Phishing: Wenn Sie eine TAN am Telefon preisgeben
Eine Bankkundin erhielt eine Phishing-E-Mail mit dem Absender „HypoVereinsbank [direct-b[at]hypovereinsbank]“. In dieser E-Mail wurde ihr mitgeteilt, dass der Zugang zum „Direct B[at]nking“ bald ablaufe, sofern die Synchronität der SEPA-Umstellung im Zugang nicht aktualisiert werde. Sie wurde aufgefordert, auf einen Link zur manuellen Aktualisierung zu klicken.
Die Frau folgte den Anweisungen und gab auf der Internetseite, auf die der Link sie geführt hatte, ihren Namen, ihre Kontonummer und ihre Handynummer an. Tags darauf wurde sie von einer Frau angerufen, die sich als Mitarbeiterin der Bank ausgab. Sie wurde gebeten, sich Nummern zu notieren und diese mit den Nummern zu vergleichen, die sie in einer SMS erhielte. Falls die Buchstaben-/Ziffernfolge übereinstimmen würde, sollte sie diese der Anruferin mitteilen.
Nachdem die Bankkundin eine SMS mit dem Inhalt „Die mobile TAN für Ihre Überweisung von 4.444,44 EUR auf das Konto ES(…) mit BIC (…) lautet 253844“ teilte sie diese Ziffernfolge der Anruferin mit.
Als die Frau ein paar Tage später bemerkte, dass der Betrag von ihrem Konto abgebucht worden war, ließ sie das Konto sperren und stellte Strafanzeige gegen unbekannt. Trotzdem gelang es nicht, das Geld zurückzuholen. Die Bank weigerte sich, für den Schaden aufzukommen, da die Kundin mit der Weitergabe der TAN am Telefon grob fahrlässig gehandelt habe.
Das Amtsgericht München entschied zu Gunsten der Bank. Die Weitergabe der TAN am Telefon begründet den Vorwurf der groben Fahrlässigkeit. Beim Online-Banking mit mobilem TAN-Verfahren wird eine TAN immer für eine ganz bestimmte Aktion per SMS verschickt - insbesondere für eine konkrete Überweisung. Um Missbrauch entgegenzuwirken, wird eben nicht nur eine TAN-Nummer verschickt, sondern immer ein Text, der noch einmal darauf hinweist, für welchen Betrag und welchen Vorgang die TAN dienen soll. Hier erhielt die Kundin die Mitteilung, dass die TAN für eine Überweisung von 4.444,44 EUR auf ein unbekanntes Konto gesendet wurde.
Diesen deutlichen Hinweis hat die Kundin grob fahrlässig nicht beachtet und trotzdem die TAN Nummer an einen Dritten weitergegeben. Diese hat sodann die Überweisung durchgeführt. In einem Fall wie dem vorliegenden muss es aber jedem einleuchten, dass es sich um eine TAN handelt, die einer konkreten Überweisung dient und somit keinesfalls an einen Dritten weitergegeben werden darf, da andernfalls die Gefahr des Missbrauchs sehr groß ist (AG München, Urteil vom 5.1.2017, Az. 132 C 49/15).