Urteil gegen die Apobank: Finanzinstitut haftet für Phishing-Schaden

Das Landgericht Berlin II hat die Rechte von Bankkunden bei Phishing-ähnlichen Täuschungsversuchen gestärkt und Finanzinstitute technologisch in die Pflicht genommen. Das ist einem heise online vorliegenden Urteil vom 22. April der Zivilkammer 38 zu entnehmen (Az.: 38 O 293/25). In dem Verfahren gegen die Deutsche Apotheker- und Ärztebank (Apobank) entschied das Gericht, dass das Finanzhaus für einen unautorisierten Schaden von über 200.000 Euro haften muss. Die Entscheidung verdeutlicht, dass die Annahme einer groben Fahrlässigkeit bei immer raffinierteren Betrugsszenarien kaum noch haltbar ist.

Der Fall wirft ein Licht auf die Professionalität der Angreifer: Die Betroffenen wurden durch eine Kombination aus einem täuschend echt wirkenden Brief im Namen der Bank, einer manipulierten Online-Banking-Oberfläche und einem persönlichen Telefonat in die Falle gelockt. Die Betrüger verfügten über Detailwissen zu weiteren Konten der Kläger, was den Eindruck einer legitimen Bankmitarbeiterin festigte.

Die Kundin schöpfte nach ihrer Aussage keinen Verdacht, als sie beim gewohnten Login über ihre Favoritenleiste am Rechner zur Einrichtung einer 2-Faktor-Authentifizierung aufgefordert worden sei. Dieser war zuvor in einem authentisch wirkenden Brief angekündigt worden. Die Szenerie habe zudem durch den zeitnahen Anruf einer vermeintlichen Bankmitarbeiterin glaubhaft gewirkt, der unter der offiziellen Nummer der Bank erfolgte. Im Weiteren fotografierte die Klägerin lediglich Codes vom Bildschirm ab, ohne sensible Autorisierungsdaten wie PINs oder TANs aktiv an die Anruferin zu übermitteln.

Die Berliner Richter stellten klar, dass Kunden in einer solchen nahezu perfekt inszenierten Täuschung nicht grob fahrlässig handeln.

Technische Früherkennung als Bankpflicht

Bemerkenswert sind die Ausführungen des Gerichts über die Entscheidung hinaus. Die Kammer deutet darin Ansätze für notwendige Früherkennungssysteme an: Die Bank hätte den Betrug erkennen und unterbinden können, da die Einwahl des Kunden und die gleichzeitige Registrierung eines neuen Geräts durch die Täter über vollkommen unterschiedliche IP-Adressen und Provider erfolgten. Das Finanzhaus habe diese offensichtliche Diskrepanz nicht durch automatisierte Sicherheitsmechanismen blockiert und die Verknüpfung des neuen Geräts ohne hinreichende Besitzprüfung zugelassen.

Ulrich Schulte am Hülse von der Kanzlei Ilex Rechtsanwälte, der das Urteil erstritten hat, bewertet diese Einschätzung zwar als technisch noch laienhaft. Er sieht die Justiz aber auf dem richtigen Weg. In Verfahren gegen die Apobank stünden fast immer vollständige Logfiles inklusive IP-Adressen zur Verfügung. Anhand dieser Daten und einer Kundenbefragung lasse sich rückschauend exakt belegen, welche Handlung den Tätern zuzurechnen sei und wo die Bank hätte intervenieren müssen.

Der Anwalt unterstreicht, dass Phishing längst kein reines Verbraucherthema mehr sei. An der Entscheidung lasse sich ersehen, dass die größten Einzelschäden verstärkt im Bereich der mittelständischen Wirtschaft entstünden. Es seien etwa Freiberufler, Selbständige und gestandene Kapitalgesellschaften betroffen. Durch modernes Multibanking, bei dem Geschäfts- und Privatkonten zusammengeführt werden, verschwömmen die Kategorien zunehmend. Das Urteil schütze so Akteure, deren Existenz durch hohe Schadenssummen bedroht sein könnte.

Rückenwind durch OLG-Rechtsprechung

Diese Sichtweise deckt sich mit der Tendenz anderer Gerichte. Das Oberlandesgericht Koblenz machte vor Kurzem die Ansage, dass selbst das Anklicken von Links in SMS und die Eingabe von Transaktionsnummern in ein Browser-Formular nicht automatisch als grobe Fahrlässigkeit gewertet werden darf, wenn die Betrugsmasche eine täuschend echte Interaktionskette aufbaut.

Das Berliner Urteil sendet so ein Signal: Banken müssen ihre Sicherheitsalgorithmen schärfen. Auffällige Diskrepanzen in den Logfiles, wie etwa zeitgleiche Logins aus technisch unplausiblen Quellen, sollten proaktiv zur Betrugsverhinderung genutzt werden.

(nen)