Fehlende 2FA bei Sparkassen als Einfallstor für Betrüger

    Einfallstor für Betrüger:Gravierende Sicherheitslücken bei Sparkassen

    von Mario Shabaviz
    |

    Ein Kontozugriff ohne die Zwei-Faktor-Authentifizierung ist bei vielen Sparkassen noch immer möglich. Bei Betrugsschäden daraus sollen aber fast immer die Kunden schuld sein.

    Frau sitzt vor dem Tablet mit einer Debitkarte in der Hand
    In ein fremdes Bankkonto einloggen nur mit Anmeldedaten, das war ohne Zwei-Faktor-Authentifizierung bei der Sparkasse möglich. Ein Einfallstor für Betrüger, die diese Sicherheitslücke nutzten, um Sparkassenkonten zu plündern. 26.06.2023 | 8:04 min
    Knapp 5.000 Euro konnten Phishing-Betrüger von Eugenia Speyers Konto abräumen. Doch nicht allein ihre List oder der Leichtsinn der Kundin verschaffte den Gaunern das Geld. Zu Hilfe kam ihnen auch ein Sicherheitsmangel beim Online-Banking: der externe Zugriff ohne Zwei-Faktor-Authentifizierung. Den entstandenen Schaden will die Berliner Sparkasse aber nicht erstatten. Eugenia Speyer fühlt sich im Stich gelassen.

    Ich habe immer gedacht, ich wäre beschützt, ich wäre bei einer guten Bank. Die für mich in so einem Fall auch haftet.

    Eugenia Speyer, verlor knapp 5.000 Euro durch Phishing-Betrüger

    Die Berliner Sparkasse behauptet, Eugenia habe "grob fahrlässig" gehandelt, weil sie sich von einem betrügerischen Anrufer täuschen ließ. Der hatte sich am Telefon als Sparkassenmitarbeiter ausgegeben und behauptete, ein Online-Banking-Update durchführen zu müssen. Er schickte Eugenia eine SMS mit einem Bestätigungslink, den sie weiterleiten sollte.
    Was sie nicht ahnte: Zu diesem Zeitpunkt waren die Täter aber bereits in ihr Online-Banking eingeloggt und konnten auch hier den Anschein erwecken, echte Nachrichten zu hinterlassen. Das Problem: Bei vielen Sparkassen kann man sich seit Jahren - ohne zusätzliche TAN-Bestätigung - von jedem beliebigen Gerät aus einloggen.
    Zwei Frauen auf der Couch, eine hält mit erschrockenem Gesicht die Bankkarte in der Hand, während die andere telefoniert.
    WISO crime: Virtuellen Bankräubern auf der Spur22.05.2023 | 25:05 min

    Gesetz verlangt "starke Authentifizierung"

    Eigentlich schreibt das Gesetz die sogenannte "starke Kundenauthentifizierung" vor - bei jedem einzelnen Zugriff aufs Konto. Doch viele Sparkassen nutzen eine gesetzliche Ausnahmeregelung, die einen Zugriff ohne weitere TAN-Bestätigung erlaubt. Es dürfen dabei allerdings keine sensiblen Zahlungsdaten einsehbar sein.
    Dazu zählen auch persönliche Daten wie Anschrift, Geburtsdatum oder Telefonnummer, die Täter nutzen können, um sich das Vertrauen ihrer Opfer zu erschleichen. Genau diese Daten aber waren bei vielen Sparkassen jahrelang beim Login ohne TAN-Bestätigung im sogenannten "Lesezugriff" einsehbar.



    Bafin: Lesezugriff beim Online-Banking sollte bereinigt werden

    Erst durch eine WISO-Recherche im Jahr 2022 und unsere Nachfrage dazu, erfährt die Bafin davon und bezieht klar Stellung:

    Sofern dieser Lesezugriff bei einzelnen Sparkassen möglich ist, sollte dies unverzüglich bereinigt werden.

    Bafin

    Doch davon kann noch immer nicht die Rede sein.
    Im Darknet nehmen wir Kontakt mit einem Informanten auf, der jahrelange Erfahrung im Sparkassen-Online-Banking-Betrug hat. Und er demonstriert uns: Der Zugriff von Fremden auf unser zu Test-Zwecken eröffnetes Sparkassenkonto ist immer noch möglich. Entsprechend drastisch ist sein Urteil: "So, wie es programmiert ist, wollen die doch, dass die Kunden abgezogen werden."

