Kostenlosen Ratgeber zur Verteidigung gegen 
Abmahnung als 28 Seiten PDF-Dokument

Bank-IT-Recht: Onlinebanking-Hacker und Microsoft-Mitarbeiter-Trickbetrug

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 12. Juni 2021 um 17:18

Es liegt in der AID24 Rechtsanwaltskanzlei der folgende Fall vor, in welchem unsere Mandanten zum Opfer einer aufwendigen Betrugsmasche als Nutzer von Onlinebanking eines Commerzbankkontos durch den Microsoft-Mitarbeiter-Trick wurden.

Wie gehen die Onlinebanking-Hacker in der Regel beim Microsoft-Mitarbeiter-Trick als Betrüger vor?

Informationstechnologien Bereiche bei Online Bankings Einführung Lösung (Bank IT Recht)

Der Computer der Opfer wird mit einer Schadsoftware infiziert, welche den Rechner verlangsamt und den Zugriff auf deren Google-Mail-Konto behindert. Daraufhin wird der Betroffene von einem vermeintlichen Callcenter aus angerufen.

Bei Sicherheitslücken für Bankgeschäfte im Artikel Gesetze Haftung

Der Anrufer, welcher zumindest im vorliegenden Fall englisch sprach und wahrscheinlich einen vermutlich indischen oder pakistanischen Akzent aufwies, gibt sich als Mitarbeiter von Microsoft aus.

Beispiel Kanzlei Rechtsschutz Grundlagen waren Vorgaben bei Bankkunden

Dieser gab an, der Betroffene sei Opfer eines Identitätsdiebstahls geworden, weshalb er das Google-Mail-Konto und Bankkonto des Mandanten überprüfen solle. Der vermeintliche Microsoft-Mitarbeiter bot hierbei die „Reinigung“ des Computers des Mandanten als „Hilfe-Leistung" an.

Dazu müsse der Betroffene das Programm „TeamViewer“ herunterladen und dem Anrufer vollständigen Zugriff auf seinen Computer und ggf. weitere Endgeräte wie Handys o.a. ermöglichen. Erklärt sich der Betroffene damit einverstanden, wird er gebeten, sich zwecks Überprüfung des Bankkontos in die Online-Banking-Funktion seiner Bank einzuloggen.

Bankmitarbeiter Schutz Bezeichnung bei Rechts Fachanwälte finden Sicherheitslücken im Telefon (Service)

Selbst wenn zu diesem Zeitpunkt die TeamViewer-App noch nicht installiert ist, können die Täter – vermutlich durch ein in der Schadsoftware enthaltenes Keylogger-Programm – die PIN-Nummer im Zeitpunkt der Eingabe ermitteln. Die so erlangten Kenntnisse wurden durch die Betrüger zur Veranlassung von weiteren nach unserer Ansicht unautorisierten Zahlungsvorgängen genutzt, indem die vom Nutzer eingeräumte Fernwartung missbraucht und die Kontrolle über die Endgeräte des Opfers dauerhaft übernommen wird.

Im Rahmen der Kontodeckung führte der Zahlungsdienstleister des Betroffenen (im uns vorliegendem Fall die Commerzbank) die Zahlung durch.

Bestehen Ersatzansprüche gegen dem Zahlungsdienstleister nach IT-Recht bzw. Bankrecht?

Das Vorgehen der Betrüger / Onlinebanking-Hacker erfüllt nach unserer Ansicht unter anderem den Straftatbestand des Computerbetruges gemäß § 263a StGB und kann daher strafrechtlich verfolgt werden.

Für den Betroffenen von größerem Interesse ist jedoch in der Regel, ob eine Möglichkeit besteht, das durch die von den Betrügern / Hacker veranlassten Zahlungsvorgänge verlorene Geld, in dem uns vorliegenden Fall von der Commerzbank, zurückzuerhalten.

Erstattungsanspruch des Kunden gegen die Bank gemäß § 675u BGB

Möglicherweise steht dem Betroffenen ein Ersatzanspruch gemäß § 675u BGB zu:

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen.

Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. (§ 675u BGB)

Dazu müsste eine nicht autorisierte Zahlung vorliegen. Denn nur die Autorisierung eines Zahlungsvorgangs erlaubt es dem Zahlungsdienstleister, seinen Aufwendungsersatzanspruch gemäß §§ 675, 675c, 670 BGB für die durch den Kontoinhaber veranlasste Zahlung geltend zu machen. Unter Autorisierung versteht man die Zustimmung zu einem Zahlungsvorgang.

Es handelt sich um eine sogenannte einseitige, empfangsbedürftige Willenserklärung, welche in der Regel darin besteht, dass Zahler einen Zahlungsauftrag erteilt.

Der Zahlungsdienstleister, in dem uns vorliegenden Fall die Commerzbank, wird sich regelmäßig zunächst auf den Standpunkt stellen, es liege eine Autorisierung vor, sodass sich die Frage auftut, wen diesbezüglich die Beweislast trifft.

