Deine Rechtsanwältin in Kassel und deutschlandweit

Social Engineering im Bankrecht

Sie befinden sich hier: StartseiteSocial Engineering im Bankrecht

Aktuelle Rechtsprechung und Entwicklungen 2024/2025

Das Wichtigste in Kürze:

  • 98% aller Cyberangriffe basieren auf Social Engineering (Phishing, CEO-Fraud, Call-ID-Spoofing)
  • BGH-Urteil vom 05.03.2024 (XI ZR 107/22): Beweislast für Autorisierung liegt bei der Bank
  • Banken müssen nachweisen, dass Kunde grob fahrlässig handelte – sonst haftet die Bank
  • Neue EU-Regelung (PSD3/PSR ab 2026/2027): Banken haften auch bei autorisierten Social-Engineering-Zahlungen
  • Bei Betrug: Sofort Bank und Polizei informieren, alle Beweise sichern
  • Keine Zugangsdaten oder TANs per Telefon/E-Mail weitergeben

Social Engineering hat sich zur größten Bedrohung im digitalen Zahlungsverkehr entwickelt. Etwa 98% aller Cyberangriffe basieren auf psychologischer Manipulation, bei der Angreifer menschliche Eigenschaften wie Vertrauen oder Angst ausnutzen, um Bankkunden zur Preisgabe vertraulicher Informationen oder Freigabe von Zahlungen zu bewegen. Die Rechtsprechung hat hierzu in den letzten Monaten wegweisende Entscheidungen getroffen.

Die wichtigsten Angriffsformen im Detail

Phishing – Der Klassiker mit neuen Varianten

Definition: Kunden werden durch gefälschte E-Mails, SMS (Smishing) oder Websites zur Eingabe ihrer Zugangsdaten verleitet. Oft folgt ein zweiter Schritt per Telefon (Vishing), um Transaktionen freizugeben.

Typische Erkennungsmerkmale:

  • Dringlichkeit und Zeitdruck („Konto wird in 24h gesperrt!“)
  • Unpersönliche Anrede („Sehr geehrter Kunde“ statt Namen)
  • Aufforderung zum Klick auf Links
  • Rechtschreib- und Grammatikfehler (aber nicht immer!)
  • Gefälschte Absenderadresse (z.B. sparkasse-sicherheit.com statt sparkasse.de)
  • Drohungen mit Kontoschließung oder Gebühren

Moderne Varianten:

  • Qualifiziertes Phishing: Zweistufig – erst Datenauszug über gefälschte Website, dann telefonischer Anruf mit echten Kontodaten zur Vertrauensbildung
  • Spear-Phishing: Gezielte Angriffe mit personalisierten Informationen
  • Whaling: Angriffe auf hochrangige Führungskräfte

Statistik: 94% der Unternehmen erlebten 2024 Phishing-Angriffe, durchschnittliche Klickzeit auf bösartigen Link: nur 21 Sekunden

CEO-Fraud / Fake President – Die Millionen-Falle

Definition: Betrüger geben sich als Geschäftsführer oder Führungskraft aus und veranlassen Mitarbeiter zu Überweisungen. Zunehmend mit KI-generierten Stimmen, Deepfake-Videos und gefälschten E-Mails.

Typisches Vorgehen:

  1. Ausspähphase: Sammeln von Informationen über Unternehmensstruktur, Mitarbeiter, Projekte (aus LinkedIn, Website, Social Media)
  2. Erstkontakt: E-Mail vom „CEO“ über externe E-Mail-Adresse oder gefälschte interne Adresse
  3. Druck aufbauen: Dringende, vertrauliche Transaktion, Zeitdruck, Chef angeblich nicht erreichbar
  4. Zahlungsaufforderung: Überweisung ins Ausland, oft als „vertrauliche Akquisition“ getarnt

Warnsignale:

  • Ungewöhnliche Kommunikationswege (externe E-Mail des CEOs)
  • Extreme Dringlichkeit und Geheimhaltung
  • Abweichung von normalen Freigabeprozessen
  • Zahlungen ins Ausland ohne Rechnung/Vertrag
  • Druck, Standard-Prozeduren zu umgehen

Neue Dimension – KI-Deepfakes:

  • Stimmimitations-Software kann in Minuten Stimmen nachahmen
  • Dokumentierter Fall: 220.000€ Schaden durch gefälschte CEO-Stimme am Telefon
  • Deepfake-Videos in Video-Calls (bereits erste Fälle dokumentiert)

Schadenvolumen: Prognostizierte Steigerung 2025 um über 50%, typische Schadenshöhen 100.000€ bis mehrere Millionen

Call-ID-Spoofing – Wenn die Bank „anruft“

Definition: Täter manipulieren die angezeigte Telefonnummer, sodass die echte Banknummer oder Polizeinummer erscheint. Opfer werden zur Herausgabe von TANs oder App-Freigaben bewegt.

