Kreditkartenbetrug: Wer zahlt den Schaden? Banken schauen genau hin

Kreditkartenbetrug: Wer zahlt den Schaden? Banken haften bei Kreditkartenbetrug, also bei Abbuchungen mit gefälschtem Mandat sowie bei Überweisungen, die Hacker über das ferngesteuerte Endgerät freigegeben haben.

Denn das Onlinebanking müssen die Banken gegen Betrugsrisiko absichern – mit den richtigen Sicherheitssystemen. Versagen diese Sicherheitssysteme, müssen die Banken den entstandenen Schaden erstatten. Dies ist der Fall, wenn Daten vorab abgefischt (Phishing) wurden oder/und der Hacker Kontrolle über Push-App und Banking hat, indem er das Handy fernsteuert.

Hat das Opfer des Kreditkartenbetrugs allerdings grob fahrlässig gehandelt, ist die Bank nicht in der Pflicht, den Schaden zu übernehmen. Dabei gibt es eine ganze Reihe von Fällen, in denen man von fahrlässigem Handeln spricht. Wichtig ist, dass sowohl Banken als auch Kunden in der Pflicht sind, Indizien und Beweise zu sammeln, bei wem nun die Haftung liegt. Diese sollten an die Polizei weitergegeben werden.

Haftung bei Kreditkartenbetrug: Wer zahlt den Schaden? Kunde zahlt bei grober Fahrlässigkeit

Seit 2021 nehmen die Fälle zu, in denen Betrüger Konten komplett leer räumen. Für Inhaber entsteht meist hoher finanzieller Schaden, der im fünf- bis sechsstelligen Bereich liegt. Selbst wenn eine Überweisung über ein Endgerät des Kunden per TAN autorisiert wurde, haftet dieser in der Regel nicht, es sei denn, er handelt selbst in betrügerischer Absicht.

Wenn ein Hacker Zugriff auf die Endgeräte des Betroffenen hatte, TAN-App sowie Bankkonto-Portal also steuern konnte, und so große Zahlungen autorisierte, muss die Bank in aller Regel den Schaden begleichen. Allerdings ist dabei ausschlaggebend, wie es genau zu der betrügerischen Transaktion kam und ob das Opfer Mitschuld trägt am Betrug. Mitschuld trägt der Kontoinhaber, wenn er etwa Opfer von Vishing wird.

Kreditkartenbetrug – wer zahlt nun? Einzelfälle und Rechtsprechung

Auf die Gefahr des Phishings wird schon seit Jahren aufmerksam gemacht. Dabei führen SMS oder Fake-Mails auf täuschend echt nachgemachte Banken-Websites. Selbst Logo, Aufmachung und Eingabe-Maske können der Website der eigenen Bank genau ähneln. Diese Websites sind von Hackern erstellt. Sie dienen dem Abgreifen von Konto-Login-Daten wie der PIN oder eTAN.

Bei Vishing versenden Betrüger vorab Hinweise für ein angebliches Sicherheits-Checkup der Bank. Ein vermeintlicher Bankmitarbeiter ruft an und bittet das Sicherheits-Checkup zu veranlassen oder den Bank-Account wieder freizugeben, nachdem dieser wegen dubioser Abbuchungen gesperrt wurde. Dafür braucht der vermeintliche Sicherheitsmitarbeiter noch die Freigabe über eine TAN in der TAN-App. Nennt das Opfer die TAN, wird damit die betrügerische Transaktion freigegeben. Das Geld ist für immer weg, weil der Kreditkarteninhaber grob fahrlässig gehandelt hat. Das Betrugsopfer haftet selbst.

