Kontakt
phishing

Session-Hijacking im Online-Banking: Wenn der Login echt ist, die Sitzung gekapert

Beim Session-Hijacking übernehmen Betrüger eine laufende Banking-Sitzung in Echtzeit – ohne dass der Kontoinhaber TANs preisgibt oder auch nur ahnt, dass jemand mitlest.

Session Hijacking Online-Banking beschreibt einen Angriff, bei dem Kriminelle eine bereits authentifizierte Banking-Sitzung kapern. Der Angreifer benötigt dafür weder Passwort noch TAN – er stiehlt lediglich das Session-Cookie oder den Sitzungstoken, der nach dem legitimen Login im Browser gespeichert ist. Für die Bank erscheint die Sitzung als regulär autorisiert.

Das macht Session-Hijacking besonders tückisch: Herkömmliche Phishing-Schutzmaßnahmen greifen nicht, weil keine Zugangsdaten abgefragt werden. Der Nutzer hat sich ordnungsgemäß eingeloggt – der Angreifer übernimmt die Sitzung danach, häufig über Schadsoftware, kompromittierte WLAN-Verbindungen oder man-in-the-browser-Angriffe. Die ausgeführten Überweisungen sind für die Bank zunächst nicht von legitimen Transaktionen zu unterscheiden.

Aus rechtlicher Sicht ist entscheidend: Wenn Sie keine TAN weitergegeben und sich ordnungsgemäß eingeloggt haben, fehlt es an einer Autorisierung der Zahlung im Sinne des § 675u BGB. Ohne Autorisierung haftet grundsätzlich die Bank – das ist die zentrale Rechtslage bei einem Angriff durch Session Hijacking Online-Banking.

Wenn Betrüger Ihre Banking-Sitzung gekapert und Überweisungen ausgeführt haben, ohne dass Sie TANs weitergegeben haben, steht Ihnen ein Erstattungsanspruch gegen die Bank zu – lassen Sie diesen anwaltlich geltend machen. Jetzt unverbindlich Kontakt aufnehmen.

Kontakt

Wie funktioniert Session-Hijacking beim Online-Banking technisch?

Nach einem erfolgreichen Login im Online-Banking speichert der Browser einen Session-Cookie – ein kleines Datenfragment, das den Nutzer gegenüber dem Bankserver identifiziert. Solange dieser Cookie gültig ist, gilt die Sitzung als authentifiziert. Gelingt es einem Angreifer, diesen Cookie zu stehlen, kann er die Sitzung aus einem fremden Browser übernehmen.

Verbreitete Angriffsmethoden: Schadsoftware auf dem Endgerät des Nutzers, die den Cookie direkt aus dem Browser extrahiert; unsichere WLAN-Verbindungen, über die Netzwerktraffic abgefangen wird (Man-in-the-Middle); und Browser-Trojaner (Man-in-the-Browser), die Transaktionen im Hintergrund manipulieren, während der Nutzer eine korrekte Ansicht zu sehen glaubt.

Besonders gefährlich ist die Variante des Echtzeit-Hijackings: Dabei sitzen Angreifer aktiv an einem Computer und übernehmen die Sitzung während der Nutzer noch eingeloggt ist. Sie können dann Überweisungen auslösen, Empfänger ändern oder Sicherheitseinstellungen manipulieren – der Nutzer bemerkt davon nichts, bis er sein Konto überprüft.

Rechtslage: Wann haftet die Bank bei Session-Hijacking?

Nach § 675u BGB hat die Bank dem Zahlungsdienstnutzer den Betrag einer nicht autorisierten Zahlung unverzüglich zu erstatten. Eine Zahlung gilt als nicht autorisiert, wenn der Kontoinhaber ihr nicht zugestimmt hat. Beim Session Hijacking Online-Banking hat der Nutzer die Überweisungen nicht veranlasst – er hat sie lediglich nicht verhindern können.

Entscheidend ist das BGH-Urteil XI ZR 107/24 vom 22. Juli 2025: Selbst wenn ein Nutzer eine TAN am Folgetag weitergegeben hat, ist eine TAN-Weitergabe keine wirksame Autorisierung. Der BGH stellt klar, dass § 675u BGB dem Grunde nach einen Erstattungsanspruch begründet – die Bank kann aber einwenden, dass der Nutzer grob fahrlässig gehandelt hat.

Beim echten Session-Hijacking ohne TAN-Weitergabe entfällt dieser Einwand weitgehend. Wenn der Nutzer nichts Angreifbares getan hat – also weder Zugangsdaten preisgegeben noch auf verdächtige Links geklickt –, kann die Bank grobe Fahrlässigkeit nach § 675v BGB nur schwer belegen. Das stärkt die Erstattungsposition des Betroffenen erheblich.

