In unserer digital vernetzten Welt ist das Online-Banking zu einer bequemen Möglichkeit geworden, unsere Finanzen zu verwalten. Doch diese Bequemlichkeit birgt Risiken wie Phishing. Als Fachanwalt für IT-Recht möchte ich Ihnen einige Tipps geben, wie Sie sich vor diesen Angriffen schützen können. Sparkasse Phishing – Ich helfe sofort!
Update 21.03.2024 – Keine Haftung der Bank bei Phishing und grober Fahrlässigkeit
Urteil des OLG Frankfurt am Main vom 6. Dezember 2023, Aktenzeichen 3 U 3/23; Vorinstanz: Urteil des LG Frankfurt am Main vom 9. Dezember 2022, Aktenzeichen 2-25 O 41/22
Das Oberlandesgericht Frankfurt am Main veröffentlichte ein Urteil am 6. Dezember 2023 unter dem Aktenzeichen 3 U 3/23, in dem es feststellte, dass Bankkunden, die nach Erhalt einer Phishing-Nachricht über das PushTAN-Verfahren in Verbindung mit Gesichtserkennung eine temporäre Limitanhebung und eine nachfolgende Überweisung autorisieren, ohne dabei auf ungewöhnliche Prozessabläufe zu achten, grob fahrlässig handeln können. In solchen Fällen sei die Bank nicht verpflichtet, den transferierten Geldbetrag zurückzuerstatten.
Im Detail:
Der Beschwerdeführer, ein in einer international tätigen Kanzlei arbeitender Rechtsanwalt und Steuerberater, unterhält bei der beklagten Bank ein Girokonto. Für Online-Transaktionen nutzt er das PushTAN-Verfahren. Er erhält eine Benachrichtigung auf seinem Smartphone durch die PushTAN-App, sobald ein Bankauftrag erteilt wird, und muss diesen per Gesichtserkennung freigeben. Das Überweisungslimit des Klägers betrug 10.000 Euro.
Im September 2021 bekam der Kläger eine SMS, die darauf hinwies, dass sein Konto beschränkt worden sei und er einem Link folgen solle, um sich für ein neues Verfahren zu registrieren. Der Link enthielt das Wort „Sparkasse“. Die in der SMS angegebene Telefonnummer war der Kläger bereits von der Bank für Informationen über temporäre Kontosperrungen bekannt. Nachdem der Kläger dem Link gefolgt war, erhielt er einen Anruf, in dessen Verlauf er nach eigener Aussage „irgendetwas“ in seiner PushTAN-App bestätigte. Daraufhin wurde eine Überweisung von 49.999,99 Euro von seinem Konto getätigt.
Der Kläger forderte von der Bank die Rückbuchung dieses Betrages, was jedoch vom Landgericht abgelehnt wurde.
Urteil des OLG: Kein Anspruch auf Gutschrift – Kläger handelte grob fahrlässig
Die Berufung gegen dieses Urteil blieb vor dem OLG erfolglos. Das Gericht befand, dass der Kläger durch sein Handeln grob fahrlässig gegen seine Sicherheitspflichten verstoßen habe.
Das Gericht stellte fest, dass für eine Limitänderung die starke Authentifizierung des Kunden erforderlich ist, was am Tag der umstrittenen Überweisung durch die Freigabe eines temporären Tageslimits von 50.000 Euro über Gesichtserkennung erfolgte. Die gleiche IP-Adresse wurde für die Freigabe der strittigen Überweisung genutzt.
Aufgrund der beruflichen Erfahrung des Klägers und seiner Vertrautheit mit Online- und Telefonbanking-Diensten sei es unwahrscheinlich, dass er nur eine einzelne Transaktion in der PushTAN-App freigegeben habe, wie er behauptete. Das Gericht wies darauf hin, dass die Freigabe einer PushTAN ohne Beachtung der angezeigten Details als grob fahrlässig gilt.
Das Gericht erwähnte auch, dass Banken seit Jahren vor Phishing warnen, einem Phänomen, das seit 2006 bekannt ist. Der Kläger hätte erkennen müssen, dass es sich bei der SMS um einen Phishing-Versuch handelte, spätestens nachdem er aufgefordert wurde, seine Sicherheitsdaten in einem ungewöhnlichen Kontext preiszugeben.
Das Urteil ist zum Zeitpunkt des Berichts (15. Februar 2024) noch nicht rechtskräftig. Der Kläger hat beim Bundesgerichtshof eine Nichtzulassungsbeschwerde eingereicht, um die Revision zu erwirken.
Update 29.02.2024 – Sparkasse verschickt USB-Sticks! Eine gute Idee?