Grundsätzlich ist jede Partei für die für sie günstigen Tatsachen beweisbelastet. Manche sehen die Darlegungs- und Beweislast daher beim Zahler, sprechen aber dem Zahlungsdienstleister aufgrund des Informationsgefälles in dessen Verhältnis zum Zahler eine sogenannte sekundäre Darlegungslast zu – dieser kann sich also nicht mit sogenanntem „einfachen Bestreiten“ verteidigen, sondern muss die Tatsachen und Umstände darlegen, aus denen sich die vermeintliche Autorisierung ergibt.

Demgegenüber ist etwa der (in der Praxis relevanten) Rechtsprechung zu Folge aufgrund von § 675w BGB hinsichtlich der Autorisierung eines Zahlungsvorgangs der Zahlungsdienstleister beweisbelastet:

Die Kläger nehmen die Beklagte auf Erstattung wegen eines von der Beklagten zu Lasten des Kontos der Kläger ausgeführten Überweisungsauftrags in Anspruch. (…). Das Landgericht hat die Klage abgewiesen und zur Begründung ausgeführt, dass den Klägern gegen die Beklagte kein Anspruch aus § 675u BGB zustünde. (…). Darüber hinaus haben die Kläger hier jedoch auch die Echtheit der Unterschriften bestritten und die Beklagte hat den Beweis der Echtheit nicht geführt. Dies geht zu ihren Lasten. Die Beklagte trägt auch im Rahmen des Erstattungsanspruchs nach § 675u BGB die Beweislast für die Autorisierung der Zahlung. Weil die Beklagte für die Autorisierung der Zahlung beweispflichtig ist, trägt sie auch die Beweislast für die Echtheit der Unterschriften.“ (OLG Frankfurt am Main, Urteil vom 11.05.2017 – 1 U 224/15)

In der Regel wird eine Autorisierung durch den Zahler in einem solchen Betrugsfall damit nicht anzunehmen sein. Daher besteht wahrscheinlich ein Erstattungsanspruch gegen den Zahlungsdienstleister, in dem uns vorliegenden Fall gegen die Commerzbank.

Schadensersatzanspruch der Bank gegen den Kunden gemäß § 675v II BGB

Rechtsgebieten Inhaber Begriff Art Gesichtserkennung Deutschland Polizei masche anrufen

Möglich ist aber, dass der Bank gemäß § 675v II BGB ihrerseits ein Schadensersatzanspruch gegen den Kunden in gleicher Höhe zusteht.

In diesem Fall könnte der Zahlungsdienstleister mit seinem Anspruch in gleicher Höhe gegen den Erstattungsanspruch des Zahlers aufrechnen. Der Erstattungsanspruch des Kunden wäre daher nicht durchsetzbar.

Voraussetzung des Anspruchs aus § 675v II BGB ist, dass sich der Kunde grob fahrlässig verhalten hat. Diese grobe Fahrlässigkeit muss sich aus den Umständen des Einzelfalls ergeben. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt.

Allein der Umstand, dass der Kunde die Online-Banking-Funktion nutzt, wirkt sich dabei aber nicht verantwortungserhöhend aus. Zu den Maßstäben für das Vorliegen grober Fahrlässigkeit im Kontext von Phishing-Angriffen äußerte sich das OLG Hamm grobe Fahrlässigkeit bejahend:

„Entgegen der Ansicht des Klägers ist es für die Entscheidung des vorliegenden Rechtsstreits unerheblich, ob die E-Mail professionell gestaltet war und eine plausible Begründung für die betrügerische Abfrage der Daten lieferte.

Mit zutreffender Begründung hat das Landgericht ausgeführt, dass es einem durchschnittlichen Verwender der Telefon- und Online-Banking-Funktion einer Bank bekannt sein muss, dass im Internet Kriminelle versuchen, mittels der Versendung von E-Mails an sensible Daten Dritter zu gelangen. Dem Kläger hätte überdies bekannt sein müssen, dass seit Jahren in sämtlichen Medien regelmäßig von Pishing-Attacken berichtet wird, mit denen meist unbekannt bleibende Täter durch E-Mails versuchen, Kunden von Banken zur Eingabe von sensiblen Daten, insbesondere zur Eingabe einer PIN zu bewegen.“ (OLG Hamm, Hinweisbeschluss vom 16.03.2015 – I-31 U 31/15)

Legt man diese Maßstäbe zugrunde, lässt sich für die Annahme einer groben Fahrlässigkeit argumentieren, dass der Nutzer willentlich unbekannten Dritten Zugang zu seinem Rechner gewährte, obwohl einem Onlinebanking-Nutzer bewusst sein muss, dass Kriminelle versuchen können, sensible Daten zu erlangen bzw. das Onlinebanking zu „hacken“.

