Phishing durch angebliche Mitarbeiter der C24 Bank GmbH: Täter greifen Beträge von C24 Bankkunden ab

Phishing ist heutzutage ein weit verbreitetes Phänomen, das Kunden nahezu aller Banken trifft. Die Täter werden immer professioneller und kreativer, um die Systeme der Postbank, der Sparkassen, der DKB AG, der Santander Consumer Bank AG, diverser Sparda Banken, der Deutschen Bank AG und von weiteren Zahlungsdienstleistern zu überwinden. In den Fokus von Täterangriffen gelangte zuletzt die C24 Bank GmbH. Die Täter rufen Kunden der C24 Bank GmbH an und geben sich als Mitarbeiter aus. Dabei sprechen sie die Bankkunden persönlich an und weisen sich als Mitarbeiter durch gespoofte SMS-Nachrichten aus. So versenden sie zur Bestätigung ihrer Identität als sogenannter C24 Bank-Mitarbeiter entsprechende SMS, aus denen der gewählte Name und die Beschäftigung bzw. die vermeintliche Abteilung der Anrufer hervorgeht. Die angeblichen Mitarbeiter stellen sich beispielsweise als Lena Maier aus der Sicherheitsabteilung der C24 Bank GmbH vor und sprechen dann von einem Hacking-Angriff oder einem anderen Sicherheitsproblem, welches schnellstens behoben werden müsse. Die Täter wissen offenbar bestens, wie sie die Bankkunden von der Authentizität des Anrufes überzeugen können, weil sie offenkundig interne Kundendaten und Kundeninformationen besitzen, die nach der Vorstellung des Kunden nur eine Bank von seinem Kunden kennen kann. Tatsächlich könnte dieses Wissen daher stammen, weil die Täter den Zugang zum Online Banking des Kunden bereits "gehackt" haben und sich an den dort hinterlegten sensiblen Daten orientieren oder den Kunden im Vorfeld ausgeforscht haben. Sobald die Täter das Vertrauen erlangt haben, soll dann das Geld entweder auf ein anderes Konto transferiert oder Verfügungen zur Sicherung autorisiert werden. Die Täter sind dazu offenbar im Online-Banking des Kunden eingeloggt. Einmal eingeloggt veranlassen die Täter die Verfügungen

Wie gelangen die Täter an die Daten?

Diese Frage lässt sich in meisten Fällen aus der Perspektive eines Bankkunden nicht 100% sicher beantworten, weil ein Bankkunde in der Regel kein Täterwissen besitzt und die jeweils individuelle Vorgehensweise der Täter in seinem Fall nicht kennt. Es stellt das Wesen eiines Computerbetruges dar, dass Daten manipuliert werden. Man kann diese Fragen insofern in den meisten Fällen nur abstrakt anhand der Auswertung von Ermittlungsakten und anhand der üblichen Vorgehensweise der Täter beantworten. Insofern stehen den Tätern viele alternative Möglichkeiten offen, um an die Kundendaten zu gelangen. So können sie Datenlecks ausnutzen oder mittels Malware durch Einwirkungen auf dem Übertragungsweg an die Daten gelangen. Technisch hängt dies meist sowohl vom Bankkunde und seinem Verhalten, als auch vom Versionsstand der IT der angewiesen Bank ab und den ggf. bereits identifizierten Sicherheitslücken und den schon eingespielten Updates

Wie verhalte ich mich, wenn ich Opfer eines Phishing-Angriffes geworden bin?

Wenn Sie feststellen, dass Dritte von Ihrem Konto/Ihren Konten Geld abverfügt haben, sollten Sie sich unverzüglich mit Ihrer Bank in Verbindung setzen und als Erstes die Sperrung des Kontos/der Konten veranlassen. Zudem müssen Sie Ihre Bank informieren, dass Sie die Zahlungen nicht veranlasst haben. Diese Information sollten Sie dokumentieren hinsichtlich Zeit, Datum und der Dauer des Gespräches. Ggf. schicken Sie den Inhalt des Gespräches zu Dokumentationszwecken ggf. als Nachricht in Textform hinterher. Mit etwas Glück kann Ihre Bank das Geld ggf. zurückholen.

Sobald Sie dies erledigt haben, wenden Sie sich bitte an die Polizei und stellen eine Strafanzeige. Sollte die Polizei glücklicherweise irgendwann die Täter ermitteln und Geld sicherstellen können, werden Sie darüber informiert und können verbleibende Schäden gegebenenfalls daraus decken.

Als Drittes können Sie überlegen, ob Ihnen Ihre Bank die Zahlungsanweisungen erstatten muss, sofern diese nichtautoirisiert waren.

Kann man das Geld von der Bank zurückverlangen?