In einer Zeit, in der das Bewusstsein für Sicherheitsrisiken steigt und Firmen zunehmend davon Abstand nehmen, USB-Sticks für Marketingzwecke einzusetzen, entschied sich die Sparkasse Bremen für einen ungewöhnlichen Weg, um ihre Geschäftsbedingungen an Geschäftskunden zu kommunizieren. Anstatt auf traditionelle Methoden zurückzugreifen, versandte sie 15.000 USB-Sticks per Post, die die ab Mai geltenden neuen Allgemeinen Geschäftsbedingungen enthielten. Diese Entscheidung, die laut einem Bericht des Spiegels auf rechtliche Verpflichtungen zurückzuführen ist, löste eine heftige Debatte und Kritik aus. Ein Nutzer auf Reddit machte den Vorfall publik, indem er ein Foto der begleitenden Postkarte teilte.
Die Sparkasse Bremen bestätigte gegenüber dem Spiegel den Versand und sah sich mit scharfer Kritik von IT-Sicherheitsexperten konfrontiert. Dennis-Kenji Kipker, ein Experte für Informationsrecht aus Bremen, äußerte auf LinkedIn seine Verwunderung über diese Maßnahme und bezeichnete sie als äußerst unklug im Kontext der Cybersecurity.
Spott für die Aktion
Die Aktion zog nicht nur Spott auf sich, sondern rief auch Sicherheitsbedenken hervor. Kommentare auf Reddit wie die eines Nutzers, der scherzhaft anmerkte, dass die Panzerknacker von Entenhausen das Interesse an der Modernisierung der Standards bekunden würden, unterstreichen die Skepsis. Ein besonders beliebter Kommentar spielte auf die Gefahr an, dass die Aktion unbewusst Cyberkriminellen in die Hände spielen könnte, indem sie die Verbreitung von präparierten USB-Sticks erleichtert.
Die Verbraucherzentralen warnen regelmäßig vor neuen Phishing-Strategien, die von Kriminellen genutzt werden, um die Veränderungen bei den Sparkassen auszunutzen. Die Befürchtung, dass diese Aktion es Betrügern ermöglichen könnte, gefälschte USB-Sticks unter die Kunden zu mischen, steht im Raum. Trotz der potenziellen Risiken berichtete die Sparkasse von wenigen Beschwerden seitens der Firmenkunden. Die Sparkasse wies darauf hin, dass die Geschäftsbedingungen auch online, über einen QR-Code oder einen Link im Begleitbrief abrufbar seien, und begründete die Wahl des USB-Sticks als Mittel zur Verbreitung der AGB mit dem Wunsch, den Druck von rund 140 Seiten Papier zu vermeiden. Der Spiegel erfuhr von der Sparkasse Bremen, dass es ihr auch darum ging, nachweisen zu können, die AGB ordnungsgemäß zur Verfügung gestellt zu haben.
Update 27.02.2024 – Phishing mit „Entdecken Sie das neue S-pushTAN-System“
Derzeit kursieren gefälschte E-Mails, die fälschlicherweise der Sparkasse zugeschrieben werden. Diese E-Mails tragen Überschriften wie „Entdecken Sie das neue S-pushTAN-System“ und behaupten die Einführung eines angeblich neuen „Sicherheitssystems S-pushTAN“. Ziel dieser E-Mails ist es, Empfänger dazu zu verleiten, eine gefälschte Webseite (Phishing-Seite) aufzusuchen. Auf dieser Seite werden Sie aufgefordert, Ihre Online-Banking-Zugangsdaten, zusätzliche persönliche Informationen sowie die Nummern Ihrer Sparkassen-Card und Kreditkarte preiszugeben.
WARNUNG: Bitte tragen Sie keine Informationen auf diesen Phishing-Seiten ein. Andernfalls könnten Ihre Daten von Betrügern für unerlaubte Handlungen, wie beispielsweise betrügerische Transaktionen, verwendet werden.
Was ist Phishing?
Phishing ist eine Methode, bei der Betrüger versuchen, an Ihre persönlichen Daten wie Benutzernamen, Passwörter und Kreditkarteninformationen zu gelangen. Sie tun dies, indem sie gefälschte E-Mails, SMS oder Websites erstellen, die denen der Sparkasse ähneln. Diese gefälschten Kommunikationsmittel fordern Sie auf, vertrauliche Informationen preiszugeben oder auf gefährliche Links zu klicken.
Sparkasse Phishing: Wie erkenne ich Phishing?
Es gibt einige Anzeichen dafür, dass es sich bei einer E-Mail oder einer Website um Phishing handeln könnte. Hier sind einige Punkte, auf die Sie achten sollten:
- Absenderadresse: Überprüfen Sie die Absenderadresse der E-Mail. Oft verwenden Betrüger Adressen, die denen der Sparkasse ähneln, aber kleine Abweichungen enthalten können.
