Banking Trojaner: Wenn Schadsoftware Ihr Konto leer räumt

Wenn Banking Trojaner Ihr Konto leerräumen: Eine juristische Analyse

Die digitale Transformation des Bankwesens hat zweifellos viele Vorteile mit sich gebracht. Doch mit der zunehmenden Verlagerung finanzieller Transaktionen ins Internet wachsen auch die Risiken. Eine besonders perfide Bedrohung stellen sogenannte Banking Trojaner dar. Diese hochentwickelten Schadprogramme zielen darauf ab, unbemerkt auf die Konten von Bankkunden zuzugreifen und dort Transaktionen zu manipulieren. Der Schaden kann erheblich sein, oft sind ganze Ersparnisse betroffen. Betroffene stehen dann vor der Frage, wie sie ihr Geld zurückerhalten können und welche rechtlichen Schritte ihnen zustehen.

Dieser Artikel beleuchtet die Funktionsweise von Banking Trojanern, die damit verbundenen rechtlichen Herausforderungen und die Möglichkeiten, die Ihnen als Geschädigtem offenstehen. Wir untersuchen die Haftungsfragen zwischen Bank und Kunde sowie relevante strafrechtliche Aspekte, um Ihnen eine fundierte Orientierung zu bieten.

Banking Trojaner: Die unsichtbare Gefahr im Online-Banking

Banking Trojaner sind komplexe Schadprogramme, die speziell darauf ausgelegt sind, Online-Banking-Sitzungen zu kapern und Transaktionen im Hintergrund zu manipulieren. Sie gelangen meist durch Phishing-Mails, infizierte Webseiten oder manipulierte Software-Downloads auf den Computer oder das Smartphone des Opfers. Einmal installiert, agieren diese Banking Trojaner im Verborgenen. Sie registrieren Tastatureingaben, lesen sensible Daten aus und können sogar die Anzeige im Browser manipulieren, um dem Nutzer eine vermeintlich korrekte Transaktion vorzugaukeln. Während der Kunde eine kleine Überweisung tätigt, ändert der Banking Trojaner im Hintergrund den Betrag und das Empfängerkonto, ohne dass dies auf dem Bildschirm sichtbar wird. Die Autorisierung der Transaktion, beispielsweise durch eine TAN, wird dann für die manipulierte Überweisung genutzt.

Die Raffinesse dieser Banking Trojaner liegt in ihrer Fähigkeit, die Sicherheitsmechanismen von Online-Banking-Systemen zu umgehen oder zu unterlaufen. Sie nutzen dabei Schwachstellen im System oder menschliche Fehler aus. Das Ziel ist immer dasselbe: das unberechtigte Abgreifen von Geldern von Kundenkonten. Die Opfer bemerken den Betrug oft erst, wenn sie ihre Kontoauszüge prüfen oder ungewöhnliche Abbuchungen feststellen. Weitere Informationen finden Sie in unserem Beitrag zu KI-Betrug beim Online-Banking.

Die rechtliche Einordnung solcher Vorfälle ist komplex. Es geht um die Frage, wer die Verantwortung für den entstandenen Schaden trägt. Dabei spielen sowohl die Sorgfaltspflichten des Kunden als auch die Sicherheitsstandards der Bank eine entscheidende Rolle.

Warnsignale und Erkennungsmerkmale von Banking Trojanern

Das frühzeitige Erkennen eines Banking Trojaners kann entscheidend sein, um größere Schäden zu verhindern. Achten Sie auf folgende Warnsignale:

• Unerklärliche Fehlermeldungen während des Online-Bankings.
• Plötzliche, ungewöhnliche Änderungen im Design oder der Funktionalität Ihrer Banking-Webseite.
• Aufforderungen zur Eingabe von TANs für Transaktionen, die Sie nicht selbst initiiert haben.
• Deutliche Verzögerungen beim Laden von Online-Banking-Seiten.
• Unbekannte Programme oder Prozesse im Task-Manager Ihres Computers.
• Ungewöhnliche E-Mails oder SMS, die scheinbar von Ihrer Bank stammen und zur Eingabe sensibler Daten auffordern. Solche Nachrichten sind oft ein Einfallstor für Banking Trojaner.
• Aufforderungen, Sicherheitssoftware zu deaktivieren oder Updates "manuell" durchzuführen.
• Bankseitige Sicherheitsabfragen, die zuvor nicht üblich waren.
• Ungewöhnlich hohe Datennutzung auf mobilen Geräten ohne erkennbaren Grund.

Rechtslage und Haftungsfragen bei Banking Trojanern

Die rechtliche Aufarbeitung von Betrugsfällen durch Banking Trojaner ist vielschichtig und primär durch das Bürgerliche Gesetzbuch (BGB) sowie spezialgesetzliche Regelungen wie die Zweite Zahlungsdiensterichtlinie (PSD2), umgesetzt im Zahlungsdiensteaufsichtsgesetz (ZAG), geprägt.

Grundsätzlich gilt nach § 675u Satz 1 BGB, dass der Zahlungsdienstleister (die Bank) dem Zahlungsdienstnutzer (dem Kunden) den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich erstatten und, soweit einschlägig, das Zahlungskonto wieder auf den Stand bringen muss, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte. Dies stellt eine starke Position für den Kunden dar.