Typischer Ablauf:

  1. Anruf von vermeintlich echter Banknummer
  2. Täter gibt sich als Sicherheitsabteilung aus
  3. Behauptung: „Verdächtige Transaktionen auf Ihrem Konto“
  4. Aufforderung: „Zur Sicherheit müssen wir Ihr Konto verifizieren“
  5. Abfrage von TANs oder Aufforderung zur App-Freigabe
  6. Sofortige betrügerische Überweisung

Besondere Gefahr: Selbst technikaffine Personen fallen darauf herein, weil die angezeigte Nummer authentisch aussieht.

Schutzmechanismus:

  • Bei jedem unerwarteten Anruf: Auflegen und Bank über offizielle Nummer aus Unterlagen zurückrufen
  • Niemals TANs am Telefon nennen – auch nicht zur „Verifizierung“
  • Banken initiieren keine unaufgeforderten Sicherheitsüberprüfungen

BGH-Urteil vom 5. März 2024: Paradigmenwechsel bei der Beweislast

Das BGH-Urteil vom 5. März 2024 (Az. XI ZR 107/22) markiert einen Meilenstein im Verbraucherschutz. In einem Fall, bei dem eine Kundin durch manipulierte E-Mail-Aufträge um 255.000 Euro betrogen wurde, stellte der BGH klar:

Kernaussagen:

  • Die Beweislast für die Autorisierung liegt bei der Bank (§ 675w BGB a.F.)
  • Wenn die Bank ein unsicheres Verfahren akzeptiert, trägt sie das Risiko der Manipulation
  • Kundenhaftung nur bei nachgewiesener grober Fahrlässigkeit – Beweislast trägt die Bank

Diese Rechtsprechung stärkt die Position von Bankkunden erheblich und verpflichtet Finanzinstitute zum Nachweis, dass kein eigenes Versäumnis vorliegt.

Grobe Fahrlässigkeit: Grenzen der Kundenhaftung

Die Rechtsprechung zeigt: Bei grober Fahrlässigkeit kann die Haftung beim Kunden verbleiben. Das OLG Frankfurt am Main (6.12.2023, 3 U 3/23) entschied, dass ein Kunde grob fahrlässig handelte, der nach einer Phishing-Nachricht mittels PushTAN die Erhöhung seines Überweisungslimits und eine Überweisung freigab.

Neue Tendenz – Mithaftung der Bank: Selbst bei grober Fahrlässigkeit des Kunden kann die Bank anteilig haften, wenn sie gegen Sicherheitsanforderungen verstößt. Eine Sparkasse wurde zu 20% Mithaftung verurteilt, weil sie keine starke Kundenauthentifizierung nach § 55 ZAG implementiert hatte. Die Pflicht zur Systemsicherheit bleibt bei der Bank.

CEO-Fraud: KI macht Betrug gefährlicher

CEO-Fraud bleibt 2025 eine ernste Bedrohung mit prognostiziertem Schadensvolumen-Anstieg von über 50%. Der Grund: Betrüger nutzen KI-Tools, Deepfakes und Stimmimitations-Software, die innerhalb von Minuten Stimmen täuschend echt nachahmen können – inklusive Akzent und Sprachmelodie.

Ausblick: PSD3 und PSR – Neue Haftungsregeln ab 2026/2027

Die kommende Payment Services Regulation (PSR) zusammen mit der Payment Service Directive 3 (PSD3) wird die Haftungslandschaft grundlegend verändern:

Kernpunkte:

  • Erstattungsanspruch auch bei autorisierten Zahlungen: Kunden erhalten Erstattung selbst dann, wenn sie eine Zahlung autorisiert haben, aber durch Social Engineering getäuscht wurden
  • Neue Haftung für Identitätsbetrug (Art. 59 PSR-E): Zahlungsdienstleister haften für autorisierte, aber betrügerisch veranlasste Zahlungen (z.B. bei Call-ID-Spoofing)
  • IBAN-Name-Check wird Pflicht: Systeme müssen IBAN mit Kontoinhaber-Namen abgleichen
  • Beweislast beim Zahlungsdienstleister: Haftung entfällt nur bei nachgewiesenem betrügerischem oder grob fahrlässigem Verhalten des Kunden

Zeitplan: Verabschiedung voraussichtlich Ende 2025, Umsetzung 18-24 Monate später. Compliance-Fristen werden für 2026-2027 erwartet.

