Phishing bei der Sparkasse


Mediale Berichterstattung

Bemüht man gängige Suchmaschinen zum Thema Phishing bei der Sparkasse, kann man auf unzählige Berichte zugreifen, in denen es um dieses Problem geht. In den meisten Fällen wird dabei davor gewarnt, auf betrügerische Mails hereinzufallen, die den Anschein erwecken, von der Sparkasse gesendet worden zu sein. In Wahrheit handelt es sich häufig um Mails von Phishing-Angreifern, welche die Konten der Kunden hacken und leerräumen wollen. Allzu häufig kann man lesen, dass Kunden sodann Opfer eines Überweisungsbetruges oder eines Betruges im Zusammenhang mit ihrem Online Banking geworden sind. Die Methoden, wie die Phishing-Angreifer an die Daten der Kunden kommen, sind dabei unterschiedlich und sollen im Folgenden noch beleuchtet werden.

Was ist Phishing?

„Phishing“ ist ein Kunstwort, welches sich aus dem englischen Wort fishing für Fischen gebildet hat. Dabei wurde der Anfangsbuchstabe des Wortes durch die in Hacker-Kreisen übliche Schreibweise „Ph“ ersetzt. Hierdurch erkennt man sofort, dass es sich beim Phishing um ein Hacker-Phänomen handelt. Angelehnt ans Fischen kann man das Phishing demnach als das Angeln nach Passwörtern mit Methoden des Hackings bezeichnen.

Und wie funktioniert es?

Die Funktionsweisen des Phishing sind vielschichtig, da es unterschiedliche Möglichkeiten der Angreifer gibt, an die Passwörter auch von Sparkassen-Kunden zu gelangen. Dies kann mit Hilfe gefälschter Webseiten oder Kurznachrichten geschehen. Die häufigste Art ist allerdings das Phishing per Email. Dort sind entweder bereits Viren und Trojaner angehängt, welche den heimischen Computer ausspähen können, oder es sind Links eingebaut, die den Anschein erwecken, von einer vertraulichen Stelle – wie bspw. der Sparkasse – zu kommen. Die Opfer sind so häufig wenig misstrauisch und leisten nicht selten der Aufforderung Folge, wichtige Daten wie Passwörter und Benutzernamen auf einer verlinkten Website oder per Antwort auf die Mail zu übermitteln. Auch PIN-Nummern und TAN-Kombinationen werden gerne erfragt. Diese Daten werden in den meisten Fällen dafür genutzt, das Konto des Betroffenen leerzuräumen. Als Unterart des Social Engineering wird beim Phishing also die Gutgläubigkeit des Opfers ausgenutzt. Hierfür wird sowohl in der Mail als auch auf (verlinkten) Websites die Sparkasse nachgeahmt, in der Regel durch Übernahme des Corporate Designs der Sparkasse, inklusive Logo, Schriftarten und Farben.

Was rät die Sparkasse den Kunden zum Thema Phishing?

Die Sparkassen haben natürlich selbst das Problem erkannt und geben ihren Kunden Anhaltspunkte, wie sie Phishing-Angriffe erkennen und sich vor diesen schützen können. Als wichtigster Tipp wird dabei darauf hingewiesen, dass Kunden nicht auf Nachrichten unbekannter Herkunft reagieren und Aufforderungen, Daten an unbekannter Stelle einzugeben, ignorieren sollen. Ebenfalls hilfreich ist der Hinweise, dass die Sparkassen ihre Kunden niemals darum bitten, aus einer E-Mail heraus Internetseiten zu öffnen und dort Kontodaten einzugeben. Selbiges gilt auch für andere Banken und professionelle Internet-Händler, sodass die „Schutzmaßnahmen“ allgemein gültig sind. Hat man den Verdacht, eine Phishing-Mail erhalten zu haben, kann man dies auch der Sparkasse melden. Diese wird Schritte in die Wege leiten, die weitere Verbreitung zu verhindern.

