Bankkonto gehackt: Vorgehen und Wissenswertes

STAND 05.02.2023 | LESEZEIT 3 MIN

Das Konto wurde gehackt und plötzlich ist das Ersparte weg: Wenn plötzlich Geldsummen vom Konto abgehoben werden, ohne dass man es selbst veranlasst hat, ist der Schreck groß. Opfer von solchen Phishing-Attacken fragen sich dann: Wer haftet jetzt für den entstandenen Schaden und wie gehe ich vor?

Das Wichtigste in Kürze

• Betrüger erhalten über Phishing-Mails mit schadhaften Links und Anhängen Zugriff auf die Kontodaten.
• Fordert das Opfer die TAN für eine Überweisung an, greifen die Täter diese ab und verwenden sie für die eigene Überweisung vom Konto des Opfers.
• Banken haften für solche unautorisierten Überweisungen, können aber vom Opfer Schadensersatz erhalten, wenn dieses grob fahrlässig handelte.

Bankkonto gehackt: Wie gehen Kriminelle vor?

Kriminelle finden immer wieder neue Wege, wie sie Bankkonten hacken – aber immer benötigen sie dazu die Zugangsdaten des Kontoinhabers. Das sind die beiden häufigsten Vorgehensweisen, um ein Bankkonto zu hacken.

Einmaliges Hacken der TAN

Um ein Bankkonto zu hacken, benötigen die Täter den Nutzernamen und die Pin für das Online-Konto. Beides erhalten sie zumeist über einen Trojaner. Dabei handelt es sich um eine Schad-Software, die sich unbemerkt auf dem Endgerät der geschädigten Person festsetzt. Dies geschieht sehr oft über Phishing-Mails: Durch das Anklicken von Links, Anhängen oder anderen Inhalten erhalten die Betrüger Zugriff auf den Rechner und können sensible Daten wie etwa Kontodaten abfangen.

Um Zugriff auf das Konto zu erhalten, benötigen die Täter schließlich die TAN. Möchte der Geschädigte eine Überweisung durchführen, wird die Anfrage blockiert und der Täter gibt seine eigenen Überweisungsdaten ein. Der Betroffene erhält eine TAN, die der Täter abgreift, eingibt und somit die Überweisung freigibt. Dem Beschädigten wird in dieser Zeit z. B. ein Wartungsbildschirm angezeigt, damit er keinen Verdacht schöpft. Die zumeist hohe Summe wird möglichst schnell vom Zielkonto des Betrügers abgehoben, bevor das Opfer überhaupt bemerkt, dass sein Bankkonto gehackt wurde.

Abgreifen von TANs für mehrmalige Buchung

Unscheinbarer als das Abheben von größeren Summen ist das Überweisen von kleinen, aber regelmäßigen Beträgen. Dafür gehen die Täter denselben Weg wie bei einer einmaligen Abhebung. Nur nutzen sie die abgefangene TAN nicht, um eine Überweisung vorzunehmen. Sie schalten sich mittels der TAN einen TAN-Generator auf einem anderen Smartphone frei, über das sie dann unendlich viele TANs generieren können. Auf Konten mit viel Bewegung oder bei Nutzern, die nicht sehr häufig auf ihr Bankkonto schauen, können so über einen langen Zeitraum kleinere Buchungen vorgenommen werden.

Betrüger versuchen insbesondere bei älteren Personen die notwendigen Informationen in Telefonaten zu erhalten, in denen sie sich als Bankmitarbeiter ausgeben.

Wer haftet beim Phishing?

Banken müssen den fehlenden Betrag zurückerstatten, wenn eine unautorisierte Überweisung vorgenommen wurde. Der § 675u BGB sieht vor, „dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.“

Wenn der Geschädigte also Opfer eines Phishing-Angriffs wurde und ohne seine Zustimmung Geld von seinem Konto überwiesen wurde, haftet die Bank. Allerdings hat das Finanzinstitut wieder das Recht, den Geschädigten auf Schadensersatz zu verklagen, wenn dem Geschädigten grobe Fahrlässigkeit vorgeworfen werden kann. Das kann der Fall sein, wenn eine Bank Kunden eindringlich über Betrugsversuche gewarnt hat, der geschädigte Kunde aber trotzdem trotz (vermeintlichen) Fehlermeldungen mehrere Male seine TAN eingegeben hat – die Betrüger dann abgegriffen haben.

Was als grob fahrlässig gilt, muss immer im Einzelfall betrachtet werden. Banken nutzen dieses Argument jedoch gern vorschnell, um keine Erstattung vornehmen zu müssen.

Was sollte ich tun, wenn mein Konto gehackt wurde?

Im ersten Schritt sollte umgehend die Bank informiert werden, um den Zugang zu sperren und weitere Zahlungen zu verhindern. Im zweiten Schritt sollten Betroffene versuchen, die Ursache auszumachen, z. B. vermeintliche Phishing-Mails etc. Vor allem, wenn es sich um größere Summen handelt, sollte ein Anwalt für Schadensersatz konsultiert werden, um weitere Schritte zu besprechen. Es braucht dann zumeist eine gute Vorbereitung, um mit dem Finanzinstitut in ein Gespräch zu gehen. Sind Sie Opfer von Phishing-Mails geworden und möchten wissen, wie Sie eine Erstattung erhalten? Dann machen Sie ein unverbindliches Gespräch mit einem KLUGO Partner-Anwalt oder Rechtsexperten aus und erhalten Sie Hilfe.