Fallbeispiel: Kleinanzeigen.de Betrug - Vorsicht bei „Sicher Bezahlen“-Service

Der Fall

Die Tochter des Bankkunden, nennen wir Sie Birgit, stellte auf dem Portal Kleinanzeigen.de eine Verkaufsannonce für Second-Hand Kleidung zum Preis von 30 Euro ein. Hierfür verwendete sie, wie auch für alles weitere, ihr Handy. Am selben Tag meldete sich eine Interessentin namens Martina. Es entspann sich ein Chat, in welchem Martina unter anderem die PayPal-Kennung von Birgit erfragte und sich nach Versandkosten erkundigte. Birgit kam erst am Folgetag dazu, die Versandkosten zu ermitteln und sie Martina mitzuteilen, ebenso wie ihre PayPal-Kennung. Martina benannte eine Versandadresse in Dresden. Man war sich über den Verkauf einig.

Etwas später meldete sich Martina und teilte mit, sie habe von Kleinanzeigen.de eine Warnung erhalten, nach der man besser nicht direkt überweisen sollte, sei es per Bank oder per PayPal. Deswegen habe Martina wie empfohlen über den „Sicher Bezahlen“-Service von Kleinanzeigen.de bezahlt. Dazu müsste Birgit wahrscheinlich bald eine E-Mail mit einer Bestätigung erhalten. Die Existenz eines solchen Services war Birgit bekannt, wie genau er funktioniert nicht. Allerdings erhielt sie alsbald die angekündigte E-Mail auf ihrem Handy. Diese E-Mail kam vom Absender mit der Klartextbezeichnung „Kleinanzeigen.de“. Sie war farblich und im Layout wie die Internetseite gestaltet und griff auch das ganz konkrete Angebot auf. Sie enthielt eine Schaltfläche „Geld bekommen“. Durch den Klick auf diese Schaltfläche gelangte sie auf eine Internetseite im Kleinanzeigen.de-Design samt funktionierendem Live-Chat. In dem dortigen Formular wurden die Kreditkartendaten abgefragt, damit die Zahlung auf der Kreditkarte gutgeschrieben werden könne.

Birgit gab die Daten der Kreditkarte ein, die ihre Bank ihr ausgestellt hatte. Sie erhielt die Rückmeldung, dass ein Fehler aufgetreten sei und erfuhr über den Live-Chat, dass diese Bank derzeit nicht unterstützt werde. Außerdem wurden einige Banken benannt, deren Kreditkarten mit dem Service konform seien. Darunter war die Bank des Vaters von Birgit, des Bankkunden. Dieser war gern bereit, seiner Tochter zu helfen und den Betrag auf seiner Kreditkarte gutschreiben zu lassen und ihn ihr direkt als Bargeld auszuhändigen. Er gab die Kartendaten auf dem Handy der Tochter in das Formular ein. Postwendend erhielt er auf seinem eigenen Handy eine Nachricht seiner Bank mit einem Code, welcher in der dort, also auf seinem Handy, installierten Banking-App zur Autorisierung eingegeben werden sollte. Er verstand das so, dass es um die Autorisierung der gerade eben selbst angestoßenen Verknüpfung der Kreditkarte mit dem „Sicher-Bezahlen“-Service gehe, damit der Geldbetrag ausgezahlt werden könne. Etwas später sah er dann aber, dass mehrere, ihm unbekannte Buchungsvormerkungen in sein Online-Banking eingestellt waren. Dabei handelte es sich jeweils um recht hohe Abbuchungen. Eine Gutschrift von „Sicher Bezahlen“ war nicht dabei. Der Versuch, die bereits vorgemerkten Abbuchungen noch zu stoppen, scheiterte. Eine Wiedergutschrift lehnte die Bank ab. Sie verwies darauf, dass der Vater von Birgit die Zahlungen autorisiert habe.

Was ist hier eigentlich passiert?

Dazu können wir auch nur mutmaßen. Die Mutmaßung sieht so aus: Wahrscheinlich war das Konto von „Martina“ auf dem Anzeigenportal zuvor kompromittiert worden. Die echte Martina war wahrscheinlich keine Gehilfin der Täter, sondern wusste ihrerseits nicht, wer da Unfug mit ihrem Account veranstaltet. Die Frage von „Martina“ nach der PayPal-Kennung sollte einerseits Vertrauen erzeugen, da eben nicht direkt nach sensiblen Daten gefragt wurde, sondern nach einem Datum, welches genau dafür gedacht ist, Zahlungen im privaten Rahmen einfach abzuwickeln. Andererseits werden die Täter darauf spekuliert haben, so auch an die Standard-E-Mail-Adresse zu gelangen, weil diese häufig auch für PayPal verwendet wird.

