Für einen Mandanten erreichte Bankrechtsanwältin Dr. Ina Becker, dass die Sparkasse Scheeßel missbräuchlich getätigte Vermögenstransaktionen mit einer digitalen SparkassenCard in voller Höhe erstattete. Unbekannte Täter hatten die vom Mandanten nie beantragte oder benutzte digitale Android-Karte zu dessen Girokonto unautorisiert für Einkäufe werthaltiger Hard- und Software in diversen Elektromärkten eingesetzt.
Anrufe mit Rufnummernanzeige der Sparkasse erhalten
Der Geschädigte hatte zuvor Anrufe von vermeintlichen Mitarbeitern der Sparkasse erhalten, die technisch sogar die Rufnummernanzeige der Sparkasse Scheeßel im Display des Smartphones des Mandanten fingierten. Ihm wurde bei mehreren Telefonaten erklärt, er solle aufgrund von Unregelmäßigkeiten sowie Zugriffen auf sein Online-Banking einen zeitgleich übersendeten Auftrag auf seiner Push-TAN App freigeben. Dies lehnte der Mandant ab. Zugleich sicherte er seine vermeintlich getätigte Ablehnung einer Freigabe per Screenshot. Er erfragte und notierte den Namen des Anrufers, der beharrlich darauf bestand, der Auftrag solle freigegeben, nicht abgelehnt werden.
Auch einen zweiten übersendeten, vermeintlichen Auftrag zur Freigabe mit einer Push-TAN lehnte der Geschädigte ab, indem er auf einen Button „Ablehnen“ drückte. Da ihm die Anrufe sehr dubios erschienen, alarmierte er unverzüglich im Anschluss die Sparkasse Scheeßel, die ihm telefonisch zusagte, sein Konto werde sofort gesperrt und er erhalte in wenigen Tagen neue Zugangsdaten für das Online-Banking.
Entdeckung des Schadens nach Reaktivierung des Online-Bankings
Als der Mandant circa 14 Tage später seinen Online-Zugriff reaktivierte, stellte er fest, dass unbekannte Täter sein Konto bis auf wenige Euro Restguthaben leergeräumt hatten. Die Gesamtsumme der missbräuchlich getätigten Kontoverfügungen belief sich auf 13.441,00 Euro. Erneut rief der Mandant sofort bei der Sparkasse Scheeßel an. Die Mitarbeiterin konnte ihm nicht erklären, wie es trotz von ihm beantragter Kontosperrung zu den Transaktionen gekommen sei. Sie riet ihm, sofort Strafanzeige bei der zuständigen Polizeiinspektion zu stellen, was dieser tat.
Erforderliche anwaltliche Vertretung gegen Sparkasse
Nachdem die Sparkasse ihn monatelang wegen der von ihm beantragten Erstattung der unautorisierten Beträge unverbindlich vertröstet hatte, beauftragte der Geschädigte die auf Bankrecht spezialisierte Kanzlei Dr. Becker in Hamburg.
In einem ersten Schreiben teilte die Sparkasse Scheeßel folgendes mit:
„Nach Prüfung der Vorgänge lehnen wir diesen Anspruch (auf Erstattung) ab.
Die Erstellung einer digitalen SparkassenCard ist durch eine Zwei-Faktor-Authentifizierung (SCA) geschützt. Es werden Zugangsdaten zum Online-Banking (OB) des Kunden benötigt (Wissenselement), um die SparkassenApp auf dem Handy (der Täter) zu installieren: Die Erstellung der digitalen SparkassenCard wird anschließend aus der SparkassenApp heraus initiiert. Damit die digitale Karte aus dem Handy der Täter „entsteht“, muss mit dem Handy des Kunden (Besitzelement) eine Freigabe der PushTAN erfolgen. Wir gehen aufgrund unserer Transaktionsprotokolle davon aus, dass die Freigabe der digitalen SparkassenCard durch den Mandanten mittels pushTAN-Verfahren am 20.09.2022 um 15.05 Uhr erfolgt ist. In der PushTAN-App wurde dem Mandanten vor der Freigabe Folgendes angezeigt:
Bestellung einer digitalen Karte
3955 Auftrag empfangen – Bitte Auftrag in Ihrer App freigeben.
….
