Nach Phishing 50.000 Euro überwiesen – Bank haftet nicht

Eine Bank haftet nicht, wenn ein Kunde infolge eines Phishing-Angriffs grob fahrlässig eine Überweisung vornimmt. In dem konkreten Fall hatte ein Rechtsanwalt und Steuerberater knapp 50.000 Euro überwiesen und wollte das Geld nun von seiner Bank wieder auf seinem Konto gutgeschrieben bekommen. Auch seine berufliche Stellung spielte bei der Entscheidung des Oberlandesgerichts Frankfurt am Main eine Rolle.
vom 15. Februar 2024
image

Es könne unterstellt werden, dass der Betroffene „aufgrund seiner beruflichen Qualifikation in geschäftlichen Dingen grundsätzlich erfahren“ sei, argumentierte das Gericht, das die Entscheidung der Vorinstanz bestätigte. Er hatte außerdem selbst angegeben, Online- und Telefonbanking bei mehreren Institutionen zu nutzen und mit den grundlegenden Funktionen von Banking- beziehungsweise TAN-Apps vertraut zu sein. Im konkreten Fall war ein Girokonto betroffen, bei dem der Rechtsanwalt und Steuerberater Online-Transaktionen mit dem sogenannten PushTAN-Verfahren bestätigt. Sobald er einen Auftrag erteilt, bekommt er über die auf dem Smartphone installierte PushTAN-Applikation eine Nachricht und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich muss die Identifikation via Gesichtsscan erfolgen. Er hatte nun eine SMS bekommen, die den Hinweis enthielt, sein Konto mit dem Überweisungslimit in Höhe von EUR 10.000 sei eingeschränkt worden. Er solle sich für ein neues Verfahren anmelden und hierfür einem Weblink folgen – dieser enthielt das Wort Sparkasse. Die in der SMS genannte Telefonnummer war dem Betroffenen aufgrund früherer Korrespondenz mit seiner Bank bekannt. Er folgte den Anweisungen und wurde dann von enem Mann angerufen, der weitere Anweisungen erteilte. Der Rechtsanwalt gab vor Gericht an, dass er „etwas“ in der PushTAN-App bestätigt hatte. Was folgte, war die Überweisung in Höhe von 49.999,99 Euro an einen Empfänger mit männlichem Vor- und dem Nachnamen.  

Authentifizierung in fremde Hände gelegt

Die Bank nutzt für die Veränderung des Überziehungslimits eine starke Kundenauthentifizierung mit PIN und PushTAN. Sie gab zu Protokoll, dass an dem betreffenden Tag zunächst per PushTAN die Freigabe für die Erhöhung des Limits auf 50.000 Euro angefragt und dann per Gesichtserkennung bestätigt worden sei. Von derselben IP-Adresse sei dann auf demselben Weg die Überweisung in Höhe des streitgegenständlichen Betrages erfolgt. Die Aussage des Betroffenen, einmal „etwas“ in der PushTAN-App bestätigt zu haben, sei unglaubhaft, argumentierten LG und OLG Frankfurt am Main. Außerdem habe er mit der Freigabe einer PushTAN auf telefonische Anweisung hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Faktisch habe er damit die Kontrolle über das Authentifizierungsinstrument PushTAN in fremde Hände gelegt.

Grobe Fahrlässigkeit bejaht

Das Vorgehen begründet den Vorwurf grober Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang die TAN geschaffen wurde. „Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betonte das OLG. „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist.“ Der Hinweis des Betroffenen auf den atypischen Verlauf via SMS half ihm nicht, im Gegenteil: Gerade das hätte ihm komisch vorkommen müssen und es müsse ihm bekannt sein, dass Banken seit geraumer Zeit bereits vor Phishing-Methoden dieser Art warnen. Es geht in dem Verfahren noch weiter, der Rechtsanwalt hat Nichtzulassungsbeschwerde zur Zulassung der Revision beim Bundesgerichtshof eingelegt.  

 

Copyright Bild: Unsplash / Bruce Mars

Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

E-commerce Photo Illustrations Amazon logo displayed on a laptop screen and a small shopping cart are seen in this illus
EU
Amazon muss Werbearchiv öffentlich zugänglich machen
Laut einem Beschluss des Vizepräsidenten des Europäischen Gerichtshofes muss Amazon ein Werbearchiv mit detaillierten Informationen über die Online-Werbung...
Joyful mother girl running on park alley sunny weekend
Versicherter Arbeitsweg und unversicherter Abweg
Das Landessozialgericht Baden-Württemberg hat entschieden, dass kein gesetzlicher Unfallversicherungsschutz besteht, wenn ein Arbeitnehmer oder eine Arbeitnehmerin...
Datenleck in US-Finanzministerium enth¸llt Defizite bei Geldw‰sche-Bek‰mpfung (Themenbild, Symbolbild) *** Data leak in
Bundesregierung will Bundesdatenschutzgesetz ändern
Es stand bereits im Koalitionsvertrag, jetzt soll ein Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) folgen. Unter anderem soll es Unternehmen...