Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit urteilt OLG Dresden (http://www.satclub-thueringen.de/thread.php?threadid=35354)

Geschrieben von Whitebird am 09.07.2025 um 12:39:

Lampe Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit urteilt OLG Dresden

Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit urteilt OLG Dresden
08.07.2025 von Antonia Frank
Sparkasse haftet für Phishing-Schaden trotz grober Fahrlässigkeit des Kunden – OLG Dresden sieht Mitverschulden.


Online-Banking ist bequem – und eine Goldgrube für Betrüger. Wer sich beim Online-Banking zu sorglos auf E-Mails mit Update-Versprechen einlässt, muss dafür normalerweise gerade stehen. Doch Banken dürfen sich nicht einfach auf der angeblichen Dummheit ihrer Kunden ausruhen. Das zeigt ein aktuelles Urteil des Oberlandesgerichtes (OLG) Dresden (5.6.2025, Az. 8 U 1482/24). Im aktuellen Fall verlor ein Kunde ca. 50.000 Euro durch eine raffinierte Phishing-Masche. Trotz seines nachgewiesenen, grob fahrlässigen Handelns haftet seine Sparkasse mit rund 10.000 Euro des Phishing-Schadens wegen eigener Sicherheitslücken beim Login ohne starke Kundenauthentifizierung.


Die Falle: Fake-Mail in Kombination mit perfidem Telefontrick

Der Fall klingt wie aus einem Lehrbuch für Cybercrime: Ein Sparkassenkunde erhält eine täuschend echte E-Mail vom angeblichen „Kundenservice“ der Sparkasse mit der Aufforderung, sein Online-Banking zu aktualisieren. Über einen Link landet er auf einer perfekt gefälschten Login-Seite und gibt dort Passwort und PIN ein.

Doch damit nicht genug: Wenige Tage später ruft eine angebliche Sparkassen-Mitarbeiterin an und fordert ihn auf, Aufträge in der S-pushTAN-App zu bestätigen. Der Kunde folgt brav den Anweisungen – in dem Glauben, das Online-Banking werde „verifiziert“. Tatsächlich hebt der Betrüger so das Überweisungslimit an und transferiert über 49.000 Euro in mehreren Tranchen auf fremde Konten. Erst zwei Wochen später bemerkt der Geschädigte den Totalschaden.


Fehlende starke Authentifizierung von Sparkasse als Sicherheitslücke

Das Landgericht Chemnitz wies die Klage gegen die Sparkasse zunächst komplett ab: Der Kunde sei selbst schuld. Doch das OLG Dresden sah das differenzierter. Zwar handelte der Kläger grob fahrlässig, indem er TAN-Freigaben ohne Prüfung erteilte und Warnzeichen ignorierte. Trotzdem könne die Bank sich nicht vollständig aus der Haftung stehlen.

Das Gericht stellte klar: Der Kunde hat die Zahlungen nicht autorisiert. Auch wenn er die PushTAN-Freigaben erteilte, wurde er über deren Zweck getäuscht. Ein technischer Authentifizierungsnachweis genügt nicht, wenn die Zustimmung erschlichen wurde.

Zwar gilt die Pflicht zur starken Kundenauthentifizierung bei der Autorisierung einzelner Zahlungen (§ 675v BGB). Doch das OLG sieht ein Mitverschulden der Bank auch darin, dass sie beim Login keine zweite Faktorprüfung verlangte. Sie ermöglichte den Login allein mit Passwort und PIN, ohne starke Kundenauthentifizierung. Das ist aufsichtsrechtlich vorgeschrieben (§ 55 ZAG).

Die Betrüger konnten sich folglich mit den abgegriffenen Zugangsdaten ins Konto einloggen und alle nötigen Infos für ihren Coup auslesen. Die Bank hätte diese Tür gar nicht erst öffnen dürfen. Der Verstoß gegen die Vorgaben war für das Gelingen des Angriffs mitursächlich. Das Urteil verpflichtet die Sparkasse, etwa 20 Prozent des Schadens zu tragen – rund 10.000 Euro.


Rechtslage: Kein Freifahrtschein für Phishing-Opfer

Das Urteil bedeutet kein Ende der Eigenverantwortung. Das OLG bescheinigt dem Kunden unmissverständlich grobe Fahrlässigkeit. Er habe Sicherheitsregeln missachtet, indem er auf Anweisung der Betrüger die PushTAN-App ohne jede Prüfung mehrfach betätigte und die Aufträge ohne Überprüfung der angezeigten Daten bestätigte. Er hätte zudem stutzig werden müssen: wegen sprachlicher Fehler in der Fake-Mail, der ungewöhnlichen Verifizierungsanrufe und weil eine TAN-App nie für angebliche „Aktualisierungen“ gedacht sei. Banken müssen Kunden nicht komplett schadlos halten, wenn diese elementare Vorsichtsmaßnahmen missachten.

Allerdings: Selbst wer grob fahrlässig handelt, kann nicht den gesamten Schaden aufgebrummt bekommen, wenn die Bank ihrerseits gegen ihre Pflichten verstößt. Auch Banken müssen ihre Hausaufgaben machen. Wer beim Login nicht auf starke Kundenauthentifizierung setzt, öffnet Angreifern Tür und Tor – und haftet dafür. So zumindest die klare Linie des OLG Dresden.


Urteil mit Signalwirkung für die Branche

Das OLG Dresden erteilt dem einfachen „Selbst-schuld“-Argument der Banken eine Abfuhr. Das Urteil macht klar: Banken müssen sich nicht nur bei Zahlungen selbst, sondern schon beim Login um Sicherheit kümmern. Wer dabei auf veraltete Verfahren setzt und keine starke Kundenauthentifizierung verlangt, riskiert, im Ernstfall mitzuzahlen.

Eine Revision ließ das Gericht nicht zu – das Urteil ist rechtskräftig. Es könnte für Sparkassen und andere Banken Signalwirkung haben: Investitionen in Sicherheit sind nicht optional, sondern entscheidend für die Haftungsfrage.


Fazit: Sparkasse haftet für Phishing-Schaden – eine Warnung an Banken und Kunden

Dieses Urteil stellt klar: Wer beim Online-Banking schlampt – egal ob Kunde oder Bank – zahlt am Ende mit. Kunden müssen endlich begreifen, dass Freigaben in der TAN-App kein „Durchwinken auf Zuruf“ sein dürfen. Aber Banken können sich nicht einfach zurücklehnen und die Verantwortung auf ihre Nutzer abwälzen.

Das OLG Dresden hat ein klares Signal gesetzt: Sicherheitsstandards sind keine Kür, sondern Pflicht. Wer sie ignoriert, muss auch bei dummen Fehlern der eigenen Kunden mithaften. Für die Bankenbranche bedeutet das eine schmerzhafte, aber längst überfällige Erinnerung an ihre Verantwortung.


quelle: tarnkappe.info


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH