Phishing-Attacke beim Online-Banking: Haftung des Zahlers bei Online-Banking im chipTAN-Verfahren
Gericht: Oberlandesgericht des Landes Sachsen-Anhalt 5. Zivilsenat
Entscheidungsdatum: 10.01.2024
Aktenzeichen: 5 U 83/23
Dokumenttyp: Urteil
Verfahrensgang
vorgehend LG Halle (Saale) 4. Zivilkammer, 23. Juni 2023, 4 O 133/22, Urteil
Urteil zum Online-Banking: Wer haftet bei Phishing?
Das Wichtigste vorab: Das Oberlandesgericht Sachsen-Anhalt hat entschieden, dass ein Bankkunde für den Schaden eines Phishing-Angriffs selbst aufkommen muss. Das Gericht begründete dies damit, dass der Kunde (bzw. seine Ehefrau) „grob fahrlässig“ gehandelt hat. Die Bank muss das gestohlene Geld daher nicht erstatten.
1. Was ist genau passiert?
Der Fall dreht sich um einen selbstständigen Handwerker, der ein Geschäftskonto bei einer Sparkasse führt. Seine Ehefrau kümmert sich um die Buchhaltung und hat Zugriff auf das Konto.
Der Betrugsversuch: Am 30. Oktober 2020 erhielt die Ehefrau eine E-Mail.
- Der Absender: Die E-Mail kam von einer seltsamen Adresse („noreply@r..gmbh“), nicht von der Sparkasse selbst.
- Der Inhalt: In der Mail wurde behauptet, es gäbe ein neues Sicherheitssystem namens „CISC“ (Covid Intelligence Spa Connect). Man müsse das Konto umstellen.
- Die Handlung: Die Ehefrau klickte auf einen Link in der E-Mail und gab dort persönliche Daten und Kartendaten ein.
Der Anruf: Kurz darauf, an einem Samstag und einem Sonntag, rief ein falscher Bankmitarbeiter bei dem Ehepaar an.
- Er behauptete, er müsse den TAN-Generator (das Gerät für Überweisungen) neu einstellen.
- Die Ehefrau folgte seinen Anweisungen. Sie steckte ihre Bankkarte in den Generator.
- Sie tippte Zahlen ein, die der Anrufer ihr nannte.
- Am Ende erschien eine TAN (Transaktionsnummer) auf dem Gerät. Diese Nummer las sie dem Anrufer am Telefon vor.
Der Schaden: Ohne es zu wissen, hatte die Ehefrau keine „Neueinstellung“ vorgenommen. Sie hatte mit den TANs zwei Dinge freigegeben:
- Sie erhöhte das tägliche Überweisungslimit auf fast 95.000 Euro.
- Sie löste mehrere Echtzeit-Überweisungen an Betrüger aus. Insgesamt verschwanden so knapp 40.000 Euro vom Konto.
Phishing-Attacke beim Online-Banking: Haftung des Zahlers bei Online-Banking im chipTAN-Verfahren
2. Der Weg durch die Gerichte
Der Kunde verlangte von der Sparkasse, das Geld zurückzubuchen. Er argumentierte, dass er diese Zahlungen nicht gewollt habe. Zudem sei auf dem Display des TAN-Generators nicht klar erkennbar gewesen, dass es sich um eine Überweisung handele.
- Die erste Instanz (Landgericht Halle): Zuerst gewann der Kunde. Das Landgericht sagte, die Bank müsse zahlen, da das Sicherheitsverfahren nicht korrekt gewesen sei.
- Die zweite Instanz (Oberlandesgericht Sachsen-Anhalt): Die Bank legte Berufung ein. Das Oberlandesgericht hob das erste Urteil auf und entschied zugunsten der Bank.
3. Warum hat das Gericht so entschieden?
Das Gericht stellte zwar fest, dass die Zahlungen nicht vom Kunden gewollt waren (es war ja ein Hackerangriff). Trotzdem haftet der Kunde, weil seine Ehefrau grob fahrlässig gehandelt hat. Grobe Fahrlässigkeit bedeutet, dass man einfachste Überlegungen nicht angestellt hat und extrem unvorsichtig war.