Allerdings gibt es Ausnahmen. Gemäß § 675v Abs. 4 BGB haftet der Zahler (Kunde) für Schäden aus nicht autorisierten Zahlungsvorgängen, wenn er diese durch vorsätzliche oder grob fahrlässige Verletzung seiner Pflichten ermöglicht hat. Solche Pflichtverletzungen können beispielsweise im Umgang mit personalisierten Sicherheitsmerkmalen liegen. Eine grobe Fahrlässigkeit wird oft angenommen, wenn der Kunde offensichtliche Warnsignale ignoriert oder elementare Sicherheitsvorkehrungen missachtet. Die Beweislast für eine solche Pflichtverletzung des Kunden liegt gemäß § 675w BGB bei der Bank. Diese muss detailliert darlegen und beweisen, dass der Kunde grob fahrlässig gehandelt hat. Die bloße Behauptung, der Kunde habe seine Sorgfaltspflichten verletzt, reicht hierfür nicht aus.

Strafrechtlich relevant kann der Einsatz von Banking Trojanern als Computerbetrug nach § 263a StGB oder als Ausspähen von Daten nach § 202a StGB sein. Auch eine Strafbarkeit wegen Datenhehlerei nach § 202d StGB oder Fälschung beweiserheblicher Daten nach § 269 StGB kann in Betracht kommen. Für den geschädigten Kunden sind diese strafrechtlichen Aspekte primär relevant, um eine Strafanzeige zu erstatten und die Täter zur Rechenschaft zu ziehen. Dies ist jedoch getrennt von den zivilrechtlichen Ansprüchen gegen die Bank zu betrachten.

Des Weiteren spielen auch das Kreditwesengesetz (KWG) und das Wertpapierhandelsgesetz (WpHG) eine Rolle, wenn es um die allgemeinen Pflichten von Finanzinstituten geht, ein sicheres Umfeld für ihre Kunden zu gewährleisten. Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überwacht die Einhaltung dieser Vorschriften und kann bei Verstößen einschreiten. Die Banken sind verpflichtet, angemessene Sicherheitsstandards zu implementieren und ihre Kunden über Risiken wie Banking Trojaner aufzuklären. Weitere Informationen finden Sie in unserem Beitrag zu Bank- und Kapitalmarktrecht.

Eine besondere Herausforderung stellt der Nachweis dar, dass die Transaktion tatsächlich durch einen Banking Trojaner manipuliert wurde und nicht durch eine bewusste Handlung des Kunden. Hier sind technische Gutachten oft unerlässlich. Die Banken müssen nachweisen, dass ihre Sicherheitssysteme den Anforderungen entsprechen und keine Schwachstellen bestanden, die den Angriff durch den Banking Trojaner begünstigt hätten. Unser Fachartikel über KI-Betrug beim Online-Banking bietet weitere Einblicke in die sich entwickelnde Bedrohungslandschaft.

Sofortmaßnahmen bei einem Angriff durch Banking Trojaner

Wenn Sie den Verdacht haben, Opfer eines Banking Trojaners geworden zu sein, ist schnelles Handeln entscheidend, um weiteren Schaden zu begrenzen:

• Zugang zum Online-Banking sperren: Kontaktieren Sie umgehend Ihre Bank und lassen Sie Ihren Online-Banking-Zugang sperren. Nutzen Sie hierfür die offizielle Notrufnummer oder die Sperrhotline (zum Beispiel die zentrale Rufnummer 116 116).
• Computer/Smartphone vom Netz trennen: Trennen Sie das betroffene Gerät sofort vom Internet (WLAN deaktivieren, Netzwerkkabel ziehen), um eine weitere Kommunikation des Banking Trojaners mit den Tätern zu unterbinden.
• Beweismittel sichern: Erstellen Sie Screenshots von verdächtigen Kontoauszügen, E-Mails oder Fehlermeldungen. Notieren Sie sich alle relevanten Daten wie Zeitpunkte, Beträge und Empfängerkonten.
• Strafanzeige erstatten: Erstatten Sie unverzüglich Anzeige bei der Polizei. Dies ist nicht nur wichtig für die Strafverfolgung, sondern auch oft eine Voraussetzung für die Geltendmachung Ihrer Ansprüche gegenüber der Bank.
• Antivirenprogramm nutzen: Führen Sie einen vollständigen Scan des betroffenen Geräts mit einem aktuellen und zuverlässigen Antivirenprogramm durch, um den Banking Trojaner zu identifizieren und zu entfernen.
• Passwörter ändern: Ändern Sie alle Passwörter, insbesondere die für E-Mail-Konten und andere sensible Online-Dienste, nachdem Sie sichergestellt haben, dass Ihr Gerät sauber ist. Nutzen Sie hierfür ein sicheres Gerät.
• Bank informieren: Informieren Sie Ihre Bank detailliert über den Vorfall und reichen Sie alle gesicherten Beweismittel ein.

