Veröffentlicht von:

Rechtsanwalt Thomas Feil

Phishing bei der Commerzbank

03.04.2024
12 Minuten Lesezeit

Die Nutzung des Internets, einschließlich Online-Banking, hat unser Leben erheblich vereinfacht, bringt jedoch auch neue Risiken mit sich, wie Hackerangriffe und Phishing. Phishing ist eine Methode, mit der Betrüger versuchen, an persönliche Daten zu gelangen, oft durch gefälschte Websites oder E-Mails. Sogar die Kunden der Commerzbank wurden Ziel solcher Angriffe, bei denen sie beispielsweise aufgefordert wurden, ein Foto ihrer TAN-Liste hochzuladen. Kein TAN-Verfahren (klassisch, iTAN, mTAN, photoTAN, Chip-TAN) bietet hundertprozentigen Schutz, und Banken wie die Commerzbank warnen, niemals sensible Daten per E-Mail anzufordern. Im Falle eines Phishing-Angriffs, der zu einem Überweisungsbetrug führt, kann die rechtliche Lage hinsichtlich der Haftung und der Möglichkeit, das verlorene Geld zurückzuerhalten, komplex sein. Dies kann von der Fahrlässigkeit des Kunden oder einer Pflichtverletzung der Bank abhängen. Experten auf dem Gebiet des Internetrechts können die Situation prüfen und ggf. rechtliche Schritte einleiten, um das verlorene Geld zurückzufordern oder Schadensersatz zu fordern. Vorsichtsmaßnahmen und Skepsis gegenüber ungewöhnlichen Anfragen sind essentiell, um sich vor Phishing zu schützen.

Um dieses Video anzuzeigen, lassen Sie bitte die Verwendung von Cookies zu.

Überall online zu sein hat Vorteile. Ständige Verfügbarkeiten von Informationen, Dienstleistungen und Unterhaltung haben unser Leben nachhaltig verändert und tragen dazu bei, dass wir immer größere Teile und Bereiche unseres Lebens auf die Online-Welt verlagern.

Fachanwalt für IT-Recht hilft bundesweit

thomas-feil.de

Dazu gehören mittlerweile auch Bankgeschäfte. Natürlich sind in der heutigen Zeit unsere Konten auch online verfügbar, sodass wir unsere Bankgeschäfte jederzeit, auch unterwegs, erledigen können.

Commerzbank: Gefahren durch Hacker

Die Vernetzung birgt jedoch auch neue Probleme und Gefahren. Letztlich verlagert sich auch die Kriminalität in Richtung des Internets. Während früher die Menschen nach dem Abheben des Geldes überfallen werden mussten, reicht heute vielleicht eine E-Mail aus, um den ahnungslosen Bürger zu bestehlen oder zu betrügen. Die Vernetzung durch das Internet ist also auch für Betrüger und andere Kriminelle komfortabel.

Gerade wenn das Geld als Lebensgrundlage betroffen, fragen sich viele, welche Möglichkeiten sie haben, wenn sie gehackt wurden, um gegen solch einen Hackerangriff und Überweisungsbetrug vorzugehen. Sie wollen ihr Geld zurück oder Schadensersatz haben.

Sie sind Opfer einer solchen Hackerattacke und Betrugs geworden? Sie möchten sich wehren und Ihr Geld zurückerhalten? Dann kontaktieren Sie mich gerne dazu. Ich gebe Ihnen eine kompetente Ersteinschätzung und übernehmen gerne Ihren Fall.

Commerzbank im Fokus von Phishing

Im Folgenden möchte ich Ihnen eine Masche der Betrüger darstellen: Das sogenannte Phishing am Beispiel der Commerzbank, die über eine Vielzahl an Kunden verfügt und daher ein begehrtes Ziel von Angreifern ist. Ein Unternehmen, in dem der Vorstand alleine über 5 Millionen Euro Festvergütung erhält.

