Auf Phishing reingefallen: Was tun bei Online-Betrug?

1. Was ist Phishing? | Rechtslage

Phishing ist eine Betrugsmasche, bei der die Täter versuchen, an sensible Daten wie Kontoinformationen oder Passwörter zu gelangen. Häufig tarnen sie sich mit täuschend echt wirkenden E-Mails oder SMS, die angeblich von Banken, Versandhändlern oder Behörden stammen.

Dabei wollen sie die Empfänger auf gefälschte Webseiten locken, um dort persönliche Daten zu stehlen. Geben die ahnungslosen Opfer ihre Daten preis, können die Betrüger Identitätsdiebstahl begehen – etwa indem sie Überweisungen tätigen, Online-Einkäufe auf fremde Rechnung abschließen oder ganze Konten plündern.

Rechtslage bei Phishing-Angriffen

Phishing ist eine strafbare Handlung, bei der sich die Täter unter anderem wegen Ausspähens von Daten (§ 202a StGB) und Computerbetrug (§ 263a StGB) strafbar machen.
Opfer haben selbstverständlich einen Rückzahlungsanspruch gegenüber den Tätern – doch oft bleiben diese anonym. Daher stellt sich die Frage: Haftet die Bank?

Grundsatz: Haftung der Bank bei nicht autorisierten Zahlungen

Wurde eine Zahlung im Zusammenhang mit einem Phishing-Angriff nicht vom Kunden selbst autorisiert, haftet in der Regel die Bank. Sie ist gesetzlich verpflichtet, den Betrag zu erstatten – denn bei nicht genehmigten Transaktionen besteht ein Erstattungsanspruch des Kontoinhabers (§ 675u BGB).

Hat ein Bankkunde eine Zahlung zwar formal autorisiert (z. B. durch App-basierte Freigabe), befand sich dabei aber im Irrtum über den tatsächlichen Zweck oder Inhalt, kann diese Autorisierung unter bestimmten Voraussetzungen angefochten werden. Wird die Anfechtung wirksam erklärt, gilt der Zahlungsvorgang rückwirkend als nicht autorisiert – und die Bank kann zur Erstattung verpflichtet sein.

Ausnahme: Grobe Fahrlässigkeit des Bankkunden

Allerdings kann die Bank die Rückzahlung verweigern, wenn der Kunde durch grob fahrlässiges Verhalten zur missbräuchlichen Nutzung beigetragen hat – etwa indem er persönliche Zugangsdaten leichtfertig preisgegeben hat. In diesem Fall kann sie sich auf § 675v BGB berufen und dem Anspruch auf Erstattung einen eigenen Schadensersatzanspruch entgegensetzen.

Leichte Fahrlässigkeit: Haftung nur bis maximal 50 Euro

Liegt hingegen lediglich leichte Fahrlässigkeit vor, haftet der Kontoinhaber nur mit maximal 50 Euro. Ob grobe oder leichte Fahrlässigkeit vorliegt, ist eine juristische Wertungsfrage und hängt immer vom Einzelfall ab.

Leichte Fahrlässigkeit liegt vor, wenn ein vernünftiger Beobachter sagen würde: „So ein Fehler kann schon mal passieren.“

Grobe Fahrlässigkeit hingegen liegt vor, wenn ein durchschnittlich verständiger Mensch meint: „So etwas dürfte wirklich nicht passieren.“ Dabei müssen auch die individuellen Fähigkeiten und Umstände des Kontoinhabers berücksichtigt werden.

Das heißt: Es wird nicht nur objektiv beurteilt, ob ein Fehler gemacht wurde, sondern auch, ob dieser unter den persönlichen Voraussetzungen der betroffenen Person nachvollziehbar oder vermeidbar war. Zu solchen Umständen zählen unter anderem: Alter oder gesundheitlicher Zustand, fehlende technische Kenntnisse im Umgang mit Online-Banking, besondere Stresssituationen, etwa bei Betrugsversuchen unter Zeitdruck oder psychischem Druck.

Banken berufen sich oft auf grobe Fahrlässigkeit

Um eine Erstattung zu vermeiden, argumentieren Banken häufig, der Kunde habe den Missbrauch durch grob fahrlässiges Verhalten selbst verschuldet. Dieser Vorwurf lässt sich jedoch oft nicht belegen – ein erfahrener Anwalt kann die Erfolgsaussichten prüfen und helfen, die Rückzahlung durchzusetzen.

