Veröffentlicht von:

Rechtsanwalt Thomas Feil

Phishing bei der Sparkasse ⚠️

05.04.2024
8 Minuten Lesezeit

Phishing ist eine ernste Bedrohung im digitalen Zeitalter, bei der Betrüger versuchen, über gefälschte E-Mails und Webseiten an Ihre privaten Daten zu kommen, um Ihr Bankkonto zu hacken. Die Sparkasse und andere Banken setzen Sicherheitsmechanismen wie TAN-Verfahren ein, um solche Angriffe abzuwehren, allerdings kann keine Methode hundertprozentige Sicherheit bieten. Kunden sind deshalb aufgerufen, selbst Vorsichtsmaßnahmen zu treffen und etwaige Phishing-Versuche zu erkennen. Falls dennoch ein Schaden entsteht, besteht unter Umständen die Möglichkeit, Schadensersatz von der Bank zu fordern, vor allem, wenn diese eine Sicherheitspflicht verletzt hat. Im Falle der Weigerung der Bank, für den entstandenen Schaden aufzukommen, kann ein auf IT-Recht spezialisierter Anwalt hilfreich sein. Dieser kann nicht nur außergerichtlich, sondern auch durch eine Klage gegen die Bank, versuchen, Ihr Geld zurückzubekommen.

Um dieses Video anzuzeigen, lassen Sie bitte die Verwendung von Cookies zu.

Wir sind mittlerweile überall vernetzt. Ob E-Mails, soziale Netzwerke, Shoppen, aber auch das Bankgeschäft: Wir sind online. Dies ist zugegeben praktisch, birgt aber auch Risiken, die wir oft gar nicht überblicken.

Denn das Internet ist auch für Betrüger und sonstige kriminelle Gruppen ein oft lohnenswertes Unterfangen. Wo kann man sonst auch jemanden „ausrauben“, ohne die Wohnung zu verlassen? Die Opfer merken die Vorfälle, z. B., dass Ihr Konto gehackt wurde, oft gar nicht oder erst zu spät.

So auch beim Phishing. Phishing ist ein Neologismus aus „Password“ und „Fishing“ und steht für das Stehlen, also „fischen“ von Passwörtern oder anderen Daten. Datenfischer verschicken in großem Stil E-Mails, die so aussehen als kämen sie zum Beispiel von Amazon, eBay oder Ihrer Bank, wie z. B. der Sparkasse oder der Commerzbank oder auch Deutschen Bank.

Fachanwalt für IT-Recht hilft bei Sparkasse Phishing bundesweit!

Link führt zum Phishing bei Sparkasse und dann ist das Konto gehackt

Über einen gefälschten Link wollen die Betrüger an Ihre Passwörter kommen. Dazu muss nicht zwingend Ihr Konto gehackt werden, was sich für die Hacker als einfacher darstellt. Anschließend kann dann Ihr Konto in Ruhe leergeräumt werden. Oft bleibt dann nur noch die Möglichkeit die Bank zu verklagen und eine Schadensersatzklage zu erheben. Dazu später mehr.

Im Jahre 2015 wurden bei der Sparkasse ca. 39 Millionen Girokonten geführt. Ein großer Teil davon auch online. Dies bedeutet, dass es für Hacker mehrere Millionen potenzieller Angriffsziele gibt. Selbst also, wenn nur eine geringe Prozentzahl von diesen „Opfern“ auf die Masche reinfällt, ist diese lohnenswert.

Wie funktioniert Phishing?

Im vorherigen Kapitel wurde dargelegt, was Phishing bedeutet. Doch wie funktioniert Phishing z. B. bei Sparkassenkunden wirklich?

Beim Phishing gilt: Die Betrüger gehen mit dem technischen Fortschritt mit. Angefangen hat dies mit Versuchen, über telefonischem Wege an die Daten zu kommen. So gaben sich die Betrüger bspw. als Bankmitarbeiter aus. Auch über Messenger wie „ICQ“ erfolgten Phishingversuche. In der heutigen Zeit nunmehr vermehrt über E-Mails. Es gab aber auch schon Fälle, in denen SMS versendet wurden.