Darüber hinaus erhalten die Vorstandsmitglieder überwiegend noch variable Vergütungen sowie einen Versorgungsaufwand, sodass der Vorstandsvorsitzende alleine im Jahr 2015 eine Gesamtvergütung in Höhe 2.459.000 € erhalten hat. Eine Bank die intern also eine Menge Kapital bewegt.

Die Kundenanzahl konnte im vergangenen Jahr auf 11,5 Millionen gesteigert werden. Viele von ihnen nutzen auch das Online-Banking. Dies bedeutet, dass es insgesamt 11,5 Millionen potenzielle Opfer nur bei dieser einen Bank gibt.

Ein Phisingangriff mit anschließendem Überweisungsbetrug kann also für derartige Betrüger lohnenswert sein. Im besten Falle müssen diese dazu nicht einmal ihre Wohnung verlassen.

Sie können daher erkennen, warum diese Masche durchaus begehrt ist und ein derartiger Angriff nahezu jeden treffen kann. Dies gilt selbst für Kunden, die das Online Banking nicht nutzen!

Was ist Phishing?

Doch was ist Phishing eigentlich? Und wer kann davon betroffen sein? Diese Fragen werden Sie sich zu recht stellen.

Phishing steht für „Angeln“ und meint damit den Versuch von Betrügern, an persönliche Daten Ihrer Opfer zu gelangen, dass heißt, sich diese Daten zu „angeln“.

Dies geschieht oft mit Hilfe von gefälschten Websites oder Nachrichten, wie E-Mails. So könnten Hacker eine Seite erstellen, die genauso aussieht, wie die Seite der Commerzbank oder auch die, anderer Banken, ja sogar eine Seite, die so aussieht wie ihr Lieblings Online-Shop.

Auf diesen Seiten bitten die Betrüger dann ihre Opfer, die gewünschten persönlichen Daten wie Bankverbindungen nebst Pin oder Kreditkarten Daten einzugeben. Diese werden dann von den Hackern gespeichert und können anschließend beliebig verwendet werden.

Betrug durch E-Mail oder SMS

Insgesamt gibt es zahlreiche Methoden der Betrüger an Ihre Daten zu gelangen. Die Üblichen Methoden sind E-Mails, die Sie entweder auf eine nachgeahmte Web-Präsenz locken oder Sie direkt nach Ihren Daten fragen. In der Vergangenheit wurden dazu aber auch bereits SMS verschickt oder Messenger verwendet.

Und bereits davor wurde versuchten Betrüger telefonisch an die Daten der Betroffenen zu kommen, indem man sich bspw. als Bankmitarbeiter ausgab.

Letztlich stellen diese Methoden allesamt einen Versuch dar, die Gutgläubigkeit der Betroffenen auszunutzen. Den Betroffenen werden bestimmte, konkrete Gefahren für Ihr Geld suggeriert. Diese sollen dann in Sorge um ihr Konto und ihr Geld, persönliche Daten preisgeben.

Die Opfer merken dies meist zu spät, nämlich dann, wenn das Geld bereits weg ist. Zu recht möchten die Opfer dann ihr Geld zurückhaben oder verlangen Schadensersatz.

Die Phishing Methode bezüglich Kunden der Commerzbank

Die Phishing Methode, die in betrügerischer Absicht durch Hacker bei Commerzbank Kunden versucht wurde, greift im Ansatz auch auf gefälschte E-Mails zurück.

In Phishingmails werden die Kunden der Commerzbank dazu aufgefordert ein Foto Ihrer TAN-Liste hochzuladen.

Die Commerzbank weißt darauf hin:

„Dies geschieht in betrügerischer Absicht! Die Commerzbank wird Sie nie dazu auffordern Ihre TAN-Liste hochzuladen! Wir verschicken nie Aufforderungen per E-Mail zur Anmeldung auf commerzbank.de, wo Sie unter skurrilen Gründen (z.B. Wechsel des TAN-Verfahrens) Ihre Zugangsdaten wie Teilnehmername, PIN, iTANs eingeben sollen.“

Das Perfide daran ist: Während ältere Phishing-Emails oft schlecht geschrieben wurden, gebrochenes, teilweise unverständliches Deutsch enthielten, sind diese E-Mails hingegen täuschend echt. Sogar der Werbeslogan der Commerzbank „Die Bank an ihrer Seite“ wurde von den Betrügern verwendet.