Dagegen haftet die Bank, wenn sie eine vom Kontoinhaber nicht autorisierte Überweisung ausführt. Denn in diesem Fall leckt die Sicherheit des Zahlsystems. Beim Thema Sicherheit gibt es klare gesetzliche und technische Anforderungen. Die allermeisten Banken setzen aufs Push-TAN Verfahren, eine Zwei-Stufen-Authentifizierung: Dabei loggt sich der Kunde mit PIN und Passwort ins Online-Banking ein und veranlasst eine Zahlung. Das Online-Banking-System löst das Senden einer TAN aus. Die TAN soll in einer App eingegeben werden – das ist der zweite Schritt der Zwei-Stufen-Authentifizierung. Damit wird die Zahlung autorisiert. Das Verfahren ist unter Umständen sicher, wenn es richtig genutzt wird. Es kann dennoch große Sicherheitslücken nach Hackerangriffen zeigen.

Nach Hackerangriffen haben Betrüger Zugriff aufs Handy:  Sie können die Überweisung zunächst anweisen und die Zahlung danach auch in der TAN-App freigeben. Wie funktioniert dieser Missbrauch des Authentifizierungsverfahrens? Zuvor muss der Trojaner, die Schadsoftware zum Auslesen der PIN und TAN, aufs Handy gelangt sein. Das gelingt Betrügern, indem sie Links getarnt in harmlosen oder Service-Emails versenden. Klinkt der Nutzer diese Links, wird die Installation einer Fernsteuer-Software in Gang gebracht hat. So können Täter das Handy quasi bedienen und Passwörter auslesen. Wer vorab auf verschiedenen Endgeräten TAN-App und Online-Banking installiert hat, kann nicht Opfer des Hackerangriffs werden, weil der Hacker die Transaktionen nur eigenständig durchführen kann, wenn er Zugriff auf beide Portale beziehungsweise Apps hat. Im Ausnahmefall geht es doch: Der Hacker konnte die Schadsoftware auf beiden Geräten installieren.

Beim "Fernsteuern der Zahlungssysteme" gibt es mehrere Methoden: (1) Sensible Daten können abgegriffen werden und für eigene Transaktionen genutzt werden. (2) Oder es werden einfach nur die Überweisungsdaten manipuliert, die an die Bank gesendet werden. Der Kontoinhaber gibt mit der Eingabe der TAN dann eine ganz andere Überweisung frei, wie er eigentlich wollte. (3) Auch ist es möglich, dass der Hacker die TAN manipuliert, die dem Nutzer auf die App gesendet wird. Mit der falschen Tan gibt er den Überweisungsauftrag frei, den der Hacker angelegt hatte. (4) Eine vierte Methode sind Angriffe aufs Heimnetzwerk, also gekoppelte Geräte, wobei sensible und regulär getrennte Informationen abgefangen werden. In Fall (2) und (3) kann das Opfer haftbar gemacht werden. Denn Kreditkartenbesitzer und Kontoinhaber haben die Überweisung bei Eingabe der Push-TAN in der App nochmals zu kontrollieren, um sicherzustellen, dass es sich um die richtige handelt.

Wer PushTAN und Onlinebanking auf verschiedenen Geräten nutzt, läuft weniger Gefahr, Betrugsopfer zu werden. Denn der Trojaner müsste auf beiden Geräten installiert worden sein. Auch Banken, die die Apps und Portale mit Fingerabdruck sichern, haben sicherere Zahlungssysteme.

Kreditkartenbetrug? Wer zahlt? In diesen Fällen liegt Fahrlässigkeit vor – die Haftung übernimmt der Kunde

• Der Kontoinhaber hat seine Kontodaten per E-Mail versendet und sie sind so in falsche Hände geraten
• Preisgabe von TANs an Unbekannte, vermeintliche Bankmitarbeiter, bekannt als Vishing
• Notieren der PIN auf einen Zettel, der bei der Kreditkarte liegt oder auf die Kreditkarte selbst
• Unbeaufsichtigtes Hinterlassen der Brieftasche, in der sich die Kreditkarte befand, beziehungsweise unbeaufsichtigtes Hinterlassen der Kreditkarte

