Die Finanzbranche spricht sich gegen eine Verschärfung der Haftungsregelungen bei Betrugsfällen im Online-Banking auf EU-Ebene aus. Ein aktueller Fall zeigt jedoch exemplarisch, dass nicht alle Kreditinstitute ihren Schutzpflichten gegenüber Bankkundinnen und -kunden in ausreichendem Maße nachkommen.
Inhalt
Frankfurt. Als Bernhard K. im November Unregelmäßigkeiten beim Gemeinschaftskonto bei der Postbank feststellt, geht er zunächst von einem technischen Defekt aus: Beide im Konto hinterlegten Sicherheitsverfahren funktionieren nicht wie vorgesehen. Da die Störung andauert, veranlasst er die Einrichtung eines neuen Authentifizierungsverfahrens.
Beim Versuch, den Aktivierungscode zu verwenden, kommt es zu Unregelmäßigkeiten. Schließlich richtet der über 70-jährige Kunde unter Nutzung einer Postbank-Zahlkarte ein neues Sicherheitsverfahren ein. Beim anschließenden Login in das Onlinebanking folgt die böse Überraschung: 69.500 Euro – nahezu das gesamte Ersparte des Ehepaars – wurden vom Konto abgebucht.
Nach Recherchen des Handelsblatts wurden die Altersrücklagen auf ein Konto bei dem Finanzdienstleister Openpayd Financial Services in Malta überwiesen – ein Konto, das am selben Tag wie die erste betrügerische Transaktion eröffnet worden war. Dies geschah, obwohl das tägliche Überweisungslimit auf 5.000 Euro begrenzt ist. Offenbar hatten Dritte unbefugten Zugriff auf das Konto erlangt. Seitdem befindet sich das Ehepaar K. in Auseinandersetzungen mit der Postbank über die Frage, wie es zu dem Vorfall kommen konnte.
Als plausibles Szenario gilt: Die Täter verschafften sich Zugang zu den Zugangsdaten des Onlinebanking-Kontos und deaktivierten die bestehenden Sicherheitsverfahren. Unter Verwendung des Aktivierungscodes, den das Ehepaar K. von der Bank erhielt, wurde nicht deren eigenes Mobilgerät, sondern ein Gerät der Angreifer registriert. Dadurch erhielten die Kriminellen vollständigen Zugriff auf das Konto – einschließlich der Möglichkeit, Sicherheitsparameter wie das tägliche Überweisungslimit zu verändern und unbefugt Überweisungen vorzunehmen.
Seitdem Kreditinstitute flächendeckend eine Zwei-Faktor-Authentifizierung für Transaktionen eingeführt haben, richten Kriminelle ihre Angriffe verstärkt direkt gegen Bankkundinnen und -kunden. Dabei kommen zunehmend ausgeklügelte Methoden zum Einsatz, um die Betroffenen gezielt zu täuschen – etwa indem sie diese dazu verleiten, betrügerische Überweisungen selbst zu autorisieren, Zahlungsdienste wie Apple Pay oder Google Pay auf einem Tätergerät zu aktivieren oder ein neues Sicherheitsverfahren für das Konto freizuschalten.
Trügerische Sicherheit: Warum Bankkund:innen trotz Schutzvorgaben oft leer ausgehen
Rein rechtlich genießen Bankkund:innen in Deutschland einen umfassenden Schutz: Eine Haftung besteht grundsätzlich nur bei grob fahrlässigem Verhalten. In der Praxis gestaltet sich die Durchsetzung dieses Schutzes jedoch schwierig. Besonders bei betrügerischen Überweisungen bleiben Geschädigte überdurchschnittlich häufig auf dem finanziellen Verlust sitzen – das belegt eine Analyse der Europäischen Bankenaufsichtsbehörde (EBA).
Während bei Kreditkartenbetrug im Jahr 2022 der finanzielle Schaden in etwa hälftig zwischen Banken und Kund:innen aufgeteilt wurde, lag die Belastung bei betrügerischen Überweisungen in 79 Prozent der Fälle bei den Betroffenen selbst. Das geht aus einer Stellungnahme der Europäischen Bankenaufsichtsbehörde (EBA) zur geplanten Reform der europäischen Zahlungsdiensterichtlinie aus dem Jahr 2024 hervor.