Andererseits beinhaltet das Vorgehen der Betrüger im vorliegenden Fall eine ungleich höhere „Angriffsintensität“ und kriminelle Energie als die Versendung von Phishing-Mails. Auch dürfte der „Microsoft-Mitarbeiter“-Trick im Gegensatz zu den eher gängigen Phishing-Versuchen deutlich weniger geläufig sein. Zudem wurde dem Betroffenen geschickt glaubhaft gemacht, die Gefahr bestehe ausschließlich in der sich auf dem Computer befindlichen Malware, die dessen Funktionsfähigkeit und Sicherheit bedrohe.

Dass der Angriff letztlich auf die Bankkonten zielte, war nicht ohne Weiteres ersichtlich. Grobe Fahrlässigkeit wurde in der Rechtsprechung bisher vor allem dann Angenommen, wenn der Nutzer seine PIN-Nummer weitergegeben oder mehrere TAN-Nummern eingegeben hat.

Weder das Eine noch das Andere war in dem uns vorliegenden Fall anzunehmen. Damit sprechen gute Argumente gegen das Vorliegen grober Fahrlässigkeit.

Das EDV Recht im Kapitalmarktrecht ist bei Hackerangriff laut DSGVO Regelungen vor Risiken wie Überweisungen Geschützt

Unser Fazit wie Online-Banking-Hacker per „Microsoft-Mitarbeiter“-Trick die Konten der Commerzbank missbrauchten

Sollte ein Anruf wie hier Beschriebene eingehen, empfiehlt es sich dringend, sofort aufzulegen. Keinesfalls sollten Bankdaten oder sonstige Daten heraus- oder eingegeben oder dem Anrufer Zugang zum Computer verschafft werden. Sollte dies doch geschehen sein, sollte das Konto unverzüglich gesperrt werden.

In Fällen, in denen ein Bankkunde in Folge eines Online-Banking-Betrugs einen Schaden erlitten hat, kann allerdings durchaus die Möglichkeit bestehen, das abgebuchte Geld vom Zahlungsdienstleister ersetzt zu bekommen.

Insbesondere in Anbetracht der vergleichsweise undurchsichtigen Rechtslage ist es zu empfehlen, den Rat eines auf IT-Recht, Bank- und Wirtschaftsrecht spezialisierten Anwalts einzuholen.

Weitere für Sie wahrscheinlich interessante Artikel

Marken- und Urheberrecht: Berechnung des Verletzergewinns

veröffentlicht am 22. September 2021 um 10:09

Im Rahmen von Schadensersatzansprüchen bei Verletzung des Marken -, Urheber -, Patent- oder auch Wettbewerbsrecht steht es dem Verletzten als Möglichkeit frei zu, vom Verletzer den sogenannten Verletzergewinn zu verlangen. Schwierigkeiten können vor allem bei der Berechnung des Verletzergewinns

Verwirkungsfristen im Markenrecht

veröffentlicht am 04. März 2022 um 18:03

Was ist „Verwirkung“? Wo sind Verwirkungsfristen im Markenrecht geregelt? Im Gegensatz zur Verjährung ist zu beachten das bei der Verwirkung eine Einwendung vorliegt, die von Amts wegen berücksichtigt werden muss: „Verwirkung ist ein Fall der unzulässigen Rechtsausübung wegen widersprüchlichen

Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

veröffentlicht am 28. Januar 2024 um 21:01

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay Der Streitwert, auch als „Gegenstandswert“ bezeichnet, wird durch den Angriffsfaktor bestimmt. Das bedeutet, dass sich der Streitwert danach richtet, wie hoch die Qualität der Verletzungshandlung ist, ob sie vorsätzlich oder

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
RA Christoph Scholze
Logo Rechtsanwaltskammer Frankfurt am Main - Fortbildung Geprüft
Logo Qualität durch Fortbildung - Fortbildungszertifikat der Bundesanwaltskammer

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kanzleibriefe

Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

veröffentlicht am 28. Januar 2024 um 21:01

Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay Der Streitwert, auch als „Gegenstandswert“ bezeichnet, wird durch den Angriffsfaktor bestimmt. Das bedeutet, dass sich der Streitwert danach richtet, wie hoch die Qualität der Verletzungshandlung ist, ob sie vorsätzlich oder

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

veröffentlicht am 22. Januar 2024 um 19:01

Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung Der AID24 Rechtsanwaltskanzlei liegen mehrere Schreiben der KSP Kanzlei Dr. Seegers, Dr. Frankenheim Rechtsanwaltsgesellschaft mbH vor

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

veröffentlicht am 08. Dezember 2023 um 12:12

Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator Die Verarbeitung personenbezogener Daten im Rahmen einer Bestellung erfordert unter anderem eine datenschutzrechtliche Dokumentation

KOSTENFREIE ERSTEINSCHÄTZUNG 
24h* +49 611 89060871
(*soweit technisch verfügbar)