- Rechtschreib- und Grammatikfehler: Achten Sie auf Rechtschreib- und Grammatikfehler in der E-Mail. Seriöse Unternehmen wie die Sparkasse würden solche Fehler normalerweise nicht machen.
- Dringender Handlungsbedarf: Seien Sie vorsichtig bei E-Mails oder SMS, die behaupten, dass Ihr Konto gesperrt wurde oder dass Sie dringend handeln müssen. Betrüger versuchen oft, Druck auszuüben, um Sie dazu zu bringen, schnell zu handeln und Ihre persönlichen Daten preiszugeben.
- Ungewöhnliche Anfragen: Seien Sie misstrauisch gegenüber E-Mails oder SMS, die nach ungewöhnlichen Informationen oder Aktionen fragen. Die Sparkasse würde niemals nach Ihrem Passwort oder anderen vertraulichen Informationen fragen.
Wie schütze ich mich vor Phishing?
Es gibt mehrere Maßnahmen, die Sie ergreifen können, um sich vor Phishing-Angriffen zu schützen:
- Seien Sie vorsichtig mit Ihren persönlichen Daten: Geben Sie niemals vertrauliche Informationen wie Passwörter oder Kreditkarteninformationen preis, es sei denn, Sie sind sich sicher, dass die Website oder E-Mail legitim ist.
- Überprüfen Sie die Website-URL: Überprüfen Sie immer die URL der Website, bevor Sie vertrauliche Informationen eingeben. Stellen Sie sicher, dass sie mit „https://“ beginnt und ein Schlosssymbol in der Adressleiste angezeigt wird.
- Verwenden Sie starke Passwörter: Verwenden Sie für Ihre Online-Konten starke Passwörter mit einer Kombination aus Buchstaben, Zahlen und Sonderzeichen. Vermeiden Sie einfache Passwörter wie „123456“ oder „Passwort“.
- Aktualisieren Sie Ihre Software: Halten Sie Ihr Betriebssystem und Ihre Antivirensoftware auf dem neuesten Stand, um sich vor bekannten Sicherheitslücken zu schützen.
- Melden Sie verdächtige Aktivitäten: Wenn Ihnen verdächtige E-Mails oder SMS auffallen, melden Sie diese an die Sparkasse und leiten Sie sie an warnung@sparkasse.de weiter.
Was kann ich als Sparkassen-Kunde tun, wenn ich Opfer eines Phishing-Angriffs geworden bin?
Wenn Sie Opfer eines Phishing-Angriffs geworden sind, sollten Sie umgehend handeln, um den Schaden zu minimieren. Hier sind einige Schritte, die Sie als Sparkassen-Kunde unternehmen können:
Melden Sie den Vorfall:
Kontaktieren Sie umgehend Ihre Sparkasse und informieren Sie sie über den Phishing-Angriff. Die Sparkasse wird Ihnen weitere Anweisungen geben und Ihr Konto gegebenenfalls schützen.
Ändern Sie Ihre Zugangsdaten:
Ändern Sie sofort Ihre Zugangsdaten wie Passwörter und PINs für Ihr Online-Banking-Konto. Verwenden Sie starke und einzigartige Passwörter, um Ihr Konto vor weiteren Angriffen zu schützen.
Überprüfen Sie Ihre Kontobewegungen:
Überprüfen Sie Ihre Kontobewegungen sorgfältig und melden Sie verdächtige Transaktionen Ihrer Sparkasse. Je früher Sie verdächtige Aktivitäten melden, desto besser können die Behörden den Betrug untersuchen.
Informieren Sie die Polizei:
Erstatten Sie eine Anzeige bei Ihrer örtlichen Polizeidienststelle. Bringen Sie alle relevanten Informationen mit, einschließlich der Phishing-E-Mails oder SMS, die Sie erhalten haben.
Schützen Sie sich vor zukünftigen Angriffen:
Nehmen Sie sich Zeit, um sich über Phishing-Techniken zu informieren und lernen Sie, wie Sie sich vor solchen Angriffen schützen können. Seien Sie vorsichtig beim Öffnen von E-Mails unbekannter Absender und klicken Sie nicht auf verdächtige Links.
