Banken und IT-Sicherheit: Verschärfte Haftung für Phishing-Schäden bei Kunden.
Wenn Bankkunden Opfer von Phishing-Attacken wurden und Geld an die Angreifer verloren haben, konnten sich Banken regelmäßig erfolgreich auf den Standpunkt stellen, dass die Kunden grob fahrlässig handelten und kein Ersatzanspruch besteht. Die neuere Rechtsprechungspraxis erschwert den Banken diese Verteidigung und erhöht die Compliance-Anforderungen an die IT-Sicherheit der Finanzinstitute.
Dr. Kim Manuel Künstner berät Unternehmen zu rechtlichen und regulatorischen Fragestellungen in den Bereichen Data, Digital & Governance. Seine Schwerpunkte liegen insbesondere im Datenschutz, der Cybersicherheit, der KI-Regulierung sowie der Data Governance.
Thorsten Walter berät Unternehmen zu den rechtlichen und organisatorischen Anforderungen einer datengetriebenen und digitalisierten Wirtschaft. Sein Fokus liegt auf Datenschutz, digitaler Compliance sowie der Ausgestaltung nachhaltiger Governance-Strukturen zur Steuerung regulatorischer Risiken.
Dr. Tilmann Dittrich ist Teil der Praxisgruppe Data, Digital & Governance. Seine Beratungsschwerpunkte liegen insbesondere an der Schnittstelle von Datenrecht, Cybersecurity, NIS-2-Compliance sowie im Healthcare- und Life-Sciences-Bereich.
Hintergrund: Phishing laut BKA beliebter Eintrittsvektor.
Im Mitte Mai 2026 veröffentlichten Bundeslagebild Cybercrime 2025 des Bundeskriminalamts (BKA) wird Phishing aufgrund seiner simplen, aber effektiven Funktionsweise als beliebter Eintrittsvektor für Cybercrime genannt. Cyberkriminelle nutzen Phishing, um an sensible Informationen des Opfers zu gelangen, entweder um per Schadsoftware das System zu infiltrieren oder um das Opfer zu Zahlungen auf Konten der Kriminellen zu verleiten. Die zweite Variante beschäftigt regelmäßig die Justiz, da sich getäuschte Opfer an ihre Banken wenden und um eine Kontoberichtigung gestritten wird. Im Kern dieser Streitigkeiten steht oft die Frage nach der groben Fahrlässigkeit des Opfers.
Voraussetzungen des Kontoberichtigungsanspruchs.
Nach § 675u BGB ist die Bank grundsätzlich verpflichtet, dem Kunden einen nicht autorisierten Zahlungsvorgang zu erstatten. Das Konto wird dann so gestellt, als sei der Vorgang nicht erfolgt. Allerdings haftet der Bankkunde nach § 675v BGB in bestimmten Konstellationen selbst. Das ist etwa dann der Fall, wenn er vorsätzlich oder grob fahrlässig gegen seine Pflichten zum Schutz der personalisierten Sicherheitsmerkmale (bspw. PIN, TAN) verstößt. Diese Pflichten sind in § 675l BGB geregelt. Der Kunde ist verpflichtet, die Sicherheitsmerkmale geheim zu halten und alle zumutbaren Vorkehrungen zu treffen, um Missbrauch zu verhindern. Die Darlegungs- und Beweislast für die grobe Fahrlässigkeit beim Verstoß gegen diese Pflichten liegt bei der Bank. Zwei aktuelle Urteile belegen, dass die Anforderungen hierfür für die Banken in der Praxis zunehmend höher werden und von den Banken angemessene IT-Sicherheitsmaßnahmen verlangt werden.
OLG Koblenz zur Fahrlässigkeit bei PushTAN-Umstellung durch Phishing.
Das OLG Koblenz entschied im April 2026 über den Erstattungsanspruch eines Bankkunden. Dieser unterhielt bei der beklagten Bank zwei Girokonten, die im Multibanking zusammengeführt waren. Der Zugriff erfolgte über den Login mit Benutzerkennung und PIN, die Freigabe von Überweisungen über TAN mittels physischem Chip-TAN-Generator. Der Kontoinhaber erhielt einen scheinbar von der Bank stammenden Anruf, die echte Rufnummer wurde durch Spoofing angezeigt. Der „Mitarbeiter der technischen Abteilung“ kündigte die Umstellung auf das pushTAN-Verfahren an. Die Glaubwürdigkeit wurde dadurch erhöht, dass dem Täter bereits kontobezogene Informationen bekannt waren.
