als zusätzliches Gerät für Freigaben und lösten die Bestätigungsanfrage aus. Diese Anfrage erhielt Herr Müller in seiner App und gab sie im Glauben, diese Anfrage stehe im Zusammenhang mit der vermeintlich gerade in Gang gesetzten Aktualisierung der App, frei. Tatsächlich wurde aber das Gerät der Täter freigeschaltet, die nun autonom agieren und die Überweisungen veranlassen konnten. 

Die Rechtslage

Der Bankkunde hatte natürlich Schadensersatzansprüche gegen die Betrüger. Allerdings sind diese nicht ermittelt worden. Ob sie solvent gewesen wären, ist zweifelhaft. Deswegen ging es vor allem um die Frage, ob ein Anspruch auf Wiedergutschrift gegen die eigene Bank besteht. 

Wie hier vertiefend erläutert, hat ein solcher Anspruch im Kern zwei Voraussetzungen: Erstens durfte der Bankkunde die Kontoverfügungen nicht selbst autorisiert haben. Zweitens durfte er nicht grob fahrlässig dabei mitgewirkt haben, dass der Zugriff der Betrüger gelang. Denn sonst hätte die Bank einen Schadensersatzanspruch gegen ihn, mit dem sie gegen den Wiedergutschriftsanspruch aufrechnen könnte. Eine grob fahrlässige Mitwirkung müsste die Bank beweisen.

Bei der hier gegebenen Konstellation liegt keine Autorisierung durch den Bankkunden vor. Denn die etwaige Freigabe der Installation der App bei den Tätern ist keine mittelbare Freigabe der mit dieser App später freigegebenen Überweisungen. Diese, einzig entscheidende Freigabe wurde unmittelbar durch die Täter erteilt, welche auch die Überweisungen vorher vorbereiteten. Das dürfte sich sogar noch verfestigen, wenn die Bank im Prozess die technischen Aufzeichnungen der Vorgänge vorlegt. Der Wiedergutschriftsanspruch besteht also zunächst einmal. 

Das konnte die Bank unserer Meinung nach im konkreten Fall auch nicht mit einem Schadensersatzanspruch kontern. Zwar war der Bankkunde zweifelsohne leicht fahrlässig. Denn bei entsprechender Gründlichkeit hätte man die E-Mails als Phishing-Angriff enttarnen können. Gegen grobe Fahrlässigkeit sprachen aber gute Argumente. Grob fahrlässig ist, wer objektiv schwer und subjektiv unentschuldbar Sorgfaltspflichten verletzt. Das war hier nicht der Fall: Der Bankkunde war es gewohnt, mit seiner Bank – praktisch nur – via E-Mail zu kommunizieren. Dabei enthielten die E-Mails der Bank selbst in der Vergangenheit wechselnde Klartextadressaten-Header, weswegen eine weitere leicht abweichende Bezeichnung nicht sofort Aufmerksamkeit erregen musste. Der Erhalt der beiden Phishing-E-Mails erschien plausibel und durfte auch plausibel erscheinen. Denn die Bank hatte zuvor selbst eine zeitnahe Änderung angekündigt, die zudem mit einer Umstellung bei der App einherging, als auch hatte der Bankkunde durch die Kartenbestellung aktiv eine Änderung in Gang gebracht, was Reaktionen hierauf oder Folgeschriftverkehr nachvollziehbar machte. Schließlich machte gerade auch das Wegspeichern der ersten Phishing-E-Mail, auf die gar nicht reagiert wurde, die zweite Folge-E-Mail plausibel. Auf subjektiver Ebene kam der berufliche Stress hinzu. 

Unsere Bewertung

Oft bleibt völlig offen, wie der Zugriff der Täter gelingen konnte. Das ist im Ausgangspunkt zunächst einmal schlecht für die Bank, weil sie ja beweisen muss, dass der Kunde grob fahrlässig war. Solange die Bank aber nicht sagen kann, was eigentlich passiert ist, fehlt von vornherein der Ansatzpunkt, um überhaupt zu überprüfen, ob und was grob fahrlässig gewesen sein soll. Dementsprechend sind reine Mutmaßungen fehl am Platz und sollten auch nicht ohne greifbaren realen Anhaltspunkt geäußert werden, um nicht die sprichwörtlichen schlafenden Hunde zu wecken. Insbesondere bei der Beantwortung von Fragebögen, die die Bank vorlegt, ist Vorsicht geboten. Zuweilen sind diese so gestaltet, dem Kunden möglichst eine für ihn nachteilige Vermutung zu entlocken, selbst wenn tatsächlich gar nicht klar ist, was passierte. 

Ist demgegenüber einigermaßen nachvollziehbar, wie die Täter vorgegangen sein könnten, so ist von besonderer Wichtigkeit, dass das Betrugsopfer seinem Anwalt darlegt, warum es so wie geschehen gehandelt hat, ohne dabei argwöhnisch zu werden. Erst dann lässt sich mit Erfolgsaussicht gegen grobe Fahrlässigkeit argumentieren. Vermeintlich unwesentliche Details mögen dabei entscheidend sein. Das zeigt der hier geschilderte Fall.