Das Gericht nannte dafür folgende Gründe:
A. Die E-Mail war erkennbar falsch Die Ehefrau hätte bei genauerem Hinsehen den Betrug erkennen müssen.
- Die Absender-Adresse war offensichtlich keine offizielle Bank-Adresse.
- Die E-Mail enthielt Rechtschreibfehler.
- Der Name des angeblichen neuen Systems („Covid Intelligence…“) ergab keinen Sinn.
B. Ungewöhnliche Anrufzeiten Die Anrufe fanden an einem Samstag und Sonntag statt. Das sind keine normalen Geschäftszeiten für Banken. Das hätte das Ehepaar stutzig machen müssen. Ein kurzer Rückruf bei der echten Bank hätte den Betrug aufgedeckt.
C. Weitergabe der TAN am Telefon Dies war der schwerwiegendste Fehler.
- In den Bedingungen der Bank steht klar: Eine TAN darf niemals am Telefon oder per E-Mail weitergegeben werden.
- Es ist allgemein bekannt, dass Bankmitarbeiter niemals nach einer TAN fragen.
- Eine TAN dient nur dazu, einen Auftrag (wie eine Überweisung) abzuschließen, nicht um Geräte zu konfigurieren.
D. Das technische Verfahren war sicher Das Gericht glaubte der Ehefrau nicht, dass sie auf dem Display nichts erkennen konnte.
- Ein Experte zeigte dem Gericht, wie das manuelle chipTAN-Verfahren funktioniert.
- Man muss erst die Kontonummer des Empfängers und den Betrag eintippen. Diese Zahlen erscheinen dabei auf dem Display.
- Erst danach wird die TAN erstellt.
- Die Ehefrau musste also die Daten der Betrüger selbst eingetippt haben. Dass sie diese Warnhinweise ignoriert oder übersehen hat, wertete das Gericht als ihr eigenes Verschulden.
Ein wichtiger Punkt war die Frage, ob das Banksystem sicher genug war. Das Gesetz verlangt eine sogenannte „starke Kundenauthentifizierung“. Das bedeutet, das System muss sehr sicher sein und dynamisch mit dem Betrag und dem Empfänger verknüpft sein.
Das Gericht entschied:
- Das verwendete chipTAN-Verfahren gilt als sehr sicher.
- Es ist nicht notwendig, dass der Betrag und der Empfänger in jeder einzelnen Sekunde des Vorgangs auf dem Display stehen.
- Es reicht aus, wenn diese Daten beim Start der Überweisung angezeigt werden und in die Berechnung der TAN einfließen.
- Da die Bank ein technisch korrektes und sicheres Verfahren bereitgestellt hat, trifft sie keine Schuld.
5. Fazit
Die Klage des Kunden wurde komplett abgewiesen. Er bekommt die rund 40.000 Euro nicht zurück und muss zusätzlich die Kosten für den Rechtsstreit tragen.
Die Lehren aus diesem Urteil für Bankkunden:
- Misstrauisch bleiben: Prüfen Sie E-Mail-Absender genau. Banken führen keine Systemumstellungen per E-Mail-Link durch.
- Keine TANs weitergeben: Geben Sie niemals eine TAN am Telefon weiter, egal wie überzeugend der Anrufer wirkt. Kein echter Bankmitarbeiter wird danach fragen.
- Display prüfen: Schauen Sie genau auf das Display Ihres TAN-Generators oder Ihrer App. Bestätigen Sie nur Vorgänge, bei denen Sie die IBAN und den Betrag genau kontrolliert haben.
- Wochenend-Anrufe: Seien Sie extrem vorsichtig bei angeblichen Bankanrufen am Wochenende. Legen Sie auf und rufen Sie Ihre Bank unter der offiziellen Nummer selbst zurück.