    Betrugsanzeigen nehmen rapide zu

    Wie groß der Schaden durch diese schon länger bestehende Sicherheitslücke ist, lässt sich nicht feststellen. Wie viele betroffene Kunden es insgesamt gibt, wollen die Sparkassen uns nicht sagen. Und wie viele Schadensfälle es bei den Sparkassen sind, können uns die Landeskriminalämter nicht sagen.
    Doch es gibt einen eindeutigen Trend: In vielen Bundesländern hat sich die Zahl der Betrugsanzeigen in den vergangenen zwei Jahren mindestens verdoppelt. Und die Schadenssummen liegen in vielen Bundesländern bei mehreren Millionen Euro pro Jahr.

    Sparkassen wollen nicht für Schaden haften

    Zahlen sollen dafür aber zumeist die Kunden. So wie in einem Fall, der zurzeit vor dem Landgericht Nürnberg verhandelt wird. Eine 24-jährige Studentin verklagt ihre Sparkasse auf Erstattung von 20.000 Euro, die ihr Kriminelle vom Konto gestohlen haben. Auch hier, so der Anwalt der Betroffenen, würde erst einmal grobe Fahrlässigkeit unterstellt.

    Grundsätzlich ist es so geregelt im Gesetz, dass die angewiesene Bank für den Schaden haftet, wenn wir eine nicht-autorisierte Zahlungsanweisung haben.

    Ulrich Schulte am Hülse, Bankrechtsanwalt

    Davon gebe es nur eine Ausnahme, wenn das Verhalten des Bankkunden als grob fahrlässig einzuordnen sei, erklärt Ulrich Schulte am Hülse, Anwalt für Bankrecht. "Das muss aber auch die Bank nachweisen."
    Auf einem Tisch befindet sich ein geöffneter Laptop mit schwarzem Bild. Darauf liegt ein Zettel mit dem Hinweis "Nicht benutzen!" und einer rot durchgestrichenen Hand.
    Ein Klick am Computer, und plötzlich geht gar nichts mehr im System. In den letzten Jahren wurden deutsche Firmen immer häufiger Opfer von digitaler Erpressung.10.02.2022 | 44:29 min

    Gerichte müssen über Grundsatzfrage entscheiden

    Für den Anwalt der Kundin, die auf eine täuschend echte, manipulierte SMS "ihrer" Sparkasse hereinfiel, liegt das Verschulden klar auf Seiten der Bank. Der Gesetzgeber habe vorgeschrieben, "dass - wenn diese starke Kunden-Authentifizierung nicht da ist, der grobe Fahrlässigkeitsvorwurf nicht greift", so Schulte am Hülse. Dazu gebe es aber noch wenig Rechtsprechung.

    Das ist eine Grundsatzfrage, die jetzt entschieden werden muss.

    Ulrich Schulte am Hülse, Bankrechtsanwalt

    Auch Eugenia Speyer in Berlin wird wohl vor Gericht ziehen müssen, wenn sie ihre 5.000 Euro erstattet bekommen will. Eine Haftung lehnt die Berliner Sparkasse weiterhin ab.

    "Der Gesetzgeber will eigentlich, wenn Konten so missbräuchlich benutzt worden sind, dass den Verbrauchern alles oberhalb 50 Euro innerhalb eines Tages zurückgezahlt wird", erklärt Dorothea Mohn von der Verbraucherzentrale Bundesverband (vzbv). "Was aber passiert, ist, dass die Banken eine Art Trick anwenden können, indem sie sagen: Du hast Dich grob fahrlässig verhalten und deswegen haben wir den gleichen Anspruch gegen dich und deswegen wird erst mal nicht geleistet."

    Weil es den Banken oft gelinge, Betrugsschäden auf die Kunden abzuwälzen, fehle der Anreiz die Sicherheitsmechanismen zu verbessern, meint Mohn. "Und in dem Sinne ist es relevant, die Haftung ganz klar auf Seiten der Bank zu setzen, um hier einen Anreiz zu schaffen, die Systeme so sicher wie möglich zu gestalten und immer in dem Moment, wo eine Sicherheitslücke ausgenutzt wird, dann zu gucken, wie man nachsteuern kann."

    Mario Shabaviz ist Redakteur der ZDF-Sendung "WISO".

    Mehr zum Thema

    Weitere Ratgeber-Themen