Die EBA stellt in ihrer Analyse weiter fest, dass Zahlungsdienstleister in einigen EU-Mitgliedstaaten regelmäßig sämtliche mittels starker Kundenauthentifizierung ausgelösten Überweisungen pauschal als autorisiert einstufen – selbst dann, wenn der Zahlungsvorgang durch sogenannte Social-Engineering-Angriffe herbeigeführt wurde. In solchen Konstellationen lehnen Kreditinstitute häufig eine Erstattung ab und berufen sich auf ein angeblich grob fahrlässiges Verhalten der Kundschaft.
Genau dies erlebt auch Familie K. im Streit mit der Postbank. In anwaltlicher Korrespondenz hält das Institut daran fest, dass die Eheleute grob fahrlässig gehandelt hätten. Sie hätten den Tätern angeblich selbst Zugriff ermöglicht – etwa durch das Anklicken eines mit Schadsoftware behafteten Links. Familie K. weist diese Vorwürfe entschieden zurück. „Ich habe sowohl das E-Mail-Postfach als auch das Mobiltelefon meines Vaters überprüft – es gab keinerlei Hinweise auf eine solche Manipulation“, erklärt der Sohn des Ehepaars.
Abgefangener Freischaltcode: Streit um die Authentifizierung
Zunächst wirft die Postbank dem Ehepaar K. vor, niemals selbst einen Aktivierungsbrief beantragt zu haben. Die Eheleute hätten demnach einen nicht autorisiert angeforderten Freischaltcode verwendet. Erst auf Nachfrage des Handelsblatts korrigiert das Institut seine Darstellung und räumt ein, dass auch Herr K. tatsächlich einen Brief angefordert habe. Offenbar wurde dabei jedoch unbeabsichtigt ein weiterer Aktivierungsbrief generiert – mutmaßlich für ein Mobilgerät, das sich in der Verfügungsgewalt der Täter befand.
Nach Angaben der Postbank habe Herr K. versucht, sein eigenes Mobilgerät zu verifizieren, dabei jedoch nicht bemerkt, dass der 16-stellige Freischaltcode nicht seinem Handy zugeordnet war. Der Sohn des Ehepaars entgegnet, er habe gemeinsam mit seinem Vater den versiegelten Brief erst am Tag nach den Überweisungen nach Malta geöffnet und verwendet – zu einem Zeitpunkt, als das gesamte Guthaben bereits abgebucht war.
Wie sich der genaue Ablauf im Fall der Familie K. darstellt, bleibt bislang unklar – ebenso wie die juristische Bewertung der Frage, ob es bereits als grob fahrlässig einzustufen ist, wenn Kund:innen zwar einen Freischaltcode anfordern, aber nicht erkennen, dass dieser einem fremden Gerät zugeordnet wird.
„Grundsätzlich trägt die Bank die Beweislast dafür, dass ein Kunde grob fahrlässig gehandelt hat“, erklärt Sebastian Koch, Fachanwalt für Bank- und Kapitalmarktrecht bei Saleo Rechtsanwälte. „In der gerichtlichen Praxis zeigt sich jedoch, dass die Auslegung dessen, was als grob fahrlässig gilt, stark variiert.“
Auch die Europäische Bankenaufsicht (EBA) kritisiert diese Rechtsunsicherheit. Sie spricht sich dafür aus, dass die bloße Anwendung der Zwei-Faktor-Authentifizierung künftig nicht mehr automatisch als Nachweis für eine vom Kunden autorisierte Überweisung gewertet werden darf – insbesondere in Fällen, in denen Zahlungen durch Täter initiiert und von Kund:innen unbewusst bestätigt wurden.
Im Hinblick auf den Fahrlässigkeitsmaßstab schlägt die EBA zudem vor, dass künftig sämtliche relevanten Umstände des Einzelfalls zu berücksichtigen seien, insbesondere die Komplexität der Betrugsmasche. Darüber hinaus sollten Zahlungsdienstleister prüfen, ob zusätzliche Sicherheitsmaßnahmen möglich und zumutbar gewesen wären, um den jeweiligen Betrugsfall zu verhindern.
Überweisung trotz offensichtlicher Risikosignale
Tatsächlich gilt Malta als bedeutender Standort für den Handel mit Kryptowährungen. Das überwiesene Geld wurde einem Konto bei Openpayd gutgeschrieben – einem Zahlungsdienstleister, der sich auf Services für Unternehmen im Kryptosektor spezialisiert hat.