Zudem kann ein erfahrener Anwalt für Bank- und Kapitalmarktrecht Sie dabei unterstützen, die Kommunikation mit der Bank professionell zu übernehmen. Unbedachte oder zu weitreichende Aussagen gegenüber der Bank können Ihre Chancen auf Erstattung deutlich verschlechtern – hier ist rechtlicher Beistand besonders wichtig.

Mit advocado finden Sie schnell und unkompliziert einen auf Bankrecht spezialisierten Rechtsanwalt. Die Partner-Anwälte von advocado sind bundesweit tätig und bieten Ihnen eine kostenlose Ersteinschätzung – transparent, unverbindlich und bequem online.

2. Auf Phishing reingefallen: Phishing-Beispiele

Es gibt viele Wege, wie Betrüger per Phishing an sensible Daten kommen können:

• Phishing per Mail: Betrüger schicken eine E-Mail, die auf den ersten Blick aussieht, als hätte eine Bank oder ein anderes bekanntes Unternehmen sie versendet. In dieser fingierten Phishing-E-Mail fordern Betrüger dann, auf einen Link zu einer gefälschten Webseite zu klicken und dort sensible persönliche Daten zu teilen.
• Phishing per SMS (Smishing): Betrüger schicken eine SMS und geben darin z. B. vor, die Bank bräuchte dringend die Bestätigung sensibler Daten. Opfer sollen dann auf einen Link zu einer gefälschten Webseite klicken oder die persönlichen Daten teilen, indem sie auf die SMS antworten.
• Phishing per Messenger: Betrüger versenden Phishing-Nachrichten per WhatsApp oder einen anderen Messenger-Dienst und werben z. B. für ein Gewinnspiel oder Rabattaktionen. Um teilzunehmen, sollen Betrugsopfer auf einen gefälschten Link klicken oder eine spezielle App installieren.
• Phishing per Webseite: Auf fingierten Unternehmenswebseiten sollen Nutzer ihre Daten teilen. Die Links zu diesen Phishing-Webseiten werden in der Regel per E-Mail oder SMS versendet. Es kann aber auch sein, dass es Betrügern gelingt, sie z. B. bei Google oben zu platzieren.
• Whaling: Dieser Phishing-Angriff ist gezielt auf Führungskräfte ausgerichtet, weil diese weitreichenden Zugriff auf sensible Unternehmensdaten haben. Die Betrüger erzeugen Zeitdruck, um z. B. eine Überweisung oder sensible Daten zu erzwingen.
• Vishing: Betrüger rufen ihre Opfer per Telefon an und geben sich als Angestellte eines Unternehmens oder vertrauenswürdige Person aus, um Geld per Überweisung zu erhalten oder sensible Daten zu erfahren.
• Phishing per Anruf & E-Mail (TOAD): Betrüger schicken ihren Opfern eine Phishing-Mail, rufen sie dann direkt an und geben sich als vertrauenswürdige Personen – z. B. Bank-Angestellte – aus. Sie bewegen ihre Opfer per Telefon dazu, die E-Mail zu öffnen und sensible Daten zu teilen oder Aktionen auszuführen, die ihnen schaden.

Auf Phishing reingefallen: Was tun? | Phishing-Opfer Erfahrungen

Phishing-Opfer verliert 50.000 € und bekommt das Geld nicht zurück

Ein Bankkunde hat eine Phishing-SMS erhalten, in der vermeintlich die Sparkasse ihn darüber informiert, sein Konto sei eingeschränkt. Daraufhin hat er per pushTAN-App die Erhöhung seines Überweisungslimits und anschließend eine Überweisung von 49.999 € freigegeben.

Damit hat der Bankkunde grob fahrlässig gehandelt. Das OLG Frankfurt am Main hat entschieden: Weil der Kunde die Überweisung selbst autorisiert hat, haftet die Bank nicht dafür, dass das Sparkasse-Konto leergeräumt ist. Er bekommt das verlorene Geld nicht erstattet (Urteil vom 06.12.2023, Az. 3 U 3/23 ).

Phishing-Opfer bekommt Erstattung von der Bank

Ein Betrüger hat sein Phishing-Opfer angerufen und sich als Sparkassen-Mitarbeiter ausgegeben. Er teilte dem Kunden mit, dass sein Konto aus Sicherheitsgründen gesperrt sei.