Praktische Empfehlungen und Präventionsmaßnahmen

Für Bankkunden – Ihre Sicherheits-Checkliste

Grundregeln (immer beachten):

  • Niemals PIN, TAN oder Passwörter per Telefon, E-Mail oder SMS weitergeben
  • Bank kontaktiert Sie NIE unaufgefordert und fragt nach Zugangsdaten
  • Bei verdächtigen Anrufen: Auflegen und Bank über offizielle Nummer zurückrufen
  • Niemals Links in verdächtigen E-Mails anklicken
  • Online-Banking nur über offizielle Bank-App oder manuell eingegebene URL
  • Regelmäßig Kontobewegungen kontrollieren
  • Starkes, einzigartiges Passwort verwenden (Passwortmanager nutzen)

Bei Verdacht auf Betrug – Sofortmaßnahmen:

  1. Bank unverzüglich kontaktieren und Konto/Karte sperren lassen
  2. Polizei informieren und Anzeige erstatten
  3. Alle Beweise dokumentieren und sichern (Screenshots, E-Mails, Gesprächsnotizen)
  4. Bank schriftlich über Betrug informieren
  5. Zugangsdaten ändern (falls noch möglich)
  6. Bei Ablehnung der Erstattung: Fachanwalt für Bankrecht konsultieren

Für Unternehmen – CEO-Fraud-Prävention

Organisatorische Maßnahmen:

  • Vier-Augen-Prinzip bei Zahlungsanweisungen über Schwellenwert (z.B. 5.000€)
  • Rückfrage-Pflicht über zweiten Kommunikationskanal bei ungewöhnlichen Anforderungen
  • Klare Freigabeprozesse für Zahlungen definieren und dokumentieren
  • Verantwortlichkeiten eindeutig festlegen

Schulung und Awareness:

  • Regelmäßige Mitarbeiterschulungen zu Social-Engineering-Risiken (mind. halbjährlich)
  • Simulation von Phishing-Angriffen zur Sensibilisierung
  • Sichere Meldekanäle für verdächtige Vorfälle einrichten
  • Keine Sanktionskultur – Fehler müssen gemeldet werden können

Technische Absicherung:

  • Spam-Filter und E-Mail-Authentifizierung (SPF, DKIM, DMARC)
  • Endpoint-Protection und aktueller Virenschutz
  • Regelmäßige Sicherheitsupdates
  • Sichere Zahlungssysteme mit Mehrfachautorisierung

Versicherungsschutz:

  • Cyber-Versicherung mit CEO-Fraud-Deckung prüfen
  • Deckungssummen an Unternehmensgröße anpassen
  • Obliegenheiten (Schulungsnachweise) beachten

Fazit

Die Rechtsprechung stärkt zunehmend die Rechte der Bankkunden. Das BGH-Urteil vom März 2024 hat die Beweislast klar bei den Banken verortet. Die kommenden PSD3/PSR-Regelungen werden die Haftung weiter auf Zahlungsdienstleister verlagern – erstmals auch für autorisierte, aber durch Social Engineering veranlasste Zahlungen.

Prävention ist entscheidend: Technische Sicherheitsmaßnahmen müssen mit menschlicher Wachsamkeit kombiniert werden. Die zunehmende Professionalisierung durch KI und Deepfakes erfordert kontinuierliche Anpassung der Abwehrstrategien.

Bei rechtlichen Fragen zu Phishing, unautorisierten Überweisungen oder Haftungsfragen im Zusammenhang mit Social Engineering stehe ich Ihnen als spezialisierte Fachanwältin für Bankrecht gerne zur Verfügung.

Stand: Oktober 2025

Rechtshinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Beurteilung Ihres konkreten Falls kontaktieren Sie bitte einen spezialisierten Rechtsanwalt.