Phishing-Angriff auf den Kunden der comdirect / Commerzbank AG

Der Fall

Aktuell erhalten wir wiederholt Anfragen, wonach Kunden der comdirect, einer Marke der Commerzbank AG, Opfer eines Phishing-Angriffs geworden sind.

Gemeinsam ist diesen aktuellen Anfragen bis dato, dass diese Bankkunden zwar wissen, dass Sie Opfer eines betrügerischen Angriffs geworden sind, weil ihr Konto durch Überweisungen an Dritte geleert wurde, nicht aber, auf welche Weise die Täter an die dafür nötigen Daten kommen konnten. Die Bezeichnung „Phishing-Angriff“ ist insofern also nicht ganz korrekt, weil sie üblicherweise so verstanden wird, dass durch unbewusste Mitwirkung des Opfers Kontozugangsdaten oder andere sensible Daten an die Täter gelangen. In den uns derzeit vorliegenden Fällen können sich die Opfer des „digitalen Banküberfalls“ indes überhaupt nicht erklären, woher die Täter derlei Daten gehabt haben sollen. Denn auch bei angestrengtem Nachdenken kommt ihnen keine Situation in Erinnerung, bei der sie unbewusst sensible Daten losgeworden sein könnten. Sie wurden auch schlicht nie danach gefragt, egal auf welchem Weg (E-Mail, Anruf, SMS usw.).

Allerdings legen manche Schilderungen nahe, dass die Täter parallel einen Angriff auf den Mobilfunkanbieter des Bankkunden gestartet und es geschafft haben, sich eine eSIM-Karte zu verschaffen, die mit dem Mobilfunkvertrag des Bankkunden verknüpft ist.

Empfehlung

Wenn völlig offen ist und auch bleibt, wie den Tätern der Angriff auf das Konto des Bankkunden gelingen konnte, sind die Chancen, Ansprüche gegen die eigene Bank auf Wiedergutschrift geltend zu machen, gut. Denn eine Bank ist sowohl dafür in der Beweislast, dass der Bankkunde die Überweisungen (angeblich) selbst autorisiert habe, wie auch dafür, dass er sich einen grob fahrlässigen Verstoß gegen Sorgfaltspflichten vorwerfen lassen muss, der zu einem Schadensersatzanspruch der Bank führen kann. Ist (und bleibt) aber schon offen, was der Kunde überhaupt falsch gemacht haben soll, stellt sich die Frage, ob er beim Nichtstun grob fahrlässig war, von vorn herein nicht.

Bankkunden, die sich absolut sicher sind, nichts falsch gemacht zu haben, dürfen und sollten diesen Standpunkt auch beibehalten und vertreten. Mit anderen Worten sollten sie sich nicht dazu verleiten lassen, in der Kommunikation mit der Bank, vielleicht gar auf erhebliches Insistieren hin, irgendwelche Vermutungen ins Blaue hinein dazu anzustellen, wo vielleicht etwas passiert hätte sein können, selbst wenn man sich daran beim besten Willen nicht erinnern kann. Denn „alles was Sie sagen, wird im Zweifel gegen Sie verwendet werden“ oder zumindest wird es im Zweifel versucht werden. Dem kann uns sollte man, wenn es denn die Wahrheit ist, von vorn herein aus dem Weg gehen.