Darüber hinaus gibt die Sparkasse verschiedene Tipps, wie man einen versuchten Passwort-Klau erkennen und sich vor diesem schützen kann. Hierzu gehört beispielsweise der Hiweis, dass die Betreffzeilen und Texte solcher Mails meist in schlechtem Deutsch verfasst sind, wobei die Qualität leider immer besser wird. Auch inhaltlich kann man verdächtige Mails erkennen, denn zumeist geht es dort um Kontosperrungen, angeblichen Identitätsklau, Datenabgleich oder Ähnliches, sodass häufig solche Themen genutzt werden, die dem Kunden Angst um sein Geld machen sollen. Darüber hinaus kann man gefälschte Internetseiten daran erkennen, dass in der Adresszeile des Browsers kein geschlossenes Schlosssymbol zu finden ist und die Adresse mit http:// statt mit dem verschlüsselten https:// beginnt.

Nicht nur die Sparkasse gibt Tipps, generell gibt es bestimmte Grundregeln, um einem Phishing-Angriff bestmöglich zu entgehen, Können Sie eine Email nicht zweifelsfrei zuordnen:

     Klicken Sie auf keinen Link

     Öffnen Sie keine Anhänge

     Antworten Sie nicht auf solche Mails

Darüber hinaus sollten Sie dringend ein Virenschutzprogramm installiert haben und ihr System durch Updates auf dem neusten Stand halten. Eine Firewall ist ebenfalls sinnvoll. Beherzigen Sie all diese Tipps ist die Gefahr, Opfer eines Phishing-Angriffs bei der Sparkasse zu werden und ein leergeräumtes Konto vorzufinden, äußert gering.

Erste Schritte nach einem Phishing-Angriff

Trotz Aufklärungsarbeit und bei aller Vorsicht ist es trotzdem nicht ausgeschlossen, dass man Opfer eines Phishing-Angriffs wird. Ist das Konto leergeräumt, ist es nur allzu verständlich, wenn man in Panik verfällt. Trotzdem ist es in diesen Fällen wichtig, Ruhe zu bewahren. Nachdem man sich beruhigt hat, sollte man weitergehende Schritte einleiten, damit ein weitergehender Schaden abgewendet werden kann. Als erstes sollten Sie die betroffenen Konten und Karten von der Sparkasse sperren lassen. Daneben sollten sie überprüfen, ob ihr Antivirenprogramm auf dem neuesten Stand ist und Ihren Computer nach Viren und Trojanern scannen. Ändern Sie auch ihre Passwörter und Sicherheitsfragen.

Nach dem Phishing – Geld zurück?

Die wichtigste Frage, die sich als Opfer eines gehackten und leergeräumten Kontos stellt ist natürlich, ob Sie das Geld zurück erlangen können. Ob dies der Fall ist und wenn ja, wer Ihnen den Schaden ersetzen muss, ist eine rechtliche Frage, mit der wir uns im Folgenden auseinander setzen werden. Wenn Sie hierzu weitere Fragen haben ist es allerdings eine gute Idee, einen Anwalt zu kontaktieren, welcher Ihnen in den Einzelheiten helfen kann.

Grundsätzlich leuchtet es ohne Weiteres ein, dass der Täter des Phishing-Angriffes dem Opfer das Geld ersetzen muss. Was in der Theorie nun einfach klingt, ist in der Praxis gerade das große Problem. Den oder die Täter des Phishing-Angriffes werden meist derart anonym und geschützt agieren, dass es unmöglich wird, die Initiatoren herauszufinden. Der Rückgriff bei diesen ist damit in der Realität regelmäßig schlichtweg unmöglich.

Umso wichtiger wird daher das Verhältnis zwischen dem Kunden des leergeräumten Kontos und seiner Bank, hier also der Sparkasse. Dabei wird es häufig Streit darüber geben, ob und in welcher Höhe die Sparkasse dem Kunden Geld zurückzahlt. Für den Kunden ist in diesen Fällen wichtig, unter welchen Voraussetzungen die Bank zu dieser Zahlung verpflichtet ist.