Klickte man auf den Link erschien eine, von der offizielle Commerzbank-Seite kaum zu unterscheidende Internetseite, auf denen die Kunden aufgefordert wurden, sich anzumelden und ein Foto ihrer iTan Liste hochzuladen.

Nach Abschluss dieses Vorgangs hatten die Betrüger alles, was sie brauchen, um unberechtigt an das Geld ihrer Opfer bei der Commerzbank zu kommen. Denn wird bei der Onlineüberweisung eine Tan-Nummer abgefragt, sind nun die Hacker im Besitz dieser Nummer und können bequem Überweisungen damit legitimieren. Die Opfer merken das Phishing erst, wenn es zu spät ist.

Schutz vor Phishing – Was hilft?

Die Banken wie beispielsweise die Commerzbank verwenden zum Schutz vor unberechtigten Zugriffen sogenannte Tans:

Doch was sind TANs?

Eine Tan ist eine Transaktionsnummer und funktioniert wie ein Einmalpasswort. Der Inhaber dieser Tan legitimiert sich dadurch gegenüber der Bank als Berechtigter.

Es gibt verschiedene Arten von Transaktionsnummern

Beim klassischen TAN-Verfahren erhält der Teilnehmer beim Electronic Banking eigene Liste von Transaktionsnummern. Bei jedem Buchungsvorgang – also vor jeder Transaktion – muss eine beliebige TAN der aktiven Liste eingegeben werden.

Einen Schritt weiter geht das Verfahren der indizierten Transaktionsnummern, kurz iTAN: Der Kunde kann hier seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben.

Der Kunde wird also aufgefordert beispielsweise die Nr. 107 auf der iTAN-Liste einzugeben. Dies macht es für Hacker schon bedeutend schwerer, weil diese nun die richtige Nummer brauchen.

Daher mussten die Hacker im Falle der Commerzbank auch die ganze Liste haben und haben deshalb um den Upload eines Fotos gebeten.

Die Variante Mobile TAN (mTAN) oder smsTAN besteht aus der Einbindung des Übertragungskanals SMS. Dabei wird dem Onlinebanking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet.

Der Auftrag muss anschließend mit dieser TAN bestätigt werden. Gefährlich wird dies besonders dann, wenn die Übertragung abgefangen wird (man-in-the-middle-Angriff) oder das Mobiltelefon in die falschen Hände gerät.

photoTAN-Verfahren

Beim photoTAN Verfahren wird die TAN verschlüsselt als mehrfarbige Mosaikgrafik auf dem Bildschirm angezeigt. Mit einer entsprechenden Smartphone-App wird dieser Code eingelesen und entschlüsselt, die Transaktionsdaten zur Kontrolle auf dem Smartphone angezeigt und die zugehörige TAN generiert. Die so generierte TAN wird dann zur Freigabe der Transaktion eingegeben.

Zudem gibt es noch weitere Tan-Verfahren in denen über einen Tan-Generator beim Benutzer Tans generiert werden. Sobald die Kundenkarte (z. B. eine Maestro-Card oder eine V-Pay-Karte) in den Generator eingesteckt wird, können auf Knopfdruck TANs erzeugt werden.

Noch neuer ist das Chip-Tan-Verfahren: Die Kunden erwerben hierbei einen TAN-Generator mit Ziffernfeld und Karteneinschub. Auf der Rückseite des TAN-Generators befinden sich mehrere optische Sensoren.

Nachdem eine Überweisung im Online erfasst wurde, erscheint am Bildschirm eine Grafik, die mehrere flackernde Schwarz-Weiß-Flächen enthält. Nun muss die persönliche Bankkarte in den TAN-Generator eingesteckt werden.