Daraufhin hat das Phishing-Opfer lediglich einen Auftrag zur Registrierung einer neuen Karte autorisiert. Er hat keine Überweisung auf das Konto des Betrügers freigegeben, sondern nur zugelassen, dass seine Bankkarte digital auf dem Handy des Betrügers gespeichert wird.

Das Landgericht Köln entschied, dass dadurch kein grob fahrlässiges Verhalten vorliegt und das Phishing-Opfer Anspruch auf Erstattung gegenüber der Bank hat (Urteil vom 08.01.2024, Az. 22 O 43/22 – noch nicht rechtskräftig).

3. Auf Betrugsmasche reingefallen: Was zu tun ist

Mit diesen 5 Schritten können Phishing-Opfer ihr Geld zurückholen:

1. Phishing-Betrug melden: Informieren Sie Ihre Bank bzw. das betroffene Unternehmen über den vermeintlichen Phishing-Betrug unverzüglich. Dann können Unternehmen Sicherheitsmaßnahmen ergreifen und die Bank kann Ihr Konto sperren, um weiteren finanziellen Schaden zu verhindern.
2. Zugangsdaten ändern: Ändern Sie die Zugangsdaten für die betroffenen Online-Konten. So kann niemand mehr Ihre Daten missbrauchen.
3. Konten überprüfen: Überprüfen Sie Transaktionen bei der Bank und z. B. Online-Bestellungen. Überweisungen und Bestellungen, die Sie nicht veranlasst haben, können Sie womöglich stoppen.
4. Beweise sichern: Sichern Sie die Phishing-Nachrichten, Kontoauszüge und andere zugehörige Daten, um Beweise für das Phishing zu haben. Nur so können Sie das verlorene Geld zurückfordern.
5. Anzeige erstatten: Sie können bei Phishing eine Anzeige wegen Betrugs erstatten. Dann ermittelt die Polizei in Ihrem Fall und versucht, den Betrüger zu finden.
6. Anwalt kontaktieren: Um das durch Phishing-Betrug verlorene Geld zurückzuerlangen, kann die Einschaltung eines Anwalts sinnvoll sein. Er prüft Ihren Fall sorgfältig und weiß, welche Schritte erforderlich sind, um Ihre Ansprüche durchzusetzen. Dabei greift er auch auf Erfahrungen aus vergleichbaren Fällen zurück.

Auf Telefonbetrug reingefallen: Was tun?

Erhalten Sie z. B. einen Anruf von einem vermeintlichen Bank-Angestellten, gilt Vorsicht vor Telefonbetrug.

Das können Sie zum Schutz vor Telefonbetrug per Phishing tun:

• Haben Sie aktuell ein Anliegen bei Ihrer Bank? In der Regel nehmen Support-Mitarbeiter nur dann Kontakt mit Ihnen auf, wenn Sie sich zuvor selbst mit einem Anliegen gemeldet haben.
• Remote-Zugriff auf Ihren Computer verhindern: Gewähren Sie niemals Fernzugriff auf Ihren PC, wenn Sie diesen nicht selbst und gezielt angefordert haben – insbesondere nicht aufgrund eines unerwarteten Anrufs von Dritten, die unter irgendeinem Vorwand Zugriff verlangen.
• Keine persönlichen Daten weitergeben: Seien Sie besonders vorsichtig, sobald Sie dazu aufgefordert werden, sensible Daten wie Kreditkartennummern oder Zugangsdaten preiszugeben.
• Lassen Sie sich nicht unter Druck setzen: Glauben Sie niemandem, der behauptet, Sie müssten selbst aktiv mithelfen, um angebliche Angriffe auf Ihr Konto zu stoppen oder Überweisungen zu stornieren. Banken können solche Maßnahmen eigenständig durchführen – ganz ohne Ihre Freigabe in der App oder anderswo.
• Gespräch beenden: Wenn Sie den Verdacht haben, dass es sich um einen Telefonbetrug handelt, zögern Sie nicht, das Gespräch sofort zu beenden.

Auf Phishing-SMS reingefallen: Was tun?

