Wiedervorlage: Was hat das Gesetz zur Haftung bei Phishing tatsächlich bewirkt?

Gesetze im Test: Diesmal geht es um die Haftung bei Kontohacks. Bekommen Opfer von Phishingattacken ihr Geld wirklich sofort vom Zahlungsdienstleister erstattet?

„(Der Zahlungsdienstleister) ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und (…) dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.“ §675u BGB

Per Mail poppt die Nachricht auf: „Wichtige Sicherheitswarnung: Ungewöhnliche Aktivität erkannt.“ Absender: angeblich Amazon. Um das Konto zu schützen, soll eine Sicherheitssoftware heruntergeladen werden. Auch die Postbank fordert vermeintlich zum Update einer Sicherheitssoftware auf, sonst wird der Kunde von einem Dienst ausgeschlossen. Das sind nur zwei Beispiele aus dem Phishing-Radar der Verbraucherzentralen, die tagtäglich neue Maschen anprangern. 

Hinter solchen Angriffen stecken professionelle Betrüger, die sich Zugang zu sensiblen Daten verschaffen wollen. Beim Phishing – einem Wortmix aus „password“ und „fishing“ – geht es konkret darum, Passwörter „abzufischen“, mit denen dann Konten geplündert werden. Eine Masche, die vor Jahren vor allem im Finanzsektor begann. Kriminelle verschickten E-Mails, die aussahen wie solche von der eigenen Bank, und brachten so Menschen dazu, sich auf einer gefälschten Webseite mit ihren Onlinebanking-Daten anzumelden.

Die Phishing-Fälle nehmen Jahr für Jahr zu, meist erbeuten die Betrüger zwischen 5000 und 25.000 Euro. Und fast nie lassen sich die Gauner zurückverfolgen. Die gute Nachricht: Die Bank oder ein Onlinebezahldienst wie PayPal sind verpflichtet, den Schaden sofort zu ersetzen, wenn Fremde Geld abbuchen. „Bei nicht autorisierten Zahlungen haftet der Zahlungsdienstleister“, heißt es im BGB. Außer die Bank kann nachweisen, dass der Kunde „grob fahrlässig“ gehandelt hat. Zwar verweigern Banken mit diesem Vorwurf regelmäßig eine Entschädigung. Doch damit sollten sich Kunden nicht abspeisen lassen. 50 Aktien fürs Leben: Die besten Titel, um langfristig Geld anzulegen - Capital.de

Schwer durchschaubare Tricks

Denn was „grob fahrlässig“ tatsächlich bedeutet, ist auslegbar. Unstrittig ist wohl, dass „Phishing-Angriffe mithilfe von künstlicher Intelligenz immer zielgenauer werden und schwerer erkennbar sind“, so Thomas Thiele, KI-Spezialist bei der Beratung Arthur D. Little. Da recherchieren Hacker unter Einsatz von KI-Agenten zunächst detaillierte Informationen einer Vielzahl von Opfern und starten dann, gestützt auf leistungsfähige Sprachmodelle, die Phishingattacke. Auch Verbraucherzentralen weisen schon länger darauf hin, dass die Bankkunden hier wenig Chancen haben, den Trick zu durchschauen.

Wer auf Onlinebetrug hereingefallen ist, fühlt sich meist selbst schuldig – und gibt schnell klein bei. Doch oftmals gelingt es Anwälten in diesen Fällen, Schadensersatz für ihre Mandanten zu erstreiten. 

Testurteil gut