Das Abgreifen von Zugangsdaten beim Online-Banking und das Leerräumen eines Bankkontos mutiert zum Bankraub des 21. Jahrhundert. Täter setzen derzeit sowohl auf ausgeklügelte technische Angriffsformen und versuchen zugleich mittels einer sozialen Manipulation („Social Engineering“) Geld abzuzweigen. Eine dieser neueren Tatvarianten ist der sogenannte Rücküberweisungs-Trojaner. Hierbei wird dem Bankkunden nach dessen Anmeldung zum Online Banking mit Hilfe einer Schadsoftware ein Zahlungseingang als angebliche Fehlüberweisung in der digitalen Kontoübersicht vorgespielt, den es real nicht gibt. Der Bankkunde wird, vermeintlich vom Zahlungsdienstleister, aufgefordert, diese Fehlüberweisung an den vermeintlich Berechtigten oder an eine andere Person zu retournieren. ilex Rechtsanwälte erläutert, wer in diesem Fall haftet.

Überblick
Was versteht man unter den Fällen des Rücküberweisungs-Trojaners?
Wer haftet wofür?
„Rücküberweisungs-Trojaner“ mit Autorisierung durch den Bankkunden?
Wann liegt eine Autorisierung durch den Bankkunden vor und wann nicht?

Was versteht man unter den Fällen des Rücküberweisungs-Trojaners?

Das Bundeskriminalamt (BKA) warnte erstmals 2011 vor den Fällen des sog. Rücküberweisungs-Trojaners. Hierbei wird dem Bankkunden nach dessen Anmeldung zum Online Banking mit Hilfe einer Schadsoftware ein Zahlungseingang als angebliche Fehlüberweisung in der digitalen Kontoübersicht vorgespielt, die es real nicht gibt. Die Schadsoftware ist nun so programmiert, dass der Bankkunde, vermeintlich von seiner Bank, dazu aufgefordert wird, diese Zahlung an den vermeintlich Berechtigten oder an eine andere Person zu retournieren (deshalb auch Rücküberweisungs-Trojaner).

Wer haftet wofür?

In vielen Fällen werden die eigentlichen Täter nicht ermittelt. Deshalb spielen sich die Fragen der zivilrechtlichen Haftung für den eingetretenen Schaden oftmals nur zwischen dem Bankkunden und seiner Bank ab. Haftungsvoraussetzung der Bank gegenüber dem Bankkunden ist eine nichtautorisierte Zahlungsanweisung. Liegt dagegen eine Autorisierung der Zahlung durch den Bankkunden vor, ist die Bank haftungsfrei. Insofern dreht sich die Haftung bei den Fällen des Rücküberweisungs-Trojaner im Kern darum, ob die Zahlung durch den Bankkunden autorisiert wurde oder nicht.

„Rücküberweisungs-Trojaner“ mit Autorisierung durch den Bankkunden?

Die Fälle des Rücküberweisungs-Trojaners existieren bislang in zwei unterschiedlichen Tatvarianten mit jeweils unterschiedlichen Folgen für die Haftung. Ein Tatmodus ist der Fall des Rücküberweisungs-Trojaners mit Autorisierung durch den Bankkunden. Einen solchen Fall hatte das Landgericht Karlsruhe im Jahre 2014 zu entscheiden. Damals, so die Feststellungen des Gerichtes, wurde eine Bankkundin auf der Anmeldemaske aufgefordert, an einen Geldempfänger eine Rücküberweisung in Höhe in Höhe von 9.000 € zu veranlassen, der zuvor bei ihr als angeblicher Zahlungseingang im Haben-Bestand ihres Bankkontos ausgewiesen war. „Weisungsgemäß“ überwies die Bankkundin diesen Geldbetrag an diesen Geldempfänger. Dieser Geldempfänger fungierte als sogenannter Finanzagent für die Täter, hob das Geld nach Gutschrift von seinem Konto ab und überwies es mit Hilfe eines Barzahlungsdienstes (Western Union oder MoneyGram) ins Ausland zu den Täter, wo sich die Spur der Täter und des Geldes verlor. Das Landgericht Karlsruhe ging in diesem Fall von einer Autorisierung der Zahlung durch die Bankkundin aus. Auch wenn die Zahlung irrtumsbedingt erfolgt sei, sei die angewiesene Bank haftungsfrei. Eine Anfechtung wegen Irrtums scheide nämlich aus, da sich die Bankkundin bei der Abgabe der Zustimmung nicht im Irrtum über deren Inhalt befunden habe. Vielmehr habe sie sich in einem typischen Motivirrtum befunden, indem sie bei der Initiierung der Überweisung von der fälschlichen Vorstellung ausging, der Zahlungsempfänger habe einen Rückzahlungsanspruch. Auch eine Anfechtung wegen arglistiger Täuschung kam aufgrund der nicht gegebenen gesetzlichen Voraussetzungen hierfür nicht in Betracht. Die durch die Autorisierung der Zahlung bereits erfolgte Zustimmung zur Zahlung ist gegenüber der Bank nur anfechtbar, wenn die Bank die Täuschung kannte oder kennen musste (Landgericht Karlsruhe, Urt. v. 23.05.2014 – 20 O 24/13, BKR 2015, 86-88; zuvor bereits Amtsgericht Köln, Urt. v. 26.06.2013 – 119 C 143/13, MMR 2013, 819). Demzufolge ist die Bank in dieser Tatvariante haftungsfrei.