Sind Sie auf Phishing per SMS reingefallen, hängt das Vorgehen auch davon ab, ob Sie Daten geteilt haben:

Phishing-SMS geöffnet, aber keine Daten geteilt

Wenn Sie auf eine Phishing-SMS reingefallen sind, aber keine sensiblen Daten geteilt haben, kann es trotzdem sein, dass eine Schadsoftware auf Ihrem Gerät installiert wurde. Dadurch könnten Betrüger Ihre Eingaben abfangen und so an Kreditkarten-Informationen kommen.

Um das auszuschließen, können Sie eine Antivirensoftware installieren.

Phishing-SMS geöffnet und Daten geteilt

Haben Sie nach einer Phishing-SMS Daten geteilt, gilt: Passwörter überall ändern, wo Sie das geteilte Passwort verwenden. Haben Sie die Zugangsdaten zu Ihrem E-Mail-Konto geteilt, ändern Sie für alle Online-Konten die Anmeldedaten, die über diese E-Mail-Adresse laufen.

Denn: Haben Betrüger Zugriff auf Ihr E-Mail-Postfach, können sie auch die Passwort-vergessen-E-Mails abfangen und verhindern, dass Sie Ihre Zugangsdaten ändern.

Haben Sie keinen Zugriff mehr auf Ihre Online-Konten bzw. können die Zugangsdaten nicht ändern, kann Ihnen der Support des jeweiligen Anbieters helfen.

Auf Phishing-Mail reingefallen: Was tun?

Wenn Sie z. B. eine PayPal Phishing-Mail oder auf eine Amazon Phishing-Mail reingefallen sind und einen Link geöffnet haben, gilt: keine Panik.

Sie können Folgendes tun:

1. PC auf Schadsoftware überprüfen.
2. Passwörter für alle Online-Konten ändern.

4. Phishing-Opfer: Bekommt man das Geld zurück?

Ob Phishing-Opfer ihr Geld zurückbekommen, hängt vom Einzelfall ab. Grundsätzlich gilt: Bei Kreditkartenbetrug nach Phishing haftet die Bank, wenn die Zahlung nicht autorisiert war.

Haben Bankkunden selbst keine Überweisung autorisiert, muss die Bank haften. Wurde jedoch durch grob fahrlässiges Verhalten eine missbräuchliche Zahlung ermöglicht, kann die Bank die Rückzahlung verweigern. Bei leichter Fahrlässigkeit haftet der Kunde nur bis maximal 50 Euro.

In der Praxis verweigern Banken eine Rückerstattung häufig mit dem Argument, der Kunde habe grob fahrlässig gehandelt. Dieser Vorwurf ist aber nicht immer gerechtfertigt. Ein erfahrener Anwalt kann die Erfolgsaussichten prüfen und helfen, Ansprüche durchzusetzen.

5. Auf Phishing reingefallen: Wie kann ein Anwalt helfen?

Wer vermutet, Opfer von Phishing zu sein, muss schnell reagieren, um den Schaden zu begrenzen: Passwörter ändern, das Konto prüfen, mit der Bank auseinandersetzen – und eine Anzeige wegen Betrugs ist auch möglich.

Den Überblick zu behalten und richtig zu reagieren, wenn man viel Geld verloren hat, kann schwierig sein. Insofern kann die Unterstützung eines erfahrenen Anwalts für Phishing-Opfer sinnvoll sein.

So kann ein Anwalt Phishing-Opfern helfen:

• Fall prüfen: Der Anwalt kann die Umstände des Phishing-Betrugs prüfen und die Haftungsfrage bei finanziellen Verlusten klären.
• Beweise sichern: Der Anwalt kann die Beweise für den Betrug sammeln und den Behörden vorlegen.
• Grobe Fahrlässigkeit widerlegen: Der Anwalt kann darlegen, dass Ihr Verhalten allenfalls als leichte Fahrlässigkeit zu werten ist oder Sie gar nicht fahrlässig gehandelt haben – jedenfalls aber nicht grob fahrlässig
• Kommunikation übernehmen: Ein Anwalt kann die gesamte Korrespondenz mit der Bank und – falls erforderlich – auch mit dem Gericht für Sie übernehmen. Besonders wichtig: Ein erfahrener Anwalt achtet darauf, dass Sie keine unüberlegten Aussagen machen, die später gegen Sie verwendet werden könnten und Ihren Anspruch auf Rückerstattung gefährden würden.
• Geld zurückfordern: Der Anwalt kann Sie dabei unterstützen, von der Bank das verlorene Geld erstattet zu bekommen.