Sobald der TAN-Generator danach an den Bildschirm gegen die Grafik gehalten wird, erfolgt eine Datenübertragung durch Lichtsignale. Hierbei werden Teile der Empfängerdaten übertragen, bei einer Einzelüberweisung beispielsweise der (Start-)Code, die Empfängerkontonummer sowie der Überweisungsbetrag.

Auf dem Display des TAN-Generators werden im Anschluss die übermittelten Daten zur Kontrolle und Bestätigung angezeigt. Der TAN-Generator errechnet nun eine auftragsbezogene TAN, die im Online-Banking eingegeben wird.

Sind diese Verfahren sicher?

So bemüht die Commerzbank und andere Banken auch sind, die Sicherheit ihrer Kunden gegen Phishing zu gewährleisten, keines der oben dargestellten Verfahren bietet hundertprozentige Sicherheit. Die Gefahr, dass Ihre persönlichen Daten ausgespäht werden, zumal wenn diese durch Sie selbst eingegeben werden, lässt sich technisch nicht gänzlich verhindern.

Zudem sind beispielsweise die Tan-Generatoren, die relativ sicher sind, unkomfortabler in der Bedienung und sind daher für eine schnelle Überweisung von unterwegs nicht so gut geeignet. Auch ist deren Verbreitung bisher als gering einzustufen.

Kein absoluter Schutz besteht auch deshalb, weil selbst derartige Geräte auch in die Hände von Betrügern fallen können.

Es gilt also stets wachsam zu sein. Die Commerzbank weißt ihre Kunden darauf hin, dass niemals ungefragt E-Mails von Seiten der Commerzbank versendet werden. Dies dürfte auf andere Banken übertragbar sein.

Das Gesetz sagt dazu sogar:

„Der Zahler [also der Kunde] ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l BGB).“

Sie müssen also dafür Sorge tragen, dass Ihre Tans nicht in falsche Hände geraten können.

Bei den folgenden Dingen sollten Sie stutzig werden; bzw. auf diese Dinge sollten Sie achten:

Schon dann, wenn die Bank Ihnen etwas derart Wichtiges per E-Mail mitteilt
Die E-Mail oder der Link, auf den geklickt werden soll, enthält Schreibfehler
Vor der Webadresse steht kein „https“ oder das „s“ fehlt. Dies ist ein Zeichen dafür, dass die Verbindung nicht verschlüsselt ist
Die Verknüpfungen auf der Zielseite (z.B. Impressum oder Links auf andere Seiten) funktionieren nicht oder führen stets zu einer Seite zurück
Vergewissern Sie sich zuvor, ob die Bank einen Phishing Vorgang veröffentlicht hat
Seien Sie misstrauisch, wenn Sie nicht persönlich angesprochen werden
Loggen Sie sich nicht über öffentliche Netzwerke ein. Denn diese könnten von Betrügern erstellt worden sein, um Ihre Daten abzufangen
Denken Sie daran, dass jeder behaupten kann der zuständige Kundenbetreuer Ihrer Bank zu sein (und Grundmisstrauen im Bereich Internet ist durchaus angebracht).

Wer haftet dafür? Und, bekomme ich mein Geld zurück?

Haben die Betrüger das Konto durch einen Überweisungsbetrug leergeräumt, dann stellt sich für das Opfer stets die Frage, wie das Geld zurückerlangt werden kann, bzw., ob die Bank dafür haften muss, also auf Schadensersatz verklagt werden kann. Kann also z.B. die Commerzbank verklagt werden?

Diese Fragestellung kann weder mit Nein, noch mit Ja eindeutig beantwortet werden. Unstreitig ist jedoch, dass der Betrüger verpflichtet ist, dass Geld zurückzuzahlen, bzw. Schadensersatz zu leisten. Doch dies ist in seltenen Fällen erfolgsversprechend, da dieser zunächst gefasst werden muss. Dann müssen ihm die Vorgänge auch einwandfrei nachgewiesen werden müssen.