EuGH C-70/25: Schlussanträge zur Erstattungspflicht der Bank

Der Generalanwalt beim EuGH hat in seinen Schlussanträgen vom 5. März 2026 im Verfahren C-70/25 die Position vertreten, dass Banken zunächst erstatten müssen und etwaige grobe Fahrlässigkeit des Nutzers erst nachgelagert geltend machen können. Das Endurteil des EuGH steht noch aus – es handelt sich explizit nur um Schlussanträge.

Diese Rechtsposition stärkt Betroffene im Umgang mit ihrer Bank: Wer den Erstattungsanspruch nach einem Angriff geltend macht, kann auf diese Erwartungshaltung des EuGH-Generalanwalts verweisen. Banken, die die Erstattung pauschal verweigern, handeln möglicherweise gegen die sich abzeichnende europäische Rechtslage.

Wichtig bleibt die rechtliche Einordnung: Weder die Schlussanträge noch § 675u BGB bedeuten, dass jeder Schaden automatisch erstattet wird. Die Bank kann nachweisen, dass der Nutzer durch grob fahrlässiges Verhalten – etwa das Betreiben eines ungepatchten Systems mit bekannten Sicherheitslücken – den Angriff ermöglicht oder begünstigt hat.

Abgrenzung: Session-Hijacking vs. Phishing und klassischer TAN-Betrug

Beim klassischen Phishing werden Zugangsdaten oder TANs durch Täuschung erschlichen. Der BGH hat in XI ZR 107/24 klargestellt, dass eine TAN-Weitergabe – auch wenn sie durch Täuschung hervorgerufen wurde – keine wirksame Autorisierung darstellt. Beim Session-Hijacking wird dagegen gar keine TAN oder kein Passwort abgefragt.

Dieser Unterschied ist rechtlich bedeutsam: Je weniger der Nutzer aktiv zur Schadensentstehung beigetragen hat, desto schwerer fällt es der Bank, grobe Fahrlässigkeit nach § 675v BGB zu belegen. Der Account-Takeover durch Session-Hijacking ist noch weiter von einer Autorisierung durch den Nutzer entfernt als Phishing.

Rechtlich relevant ist auch: Bei einem Man-in-the-Browser-Angriff sind selbst die angezeigten Transaktionsdaten gefälscht. Der Nutzer genehmigt scheinbar eine harmlose Transaktion, tatsächlich wird eine ganz andere ausgeführt. Das Banking-Trojaner-Recht hat hier Parallelen – auch dort fehlt die informierte Zustimmung.

Warnsignale: Wie erkennt man Session-Hijacking im Online-Banking?

Folgende Anzeichen können auf einen Session-Hijacking-Angriff hindeuten:

  • Unerwartete Abmeldungen: Sie werden aus dem Online-Banking geworfen, obwohl Sie aktiv waren – der Angreifer hat die Sitzung übernommen.
  • Kontoänderungen ohne eigenes Handeln: Überweisungsempfänger wurden geändert, Limits erhöht oder Sicherheitseinstellungen modifiziert.
  • Bestätigungen für Transaktionen, die Sie nicht ausgelöst haben: Push-Nachrichten oder E-Mails zu Überweisungen, an denen Sie nicht beteiligt waren.
  • Träge oder fehlerhafte Browseranzeige beim Banking: Mögliches Zeichen für aktive Man-in-the-Browser-Schadsoftware.
  • Unbekannte Gerätezugriffe in der Sicherheitsübersicht: Wenn Ihr Banking-Portal Gerätezugriffe anzeigt, prüfen Sie auf fremde Einträge.

Als erfahrene Anwälte im Bank- und Kapitalmarktrecht helfen wir Ihnen, die Vorgehensweise der Betrüger rechtlich einzuordnen und konkrete Schritte zur Rückforderung Ihrer Gelder einzuleiten. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Kontakt

Sofortmaßnahmen: Was Sie nach einem Session-Hijacking-Angriff tun müssen

Wenn Sie den Verdacht haben, Opfer eines Session-Hijacking-Angriffs geworden zu sein, sperren Sie sofort das Online-Banking – telefonisch über den Banken-Notruf 116 116 oder direkt über Ihre Bank. Eine sofortige Sperrung verhindert weitere Transaktionen und beginnt die für die Erstattung wichtige Dokumentationskette.

Erstatten Sie Anzeige bei der Polizei und bewahren Sie alle Gerätedaten auf: Löschen Sie das betroffene Gerät nicht – es kann als Beweismittel gebraucht werden, um die Schadsoftware zu identifizieren. Fordern Sie von Ihrer Bank eine vollständige Auflistung aller Transaktionen sowie das Protokoll der Sitzungszugriffe an. Nutzen Sie dafür auch Art. 15 DSGVO, um alle gespeicherten Daten herauszuverlangen.