Insgesamt gibt es zahlreiche Methoden der Betrüger, an Ihre Daten zu gelangen, da die Technik und das Internet zahlreiche Anwendungsmöglichkeiten bieten.

Übliche Methoden, um das Bankkonto zu hacken und dann wird es leergeräumt

Die übliche Methode der Betrüger sind E-Mails, durch welche Sie entweder auf eine nachgeahmte Web-Präsenz gelockt oder Sie direkt nach Ihren Daten gefragt werden. Die E-Mails sehen oft täuschend echt aus. So sollen Sparkassennutzer natürlich denken, dass diese E-Mail von der Sparkasse stammt.

Vor allem zu den Anfangszeiten des E-Mail-Phishings waren die E-Mails oft von Rechtschreibfehlern und fragwürdigen grammatikalischen Konstruktionen durchzogen; heute sind diese zumindest beim ersten überlesen einwandfrei geschrieben.

Sie enthalten die originalen Logos der Banken sowie auch deren Werbeslogans. Die farbliche Gestaltung und der optische Aufbau entsprechen dem der originalen E-Mails Ihrer Banken.

Phishing, egal ob bei Sparkasse oder anderswo, ist schwer zu durchschauen

Mithin fällt es dem durchschnittlichen Benutzer schwer, diese E-Mails als Betrugsversuch zu erkennen. Das Vertrauen des Benutzers in die Richtigkeit der E-Mails wird oft noch weiter dadurch verstärkt, dass diese dann über einen Link zu einer Internetseite weitergeleitet werden, die der Internetseite Ihrer Hausbank täuschend ähnlich ist.

Auch dort finden Sie die originalen Layouts nahezu identisch wieder. Sie sollen ja auch gerade denken, dass Sie bei ihrer Bank sind!

Geben Sie nun Ihre Zugangsdaten ein, geben Sie ein Passwort oder PIN ein, dann wird dieses von den Betrügern protokolliert und steht diesen danach zur freien Verwendung. Diese können sich dann gegenüber der richtigen Bank als Kunde, also als Sie ausgeben, und Bankgeschäfte vornehmen.

Weder die Bank, noch Sie merken dabei den Betrug. Erst, wenn das Geld von den Konten verschwunden ist und Ihre Konten leergeräumt wurden, wird der Vorgang aufgedeckt.

Das ist das Geld aber meist unwiederbringlich verloren, meist auf Konten im Ausland. Und dann stellt sich für Sie nur noch die Frage, wie Sie Ihr Geld zurückerhalten und die Bank auf Schadensersatz verklagen können.

Welchen Schutz vor Phishing und „Bankkonto gehackt“ gibt es?

Die Banken, so auch die Sparkasse, welche die Masche der Betrüger kennen verwenden zum Schutz vor unberechtigten Zugriffen sogenannte TANs. Doch was sind TANs?

Eine TAN ist eine Transaktionsnummer und stellt ein Einmalpasswort dar. Der Inhaber dieser TAN legitimiert sich dadurch gegenüber der Bank als Berechtigter.

Es gibt verschiedene Arten von Transaktionsnummern:

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking eine Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – also vor jeder Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden.

Einen Schritt weiter geht das Verfahren der indizierten Transaktionsnummern, kurz iTAN: Dabei reicht nicht irgendeine Nummer von der Liste, sondern es muss eine bestimmte Nummer sein. D. h., die Betrüger brauchen in der Regel die ganze Liste oder zumindest einen relevanten Auszug davon.

mTan und smsTan als Schutz vor Phishing Angriff auf das Konto? TAN-Verfahren helfen, um zu vermeiden, dass das Bankkonto bei der Sparkasse leergeräumt wird!

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet, mit der er die Überweisung legitimiert.

Beim photoTAN Verfahren wird die TAN verschlüsselt als mehrfarbige Mosaikgrafik auf dem Bildschirm angezeigt und anschließend über das Handy ausgelesen.