Ferner handelt es sich um Fahrlässigkeit, wenn

1. Der Nutzer die Zahlung nach Anruf eines vermeintlichen Sicherheitsmitarbeiters über die Eingabe der TAN freigegeben hat;
2. Der Nutzer die Kreditkarte gemeinsam mit der PIN aufbewahrt hat und die Karte gestohlen wurde, etwa wenn sie auf einem Zettel im Geldbeutel war oder mit Edding auf die Karte notiert wurde;
3. Der Nutzer auf eine Antivieren-Software verzichtet hat;
4. Die Firewall abgeschaltet war;
5. Dasselbe Passwort auf mehreren Geräten, Zahlungs-App sowie Portalen genutzt wurde;
6. Die Sicherung des Geräts ausblieb, fürs Handy also kein Passwort vergeben wurde;
7. PIN oder TAN auf Phishing-Seiten herausgegeben wurden;
8.  Die Sicherung des Heimnetzwerks ausblieb;
9. Die Überweisungsdaten bei der TAN-Übermittlung nicht nochmals vom Nutzer kontrolliert wurden;
10. Die Information von Bank oder Polizei seitens des Besitzers verzögert erfolgte, was als nachlässiges Verhalten gilt.

Wenn die Bank im Vertrag untersagt, beide Apps auf eine Gerät zu installieren, kann sie schließlich den Inhaber der Kreditkarte haftbar machen. Es ist immer ausschlaggebend, was in den Klauseln des Vertrags mit der jeweiligen Bank steht.

Kreditkartenbetrug: Wer den Schaden zahlen muss, muss über Indizien und Beweise ermittelt werden

Die Banken müssen nachweisen, dass der Kunde grob fahrlässig gehandelt hat. Ebenso muss der Kunde nachweisen, wie der Onlinebetrug zustande gekommen ist und er keine Mitschuld durch Eingabe von Daten auf Phishing-Seiten oder der TAN-App trägt. Deshalb ist sofort Anzeige bei der Polizei zu stellen, die ermittelt, wie die Überweisung oder der Einzug verursacht wurde. Die Bank klärt die Relevanz und sammelt Beweise, die später gebraucht werden, um nachzuweisen, wie die Kreditkartenzahlung zustande gekommen ist. Der Kunde muss darlegen, dass nicht er, sondern der Betrüger die Zahlung autorisiert hat. Der abgebuchte Betrag ist außerdem sofort der Bank zu melden. Diese muss das Konto vorerst sperren, damit keine weiteren Beträge abgehen.

Zwar ist nach der oben genannten Fallunterscheidung klar, wie der persönliche Schadensfall einzustufen ist. Wer sich sicher ist, dass Fahrlässigkeit vorliegt, muss keinen Anwalt einschalten. Wer seinen persönlichen Einzelfall und die Frage der Haftung genau klären will oder sich wegen Vertragsbedingungen unsicher ist, kann sich an einen Anwalt des Bank- und Kapitalmarktrechts wenden. [jg]

Fazit:
Die meisten Banken argumentieren bei einer Anfrage auf Erstattung des Schadens wegen Sicherheitslücken damit, dass der Betrogene fahrlässig gehandelt habe. Sie sind in der Beweispflicht. Oft überweisen Banken den Schadensbetrag erst, wenn Sie dokumentierte Beweise und Indizien per E-Mail zusenden oder ein Anwalt dies tut. Der Anwalt kann zunächst sachlich gegenüber der Bank argumentieren. So können Sie den Klageweg vermeiden, der auch oft teuer für die Bank wird und überlastete Gerichte unnötig beansprucht. Im Zweifelsfalls sollten Sie den Klageweg gehen. Es lohnt sich dann, einen Anwalt hinzuzuziehen. Auch könnte sich die Rechtsprechung ändern. Ob Fahrlässigkeit besteht oder nicht, hängt auch vom Gesundheitszustand des Opfers ab. Ob jemand eine Schwerbehinderung hat oder in den Wochen vor dem Tod einer Person das Konto geplündert wurde, kann relevant sein.

Weitere Informationen:
Weitere Infos zum Thema Kreditkartenbetrug gibt es auch bei der Verbraucherzentrale und bei der Polizeiliche Kriminalprävention der Länder und des Bundes

Das könnte Sie auch interessieren:

Kreditkartenbetrug