Ähnlich entschied das Landgericht Bonn im Hinblick auf einen „Rücküberweisungs-Fall“ beim mTAN-Verfahren. Hierbei spielte die Schadsoftware einer anderen Bankkundin eine Fehlüberweisung des Finanzamtes vor, deren „korrekte Empfängerin eine Frau N“ gewesen sein soll. An diese Frau N. überwies die derart übertölpelte Bankkundin den Geldbetrag zurück. Deshalb gelangte auch das Landgericht Bonn zu der Einschätzung, dass eine autorisierte Zahlungsanweisung vorliegen würde (Landgericht Bonn, Urt. v. 31.03.2015 – 3 O 387/14, VuR 2015, 264-265; AG Potsdam, Versäumnisteil- und Schlussurteil v. 21.10.2015 – 34 C 393/14).

„Rücküberweisungs-Trojaner“ ohne Autorisierung durch den Bankkunden?

Die Fälle des sogenannten „Rücküberweisungs-Trojaners“ existieren allerdings noch in einer anderen Tatvariante und hier sieht es etwas günstiger für den Bankkunden aus. Um die Erfolgsquote ihrer oftmals vielfachen Manipulationsversuche zu erhöhen, spielen die Täter beim Rücküberweisungs-Trojaner mit Hilfe der Schadsoftware gerne einen Zahlungseingang von einem Unternehmen vor, mit dem der Bankkunde mit einer erhöhten Wahrscheinlichkeit auch tatsächlich eine Vertragsbeziehung unterhält; z. B. mit einem Mobilfunkanbieter mit einer hohen Marktabdeckung oder einem Stromversorger, der in einer bestimmten Stadt eine hohe Marktabdeckung gewährleistet. Die Wahrscheinlichkeit, dass der Bankkunde sich auf diese Art der Manipulation einlässt und zumindest einen Zahlungsauftrag in Gang setzt, ist ungleich höher, wenn die manipulierte Fehlüberweisung scheinbar von einem real existierenden Vertragspartner des Bankkunden stammt. Dabei ist es denkbar, dass der Bankkunde gebeten wird, an den ihn bereits vertrauten Vertragspartner die Rückzahlung vorzunehmen. Der Bankkunde setzt diese nun zwar in Gang, indem er eine Überweisungsmaske aufruft. Tatsächlich aber manipuliert die Schadsoftware die in Gang gesetzte Überweisung noch während des Eingabevorganges in Echtzeit und es wird im Ergebnis eine Zahlung auf das Konto des Geldempfängers und Finanzagenten durch die Schadsoftware angewiesen. Jedenfalls dann, wenn die vom Bankkunden autorisierte IBAN nicht derjenigen entspricht, auf der das Geld tatsächlich landete – und sei es durch eine manipulierte Zahlungsanweisung –, liegt auch bei den Fällen des Rücküberweisungs-Trojaner keine Autorisierung durch den Bankkunden vor. Genau in diesen Fällen ist die Rechtslage für den Bankkunden günstiger, denn die Autorisierung durch den Bankkunden ist die Voraussetzung für die Haftungsfreiheit seiner Bank.

Wann liegt eine Autorisierung durch den Bankkunden vor und wann nicht?

Nach der gesetzlichen Legaldefinition ist von der Zustimmung (Autorisierung) des Bankkunden auszugehen, wenn die Erklärung des Einverständnisses mit dem Zahlungsvorgang als tatsächlichem Ereignis vorliegt. Im Wesentlichen kommt es hierbei auf die Freigabe einer bestimmten IBAN an. Kernfrage ist also, ob der Bankkunde die Überweisung mit der IBAN tatsächlich autorisiert hat, auf der das Geld im Ergebnis landete (also auf dem Konto des sogenannten Finanzagenten).

Spezialisierte Fachanwälte zum Thema Abgreifen von Zugangsdaten zum Online-Banking im Internet finden Sie bei ilex Rechtsanwälte.