Zudem gibt es noch weitere TAN-Verfahren in denen über einen TAN-Generator beim Benutzer TANs generiert werden. Sobald die Kundenkarte (z. B. eine Maestro-Card oder eine V-Pay-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden.

Eine hundertprozentige Sicherheit gibt es jedoch nicht. Selbst ein Mobiltelefon kann in die Hände der Betrüger gelangen. Zudem kann auch der Übertragungsweg der SMS ausgelesen werden. Im Falle der TAN und iTAN Listen wurden die Kunden sogar aufgefordert Ihre Listen, bzw. ein Foto davon hochzuladen.

Was Sie gegen Phishing als Kunde der Sparkasse tun können!

Wenn Sie denken, dass Ihnen das nicht passieren kann, dann könnte Sie dieses Gefühl täuschen. Denn die Betrüger spielen mit Ihren Bedürfnis nach Sicherheit. So wurde das Hochladen der iTAN Liste dadurch legitimiert, dass diese TANS aus Sicherheitszwecken manuell gesperrt werden, und daher gegenüber der Bank bekannt gemacht werden müssten.

Da die Bank keinen hundertprozentigen Schutz bieten kann, sind Sie selbst auch dazu angehalten, auf Ihre Daten zu achten.

Das Gesetz sagt dazu sogar: „Der Zahler (also der Kunde) ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments (z. B. TAN) alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675 Abs. 1 BGB).“

Im Folgenden stelle ich Ihnen eine Liste an Dingen vor, auf die Sie achten können, um nicht Opfer dieser Betrugsmasche zu werden.

Schon dann, wenn die Bank Ihnen etwas derart Wichtiges per E-Mail mitteilt sollten Sie misstrauisch werden (dies machen Banken üblicherweise schriftlich, also z. B. per unterschriebenen Brief oder bitten Sie in eine Filiale)
Die E-Mail oder der Link, auf den geklickt werden soll, enthält Schreibfehler
Vor der Webadresse steht kein „https“ oder das „s“ fehlt. Dies ist ein Zeichen dafür, dass die Verbindung nicht verschlüsselt ist
Die Verknüpfungen auf der Zielseite (z. B. Impressum oder Links auf andere Seiten) funktionieren nicht oder führen stets zu einer Seite zurück
Vergewissern Sie sich zuvor, ob die Bank einen Phishing-Vorgang veröffentlich hat, bevor Sie überhaupt Daten preisgeben
Seien Sie misstrauisch, wenn Sie nicht persönlich angesprochen werden
Loggen Sie sich nicht über öffentliche Netzwerke ein. Denn diese könnten von Betrügern erstellt worden sein, um Ihre Daten abzufangen
Denken Sie daran, dass jeder behaupten kann der zuständige Kundenbetreuer Ihrer Bank zu sein (und Grundmisstrauen im Bereich Internet ist durchaus angebracht).

Bekommen Sie Ihr Geld von der Sparkasse wieder?

Sie bekommen Ihr Geld vor allem dann wieder, wenn die Bank, also z. B. die Sparkasse, selbst eine Pflicht verletzt hat. Eine solche Pflichtverletzung kann zum Beispiel darin liegenden, dass die Bank ein zu unsicheres TAN-Verfahren verwendet oder ihre Kunden nicht rechtzeitig gewarnt hat.

So hat das Kammergericht Berlin entschieden, dass die Verwendung des einfachen TAN-Verfahrens bei Verfügbarkeit des ITAN-Verfahrens zu unsicher ist (Kammergericht Berlin, Urteil vom 29.11.2010 – 26 U 159/09). In diesem Fall muss die Bank Ihnen Schadensersatz zahlen.

Aber auch ohne Pflichtverletzung können Sie Ihr Geld zurückerhalten, es sei denn, die Sparkasse oder jede andere Bank kann Ihnen nachweisen, dass Sie grob fahrlässig die Daten nicht sicher aufbewahrt oder preisgegeben haben.

Wo das Gesetz dies als Ausnahme formuliert, sehen die Banken in der Praxis dies als Regelfall an und verweigern, dass Konto auf den vorherigen Stand zu bringen. Begründet wird dies oft mit fehlenden Sicherheitsupdates für den PC oder einem zu alten Antivirenprogramm.