Naheliegender ist eine Haftung der Bank. Zwischen der Bank und deren Kunden besteht ein Vertragsverhältnis, welches Grundlage für eine Haftung sein kann. Insofern müsste sich letztlich ein Kunde bei der Commerzbank nach dem Phishing an die Commerzbank halten.

Achtung bei Schadensersatz

Dieses ist nicht nur Grundlage für die Haftung der Bank, sondern auch dann, wenn die Bank von den Opfern Schadensersatz fordern möchte. Dies kann dann der Fall sein, wenn diese besonders leichtfertig gehandelt und ihre Daten herausgegeben haben.

Ebenso wenden die Banken oft ein, dass die Kunden ein veraltetes Betriebssystem oder Antivirenprogramm verwendet haben. Bevor man also die Bank in Anspruch nehmen möchte, sollte bedacht werden, ob nicht dadurch „schlafende Hunde“ geweckt werden könnten.

Bank haftet

Die Bank haftet dabei vor allem dann, wenn diese eine Pflicht aus dem Vertrag verletzt hat. Eine solche Pflichtverletzung kann zum Beispiel darin liegenden, dass die Bank ein zu unsicheres Tan-Verfahren verwendet oder ihre Kunden nicht rechtzeitig gewarnt hat.

So hat das Kammergericht Berlin entschieden, dass die Verwendung des einfachen TAN-Verfahrens bei Verfügbarkeit des ITAN-Verfahrens zu unsicher ist (Kammergericht Berlin, Urteil vom 29.11.2010 - 26 U 159/09).

Wird aber Geld unautorisiert vom Konto des Opfers mittels Überweisungsbetrugs abgebucht, dann hat die Bank diesen Verlust grundsätzlich auszugleichen. Dies gilt jedoch dann nicht, wenn die dafür notwendigen Daten nicht sorgsam aufbewahrt oder zu leichtfertig herausgegeben wurden. In der Praxis entbrennt hier oft ein Streit um genau diese Fragen.

Der Bundesgerichtshof hat entschieden, dass z.B. die mehrmalige Eingabe der TAN durch den Kunden ein derartiges fahrlässiges Verhalten darstelle (BGH 24. April 2012, XI ZR 96/11).

Die Banken sind daher fast immer der Ansicht, nicht zahlen zu müssen, weil der Kunde seine Pflichten zur sicheren Aufbewahrung seiner Daten verletzt habe. Oder den Kunden wird gar vorgeworfen, dass dieser mit den Betrügern gemeinsame Sache gemacht hat.

Ob diese Vorwürfe rechtens ist bedarf oft der genauen Prüfung durch Fachleute. Denn erforderlich für eine rechtliche Prüfung ist das Nachvollziehen des gesamten Vorgangs in tatsächlicher und anschließend in rechtlicher Hinsicht. Dabei ist insbesondere maßgeblich, wie die Hacker und Betrüger letztlich an Ihre Daten gekommen sind und wie diese dann verwendet wurden.

Was ich für Sie nach einem Phishing-Angriff tun können

Als Experten auf dem Gebiet des Internetrechts weiß ich, worauf es bei der rechtlichen Prüfung nach dem Phishing ankommt. Wir können nachvollziehen, wie die Daten von Ihnen betrügerisch abgeschöpft wurden und prüfen anschließend rechtlich, ob Ihnen dabei ein rechtlich relevanter Vorwurf zu machen ist. Es geht um die Frage, ob Sie das Geld von Ihrer Bank zurückerhalten können.

Anschließend werde ich nach positiven Ergebnis der Prüfung die Bank außergerichtlich auf Ausgleich des verlorengegangenen Geldes in Anspruch nehmen. Dazu werden wir die Bank unter Darlegung aller relevanten Tatsachen und rechtlichen Erwägungen anschreiben. Durch eine Kommunikation auf Augenhöhe ist die Wahrscheinlichkeit, dass Sie Ihr Geld zurückerhalten deutlich erhöht.

