Ein Sparkassenkunde fiel auf eine betrügerische E-Mail herein, die ihn aufforderte, sein Online-Banking zu aktualisieren. Über einen Link gelangte er auf eine täuschend echte Fake-Webseite, auf der er seine Zugangsdaten eingab. Wenige Tage später erhielt er einen Anruf von einer angeblichen Sparkassenmitarbeiterin, die ihn aufforderte, mehrere Transaktionen in seiner TAN-App zu bestätigen. In Wahrheit handelte es sich um eine ausgeklügelte Phishing-Masche. Insgesamt wurden so fast 50.000 Euro vom Konto des Kunden abgebucht – ohne sein Wissen über den wahren Zweck der Bestätigungen.
Obwohl der Kunde unvorsichtig handelte, entschied das Oberlandesgericht Dresden: Die Sparkasse muss rund 10.000 Euro des Schadens ersetzen. Der Grund: Die Bank hatte es ermöglicht, sich mit nur Passwort und PIN ins Online-Banking einzuloggen – ohne eine sogenannte „starke Kundenauthentifizierung“. Das widerspricht geltenden Sicherheitsvorgaben.
Die Richter erkannten an, dass der Kunde durch sein Verhalten grob fahrlässig handelte. Doch auch die Bank habe gegen ihre Pflichten verstoßen, indem sie veraltete Sicherheitsmaßnahmen nutzte. Der fehlende zweite Sicherungsfaktor beim Login machte es den Betrügern leicht, das Konto zu übernehmen und persönliche Informationen auszulesen.
Die Entscheidung ist rechtskräftig und dürfte für die gesamte Bankenbranche von Bedeutung sein. Sie macht deutlich: Banken dürfen sich bei Betrugsfällen nicht einfach auf Fehler ihrer Kunden berufen. Wenn sie selbst Sicherheitsregeln missachten, müssen sie auch dafür geradestehen.
Fazit:
Auch bei eigenen Fehlern muss nicht der gesamte Schaden selbst getragen werden – wenn die Bank ihrerseits nicht ausreichend schützt. Doch noch besser ist: Gar nicht erst in die Falle tappen. Bleiben Sie aufmerksam!