Melden Sie den Vorfall schriftlich und setzen Sie eine 13-Monats-Ausschlussfrist nicht aus den Augen: Nach § 676b Abs. 2 BGB erlöschen Erstattungsansprüche, wenn der Vorfall nicht innerhalb von 13 Monaten nach Belastung gegenüber der Bank angezeigt wird.

Ansprüche durchsetzen: Schritte zur Erstattung nach § 675u BGB

Machen Sie gegenüber der Bank schriftlich und formell den Erstattungsanspruch nach § 675u BGB geltend. Legen Sie dar, dass Sie die betreffenden Transaktionen nicht autorisiert haben und keine TAN wissentlich weitergegeben haben. Setzen Sie eine angemessene Frist zur Rückbuchung – üblicherweise zwei bis vier Wochen.

Wenn die Bank die Erstattung verweigert und grobe Fahrlässigkeit behauptet, muss sie diese nachweisen – nicht Sie Ihre Unschuld. Die Beweislast liegt nach § 675v BGB bei der Bank. Sie muss darlegen, dass Sie durch grob pflichtwidriges Verhalten den Angriff ermöglicht haben. Allein die Tatsache, dass ein Angriff stattgefunden hat, genügt dafür nicht.

Verweigert die Bank die Erstattung oder bietet nur einen Teilbetrag an, ist anwaltliche Begleitung sinnvoll. Der Anwalt kann das Bankschreiben rechtlich analysieren, eigene Argumente schriftlich formulieren und – falls nötig – Klage vor dem zuständigen Landgericht erheben. Informieren Sie parallel die BaFin über das Verhalten der Bank.

Wann ist anwaltliche Beratung bei Session-Hijacking unbedingt notwendig?

Die Einschaltung eines spezialisierten Anwalts ist geboten, wenn die Bank die Erstattung ablehnt und auf grobe Fahrlässigkeit des Nutzers besteht. Gerade bei Session-Hijacking ist die technische Argumentation komplex – die Bank wird versuchen, Sicherheitslücken auf dem Endgerät als eigenes Verschulden des Nutzers darzustellen. Dem muss anwaltlich widersprochen werden.

Anwaltliche Hilfe ist auch sinnvoll, wenn strittig ist, ob es sich um einen echten Session-Hijacking-Angriff handelt oder ob der Nutzer an der Autorisierung beteiligt war. Phishing-Erstattungsansprüche und Session-Hijacking-Fälle werden rechtlich ähnlich bewertet – ein Anwalt kennt die aktuelle Rechtsprechung und kann die Argumentationslinie richtig wählen.

Wichtig ist das Einhalten der 13-Monats-Frist nach § 676b Abs. 2 BGB. Ein Anwalt stellt sicher, dass der Anspruch form- und fristgerecht geltend gemacht wird – und dass keine verfahrensrechtlichen Fehler die spätere Durchsetzung gefährden.

Fazit: Bei Session Hijacking Online-Banking haftet die Bank – wenn Sie schnell handeln

Der Erstattungsanspruch nach § 675u BGB ist stark – und beim Session Hijacking Online-Banking fehlt in der Regel die Autorisierung durch den Nutzer vollständig. Wer keine TAN weitergegeben hat, sich ordnungsgemäß eingeloggt hat und die Sitzung durch Dritte gekapert wurde, hat die besten Voraussetzungen für eine erfolgreiche Erstattung.

Entscheidend ist das Zusammenwirken von Schnelligkeit, Dokumentation und rechtlicher Argumentation. Fristen müssen eingehalten werden, Beweise gesichert, und die Bank muss schriftlich und klar mit dem Erstattungsanspruch konfrontiert werden. Anwälte für Bankrecht kennen die Argumentationslinien der Banken und wissen, wie ihnen wirksam entgegenzutreten ist.

Zuwarten kostet Rechte. Die 13-Monats-Frist nach § 676b Abs. 2 BGB ist eine absolute Ausschlussfrist. Wer sie versäumt, verliert den Anspruch – auch wenn der Schaden eindeutig belegt werden kann.

AK LAW Rechtsanwaltsgesellschaft mbH – Ihr Partner im Bank- und Kapitalmarktrecht

Die AK LAW Rechtsanwaltsgesellschaft mbH berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Session Hijacking Online-Banking

Was ist Session Hijacking Online-Banking und wie unterscheidet es sich von Phishing?

Beim Session Hijacking Online-Banking wird eine bereits laufende Banking-Sitzung gekapert, ohne dass der Nutzer Zugangsdaten oder TANs preisgibt. Phishing erschleicht dagegen aktiv Zugangsdaten durch Täuschung. Session-Hijacking greift erst nach dem legitimen Login an.

Muss die Bank bei Session-Hijacking erstatten?