Mit der am 20.09.2022 um 15.05 Uhr erfolgten Freigabe hat der Mandant ein neues Zahlungsmittel vereinbart und dem Täter zur Verfügung gestellt. Dieser konnte sodann Zahlungen durch Einsatz der digitalen Debitkarte ausführen, indem er das mobile Endgerät mit der digitalen Debitkarte an das Kontaktlos-Terminal im Geschäft heranführte. Aufgrund der durch den Mandanten ausgeführten Freigabe des Zahlungsinstruments für den Täter benötigte dieser daher nur ein biometrisches Merkmal oder den Entsperrungscode seines Geräts, um der Ausführung der Zahlung zuzustimmen.
Aus rechtlicher Sicht besteht daher kein Erstattungsanspruch, da bereits eine autorisierte Zahlung vorliegt (§ 675j Abs. 1 BGB). Darüber hinaus hat der Mandant in grob fahrlässiger Weise gegen die Bedingungen des Online-Banking (s. o.) verstoßen, indem er ohne ausreichende Prüfung der Auftragsdaten, den Auftrag zur Erstellung einer digitalen Karte bestätigt hat. Wir machen daher hilfsweise von unserem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB Gebrauch.
Die Beauftragung einer anwaltlichen Vertretung durch den Mandanten in dieser Angelegenheit hat uns überrascht.“
Vertragsrechtliche Prüfung der Sparkassen-AGB & Kontaktaufnahme mit der Ermittlungsbehörde
Bankrechtsanwältin Dr. Becker setzte ihre Spezialkenntnisse ein, um die Sparkasse in einem nächsten Schritt zum Einlenken zu bewegen. Sie hatte zur effektiven Vertretung der Interessen ihres Mandanten nicht nur die Allgemeinen Geschäftsbedingungen der Sparkasse sorgfältig geprüft, sondern auch wichtige Erkenntnisse bei einem Telefonat mit dem zuständigen Kripobeamten erlangt. Die Hamburger Anwältin setzte der Sparkasse druckvoll eine letzte außergerichtliche Frist zur Erstattung der Beträge aus allen unautorisierten Kontoverfügungen.
Einlenken der Sparkasse „aus Kulanz und ohne Anerkennung einer Rechtspflicht“
Mit Schreiben vom 18.07.2023 teilte die Sparkasse Scheeßel nun Folgendes mit:
„… teilen wir Ihnen mit, dass wir am 17.07.2023 die Summe in Höhe von 13.341,00 Euro auf das Konto….(des Mandanten) erstattet haben, wobei die Zahlung aus Kulanz und ohne Anerkennung einer Rechtspflicht erfolgte.“
Vorsicht vor Phishing Angriffen & Social Engineering
Wie der Vorfall zeigt, sollte man stets vorsichtig sein, wenn man Anrufe, E-Mails oder sonstige Kontaktaufnahmen vermeintlicher Bankmitarbeiter erhält. Selbst für technisch wenig versierte Täter ist es möglich, hochsensible Daten zu Bankkonten von online-Plattformen oder aus Phishing-Angriffen im Internet zu erhalten. Die Daten werden nicht selten aufgekauft, sie ermöglichen das Auslesen wichtiger Stammdaten des Bankkunden, der Rest ist „Social Engineering“, d. h. die gezielte Manipulation des Betroffenen zur Umsetzung krimineller Ziele der Täter.
Unter Social Engineering versteht man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Respekt vor Autorität oder Angst gezielt ausgenutzt, um Menschen zu manipulieren.
Zu den bekanntesten Formen des Social Engineering gehört das Phishing (aus dem Englischen wörtlich das Fischen nach Passwörtern). Durch häufig sehr echt wirkende E-Mails sollen Personen z. B. dazu gebracht werden, auf einen Link zu klicken und auf einer häufig ebenso gefälschten Zielseite Passwörter oder Anmeldedaten preiszugeben, s. hierzu die Informationen des Bundesamts für Sicherheit in der Informationstechnik
Social Engineering – der Mensch als Schwachstelle
Autorin: Rechtsanwältin Dr. Ina Becker ist auf Betrugsfälle im Bankenbereich spezialisiert. Sie hat bereits zahlreichen Opfern von Vermögensdelikten erfolgreich geholfen und für Schadensersatzzahlungen gesorgt. Im Fall der Sparkasse Scheeßel verfügt sie über wichtige Spezialkenntnisse, die den weiteren, circa 100 Geschädigten effektiv nutzen könnten.