Der Umstellungsprozess wurde am gleichen Tag tatsächlich initiiert. Der Kunde bestätigte nach Login ins Online-Banking dort die Umstellung durch Chip-TAN. Kurz danach erfolgte eine Anfrage zur Verknüpfung eines neuen Geräts (PushTAN-App), wofür ein Freischaltcode generiert wurde. Dieser wurde nicht am Gerät des Kunden angezeigt, sondern auf dem Gerät der Täter generiert. Diese Authentifizierungskomponente lief also außerhalb des Wahrnehmungsbereichs des Kunden. Anschließend erhielt der Kunde von der Bank eine SMS mit Link, der aus Sicht der Bank legitim der Geräteaktivierung diente. Diesen klickte der Kunde an. Im Nachgang wurden ohne sein Wissen rund 46.000 Euro fragmentiert per Echtzeit-Überweisung auf ausländische Konten transferiert. Die Echtzeitüberweisung verhinderte die Rückholung, die Fragmentierung der Beträge die Umgehung des Limits und Monitoringmechanismen.
Das OLG verneinte die grobe Fahrlässigkeit des Kunden aus drei Gründen:
Zunächst konnte die Bank nicht konkret nachweisen, dass der Kläger sicherheitsrelevante Daten aktiv an die Täter weitergegeben hat. Bloße Vermutungen genügten hierfür nicht.
Die wesentlichen Handlungen des Kunden, insbesondere das Erzeugen der TAN und das Anklicken des SMS-Links, entsprachen dem legitimen, von der Bank vorgesehenen Ablauf der TAN-Umstellung.
Zudem war der Angriff für das Opfer nicht wahrnehmbar, da der entsprechende Freischaltcode unmittelbar auf dem Gerät der Täter und nicht beim Kunden angezeigt wurde. Entscheidende Authentifizierungsschritte fanden demnach außerhalb der Kundensphäre statt.
Der Fall zeigt die praktische Problematik auf, dass die Tätergruppierungen (erleichtert durch den Einsatz der KI) die Systemabläufe der Banken entweder nachformen oder in Echt ausnutzen und dies zulasten der Banken ausfällt. Banken müssen daher entsprechende Maßnahmen ergreifen, um dies auszuschließen oder sie sind den Bankkunden zum Ersatz verpflichtet.
Wir unterstützen Sie bei den rechtlichen und regulatorischen Herausforderungen der digitalen Transformation.
Jetzt mehr erfahren →
LG Berlin II zum Infobrief über die Umstellung der Zwei-Faktor-Authentifizierung.
Ebenfalls im April 2026 erging eine Entscheidung des Landgerichts Berlin II (Az. 38 O 293/25). Eine Bankkundin erhielt einen authentisch wirkenden Brief im Namen der Bank, in dem Änderungen beim Sicherheitsverfahren angekündigt wurden. In engem zeitlichem Zusammenhang folgte ein Telefonanruf unter Anzeige der offiziellen Bankrufnummer (Spoofing), bei dem eine vermeintliche Mitarbeiterin der Bank das Anliegen aufgriff und durch Detailkenntnisse zu Konten zusätzlich untermauerte. Im Anschluss loggte sich die Klägerin – dies ist aus den bisherigen Berichten nicht vollständig nachvollziehbar – in gewohnter Weise über die Favoritenleiste in ihr Online-Banking ein. Sie gelangte auf eine manipulierte Online-Banking-Oberfläche und wurde dort zur Einrichtung zusätzlicher Sicherheitsmechanismen veranlasst. Im Verlauf fertigte sie Fotos von auf dem Bildschirm angezeigten Codes an, da sie von der Registrierung eines neuen Geräts ausging. Eine aktive Weitergabe klassischer Authentifizierungsdaten (PIN/TAN) erfolgte nicht. Im Nachgang wurden unberechtigte Zahlungen vom Konto der Kundin in Höhe von über 200.000 EUR veranlasst.