Sparkasse Phishing: Rechtliche Unterstützung und Beratung
Als Fachanwalt für IT-Recht stehe ich Ihnen zur Seite, wenn Sie Opfer eines Phishing-Angriffs geworden sind. Es ist wichtig, dass Sie wissen, dass die Wiederherstellung gestohlener Gelder herausfordernd sein kann, selbst wenn der Betrüger gefasst wird. Hier sind einige Schritte, die Sie unternehmen können:
Melden Sie den Vorfall
Melden Sie den Vorfall sofort Ihrer Bank und der Polizei. Die Sparkasse kann für Schäden haftbar sein, und rechtliche Hilfe kann erforderlich sein.
Sparkasse Phishing: Suchen Sie rechtliche Unterstützung
Wenn Sie einen Verlust durch Phishing erleiden, kann meine Kanzlei Ihnen assistieren. Es gibt auch andere Anwälte, die eine kostenlose Erstbewertung von Experten anbieten.
Bleiben Sie informiert
Bleiben Sie über die sich ständig weiterentwickelnden Online-Kriminalitätstaktiken informiert und schützen Sie sich vor Phishing, indem Sie Tipps befolgen und Ihr Konto regelmäßig überwachen.
Sparkasse Phishing: Zusätzliche Ressourcen und Unterstützung
Kostenlose digitale Bildung
Nutzen Sie Angebote wie den DsiN-Digitalführerschein (DiFü), der kostenlose digitale Bildung und Zertifizierung bietet. Diese Qualifikationen können Ihnen helfen, Ihre digitalen Fähigkeiten zu verbessern und sicherer im Umgang mit Online-Diensten zu werden.
Verwendung zuverlässiger Antivirensoftware
Halten Sie Ihre Online-Banking-Software stets auf dem neuesten Stand und verwenden Sie zuverlässige Antivirensoftware. Dies kann Ihnen helfen, vor Phishing-Angriffen geschützt zu bleiben.
Haftung und rechtliche Unterstützung
Die Haftung hängt von der Fahrlässigkeit ab. Wenn Sie angegriffen werden, melden Sie dies der Sparkasse und der Polizei. Die Bank kann für Schäden haftbar sein, und rechtliche Hilfe kann erforderlich sein.
Sparkasse Phishing: Ihre Rolle als Kunde
Als Kunde tragen Sie eine gewisse Verantwortung für Ihre Online-Sicherheit. Die Banken setzen zwar Schutzmaßnahmen ein, aber Sie müssen auch selbst wachsam sein und verdächtige E-Mails melden, Ihre Daten schützen und rechtliche Schritte einleiten, wenn dies erforderlich ist.
Abwehr Sparkasse Phishing: Praktische Tipps für den Alltag
Überprüfen Sie Ihre Kontobewegungen regelmäßig
Ein regelmäßiger Blick auf Ihr Konto kann Ihnen helfen, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Wenn Sie etwas Verdächtiges bemerken, handeln Sie sofort.
Nutzen Sie Mehrfaktor-Authentifizierung
Wo immer möglich, aktivieren Sie die Mehrfaktor-Authentifizierung. Dies bietet eine zusätzliche Sicherheitsebene und macht es für Betrüger schwieriger, Zugang zu Ihrem Konto zu erhalten.
Seien Sie skeptisch gegenüber unaufgeforderten Kontaktaufnahmen
Wenn Sie unaufgefordert kontaktiert werden, sei es per E-Mail, Telefon oder SMS, seien Sie skeptisch. Überprüfen Sie die Kontaktdaten sorgfältig und geben Sie keine persönlichen Informationen preis, ohne die Identität des Anrufers zu bestätigen.
Sparkasse Phishing: Kontakt und Unterstützung
Sollten Sie nach dem Lesen dieses Beitrags weitere Fragen haben oder spezifische Unterstützung benötigen, zögern Sie bitte nicht, sich an mich zu wenden. Als Fachanwalt für IT-Recht stehe ich Ihnen gerne zur Verfügung, um Sie in allen Angelegenheiten rund um das Thema Phishing und Online-Sicherheit zu beraten.
Wie Sie mich erreichen können:
- E-Mail: Sie können mir eine E-Mail senden, und ich werde so schnell wie möglich antworten.
- Telefon: Rufen Sie mich an, wenn Sie eine direkte und persönliche Beratung wünschen.
- Bürobesuch: Vereinbaren Sie einen Termin, um mich in meiner Kanzlei persönlich zu treffen.
Schlussfolgerung Sparkasse Phishing
Phishing stellt ein erhebliches Risiko für Sparkasse-Kunden dar und führt zu finanziellen Verlusten. Als beratender Fachanwalt für IT-Recht empfehle ich Ihnen, wachsam zu bleiben, Ihre Online-Banking-Software zu aktualisieren und zuverlässige Antivirensoftware zu verwenden. Die Bank kann für Schäden haftbar sein, und rechtliche Hilfe kann erforderlich sein.
