LG Osnabrück: Sparkasse muss Verluste nach Phishing-Attacke erstatten

2022 haben Cyberkriminelle mithilfe von gezielten Phishing-Attacken die Konten einiger Kunden der Sparkasse Osnabrück geplündert. Gleich in zwei Fällen entschied das Landgericht Osnabrück Medienberichten zu Folge nun, dass die Sparkasse den Schaden ersetzen muss.

Massive Phishing-Attacke auf Sparkassen-Kunden

Die Betrüger erbeuteten erhebliche Geldsummen durch gefälschte E-Mails, SMS und Sparkassen-Domains, die den Anschein erweckten, von der Sparkasse selbst zu stammen. Dabei handelte es sich jedoch um gefälschte Nachrichten und Webadressen.

Die Cyberkriminellen griffen bei der Phishing-Attacke auf verschiedene Varianten dieser Betrugsmasche zurück. Entweder erhielten die Kunden eine SMS oder E-Mail, die angeblich von der Sparkasse stammte. Diese Nachrichten enthielten Links, die auf eine gefälschte, aber täuschend echt wirkende Internetseite führten. In anderen Fällen wurden die Kunden direkt im Browser auf die gefälschten Webadressen gelotst. Nachdem die Kunden sich auf der Fake-Webseite mit ihren Daten angemeldet hatten, konnten die Betrüger diese Daten abgreifen, sich damit im „echten“ Online-Banking-Portal der Sparkasse anmelden und dort die Konten ihrer Opfer plündern. Teilweise meldeten sich auch vermeintliche Sparkassen-Mitarbeiter telefonisch bei den Kunden und verleiteten die Opfer mit angeblich notwendigen Authentifizierungen oder anderweitigen vorgetäuschten Problemen zur Durchgabe ihrer Anmeldedaten.

Wer haftet im Schadenfall?

Das Bürgerliche Gesetzbuch (BGB) sieht grundsätzlich vor, dass Bankkunden einen Erstattungsanspruch gegenüber der Bank haben, wenn ein Zahlungsvorgang vom Konto ohne ihr Wissen und ohne ihren Willen erfolgt ist.

Ist, wie im Falle von Phishing-Attacken, die Autorisierung eines Zahlungsvorgangs umstritten, muss die Bank nachweisen, dass die Authentifizierung durch den Kunden erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht und nicht durch eine Störung beeinträchtigt wurde (§ 675w S. 1 BGB). Sie muss also beweisen, dass die strittige Zahlung tatsächlich durch den Kunden autorisiert worden ist.

Bei Phishing-Attacken ist das für gewöhnlich ein Streitpunkt. Denn auch wenn die Kunden auf die Betrugsmasche hereingefallen sind, haben sie oft die eigentliche Überweisung nicht selbst ausgeführt bzw. autorisiert. Die Banken werfen den Kunden hier regelmäßig vor, grob fahrlässig mit ihren Zugangsdaten umgegangen zu sein. Nur wenn keine grobe Fahrlässigkeit des Kunden vorliegt, haftet die Bank.

LG Osnabrück verurteilt Sparkasse zur Erstattung

Zu dem Ergebnis kam auch das Landgericht Osnabrück und verurteilte die Sparkasse gleich in zwei Fällen zur Erstattung der von den Cyberkriminellen erbeuteten Beträge (Az.: 7 O 1346/22 und 7 O 2895/22). Die beiden Urteile sind allerdings noch nicht rechtskräftig.

In der Anwaltskanzlei Lenné haben wir bereits in zahlreichen Fällen die Ansprüche unserer Mandanten, die ähnlichen Betrugsmaschen zum Opfer gefallen sind, erfolgreich durchgesetzt und erwirkt, dass die Bank für die Verluste aufkommt. Wenn auch Ihr Konto von Betrügern geplündert wurde, kämpfen wir dafür, Ihre Verluste erstatten zu lassen. Im Rahmen eines kostenlosen Erstgesprächs beraten wir Sie gern.