So konnte dann nach dem Vorschieben der Warnung, lieber „Sicher Bezahlen“ zu benutzen, direkt eine E-Mail verschickt werden, die anscheinend aus den Systemen des Anzeigenportals stammt. Natürlich waren die E-Mail und die Internetseite samt Live-Chat unecht, aber sehr professionell nachgemacht. Hätte man den E-Mail-Absender „aufgelöst“, also nicht nur den angezeigten Klarnamen, sondern die Versender-Adresse genau angeschaut und/oder die URL der Internetseite exakt gelesen, hätte man das wohl entdecken können.

Die Abfrage der Kreditkartennummer kann dann als erster Schritt dazu gedacht gewesen sein, täterseits abzuklären, bei welcher Bank das Opfer sein Konto hat. Denn das ist aus der Kreditkartennummer oft rückschließbar. Mit diesem Wissen konnten die Täter dann spezifische, auf die konkrete Bank gemünzte Schritte aufschalten. Das war hier die Angabe, dass die zunächst benannte Bank nicht „unterstützt“ werde (was übersetzt so viel bedeutet haben dürfte, wie dass den Tätern für diese Bank kein aktuelles Angriffsmuster zur Verfügung stand), zusammen mit der Angabe, welche Banken in Betracht kommen.

Im weiteren wurde dann bankspezifisch und unterstützt durch Social Engineering im Live-Chat darauf hingewirkt, eine Freigabe auf dem eigenen Mobiltelefon zu erteilen, die tatsächlich aber nicht das eigene Gerät mit „Sicher Bezahlen“ verknüpfte, sondern das Mobiltelefon der Täter mit dem Konto des Opfers. Ab diesem Zeitpunkt konnten die Täter dann ohne Mitwirkung des Opfers auf dessen Konto zugreifen und angestoßene Überweisungen mit dem eigenen Mobiltelefon freigeben. Auch für uns nicht erklärlich ist nach dem bekannt gewordenen Sachverhalt, auf welche Weise es die Täter geschafft haben, an die Login Daten für das Konto zu gelangen. Möglicherweise war mit manchen der abgegriffenen Daten eine Rücksetzung des Logins machbar, aber das ist Spekulation.

Die Rechtslage

Ein Anspruch gegen die eigene Bank auf Wiedergutschrift von betrügerisch abverfügten Beträgen hat, wie hier vertiefend erläutert, im Kern zwei Voraussetzungen: Erstens durfte der Bankkunde die Kontoverfügungen nicht selbst autorisiert haben. Zweitens durfte er nicht grob fahrlässig dabei mitgewirkt haben, dass der Zugriff der Betrüger gelang. Denn sonst hätte die Bank einen Schadensersatzanspruch gegen ihn, mit dem sie gegen den Wiedergutschriftsanspruch aufrechnen könnte. Eine grob fahrlässige Mitwirkung müsste die Bank beweisen. 

Autorisiert hatte der Bankkunde die Überweisungen von seinem Konto nicht. Denn er hatte sie nicht selbst freigegeben, auch nicht aus Versehen. Das dürfte der Bank nach Einsicht in ihre technischen Aufzeichnungen auch bekannt gewesen sein oder zumindest sehr nahe gelegen haben. Der angegebene Grund für die nicht erfolgte Wiedergutschrift war also bestenfalls eine Schutzbehauptung. Insbesondere ist eine etwaige, versehentliche Freigabe der Installation einer Banking-App auf dem Mobilfunkgerät der Täter keine mittelbare Freigabe der mit dieser App später freigegebenen Überweisungen. Allein darauf, wer die konkreten Überweisungen autorisiert bzw. freigegeben hat, kommt es an. Hier waren es mit hoher Wahrscheinlichkeit die Täter. Das dürfte sich sogar noch verfestigen, wenn die Bank im Prozess die technischen Aufzeichnungen der Vorgänge vorlegt. Der Wiedergutschriftsanspruch besteht also zunächst einmal.