Sorgfaltspflichtverletzung der Bank

Seit 2010 sind Banken nach einem Urteil des KG Berlin zur Bereithaltung sicherer Systeme verpflichtet (KG Berlin, Urteil vom 29. November 2010 – Aktenzeichen 26 U 159/09). Dies bedeutet, dass ihre Systeme dem Stand der Technik entsprechen müssen. Phishing-Angreifer müssen es demnach so schwer wie möglich haben, relevante Bankzugangsdaten zu erlangen. Hat eine Bank solche Technik nicht implementiert und gelangen die Angreifer auf diese Weise an relevante Daten, stellt dies eine Sorgfaltspflichtverletzung der Bank dar, aufgrund welcher der Kunde von der Bank das Geld zurück fordern kann. Hier ist unter Umständen also eine Klage gegen die Bank zielführend, wenn diese sich nicht zur Zahlung bewegt.

Weitere zivilrechtliche Ansprüche gegen die Bank

Heutzutage deutlich häufiger ist allerdings, dass die Banken ihre Sicherheitsvorkehrungen und Systeme auf dem neusten Stand halten. Findet ein Kunde sein Konto trotz allem leergeräumt stellt sich die Frage, ob immer noch gegen die Bank vorgehen und sein Geld zurück fordern kann.

Hier kann grundsätzlich festgehalten werden, dass in den meisten Fällen der Schaden von der ausführenden Bank zu ersetzen ist. Begründet wird dies damit, dass der Initiator des Phishing-Angriffs eine Überweisung vom Konto des Opfers vornimmt, welche vom Opfer nicht “veranlasst” war. Handelt die Bank sodann ohne „Anweisung“ des Kontoinhabers, kann diesem zumindest im Grundsatz kein Vorwurf gemacht werden, sodass die Bank für den Schaden einstehen muss. Damit entsteht für den Kunden ein Anspruch gegen die Sparkasse auf Rückzahlung der überwiesenen Summe, welcher auch im Wege der Klage durchgesetzt werden kann.

Allerdings ist dies nur die eine Seite der Medaille, denn auch die Sparkasse kann Ansprüche gegen ihren Kunden haben. In Frage kommt hier ein vertragswidriges Verhalten des Kunden. Hat dieser eine sogenannte Pflicht aus dem Vertrag mit der Sparkasse verletzt, kann die Sparkasse gegen den Kontoinhaber ihrerseits einen Schadensersatzanspruch geltend machen. Dieser Anspruch kann im extremsten Fall genauso hoch sein wie der Anspruch des Kunden, also die Höhe betragen, die vom Phishing-Angreifer vom Konto abgehoben wurden. Ist dies der Fall, kann die Sparkasse eine „Aufrechnung“ erklären. Die Ansprüche vom Kunden und der Sparkasse werden dann verrechnen, sodass im äußersten Fall der Anspruch des Kunden auf 0€ gekürzt wird. Für einen Anspruch der Sparkasse konnte dabei nach der alten Rechtsprechung schon reichen, dass die Bank in ihren AGB darauf hingewiesen hat, keine TAN- oder PIN-Nummern herauszugeben. Hat der Kontoinhaber dies trotzdem getan, konnte eine fahrlässige Pflichtverletzung angenommen werden. Sowohl der BGH als auch andere Gerichte sind dieser Auffassung gefolgt, sodass der Kunde häufig schutzlos war.

Der Gesetzgeber hat dieses immense Problem für Bank-Kunden erkannt und 2009 eine Gesetzesänderung für diese Fälle angestoßen. Die relevante Vorschrift findet sich nunmehr in § 675v Abs. 2 BGB, welcher regelt, dass der Kontoinhaber der Bank gegenüber nur haftet, wenn er bei der Herausgabe der Daten grob fahrlässig gehandelt hat. Eine einfache Fahrlässigkeit reicht damit nunmehr nicht aus. Der Sparkassen-Kunde handelt dann grob fahrlässig, wenn er die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt. Hierfür ist es nötig, dass er sogar ganz naheliegende Überlegungen nicht angestellt und auch das nicht beachtet hat, was im gegebenen Fall jedem einleuchten musste. Eine solche grobe Fahrlässigkeit kann vor allem dann angenommen werden, wenn Sparkassen-Kunden bereits seit mehreren Jahren das Online-Banking nutzen und auf Aufforderung trotz aller Erfahrung eine große Zahl von TAN-Nummern herausgeben. Wird man zur Herausgabe einer größeren Zahl von TAN-Nummern aufgefordert, muss man also Verdacht schöpfen, dass dies keine offizielle Anfrage der Sparkasse sein kann.

