Cyber-Kriminalität Wer haftet beim Betrug mit Online-Banking?
Bei bis zu 80 Prozent aller Betrugsfälle im Online-Banking verweigern die Banken eine Entschädigung. Staatliche Aufseher und Verbraucherschützer fordern einen besseren Schutz der Kunden.
Angelika Brunner aus Landshut kann plötzlich nicht mehr auf ihr Online-Bankkonto zugreifen. Als sie versucht, ihre Sparkasse telefonisch zu erreichen, bleibt die Leitung tot. Tags darauf erhält sie einen Rückruf von der in ihrem Handy gespeicherten Nummer. Die Anruferin gibt sich als Sparkassen-Mitarbeiterin aus. Sie nennt Frau Brunner beim Namen, fordert sie auf, die PushTAN-App neu zu installieren. Brunner tut wie angewiesen.
Wenig später fehlen 4.154,88 Euro auf ihrem Konto. "Das war ein Schock. Für mich ist das viel Geld", sagt sie. Die Sparkasse sieht keine Schuld bei sich, verweigert die Erstattung. Sie wirft der Kundin grobe Fahrlässigkeit vor.
Streitpunkt "grober Fahrlässigkeit"
Die Betrugsform, der Angelika Brunner zum Opfer fiel, nennen Fachleute "Impersonation Fraud". Betrüger geben sich als Mitarbeiter eines Zahlungsdienstleisters, also der Bank oder Sparkasse aus. Aber auch andere Formen von Betrug unter Zuhilfenahme von "Social Engineering", ob per Fake-Anruf, Spam-SMS oder -E-Mail, sind auf dem Vormarsch.
Eigentlich sollten Bankkunden mit der EU-Zahlungsdienstrichtlinie PSD2, die im Januar 2018 in Deutschland umgesetzt worden war, besser geschützt sein. Doch die Umsetzung in deutsches Recht betrachten Experten heute als unzureichend. Zwar soll die Bank im Online-Banking-Betrugsfall ab 150 Euro haften, wenn sich der Kunde nicht grob fahrlässig verhalten hat. Doch das passiere meist nicht, beklagt Nuriye Yildirim, die Rechtsanwältin von Angelika Brunner.
Nach geltendem Rechtsverständnis handelt jemand grob fahrlässig, der die normalerweise "erforderliche Sorgfaltspflicht" außer Acht lässt. Nuriye Yildirim sieht keine Sorgfaltspflicht-Verletzung ihrer Mandantin Brunner, genauso wenig wie in vielen anderen Fällen: "Es gibt sehr viele Fälle, die technisch nicht nachvollziehbar sind", so Yildirim.
Verhandlungen zu neuen Haftungsregeln
Die Europäische Kommission will den Verbraucherschutz nun stärken und Anpassungen im sogenannten Haftungsregime der PSD2 vornehmen. Im Fall der Betrugsform "Impersonation Fraud", bei der sich Betrüger als Mitarbeiter eines Zahlungsdienstleisters ausgeben und so Verbraucher manipulieren, soll demnach entschädigt werden - vorausgesetzt, der Betroffene zeigt den Vorfall unverzüglich bei der Polizei an und informiert die Bank.
Die EU-Kommission will auch, dass bei nicht-unautorisierten Zahlungen die Erstattung nur noch dann verweigert werden kann, wenn der Bankkunde betrügerisch gehandelt hat. Zudem soll die Prüfungs- und Bearbeitungszeit bei begründetem Betrugsverdacht auf zehn Tage gesenkt werden.
An den neuen rechtlichen Regeln sind auch das EU-Parlament und die nationalen Regierungen über den EU-Ministerrat beteiligt. Die neuen Regeln für das Online Banking sollen in PSD3 und PSR im kommenden Jahr verabschiedet werden.
Europäische Bankenaufsicht fordert mehr Sicherheit
Dorothea Mohn vom Verbraucherzentrale Bundesverband hofft, dass der Verbraucherschutz gestärkt wird. Banken und Sparkassen hielten den Kunden oft vor, sich "dem Anschein nach" grob fahrlässig verhalten zu haben. Dann würde die Beweislast beim Verbraucher und nicht mehr bei der Bank liegen. Das dürfe nicht passieren, so Mohn. Sie fordert: "Im Gesetz soll stehen: Die Beweislast liegt immer bei der Bank. Die Bank muss beweisen, dass der Kunde sich grob fahrlässig verhalten hat. Und hat er das getan, dann soll die Bank nicht haften."
Für die erste Jahreshälfte des Jahres 2023 notiert die Europäische Bankenaufsichtsbehörde EBA zwei Milliarden Euro Zahlungsverkehrsbetrug in der EU. In bis zu 80 Prozent der Betrugsfälle müssten die Betroffenen den Schaden selbst tragen, so die EBA.
Bereits 2019 wurde eine strengere Anmeldung zum Online-Banking eingeführt. Dirk Haubrich, Leiter der Abteilung Zahlungsverkehr und Verbraucher bei der EBA, beklagt, dass dennoch der Betrug hoch sei: "Wir fordern vom Gesetzgeber diese Anforderungen an eine starke Kundenauthentifizierung noch sicherer zu machen, als sie es derzeit sind."
Deutsche Kreditwirtschaft gegen strengere Haftungsregeln
Für Banken und Sparkassen sei der Schutz der Kunden von jeher ein wesentliches Anliegen, heißt es von der Deutschen Kreditwirtschaft, die alle Banken, Sparkassen und Raiffeisenbanken hierzulande vertritt. Man hält die neuen Vorschläge, die über die generelle Abwicklung von Zahlungen hinausgingen, für "unausgewogen". Eine pauschale Haftung für Betrugsschäden, die außerhalb ihres Einflussbereichs lägen, würden die Anreize für Betrüger erhöhen: "Statt Betrug zu verhindern, wird Europa zu einem 'attraktiven' Standort für Cyberkriminelle und damit für organisierte Kriminalität und Terrorismusfinanzierung", so die Deutsche Kreditwirtschaft auf Anfrage.
Dabei nehmen Fälle von Bank-Zugangsdaten-Klau mittels "Social Engineering" rapide zu. Das Absaugen von Bankdaten geschieht mittlerweile automatisiert, beobachten IT-Experten - "Malware-as-a-Service (MaaS)", eine kriminelle Dienstleistung. Das Bundeskriminalamts (BKA) hält das Phänomen MaaS für eine potenzielle Problematik, die "insbesondere vor dem Hintergrund des Einsatzes von Künstlicher Intelligenz künftig an Bedeutung gewinnen könnte", so eine Sprecherin des BKA.
MaaS ermögliche den Zugang zu spezialisierter Malware für einen größeren, programmiertechnisch nicht unbedingt versierten Täterkreis. "Dies führt in der Regel zu einer stärkeren Verbreitung und damit einhergehend zu höheren Fallzahlen", so das BKA.
Erfolg gegen Cyber-Kriminalität
Ende Oktober war das BKA an der "Operation Magnus" beteiligt. Das FBI und andere Ermittler aus weiteren Ländern haben das kriminelle Malware-Netzwerk "Infostealer Redline" und "Meta" zerschlagen. Damit war Malware weltweit an Millionen Opfer verteilt worden.
Auch Bankzugangsdaten von Kunden in Deutschland waren abgegriffen worden. Um die besser zu schützen, fordert Dirk Haubrich von der EBA, "dass alle Zahlungsdienstleister in der EU ein Betrugs-Risikomanagement entwickeln müssen, um Betrug schon frühzeitig zu erkennen, bevor er passiert".