Die Kundin begehrte Ersatz und erhielt durch das LG Berlin II Recht. Laut Gericht erreichte das Verhalten der Klägerin nicht die Schwelle der groben Fahrlässigkeit, weil es sich um eine mehrkanalige Inszenierung (Brief, Telefon, Online-Oberfläche) mit täuschend echter Einbettung in scheinbar legitime Bankkommunikation mit einer zusätzlichen Legitimierung durch Insiderwissen handelte. Weiterhin war von Bedeutung, dass die Kundin keine klassischen Authentifizierungsdaten (PIN/TAN) aktiv weitergegeben hatte, sondern lediglich Codes vom Bildschirm abfotografierte.
Besonders erhellend an der Entscheidung ist die Beanstandung des Gerichts in Richtung Bank, dass bankseitig Risikoerkennungsmaßnahmen unterblieben seien. So seien beim Login des Kunden und der Geräte-Registrierung durch die Täter vollkommen unterschiedliche IP-Adressen und Provider genutzt worden. Diese offensichtliche Diskrepanz sei nicht durch Sicherheitsmaßnahmen blockiert worden.
Banken und IT-Sicherheit: Ausblick in die Praxis.
Die Entscheidungen verdeutlichen, dass es aufgrund der technisch und organisatorisch immer weiter ausgereifteren Verfahren der Cyberkriminellen zur echten prozessualen Herausforderung wird, eine grobe Fahrlässigkeit des Bankkunden zu beweisen. Die Perspektive wandert vom Fehlverhalten des Kunden hin zur unterlassenen Risikoerkennung auf der Bankseite. Es wird auf Bankenseite auf eine kontinuierliche technische Weiterentwicklung zur Betrugs-Entdeckung ankommen, selbstverständlich unter Wahrung anderer Rechtsvorschriften, etwa des Datenschutzes, wenn es auf die Auswertung von IP-Adressen der Nutzer ankommt. Zugleich sind die Kunden für die immer gewiefteren Vorgehensweisen der Kriminellen zu sensibilisieren, wobei dies eben nur eingeschränkt eine „Beruhigung“ für die Banken darstellen kann. Im B2B-Bereich wird man von Bankenseite aus ein höheres Sensibilisierungsniveau der Kunden erwarten können, sodass in solchen Prozessen auch noch eher der Beweis eines groben Fehlverhaltens gelingen dürfte, weil die Unternehmen selbst als Bankkunden ausreichende Sicherheitsmaßnahmen treffen müssen.
Banken, Geschäfts- und Privatkunden kann dabei nur empfohlen werden, aktuelle Entwicklungen zu verfolgen und zu berücksichtigen. Die dargestellten Rechtsprechungsfälle folgen den technischen Erweiterungen und Änderungen in den Arbeitsweisen der Kriminellen. Faktisch werden Fälle verhandelt, die zum Zeitpunkt der Verhandlung so schon nicht mehr stattfinden, da sich die Angriffsmethoden so schnell weiterentwickeln, dass weder Gesetzgeber noch Rechtsprechung hinterherkommen. Längst arbeiten die Cyberkriminellen in „Ketten“, um die Methodik des Social Engineerings, also das bewusste Täuschen der Person unter Ausnutzung ihrer Schwachstellen, noch effektiver einsetzen zu können. So werden etwa E-Mails ergänzt durch echt wirkende Briefe und vermeintliche Anrufe der Bank. Eine weitere wichtige Komponente spielt der Einsatz Künstlicher Intelligenz (KI) auf der Kriminellenseite. Die Angriffsmethoden werden dadurch noch gefährlicher, weil die Täter Informationen besser auswerten und anschließend „streuen“ können. Hierfür stehen ihnen verschiedene Kommunikationswege offen, auch KI-gestützte Fake-Telefonate oder -Videocalls sind möglich, in denen sich Opfer vermeintlich mittels Personalausweises „verifizieren“.
Banken sind jedenfalls gut beraten, ihre Compliance und IT-Sicherheit im Einklang mit diesen dynamischen Entwicklungen zu gestalten. Hierbei unterstützen wir Sie gerne.