Die Antwort lautet: Ja, man kann einen Anspruch gegen die Bank auf Berichtigung des Kontos geltend machen, wenn Sie selber die streitigen Zahlungen nicht autorisiert haben. Die sogenannte Nichtautorisierung der Zahlung ist die erste Hürde, die man dazu überwinden muss. Eine Autorisierung liegt dann vor, wenn der Bankkunde einer Verfügung zugestimmt hat. Allerdings genügt es für die Annahme einer autorisierten Zahlung, die keinen Erstattungsanspruch des Bankkunden auslöst, nicht, wenn der Bankkunde einen Auftrag mit einer abweichenden Intention bestätigt hat, wie zuletzt das Oberlandesgericht Dresden entschieden hat: „Sie handelte bei der Freigabe jedoch nicht in dem Bewusstsein, eine Überweisung zu tätigen, sondern allein in der Absicht, bei der Umstellung zu PSD2 behilflich zu sein. Eine Autorisierung des Zahlungsvorgangs durch die Klägerin ist daher zu verneinen.“ (OLG Dresden, Urt. v. 11.04.2024 – 8 U 1023/23).

Sollten Sie somit eine Freigabe erteilt haben, ohne zu wissen, dass sie damit eine konkrete Zahlung an einen Dritten autorisieren, kann man von einer Nichtautorisierung sprechen. Dann haben Sie einen Anspruch auf Berichtigung des Kontos gegen die Bank, bei dem die Bank das Konto in den Zustand versetzen muss, der vor den nichtautorisierten Verfügungen bestand.

Sobald diese erste Hürde genommen ist, kommt man ggf. zur Prüfung der groben Fahrlässigkeit. Sofern sich der Bankkunde im Einzelfall grob fahrlässig verhalten hat, kann die Bank ggf. einen Gegenanspruch geltend machen, mit dem sie gegen die Forderung des Kunden auf Berichtigung des Kontos aufrechnen kann oder dem sie als Einrede dem Bankkunden entgegenhält. Auch hier ist es aber eine Frage des Einzelfalles, ob bereits ein Fall der groben Fahrlässigkeit vorliegt, die man von der leichten Fahrlässigkeit und der Nichtfahrlässigkeit abgrenzen muss.

Eine Besonderheit gilt dann, wenn die Bank dem Vorwurf der groben Fahrlässigkeit gar nicht erheben kann. Das Gesetz sieht vor (§ 675v Abs. 4 BGB), dass die Bank dann keinen Gegenanspruch aus grober Fahrlässigkeit geltend machen kann, wenn sie keine starke Kundenauthentifizierung vorsieht. Gerade bei der der C24 Bank GmbH besteht die Möglichkeit einen Schadensersatzanspruch gegebenenfalls auszuschließen. Bankkunden berichten uns, dass man für die Anmeldung im derzeitigen Banking der C24 Bank GmbH lediglich das Einscannen eines QR-Codes vornehmen muss, mit der eine TAN generiert wird, die der Kunde für den Login-Vorgang benötigt. Betrachtet man diesen Login isoliert. wäre das nur eine einfach Kundenauthentifizierung, mit der Folge, dass die C24 Bank GmbH mit dem Vorwurf der groben Fahrlässigkeit ausgeschlossen wäre.

Was wendet die C24 Bank GmbH hiergegen ein?

Als wir das in der ersten Ausgabe dieses Beitrages dargestellt hatten, bekamen wir Post von der C24 Bank GmbH. Die C24 Bank GmbH wandte ein, dass die Bank gerade nicht nur den QR-Code als Merkmal der starken Kundenauthentifizierung verwendet, sondern das der Kunde auch sein Mobilfunkgerät hinterlegt habe, welches als sog. Besitzmerkmal fungiere und abgeprüft werde. Ebenso verwies die C24 Bank GmbH darauf, dass der Kunde sich auch an seinem Smartphone via Face-ID, Touch-ID oder PIN in der Banking-App identifizieren müsse. Ob das jedoch reicht, um den strengen Kriterien der starken Kundenauthentifizierung zu genügen, wird von einigen Gerichten und auch in der Literatur bezweifelt. ilex Rechtsanwälte rät Banken, die Wert auf IT-Sicherheit legen, dringend davon ab, sich auf derartige Merkmale zu verlassen; zumal wir aus vielen Verfahren bereits wissen, dass Täter seit der Einführung der mobilen SIM-Karten und Herausforderungen bei der Gerätekennung auch derartige Hürden überwinden können. Grundsätzlich ist derzeit darauf hinzuweisen, dass nach unserer Ansicht das Betreiben von Online Banking auf nur noch einem Gerät / einer Hardware (hier dem Handy) aktuell - trotz Sandbox-Verfahren - längst nicht den gleichen Kriterien an IT-Sicherheit standhält, wie das Nutzen von mehreren, unabhängigen Geräten für den Authentifizierungsvorgang.

Welche weiteren Argumente sprechen für den Bankkunden?

Stets stellt sich in Phishing-Sachverhalten die Frage, ob im Einzelfall auch eine Versicherung für den Schaden aufkommt. Des weiteren stellt sich am Ende der Prüfung noch die Frage, ob zu Lasten der C24 Bank GmbH ein Mitverschulden greift? Dementsprechend lohnt es sich, einen auf diesen Bereich spezialisierten Fachanwalt bzw. eine Fachanwältin für Bank- und Kapitalmarktrecht oder für Inforationstechnologierecht zu kontaktieren und mit diesem/dieser den konkreten Einzelfall zu besprechen.