Bank-IT-Recht: Onlinebanking-Hacker und Microsoft-Mitarbeiter-Trickbetrug

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

Es liegt in der AID24 Rechtsanwaltskanzlei der folgende Fall vor, in welchem unsere Mandanten zum Opfer einer aufwendigen Betrugsmasche als Nutzer von Onlinebanking eines Commerzbankkontos durch den Microsoft-Mitarbeiter-Trick wurden.

Wie gehen die Onlinebanking-Hacker in der Regel beim Microsoft-Mitarbeiter-Trick als Betrüger vor?

Der Computer der Opfer wird mit einer Schadsoftware infiziert, welche den Rechner verlangsamt und den Zugriff auf deren Google-Mail-Konto behindert. Daraufhin wird der Betroffene von einem vermeintlichen Callcenter aus angerufen. Der Anrufer, welcher zumindest im vorliegenden Fall englisch sprach und wahrscheinlich einen vermutlich indischen oder pakistanischen Akzent aufwies, gibt sich als Mitarbeiter von Microsoft aus. Dieser gab an, der Betroffene sei Opfer eines Identitätsdiebstahls geworden, weshalb er das Google-Mail-Konto und Bankkonto des Mandanten überprüfen solle. Der vermeintliche Microsoft-Mitarbeiter bot hierbei die „Reinigung“ des Computers des Mandanten als „Hilfe-Leistung" an. Dazu müsse der Betroffene das Programm „TeamViewer“ herunterladen und dem Anrufer vollständigen Zugriff auf seinen Computer und ggf. weitere Endgeräte wie Handys o.a. ermöglichen. Erklärt sich der Betroffene damit einverstanden, wird er gebeten, sich zwecks Überprüfung des Bankkontos in die Online-Banking-Funktion seiner Bank einzuloggen. Selbst wenn zu diesem Zeitpunkt die TeamViewer-App noch nicht installiert ist, können die Täter – vermutlich durch ein in der Schadsoftware enthaltenes Keylogger-Programm – die PIN-Nummer im Zeitpunkt der Eingabe ermitteln. Die so erlangten Kenntnisse wurden durch die Betrüger zur Veranlassung von weiteren nach unserer Ansicht unautorisierten Zahlungsvorgängen genutzt, indem die vom Nutzer eingeräumte Fernwartung missbraucht und die Kontrolle über die Endgeräte des Opfers dauerhaft übernommen wird. Im Rahmen der Kontodeckung führte der Zahlungsdienstleister des Betroffenen (im uns vorliegendem Fall die Commerzbank) die Zahlung durch.

Bestehen Ersatzansprüche gegen dem Zahlungsdienstleister nach IT-Recht bzw. Bankrecht?

Das Vorgehen der Betrüger / Onlinebanking-Hacker erfüllt nach unserer Ansicht unter anderem den Straftatbestand des Computerbetruges gemäß § 263a StGB und kann daher strafrechtlich verfolgt werden. Für den Betroffenen von größerem Interesse ist jedoch in der Regel, ob eine Möglichkeit besteht, das durch die von den Betrügern / Hacker veranlassten Zahlungsvorgänge verlorene Geld, in dem uns vorliegenden Fall von der Commerzbank, zurückzuerhalten.

Erstattungsanspruch des Kunden gegen die Bank gemäß § 675u BGB

Möglicherweise steht dem Betroffenen ein Ersatzanspruch gemäß § 675u BGB zu:

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. (§ 675u BGB)

Dazu müsste eine nicht autorisierte Zahlung vorliegen. Denn nur die Autorisierung eines Zahlungsvorgangs erlaubt es dem Zahlungsdienstleister, seinen Aufwendungsersatzanspruch gemäß §§ 675, 675c, 670 BGB für die durch den Kontoinhaber veranlasste Zahlung geltend zu machen. Unter Autorisierung versteht man die Zustimmung zu einem Zahlungsvorgang. Es handelt sich um eine sogenannte einseitige, empfangsbedürftige Willenserklärung, welche in der Regel darin besteht, dass Zahler einen Zahlungsauftrag erteilt.