Geld zurückfordern und Ansprüche durchsetzen

Die Rückforderung Ihres Geldes nach einem Angriff durch einen Banking Trojaner erfordert ein strategisches Vorgehen. Wie bereits erwähnt, liegt die primäre Haftung für nicht autorisierte Zahlungsvorgänge bei der Bank, es sei denn, Sie haben grob fahrlässig gehandelt.

• Kommunikation mit der Bank: Dokumentieren Sie jede Kommunikation mit Ihrer Bank. Fordern Sie eine schriftliche Bestätigung über die Sperrung Ihres Kontos und die Einleitung der Rückabwicklung der unautorisierten Transaktionen.
• Beweislast der Bank: Die Bank muss beweisen, dass Sie grob fahrlässig gehandelt haben. Dies ist oft schwierig für die Bank, insbesondere wenn keine offensichtlichen Handlungen Ihrerseits erkennbar sind, die direkt zum Einbruch des Banking Trojaners geführt haben. Ein Beispiel für grobe Fahrlässigkeit könnte das bewusste Herunterladen von Software aus unseriösen Quellen oder das Weitergeben von Zugangsdaten sein.
• Anwaltliche Unterstützung: Es ist ratsam, frühzeitig einen auf Bank- und Kapitalmarktrecht spezialisierten Anwalt zu konsultieren. Ein erfahrener Anwalt kann die Sachlage bewerten, Ihre Ansprüche fundiert gegenüber der Bank geltend machen und die notwendigen Schritte einleiten. Er kann die Kommunikation mit der Bank übernehmen und Sie während des gesamten Prozesses unterstützen, um sicherzustellen, dass Ihre Rechte gewahrt bleiben. Unser Team ist spezialisiert auf Bank- und Kapitalmarktrecht und kann Ihnen hierbei zur Seite stehen.
• Schadensersatzansprüche: Neben der Erstattung des unautorisiert abgebuchten Betrags können unter Umständen auch weitere Schadensersatzansprüche, etwa für entstandene Kosten für die Rechtsverfolgung oder für die Wiederherstellung der Sicherheit Ihrer Systeme, geltend gemacht werden.

Fazit

Banking Trojaner stellen eine ernstzunehmende Bedrohung für die Sicherheit im Online-Banking dar. Die Folgen können für Betroffene gravierend sein. Das deutsche Recht bietet jedoch einen starken Schutz für Verbraucher. Die primäre Haftung der Bank für nicht autorisierte Zahlungsvorgänge nach § 675u BGB gibt Geschädigten eine gute Ausgangsposition. Es ist jedoch entscheidend, im Falle eines Angriffs schnell und korrekt zu handeln. Eine frühzeitige Meldung an die Bank und die Polizei sowie die Sicherung von Beweismitteln sind unerlässlich. Die Einschaltung eines erfahrenen Fachanwalts für Bank- und Kapitalmarktrecht kann den Unterschied ausmachen, um Ihre Ansprüche erfolgreich durchzusetzen und Ihr Geld zurückzuerhalten. Bleiben Sie wachsam und schützen Sie Ihre digitalen Finanzen.

Verjährungsfristen beachten: Schadensersatzansprüche verjähren nach § 195 BGB regelmäßig innerhalb von drei Jahren. Der Fristbeginn richtet sich nach § 199 BGB und ist kenntnisabhängig – die Frist beginnt erst mit dem Schluss des Jahres, in dem der Geschädigte Kenntnis vom Schaden und der Person des Ersatzpflichtigen erlangt hat. Unabhängig von der Kenntnis verjähren Ansprüche spätestens nach zehn Jahren.

BaFin-Aufsicht und Lizenzpflicht: Finanzdienstleistungsunternehmen benötigen nach § 32 KWG eine Erlaubnis der BaFin. Anbieter ohne diese Lizenz handeln rechtswidrig. Die BaFin veröffentlicht auf ihrer Website Warnmeldungen zu unerlaubt tätigen Unternehmen. Eine Überprüfung in der BaFin-Unternehmensdatenbank gehört zu den wichtigsten Vorsichtsmaßnahmen vor jeder Investition.

Die Maschen überschneiden sich häufig mit verwandten Betrugsformen. Pig Butchering nutzt langfristigen Beziehungsaufbau, Fake-Trading-Plattformen arbeiten mit manipulierten Dashboards. In beiden Fällen sollte eine Strafanzeige zeitnah erstattet werden.

Einen Überblick über gängige Betrugsformen bietet unser Beitrag zu Internetbetrug. Wer die Warnsignale für Anlagebetrug kennt, kann sich besser vor Vermögensschäden schützen. Bei Telefonbetrug (Vishing) geben sich Täter als Bankmitarbeiter aus, um TAN-Freigaben zu erschleichen.

Nach einem Betrugsfall werden Geschädigte häufig Ziel von Recovery Scams: Vermeintliche Rückholexperten versprechen die Wiederbeschaffung verlorener Gelder – gegen Vorauszahlung. Auch Krypto-Betrug nutzt häufig ähnliche Manipulationstechniken. Seriöse anwaltliche Beratung erfordert keine Vorleistung des Mandanten.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Banking Trojaner