Phishing-Angriff: Bank muss Anwalt Geld nicht zurückerstatten
© kunakorn / stock.adobe.com

Wer nach einer Phishing-Nachricht mittels mehrstufiger Verifizierung die temporäre Erhöhung seines Überweisungslimits und Überweisungen freigibt, handelt laut OLG Frankfurt am Main grob fahrlässig. Die Bank müsse dem Kunden, hier ein Anwalt und Steuerberater, den überwiesenen Betrag dann nicht zurückerstatten.

Der Anwalt und Steuerberater erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt wurde. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort "Sparkasse" enthielt. Die im Absender der SMS genannte Telefonnummer hatte seine Bank in der Vergangenheit bereits verwendet, um ihn über vorübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Anwalt folgte dem in der SMS angegebenen Link, dann wurde er von einem Mann angerufen. Er bestätigte auf Anweisung des Anrufers seinen Angaben nach "etwas" in der PushTAN-App der Bank. Am selben Tag wurde ein Betrag in Höhe von 49.999,99 Euro vom Konto des Kunden abgebucht.

Als Anwalt in geschäftlichen Dingen erfahren

Das OLG Frankfurt am Main (Urteil vom 06.12.2023 – 3 U 3/23) hat die klageabweisende Entscheidung des LG bestätigt. Die Bank müsse den überwiesenen Betrag nicht zurückerstatten. Der Kunde habe grob fahrlässig seine Pflichten verletzt.

Nach den Aufzeichnungen der Bank sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 Euro angefordert worden. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 Euro angefordert worden. Damit sei der Vortrag des Klägers, nur einmal "etwas" in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- beziehungsweise TAN-Apps vertraut zu sein.

Kontrolle über Authentifizierungsinstrument in die Hände des Anrufers gelegt

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. "Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr", betonte das OLG, "Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist".

Phishing wird seit Langem öffentlich breit diskutiert

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert.

Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als "atypisch" wahrgenommenen Umgebung freizugeben, erkennen müssen. "Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war", so das Gericht. Die Entscheidung ist nicht rechtskräftig. Der Kunde hat Nichtzulassungsbeschwerde eingelegt.

Ende des vergangenen Jahres traf das Landgericht Lübeck eine Entscheidung in einem ähnlichen Fall. Die Bank war auch hier nicht verpflichtet, das Geld nach einem Phishing-Angriff zurückzuerstatten, da der Bankkunde grob fahrlässig gehandelt hatte.

OLG Frankfurt a. M., Urteil vom 06.12.2023 - 3 U 3/23

Redaktion beck-aktuell, ew, 14. Februar 2024.

Weiterführende Links

Aus der Datenbank beck-online

Kuntz, Cyberkriminalität: 67% der Nutzer wurden bereits Opfer, MMR-Aktuell 2024, 01285

Stögmüller, Die Entwicklung des IT-Rechts, NJW 2023, 3762

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.