Sofern die Bank sich unrechtmäßig weigern sollte, Ihrer Pflicht nachzukommen, kann ich mit Ihrer Zustimmung ein Klageverfahren in Gang setzen und gegen die Bank auf Schadensersatz oder Rückzahlung des durch den Überweisungsbetrug von den Hackern erlangten Geldes klagen.

Des Weiteren kan ich für Sie auch gegen die Betrüger selbst vorgehen, Strafanzeige stellen und die Zusammenarbeit mit den Behörden übernehmen. Sodass Sie eine Sorge weniger haben.

Gerne übernehme ich eine solchen Fall für Sie.

Fazit: Sie können Ihr Geld zurückbekommen

Phishing meint das „Angeln“ von persönlichen Daten des Opfers unter Ausnutzung seines guten Glaubens. Die Opfer werden dazu als Werkzeug gegen sich selbst verwendet, da diese oft selbst die benötigten Daten übermitteln. Zuletzt wurden u.a. die Kunden der Commerzbank in das Visier der Hacker genommen.

Dabei kann es zu erheblichen Schäden kommen, die oft auch mehrere tausend oder gar zehntausend Euro betragen. Dieses Geld soll selbstverständlich von der Bank zurückerlangt oder im Wege des Schadensersatzes geltend gemacht werden.

Erfahrungsgemäß haben alle Banken, nicht nur die Commerzbank ein genuines Interesse daran, eine solche Rechtsstreitigkeit über die Rückzahlung von mehreren zehntausend Euro für sich zu entscheiden.

Dies erfordert eine umfangreiche tatsächliche und rechtliche Prüfung und sollte nur durch einen mit der Materie vertrauten Anwalt vorgenommen werden. Dieser kann die gesamte Abwicklung des Falles für den Betroffenen übernehmen.

Foto(s): Rechtsanwalt Thomas Feil

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Thomas Feil

Veröffentlicht von:

Rechtsanwalt Thomas Feil

Bankrecht & Kapitalmarktrecht • IT-Recht

Wirtschaftsrecht • Datenschutzrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Thomas Feil

Comdirect Phishing: Wie Sie sich vor Betrug schützen können

Als Fachanwalt für IT-Recht möchte ich Ihnen in diesem Artikel einige Tipps geben, wie Sie sich vor Comdirect Phishing schützen können. Was ist Comdirect Phishing? Comdirect Phishing ist eine ... Weiterlesen
Deutsche Bank Phishing: Angeblich „PhotoTan“ reaktivieren

Im digitalen Zeitalter ist der Schutz unserer persönlichen und finanziellen Daten wichtiger denn je. In meiner täglichen Praxis als Fachanwalt für IT-Recht begegne ich einer Vielzahl von ... Weiterlesen
Phishing-Mail bei der DKB: Schützen Sie Sich vor Betrugsversuchen

Phishing-Mails sind ein wachsendes Problem im digitalen Zeitalter, und auch die Deutsche Kreditbank (DKB) ist davon nicht verschont. Im Folgenden möchte ich Ihnen, als Fachanwalt für IT-Recht, ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Thomas Feil

Weitere

Beiträge zum Thema

Phishing - was Sie wissen und beachten müssen!

15.02.2022

Die wichtigsten Fakten Betrüger versuchen durch Phishing an persönliche Daten einer dritten Person zu gelangen. ... Weiterlesen
Phishing bei der Commerzbank ⚠️

14.11.2016

Besucht man die Website der Verbraucherzentrale und befragt das dort eingerichtete Phishing-Radar, wird klar, dass ... Weiterlesen
Kunden von Commerzbank werden Opfer von Phishing-Betrug. Wie Opfer Ihr Geld zurückerhalten

11.01.2024

Ich bin Rechtsanwalt Dr. Michel de Araujo Kurth und habe meinen Beratungsfokus auf Online-Banking-Betrugsfälle ... Weiterlesen