Der Zahlungsdienstleister, in dem uns vorliegenden Fall die Commerzbank, wird sich regelmäßig zunächst auf den Standpunkt stellen, es liege eine Autorisierung vor, sodass sich die Frage auftut, wen diesbezüglich die Beweislast trifft. Grundsätzlich ist jede Partei für die für sie günstigen Tatsachen beweisbelastet. Manche sehen die Darlegungs- und Beweislast daher beim Zahler, sprechen aber dem Zahlungsdienstleister aufgrund des Informationsgefälles in dessen Verhältnis zum Zahler eine sogenannte sekundäre Darlegungslast zu – dieser kann sich also nicht mit sogenanntem „einfachen Bestreiten“ verteidigen, sondern muss die Tatsachen und Umstände darlegen, aus denen sich die vermeintliche Autorisierung ergibt. Demgegenüber ist etwa der (in der Praxis relevanten) Rechtsprechung zu Folge aufgrund von § 675w BGB hinsichtlich der Autorisierung eines Zahlungsvorgangs der Zahlungsdienstleister beweisbelastet:

Die Kläger nehmen die Beklagte auf Erstattung wegen eines von der Beklagten zu Lasten des Kontos der Kläger ausgeführten Überweisungsauftrags in Anspruch. (…). Das Landgericht hat die Klage abgewiesen und zur Begründung ausgeführt, dass den Klägern gegen die Beklagte kein Anspruch aus § 675u BGB zustünde. (…). Darüber hinaus haben die Kläger hier jedoch auch die Echtheit der Unterschriften bestritten und die Beklagte hat den Beweis der Echtheit nicht geführt. Dies geht zu ihren Lasten. Die Beklagte trägt auch im Rahmen des Erstattungsanspruchs nach § 675u BGB die Beweislast für die Autorisierung der Zahlung. Weil die Beklagte für die Autorisierung der Zahlung beweispflichtig ist, trägt sie auch die Beweislast für die Echtheit der Unterschriften.“ (OLG Frankfurt am Main, Urteil vom 11.05.2017 – 1 U 224/15)

In der Regel wird eine Autorisierung durch den Zahler in einem solchen Betrugsfall damit nicht anzunehmen sein. Daher besteht wahrscheinlich ein Erstattungsanspruch gegen den Zahlungsdienstleister, in dem uns vorliegenden Fall gegen die Commerzbank.

Schadensersatzanspruch der Bank gegen den Kunden gemäß § 675v II BGB

Möglich ist aber, dass der Bank gemäß § 675v II BGB ihrerseits ein Schadensersatzanspruch gegen den Kunden in gleicher Höhe zusteht. In diesem Fall könnte der Zahlungsdienstleister mit seinem Anspruch in gleicher Höhe gegen den Erstattungsanspruch des Zahlers aufrechnen. Der Erstattungsanspruch des Kunden wäre daher nicht durchsetzbar.

Voraussetzung des Anspruchs aus § 675v II BGB ist, dass sich der Kunde grob fahrlässig verhalten hat. Diese grobe Fahrlässigkeit muss sich aus den Umständen des Einzelfalls ergeben. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. Allein der Umstand, dass der Kunde die Online-Banking-Funktion nutzt, wirkt sich dabei aber nicht verantwortungserhöhend aus. Zu den Maßstäben für das Vorliegen grober Fahrlässigkeit im Kontext von Phishing-Angriffen äußerte sich das OLG Hamm grobe Fahrlässigkeit bejahend:

„Entgegen der Ansicht des Klägers ist es für die Entscheidung des vorliegenden Rechtsstreits unerheblich, ob die E-Mail professionell gestaltet war und eine plausible Begründung für die betrügerische Abfrage der Daten lieferte. Mit zutreffender Begründung hat das Landgericht ausgeführt, dass es einem durchschnittlichen Verwender der Telefon- und Online-Banking-Funktion einer Bank bekannt sein muss, dass im Internet Kriminelle versuchen, mittels der Versendung von E-Mails an sensible Daten Dritter zu gelangen. Dem Kläger hätte überdies bekannt sein müssen, dass seit Jahren in sämtlichen Medien regelmäßig von Pishing-Attacken berichtet wird, mit denen meist unbekannt bleibende Täter durch E-Mails versuchen, Kunden von Banken zur Eingabe von sensiblen Daten, insbesondere zur Eingabe einer PIN zu bewegen.“ (OLG Hamm, Hinweisbeschluss vom 16.03.2015 – I-31 U 31/15)