Ist dem Kontoinhaber eine solche grobe Fahrlässigkeit vorzuwerfen und kann er die Phishing-Angreifer nicht ausfindig machen, wird er also letzten Endes seinen Schaden selber tragen müssen.

Sonstige Ansprüche gegen weitere Personen

Können die Phishing-Angreifer nicht ausfindig gemacht werden und hat der Sparkassen-Kunde grob fahrlässig gehandelt, kann er sein Geld von diesen Stellen nicht mehr zurück erlangen. Fraglich ist daher, ob weitere Ansprüche des Kunden möglich sind. Das LG Köln hat in einem Verfahren (LG Köln – Aktenzeichen 9 S 195/07) festgestellt, dass ein Anspruch gegen einen “Finanzagenten” auf Rückzahlung bestehen kann. Der Finanzagent ist eine angeblich gutgläubige Person, die das erschlichene Geld an die Phishing-Angreifer weiterleitet. Er stellt also sein eigenes Konto zur Verfügung, auf welches das Geld des Opfers überwiesen wird. Dieses Geld leitet er sodann weiter. Nach Auffassung des LG Köln hat sich der Finanzagent nicht nur der Geldwäsche schuldig gemacht, sondern auch aus zivilrechtlicher Sicht soll ein Anspruch des Phishing-Opfers aus §§ 823 Abs. 2 BGB i. V. m. § 261 Abs. 2, 5 StGB gegen diesen bestehen. Im Einzelfall kann es natürlich aber auch hier immense Probleme geben, diesen Finanzagenten ausfindig zu machen. Daher ist es umso wichtiger, mit offenen Augen im Online-Verkehr unterwegs zu sein und sich nicht grob fahrlässig zu verhalten.

Was können wir nach dem Phishing für Sie tun?

Sind Sie Opfer eines Phishing-Angriffs geworden und benötigen tatkräftige Hilfe, so stehen wir Ihnen gerne mit Rat und Tat zur Seite. So können wir für Sie mit der Sparkasse kommunizieren, um bestenfalls eine gerichtliche Auseinandersetzung zu vermeiden. Auch eine Strafanzeige bei der Polizei bzw. Staatsanwaltschaft können wir für Sie stellen. Weigert sich die Sparkasse, Ihr Geld zu ersetzen, so können wir notfalls auch rechtliche Schritte einleiten, was notfalls bis zu Klage-Einreichung gehen kann.

Fazit

     Seien Sie beim Online Banking – ganz gleich, ob bei der Sparkasse oder andernorts – stets achtsam und achten Sie auf zweifelhafte Emails. Der beste Schutz gegen Phishing-Angriffe ist, mit offenen Augen und gesunder Skepsis online unterwegs zu sein.

     Sind Sie trotz aller Vorsicht Opfer eines Phishing-Angriffs geworden, so stehen Ihnen in der Regel gegen den Angreifer sowie gegen die Sparkasse/Bank Ansprüche zu, um ihr Geld zurückzubekommen. Diese Ansprüche können auch gerichtlich im Wege einer Klage geltend gemacht werden. Ein Anwalt kann Ihnen bei der rechtliche Beratung und Durchsetzung helfen.

     Problematisch wird es, wenn Ihnen grobe Fahrlässigkeit vorgeworfen werden kann. Ihre Bank hat dann einen Gegenanspruch gegen Sie, sodass Sie im schlimmsten Fall auf Ihrem Schaden sitzen bleiben können.

     Die Initiatoren des Phishing-Angriffes werden meist nicht ausfindig zu machen sein, sodass allenfalls beim Finanzagenten Regress genommen werden kann. Auch hier kann es jedoch zu Problemen kommen.

1 Star2 Stars3 Stars4 Stars5 Stars 11 Bewertung(en), durchschnittlich: 4,91 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular