Foto: Sadi-Santos - shutterstock.com
Phishing-Nachrichten sind heute oft ziemlich clever gemacht. Deshalb ist es unerlässlich, bei der Kommunikation aufmerksam und vorsichtig zu sein - insbesondere, wenn es um Bankgeschäfte geht. Denn einen Überweisungsauftrag ohne gründliche Prüfung freizugeben, hält das Oberlandesgericht Frankfurt für "grob fahrlässig.
Deshalb hafte die Bank auch nicht für den freigegebenen Überweisungsbetrag. Für den Kläger, der Rechtsanwalt und Steuerberater in einer internationalen Sozietät ist, ist das bitter: Er hat so 49.999,99 Euro verloren.
Ausgangspunkt: SMS mit Link
Angefangen hat alles mit einer SMS im September 2021. Die wies den Empfänger nach dem Muster einer damals gängigen Angriffsmasche darauf hin, dass sein Konto eingeschränkt worden sei. Er solle sich daher für ein neues Verfahren anmelden. "Praktischerweise" enthielt die Nachricht auch den Link dafür, er enthielt das Wort "Sparkasse".
Da die als Absender der SMS angezeigte Telefonnummer bereits früher verwendet wurde, um den Kunden über eine vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren, schöpfte er keinen Verdacht und folgte dem Link.
Es folgte ein Anruf, indem er gebeten wurde "etwas" in der PushTAN-App der Bank zu bestätigen. "Etwas" war - wie sich später herausstellte - die PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 Euro (statt 10.000 Euro). Sie wurde per Gesichtserkennung erteilt. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für eine Überweisung über 49.999,99 Euro angefordert und ebenfalls per Gesichtserkennung erteilt worden, erklärte die Bank - und konnte das dem Gericht gegenüber auch glaubhaft nachweisen.
Gericht sieht Bankkunden in der Verantwortung
"Damit sei der Vortrag des Klägers, nur einmal 'etwas' in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft", teilt das Oberlandesgericht Frankfurt mit. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei.
Er habe zudem selbst berichtet, Online- und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- beziehungsweise TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine "sehr hohe Wahrscheinlichkeit dafür", dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.
Die Bestätigung von PushTANs auf Anforderung eines Anrufers hin sieht das Gericht als Verstoß gegen die Verpflichtung eines Bankkunden, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen. Einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal zu gewähren, stufte das Gericht als grobe Fahrlässigkeit ein. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.
Bei der Freigabeaufforderung werde Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang die TAN geschaffen wurde. "Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr", betont das OLG. Bei der Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, "muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist".
Das Urteil ist noch nicht rechtskräftig. Der Kläger legte bereits eine Nichtzulassungsbeschwerde ein. Er möchte nun vor dem Bundesgerichtshof in Revision gehen.
Wie Phishing per SMS funktioniert
Bei diesen Telefonanrufen sind Bankdaten in Gefahr
Phishing-Attacke gegen Volksbank-Kunden
Mit Phishing-Mail über 400.000 Euro ergaunert