Phising Mails und Nachrichten, die vorgeblich von der eigenen Bank kommen, können richtig teuer werden. Wer darauf hrreinfällt und nicht zumindest etwas kritisch solchen Angriffen gegenüber tritt, bleibt womöglich auf dem Schaden sitzen. Im vorliegenden Fall musste eine Bank den Schaden (immerhin 4444.44 Euro) nicht bezahlen.

Was war geschehen?

Am 12.05.2014 erhielt die Ehefrau eine Phishing-E-Mail, die als Absender „HypoVereinsbank [mailto:direct-b@hypovereinsbank]“ auswies und mitteilte, dass der Zugang zum „Direct B@nking“ bald ablaufe, sofern die Synchronität der SEPA-Umstellung im Zugang nicht aktualisiert werde. Es wurde aufgefordert, auf einen Link zur manuellen Aktualisierung des Zugangs zu klicken.

Die Ehefrau klickte auf diesen Link und gab dort ihren Namen, ihre Kontonummer sowie ihre Festnetznummer an. Am 13.05.2014 rief eine weibliche Person die Ehefrau des Klägers an und gab sich als Mitarbeiterin der Bank aus. Von dieser wurde die Ehefrau gebeten, sich Nummern zu notieren, und diese mit den Nummern zu vergleichen, die ihr sogleich in einer SMS mitgeteilt werden würden. Falls die Buchstaben/Ziffern übereinstimmen würden, sollte sie die letzte Ziffernfolge in der SMS der Anruferin mitteilen. Nach Erhalt der SMS mit dem Inhalt „Die mobile TAN für Ihre Überweisung von 4.444,44 EUR auf das Konto ES (…) mit BIC (…) lautet: 253844“ teilte die Ehefrau die Ziffernfolge 253844 der Anruferin mit. In der Folge wurde ein Betrag von 4.444,44 € auf das Konto ES (…) mit BIC (…)überwiesen.

Gericht befand auf grobe Fahrlässigkeit

Das Ehepaar sperrte das Konto wenige Tage später und versuchte, den Betrag zurück buchen zu lassen. Damit hatten sie allerdings keinen Erfolg. Daher wollten sie das Geld von der eigenen Bankd ersetzt haben.

Beim Amtsgericht München sah man dies jedoch anders. Der Richter bewertete das Verhalten der Eheleute als grob fahrlässig und daher gab es keine Haftung durch die Bank. Im Urteil dazu heißt es:

Die Weitergabe der TAN im Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit“, so das Urteil. Beim mobilen TAN-Verfahren würde eine TAN stets für eine konkrete Aktion, vor allem für eine konkrete Überweisung erzeugt und per SMS auf das Mobiltelefon des Kunden verschickt. Die SMS enthalte aber gerade nicht nur die TAN, sondern lautet wie hier: „Die mobile TAN für Ihre Überweisung von 4.444,44 EUR auf das Konto…“. Damit würde dem Kunden noch einmal vor Augen geführt, dass es sich nicht um eine beliebige TAN handelt, sondern auch, für welchen konkreten Vorgang diese TAN geschaffen worden sei, etwa für eine Überweisung und ferner, auf welches Konto und mit welchem Betrag diese Überweisung erfolgen solle. „Beachtet ein Kunde diese deutlichen Hinweise nicht und gibt die TAN sodann an einen Dritten weiter, der damit dann eine Überweisung durchführt, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr; denn in diesem Fall muss es im Allgemeinen jedem einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675l BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen

 Damit bleiben die Eheleute auf dem Schaden von 4444.44 Euro sitzen. Es bleibt daher nur zu raten, dass man mit den Zugangsdaten zum Onlinebanking in jedem Fall sehr kritisch umgeht und diese auch nicht an vermeintliche Bankmitarbeiter weiter gibt.

By | 2017-08-25T13:22:14+00:00 August 25th, 2017|Sicherheit|0 Comments

About the Author:

Die Redaktion von Banking-Deutschland.de besteht unter anderem aus diplomierten Bankkaufleuten und bietet kostenlose Informationen rund um Finanzen und Geldanlage. Bei Fragen und Problemen stehen wir Ihnen unter Kontakt gerne zur Verfügung.