Nach Angaben von Openpayd wurde das betreffende Konto im Namen von Herrn K. durch die in Malta lizenzierte Kryptobörse Crypto.com am selben Tag eröffnet, an dem die unrechtmäßigen Abbuchungen vom Postbank-Konto begannen. Für die Klärung der Frage, wer das Konto tatsächlich eröffnet hat, sei allein Crypto.com verantwortlich. Openpayd selbst unterhalte keine vertragliche Beziehung zu dem geschädigten Kontoinhaber.
Ein Sprecher von Crypto.com teilte mit, das Konto sei umgehend gesperrt worden, nachdem der Bankpartner des Unternehmens verdächtige Aktivitäten gemeldet habe. Die Plattform lege größten Wert auf Sicherheitsstandards und Verbraucherschutz. Wie es dennoch zur mutmaßlich missbräuchlichen Kontoeröffnung im Namen von Herrn K. kommen konnte, sei bislang unklar. Crypto.com betonte, man arbeite mit führenden Anbietern im Bereich Finanzinfrastruktur und Identitätsprüfung zusammen, um betrügerische Aktivitäten wirksam zu verhindern.
Zunehmende Betrugsrisiken im Umfeld von Kryptodienstleistern
Crypto.com verweist darauf, umfangreiche Sicherheitsmaßnahmen implementiert zu haben. Dazu zählen unter anderem die Sperrung bekannter Betrugsadressen, tägliche Aktualisierungen interner Blacklists, eine Echtzeitüberwachung verdächtiger Aktivitäten sowie die enge Zusammenarbeit mit Datenanalyseunternehmen und Strafverfolgungsbehörden. Darüber hinaus biete die Plattform regelmäßige Informationskampagnen an, um Nutzer:innen über gängige Betrugsstrategien aufzuklären.
Auch die Times of Malta berichtete im März, dass Openpayd zu jenen Zahlungsdienstleistern zähle, die von Tätern im Zusammenhang mit einem internationalen Anlagebetrug genutzt worden seien. Openpayd betont hingegen, ausschließlich Geschäftsbeziehungen zu Kryptodienstleistern zu unterhalten – nicht zu Endkund:innen. Für die Durchführung der erforderlichen Sorgfaltspflichten seien daher die jeweiligen Geschäftspartner verantwortlich. Ein vollständiger Schutz vor Finanzkriminalität sei laut Openpayd nicht realistisch; die eigenen Kontrollmechanismen führten jedoch im Vergleich zur Konkurrenz zu einer unterdurchschnittlichen Quote an Missbrauchsfällen.
Dennoch wurde in einem aktuellen Fall ein maltesischer Finanzschlichter tätig: Er sprach einem Betrugsopfer Schadensersatz gegen Openpayd zu. In dem Fall war unter dem Namen des Geschädigten ein virtuelles IBAN-Konto eröffnet worden, das jedoch von Tätern kontrolliert wurde. Nach der Überweisung verschwand das Geld spurlos. Openpayd hat Rechtsmittel gegen diese Entscheidung eingelegt.
Verbesserungspotenzial bestand im Fall der Postbank jedoch nicht nur im Bereich der Transaktionsüberwachung, sondern auch bei der Autorisierung neuer Geräte im Onlinebanking. Fachanwalt Sebastian Koch verweist auf Sicherheitsvorkehrungen bei den Sparkassen: Dort sei es mittlerweile erforderlich, dass sich das zuvor registrierte Mobilgerät in Bluetooth-Reichweite befindet, wenn ein neues Gerät freigeschaltet werden soll. „Durch dieses Verfahren konnten zahlreiche Betrugsfälle verhindert werden“, so Koch.
Ein Sprecher der Deutschen Bank erklärte, man informiere Kund:innen regelmäßig über bekannte und neue Betrugsmaschen im Rahmen eigenverantwortlicher Prävention und entwickle die Sicherheitsverfahren fortlaufend weiter, um unberechtigte Konto-Zugriffe zu verhindern. Seit einigen Monaten sei es beispielsweise möglich, neue Mobilgeräte mittels Debitkarte und QR-Code zu aktivieren. Weitere sichere Freischaltmethoden seien in Vorbereitung.
Für das Ehepaar K. kommt all das zu spät. Den Vorschlag eines Ombudsmanns, eine Entschädigungszahlung in Höhe von 52.000 Euro zu leisten, hat die Postbank abgelehnt. Stattdessen bietet sie den K.s einen Betrag in Höhe von 13.900 Euro an – ausdrücklich „aus Kulanz“.