Legt man diese Maßstäbe zugrunde, lässt sich für die Annahme einer groben Fahrlässigkeit argumentieren, dass der Nutzer willentlich unbekannten Dritten Zugang zu seinem Rechner gewährte, obwohl einem Onlinebanking-Nutzer bewusst sein muss, dass Kriminelle versuchen können, sensible Daten zu erlangen bzw. das Onlinebanking zu „hacken“. Andererseits beinhaltet das Vorgehen der Betrüger im vorliegenden Fall eine ungleich höhere „Angriffsintensität“ und kriminelle Energie als die Versendung von Phishing-Mails. Auch dürfte der „Microsoft-Mitarbeiter“-Trick im Gegensatz zu den eher gängigen Phishing-Versuchen deutlich weniger geläufig sein. Zudem wurde dem Betroffenen geschickt glaubhaft gemacht, die Gefahr bestehe ausschließlich in der sich auf dem Computer befindlichen Malware, die dessen Funktionsfähigkeit und Sicherheit bedrohe. Dass der Angriff letztlich auf die Bankkonten zielte, war nicht ohne Weiteres ersichtlich. Grobe Fahrlässigkeit wurde in der Rechtsprechung bisher vor allem dann Angenommen, wenn der Nutzer seine PIN-Nummer weitergegeben oder mehrere TAN-Nummern eingegeben hat. Weder das Eine noch das Andere war in dem uns vorliegenden Fall anzunehmen. Damit sprechen gute Argumente gegen das Vorliegen grober Fahrlässigkeit.  

Unser Fazit wie Online-Banking-Hacker per „Microsoft-Mitarbeiter“-Trick die Konten der Commerzbank missbrauchten

Sollte ein Anruf wie hier Beschriebene eingehen, empfiehlt es sich dringend, sofort aufzulegen. Keinesfalls sollten Bankdaten oder sonstige Daten heraus- oder eingegeben oder dem Anrufer Zugang zum Computer verschafft werden. Sollte dies doch geschehen sein, sollte das Konto unverzüglich gesperrt werden.

In Fällen, in denen ein Bankkunde in Folge eines Online-Banking-Betrugs einen Schaden erlitten hat, kann allerdings durchaus die Möglichkeit bestehen, das abgebuchte Geld vom Zahlungsdienstleister ersetzt zu bekommen. Insbesondere in Anbetracht der vergleichsweise undurchsichtigen Rechtslage ist es zu empfehlen, den Rat eines auf IT-Recht, Bank- und Wirtschaftsrecht spezialisierten Anwalts einzuholen.

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz.... Weiterlesen

Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme.... Weiterlesen

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung  ein Schuldanerkenntnis liege, unabhängig davon, ob diese... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx rar zip.

* Diese Angaben werden benötigt.

Kanzleibriefe
Datenschutzgesetz Schweiz totalrevidiert nDSG CH, revDSG CH, CHDSG neu oder DSG neu CH

Das neue Datenschutzgesetz der Schweiz (DSG neu Schweiz) tritt ab 01.09.2023 in Kraft... Weiterlesen

Datenschutzdokumentation mit Datenschutz-Generator-Software für Schweiz, Deutschland oder Österreich erstellen

Die Bedeutung einer Datenschutz-Dokumentation für Unternehmen in der Schweiz, Österreich und Deutschland nach der DSGVO, BDSG, DSG neu AT, DSG neu CH?... Weiterlesen

Muster AV-Vertrag Vorlage: Auftragsdatenverarbeitung Vertrag-Generator die Alternative im Datenschutz, DSGVO oder CHDSG neu der Schweiz zu bearbeiten

Personenbezogene Daten im Auftrag verarbeiten? Unter Umständen ist zuvor ein AV-Vertrag nach der DSGVO dem BDSG neu oder nach dem DSG neu Schweiz oder DSG neu Österreich zu schließen!... Weiterlesen