“Das könnte mir nie passieren.”

Haben Sie das auch schon mal gedacht, wenn Sie über die Betrugsfälle gelesen haben, bei denen Kriminelle auf perfide Art Kontodaten abgefischt haben? In unsere Kanzlei mehren sich derzeit die Fälle besonders ärgerlicher Phishing-Vorfälle - und bei jedem waren sich die Geschädigten eigentlich sicher, dass ihnen das nie passieren würde.

So wurden die Opfer um fünfstellige Summen gebracht

Es beginnt meist mit einer SMS, die anscheinend von der Bank kommt, besonders häufig von der Sparkasse, Targobank oder Postbank. Absendername und Nummer sind unverdächtig. In perfektem Deutsch werden die Kunden aufgefordert, einen Link zu klicken und dort ihre Daten einzugeben.

Einige klicken auf den Link, die wenigsten haben tatsächlich ihre Daten dort eingegeben.

Doch das ist nur der erste Teil des Phishing-Angriffs.

Denn nun folgt meist ein Anruf. Im Display steht dabei in aller Regel tatsächlich die korrekte Nummer des Kreditinstituts oder z.B. direkt „Sparkasse“. Dies liegt daran, dass die Betrüger durch Verwendung von Spezialsoftware den Anschein erwecken können, dass das Kreditinstitut tatsächlich unter seiner korrekten Nummer anruft. Ist diese Nummer seitens des Kunden z.B. als die Nummer der Sparkasse so abgespeichert, erscheint im Display als Anrufer die „Sparkasse“.

“Unser Warnsystem hat gerade Alarm geschlagen. Haben Sie gerade eine SMS bekommen, in der Sie aufgefordert wurden, Ihre Daten einzugeben? Ja? Oje, da müssen wir sofort etwas tun, sonst räumen die Ihnen das Konto leer.”

(Antworten Sie ehrlich: Was würden Sie jetzt tun?)

So oder ähnlich werden betrügerische Anrufe häufig eröffnet. Hinzu kommt, dass die Täter meist viele Informationen über den Kunden und teilweise auch sein Konto haben: teilweise ist nicht nur die Telefonnummer bekannt, sondern auch die Anschrift, die Kontonummer oder sogar die Höhe des Kontoguthabens und sonstige Details.

Was dann geschieht: Die Übernahme des Kontos

Der angerufene Bankkunde bekommt einen echten Link aus dem System der Bank, den er laut des vermeintlich hilfsbereiten Menschen am Telefon vorlesen, kopieren oder weiterleiten soll. Tut er das, ist es meist schon vollbracht: Die Betrüger haben nun ihr Handy anstelle des eigentlichen Handy mit der Bankingapp verbunden - und räumen gnadenlos ab. Zuerst werden die Limits hochgesetzt;   wovon der Bankkunde nichts mitbekommt, da ihn keine Benachrichtigungen mehr erreichen. Dann wird das Konto in kurzer Zeit leer geräumt.

Die Schäden sind immens. Und betroffen ist nicht nur die Sparkasse, deren Kunden im Visier sind. Einige Beispiele aus unserer Kanzlei: 15.000 € wurden einem Targo-Bankkunden abgezockt, fast 40.000 € einem Kunden von Comdirect und fast 10.000 € eines Kunden der Postbank, um nur die prominentesten Fälle aufzuzählen. Die Gauner kennen kein Limit. Die bisherige Höchstsumme einer Mandantin: einer Viertelmillion € Schaden auf dem Unternehmenskonto.

Bekommen die Phishing-Opfer ihr Geld zurück?

Klar ist: Die Bank muss innerhalb von 24 Stunden den abgefischten Betrag wieder gutschreiben, wenn den Kunden keine Schuld trifft.

Doch genau hier liegt der Streitpunkt.

Die Bank besteht in der Regel darauf, dass ihr Kunde grob fahrlässig gehandelt habe, denn schließlich habe er am Telefon den Code weitergeben und so den Betrügern den Zugang gewährt.

Für den Kunden ist dies kaum nachzuvollziehen. Denn schließlich ist die Freigabe von Transaktionen per SMS und Code eine gängige Praxis. Und auch der Anruf des vermeintlichen Bankangestellten ist von dem eines echten Bankangestellten nicht zu unterscheiden.

Wie geht es nun weiter?

Wir versuchen regelmäßig, mit den Kreditinstituten eine außergerichtliche Lösung zu finden. Allerdings wird häufig abgeblockt, so dass der Klageweg beschritten werden muss.

Die Rechtsschutzversicherungen geben dafür regelmäßig ihre Deckung, sofern Privatkonten betroffen sind.

Wie können Sie sich vor Phishingattacken schützen?

Keine Bank wird Sie jemals per Mail oder SMS, Anruf oder auf anderen Wegen dazu auffordern, Ihre Logindaten preis zu geben. Klicken Sie keine Links in Nachrichten, mit denen Sie nicht gerechnet haben.

Wenn Sie einen vermeintlichen Anruf Ihrer Bank erhalten und es ist nicht Ihr gewohnter Ansprechpartner oder -partnerin, legen Sie auf und rufen Sie ihn oder sie auf der gewohnten Nummer an.

Was können Sie tun, wenn Sie Opfer einer Phishing-Attacke wurden?

  1. Fertigen Sie Screenshots von allen Nachrichten, Formularen, Links, etc. an.
  2. Schreiben Sie sofort und genau auf, was wann geschehen ist, damit Sie eine Chronologie der Ereignisse vorlegen können.
  3. Stellen Sie Strafanzeige bei der Polizei.
  4. Nutzen Sie diese Beweise und das Ablaufprotokoll, um einen so genannte Sachverhaltsdarstellung an die Bank zu schicken - idealerweise nach Rücksprache mit einem Fachanwalt für Bank- und Kapitalmarktrecht, damit wichtige Details aufgeführt werden.
  5. Die Bank bucht den von den Betrügern ergaunerten Betrag nicht oder nur teilweise innerhalb von 24 Stunden zurück? Dann holen Sie sich die Deckungszusage Ihrer Rechtschutzversicherung und anwaltliche Unterstützung.


Wir helfen

Gerne stehen Rechtsanwalt Dr. Jochen Strohmeyer, Fachanwalt für Bank- und Kapitalmarktrecht, und sein Team von mzs Rechtsanwälte Geschädigten zur Verfügung.

Sie können die Kanzlei und Dr. Strohmeyer gerne telefonisch unter 0211-69002-0 oder per E-Mail an [email protected] kontaktieren.


mzs Rechtsanwälte vereidigter Buchprüfer Meyer zu Schwabedissen und Partner mbB ist eine Fachkanzlei für Bank-, Kapitalmarkt- und Versicherungsrecht. In den Jahren 2016 bis 2024 wurde die Kanzlei vom US-Verlag „Best Lawyer“ in Zusammenarbeit mit dem Handelsblatt durchgehend in die Liste der „Besten Anwälte Deutschlands“ im Bereich Kapitalmarktrecht aufgenommen.


Lesen Sie auch:

Immer mehr Opfer von Phishing-Betrug

Spoofing, Phishing - was ist das überhaupt?

Kreditkartenbetrug - an der Tanksäule angezapft

Betrügerische SMS und Anrufe – Konto leer!

Überweisungsbetrug Sparkasse 
Kontobetrug Sparkasse - Update März 2024