Rechtliche Folgen für Phishing-Opfer

Konsument/innen erhalten von Betrüger/innen vermeintliche Benachrichtigungen ihrer Bank. Darin nennen ihnen die Kriminellen einen Grund, der es angeblich notwendig macht, dass Kund/innen eine externe Website aufrufen, ihre persönlichen Daten bekannt geben und allenfalls eine vermeintliche Sicherheits-App auf ihrem Smartphone installieren.

Konsument/innen, die auf den Datendiebstahlversuch hereinfallen, übermitteln Kriminellen sämtliche Informationen, die für eine Anmeldung im OnlineBanking-Konto notwendig sind und einen Überweisungsauftrag ermöglichen. Die Überweisung müssen Kund/innen jedoch mit der Bekanntgabe eines TAN-Codes freigeben. Sofern sie keine Schadsoftware auf ihrem Smartphone – die vermeintliche Sicherheits-App – installiert haben, die es Betrüger/innen ermöglicht, den TAN-Code auf ihrem Endgerät auszulesen, nehmen die Datendiebe telefonisch Kontakt mit ihren Opfern auf und fragen nach diesem. Dabei nennen sie ihren Opfern erfundene Gründe, die die Bekanntgabe desselben angeblich notwendig machen.

Banken warnen ihre Kund/innen mit Sicherheitshinweisen davor, dass betrügerische Nachrichten im Umlauf sind, die die Bekanntgabe von Zugangsdaten und die Installation von Sicherheits-Apps fordern. Sie schreiben, dass Konsument/innen keine E-Mail-Links öffnen und keine unbekannten Programme auf ihren Endgeräten installieren sollen. Ein weiterer Hinweis vonseiten der Banken besteht darin, erhaltene TAN-Codes im Hinblick auf Überweisungen zu kontrollieren und nicht an Dritte weiter zu geben.

Ein Konsument fällt auf eine Phishingmail herein und gibt auf einer gefälschten Banken-Website persönliche Daten bekannt. Mit diesen ist es Kriminellen möglich, sich im OnlineBanking-Konto ihres Opfers anzumelden. Die Datendiebe können jedoch keine Überweisung durchführen, weil hierfür die Bekanntgabe eines von der Bank per SMS an den Kunden übermittelten TAN-Codes notwendig ist. Damit sie den für ihre Überweisung notwendigen TAN-Code erhalten, rufen sie ihr Opfer an und geben sich als Mitarbeiter seiner Bank aus. Die Verbrecher/innen erzählen dem Konsumenten, dass sie bei ihm eine Datenaktualisierung durchführen müssen. Aus diesem Grund erhält er per SMS einen Code, den er der Bank für den Abschluss der Datenaktualisierung nennen soll. In Wahrheit handelt es sich bei der SMS um einen TAN-Code, den die Datendiebe für die Freigabe ihrer Überweisung brauchen. Das fällt dem Konsumenten nicht auf, obwohl die Kurzmitteilung den Inhalt „Prüfen Sie die letzten 11 Stellen der IBAN und Betragssumme“ hat und beide Angaben macht. Das Opfer nennt den Kriminellen den TAN-Code. Das ermöglicht es diesen, ihre Geldüberweisung durchzuführen. Der Konsument bleibt auf seinem Schaden sitzen, weil er allgemeine Sicherheitshvorkehrungen im OnlineBanking missachtet hat und es offensichtlich ist, dass Fremde mit dem TAN-Code eine Überweisung freigeben können.