Nach unserem Dafürhalten konnte die Bank dem auch keinen Schadensersatzanspruch entgegenhalten. Denn grobe Fahrlässigkeit – die die Bank beweisen muss – lag hier eher fern. Wer auf einem Anzeigenportal etwas verkaufen möchte, erwartet gerade, dass sich daraufhin Interessenten melden. Der Fall liegt damit schon im Ausgangspunkt anders als z.B. einem unbestellten Anruf eines angeblichen Bankmitarbeiters. Hier erfolgte die Kontaktaufnahme sogar durch eine anscheinend reale Benutzerin des Portals, die auch noch eine anscheinend reale Adresse angab und von sich aus nach einem allgemein geläufigen Zahlungsweg fragte. Die Angabe des Grundes dafür, diesen dann doch nicht nutzen zu wollen, war ebenso plausibel, wie die angebotene Lösung über den Service der Plattform.

Die Betrugsmasche war nun insbesondere durch ihre professionelle Aufmachung geprägt, zu der sogar ein funktionierender Live-Chat gehörte. Der ganze Aufwand sollte wohl dahin führen, dass das Opfer die finale Abfrage, eine Bestätigung in der eigenen Banking-App zu erteilen, nicht mehr hinterfragte, was hier gelang. Dabei mag auch eine Rolle spielen, dass heutzutage die Verknüpfung von Drittdiensten mit dem eigenen Konto oder sogar der Zugriff solcher Dienste unter legitimer Preisgabe der eigenen Login Daten nichts Außergewöhnliches mehr ist und deswegen auch nicht alarmiert. Letztlich waren insbesondere zwei Momente Gradmesser für die Beurteilung: Dass erstens die E-Mail und die Internetseite nicht als Fälschung enttarnt wurden, war unseres Erachtens in Anbetracht des betriebenen Aufwandes und des Umstandes, dass überhaupt kein Druck aufgebaut wurde, wenn überhaupt leicht fahrlässig. Ob zweitens die Aufforderung, einen von der eigenen Bank zugesandten Code in der eigenen Banking-App einzugeben grobe Fahrlässigkeit begründen könnte, wenn der Angriff nicht bemerkt wird, hängt vom Einzelfall ab.

Ist die Mitteilung der Bank nicht eindeutig formuliert oder fehlt eine Angabe zum Zweck des Codes sogar ganz, spricht das gegen grobe Fahrlässigkeit. So war es hier: die Nachricht und der Code konnten dahin missverstanden werden, dass lediglich die Verknüpfung des Treuhandservices mit der eigenen Kreditkarte freigegeben wird. Außerdem lag hier die Besonderheit vor, dass per se kein Dritter den Bankkunden um seine Hilfe bat, sondern dessen eigene Tochter, der gegenüber von vornherein kein Misstrauen bestand.

Unsere Bewertung

Oft bleibt völlig offen, wie der Zugriff der Täter gelingen konnte. Das ist im Ausgangspunkt zunächst einmal schlecht für die Bank, weil sie ja beweisen muss, dass der Kunde grob fahrlässig war. Solange die Bank aber nicht sagen kann, was eigentlich passiert ist, fehlt von vornherein der Ansatzpunkt, um überhaupt zu überprüfen, ob und was grob fahrlässig gewesen sein soll. Dementsprechend sind reine Mutmaßungen fehl am Platz und sollten auch nicht ohne greifbaren realen Anhaltspunkt geäußert werden, um nicht die sprichwörtlichen schlafenden Hunde zu wecken. Insbesondere bei der Beantwortung von Fragebögen, die die Bank vorlegt, ist Vorsicht geboten. Zuweilen sind diese so gestaltet, dem Kunden möglichst eine für ihn nachteilige Vermutung zu entlocken, selbst wenn tatsächlich gar nicht klar ist, was passierte.

Ist demgegenüber einigermaßen nachvollziehbar, wie die Täter vorgegangen sein könnten, so ist von besonderer Wichtigkeit, dass das Betrugsopfer seinem Anwalt darlegt, warum es so wie geschehen gehandelt hat, ohne dabei argwöhnisch zu werden. Erst dann lässt sich mit Erfolgsaussicht gegen grobe Fahrlässigkeit argumentieren. Vermeintlich unwesentliche Details – wie hier der Umstand, dass es die eigene Tochter war, die den Vater um die Nutzung seiner Kreditkarte bat – mögen dabei entscheidend sein.