Dann hilft nur noch eine Klage.

Was ich für Sie tun kann, um Schadensersatz oder das Geld zurück zu erhalten!

Verweigert die Sparkasse die Zahlung infolge eines derartigen Betrugs ist es ratsam, einen mit der Materie vertrauten Anwalt auszusuchen, damit Sie Ihr Geld zurückholen können.

Dieser kann nach rechtlich umfassender Prüfung schon außergerichtlich und damit möglichst kostengünstig die Bank anschreiben und rechtlich fundiert darlegen, dass die Bank verpflichtet ist, Sie schadlos zu stellen. Weigert sich die Bank nun, dann kann dieser in ihrem Name Klage erhoben werden.

Ich habe bereits Erfahrung in der Bearbeitung derartiger Mandate und übernehme gern die Prüfung und Bearbeitung Ihres Falls. Ich habe meinen Kanzleisitz in Hannover, agiere aber deutschlandweit. Kontaktieren Sie mich gern und schildern Sie mir Ihren Fall.

Zusammenfassung zum Phishing und Sparkasse

Beim Phishing werden Ihre privaten Daten in betrügerischer Absicht abgeschöpft, um Sie zu schaden. Dabei werden Sie bewusst in Sicherheit gewogen.

Die Banken verwenden Sicherheitseinrichtungen gegen Phishing, die aber keine hundertprozentige Sicherheit bieten. Daher müssen Sie ebenfalls gut auf Ihre Daten achten.

Ist es bereits zu einem Schaden gekommen, möchten Sie verständlicherweise Ihr Geld zurückerhalten. Oft bleibt dann nur der Weg zum Anwalt, wenn die Bank sich weigert, zu zahlen. Meine Kanzlei agiert in Hannover und deutschlandweit und übernimmt gern Ihren Fall.

Foto(s): Rechtsanwalt Thomas Feil

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Thomas Feil

Veröffentlicht von:

Rechtsanwalt Thomas Feil

IT-Recht

Wirtschaftsrecht • Bankrecht & Kapitalmarktrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Thomas Feil

Ex-Mitarbeitende treten mit negativen Bewertungen nach: Wie Unternehmen sich wehren können ⚠️

Stell dir vor, du öffnest eines Morgens dein Lieblings-Bewertungsportal und findest eine Flut negativer Bewertungen über dein Unternehmen, alle verfasst von Ex-Mitarbeitenden. Ein Albtraum, oder? ... Weiterlesen
Schlechte Bewertungen auf „kununu.com“ entfernen ⚠️

In der heutigen digitalen Welt hat die Online-Reputation eines Unternehmens enormen Einfluss darauf, wie es von potenziellen Mitarbeitern und Kunden wahrgenommen wird. Plattformen wie kununu.com ... Weiterlesen
DKB Betrug durch Phishing ⚠️

Als Fachanwalt für IT-Recht verstehe ich die Komplexität und die emotionalen Auswirkungen, die ein Phishing-Angriff auf Ihr Online-Banking-Konto haben kann. In diesem umfassenden Blogbeitrag ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Thomas Feil

Weitere

Beiträge zum Thema

Phishing - was Sie wissen und beachten müssen!

15.02.2022

Die wichtigsten Fakten Betrüger versuchen durch Phishing an persönliche Daten einer dritten Person zu gelangen. ... Weiterlesen
Kunde der Sparkasse Bremen wird nach Phishing-Angriff entschädigt.

15.11.2021

Kunden erhalten € 4.000,- von der Sparkasse Bremen zurückerstattet. Was war passiert? Unsere Mandanten waren Opfer ... Weiterlesen
Erfolg gegen die Sparkasse Scheeßel- Erstattung von 13.341,00 Euro nach Phishing-Betrug

21.07.2023

Für einen Mandanten erreichte Bankrechtsanwältin Dr. Ina Becker, dass die Sparkasse Scheeßel missbräuchlich ... Weiterlesen