Nach § 675u BGB muss die Bank nicht autorisierte Zahlungen erstatten. Beim Session-Hijacking fehlt die Autorisierung des Nutzers. Die Bank kann den Anspruch nur abwehren, wenn sie grobe Fahrlässigkeit des Nutzers nach § 675v BGB nachweist – was bei echtem Session-Hijacking ohne TAN-Weitergabe schwer fällt.

Was hat der BGH XI ZR 107/24 zum Session-Hijacking entschieden?

Der BGH entschied am 22. Juli 2025, dass eine TAN-Weitergabe keine wirksame Autorisierung darstellt und der Erstattungsanspruch nach § 675u BGB dem Grunde nach besteht. Grobe Fahrlässigkeit des Nutzers kann aber den Anspruch mindern. Das Urteil stärkt die Position der Geschädigten.

Was sagen die EuGH-Schlussanträge C-70/25 zum Erstattungsanspruch?

Der Generalanwalt beim EuGH hat in seinen Schlussanträgen vom 5. März 2026 die Auffassung vertreten, dass Banken zunächst erstatten müssen und grobe Fahrlässigkeit des Nutzers erst nachgelagert geltend machen können. Ein Endurteil des EuGH steht noch aus.

Welche Frist gilt für den Erstattungsanspruch nach Session-Hijacking?

Der Vorfall muss der Bank innerhalb von 13 Monaten nach der Kontobelastung angezeigt werden (§ 676b Abs. 2 BGB). Nach Ablauf dieser Frist erlischt der Erstattungsanspruch endgültig, unabhängig davon, wie klar der Schaden belegt werden kann.

Kann grobe Fahrlässigkeit die Erstattung ausschließen?

Nach § 675v BGB kann grobe Fahrlässigkeit des Nutzers den Erstattungsanspruch mindern oder ausschließen. Die Beweislast liegt bei der Bank. Sie muss nachweisen, welches konkrete Verhalten des Nutzers grob pflichtwidrig war. Allein das Stattfinden des Angriffs genügt nicht.

Was soll ich nach einem Session-Hijacking-Angriff als Erstes tun?

Sofort das Online-Banking sperren (Notruf 116 116), Anzeige bei der Polizei erstatten, das Gerät sichern ohne es zu löschen, und der Bank den Vorfall schriftlich melden. Einhalten der 13-Monats-Frist ist zwingend. Anwaltliche Beratung möglichst früh einschalten.

Wie unterscheidet sich ein Man-in-the-Browser-Angriff von klassischem Session-Hijacking?

Beim Man-in-the-Browser manipuliert Schadsoftware Transaktionen direkt im Browser – der Nutzer sieht andere Daten als tatsächlich übermittelt werden. Beim klassischen Session-Hijacking wird der Sitzungstoken gestohlen und die Sitzung extern fortgeführt. Beide Angriffe begründen einen Erstattungsanspruch nach § 675u BGB.

Muss ich nachweisen, dass ich nicht grob fahrlässig gehandelt habe?

Nein. Die Beweislast für grobe Fahrlässigkeit liegt nach § 675v BGB bei der Bank. Sie muss darlegen, welches spezifische Verhalten des Nutzers grob pflichtwidrig war. Der Nutzer muss lediglich glaubhaft machen, dass er die Zahlung nicht autorisiert hat.

Kann ich auch bei einer gespeicherten Schadsoftware auf dem eigenen PC Erstattung verlangen?

Ja, sofern die Installation der Schadsoftware nicht auf grobe Fahrlässigkeit zurückgeht. Ob das der Fall ist, hängt vom Einzelfall ab – etwa wie aktuell der Virenschutz war und ob bekannte Sicherheitslücken nicht gepatcht wurden. Eine anwaltliche Prüfung klärt die individuelle Situation.

Jetzt Anfrage stellen
Wir beraten Sie gerne umfassend und persönlich bei Ihrem Anliegen.
Kontakt
Dr. Michel de Araujo Kurth
Dr. Michel de Araujo Kurth ist Geschäftsführender Gesellschafter der AK LAW Rechtsanwaltsgesellschaft mbH und Rechtsanwalt mit Schwerpunkt im Bank- und Kapitalmarktrecht. Promoviert Summa Cum Laude an der Goethe-Universität Frankfurt, zuvor Legal Counsel bei Société Générale und Hauck Aufhäuser Lampe Privatbank AG.
Vita
Lesen Sie mehr...
Kontakt
Ihre AK LAW Rechtsanwaltsgesellschaft mbH. Immer für Sie da
Jederzeit für Sie erreichbar
Dr. Michel de Araujo Kurth
Kontakt








    Saalburgstraße 11
    60385 Frankfurt am Main
    +49 6151 7076982
    kontakt@ra-araujo-kurth.de
    Mo. – Fr. 08:00–18:00 Uhr
    envelopephone-handsetmap-markercrossmenuchevron-down