Die Tage im Juni 2023 wird Franz Neubauer nicht so schnell vergessen. Kriminelle hatten sich Zugriff auf sein Geschäftskonto bei der Bank Austria verschafft und innerhalb von 23 Minuten 17 Auslandsüberweisungen durchgeführt, dem Geschäftsmann entstand dadurch laut Eigenangabe ein Schaden in Höhe von 257.560 Euro. Die Bank reagierte Neubauer zufolge nicht auf Anrufe und setzte erst am Folgetag Maßnahmen, nachdem er persönlich in eine Filiale gegangen war und dort erneut Alarm geschlagen hatte. Ebenso erhielt er am Folgetag einen Anruf von einer angeblichen Mitarbeiterin der Bank Austria, die ihn zu Überweisungen auf ein anderes Konto drängen wollte – doch auch hier handelte es sich um eine Komplizin der Kriminellen. Der Geschäftsmann lehnte ab und konnte somit zumindest weiteren Schaden verhindern.
Auf Anfrage des STANDARD bei der Bank Austria bedauert man, dass der Geschäftskunde Opfer eines Internetbetrugs wurde, und betont, nach Kenntnisnahme des Betrugs sofort die Kontosperre veranlasst und umgehend alle zur Verfügung stehenden Schritte unternommen zu haben, um den Schaden zu minimieren. Wenn allerdings die Empfängerbank einer bereits durchgeführten betrügerischen Überweisung die Rückbuchung von der Zustimmung des Zahlungsempfängers abhängig mache, könne die Bank des Betrugsopfers nur die Kontodaten des Zahlungsempfängers anfordern. Das Opfer des Betrugs muss seine Ansprüche direkt gegen die Täter geltend machen.
Laut Neubauer wurden viele Gutachten erstellt – dennoch sei noch unklar, wie die Täter Zugriff auf sein Konto bekommen haben. Die Bank Austria hat er inzwischen geklagt, die Hauptverhandlung findet am 10. Juni in Wien statt. Der Fall wirft angesichts der wachsenden Bedrohungen aber auch Fragen auf: Was ist tatsächlich zu tun, wenn das eigene Konto gehackt wurde? Wann ist eine Rücküberweisung möglich? Und wie kann man sich vorab schützen? DER STANDARD hat bei drei heimischen Banken und zwei internationalen Onlinebanken nachgefragt.
Was im Schadensfall zu tun ist
Tritt der Schadensfall ein und werden verdächtige Kontobewegungen festgestellt, so raten die drei befragten österreichischen Finanzinstitute – Erste Bank, Bank Austria und die Raiffeisenlandesbanken – zu einer möglichst raschen Kontaktaufnahme mit der Bank. Parallel dazu sollte der Zugang zum Electronic Banking und/oder gegebenenfalls auf Debit- und Kreditkarten entweder eigenhändig gesperrt oder dies über eine Sperrhotline der Bank veranlasst werden.
Der Berater übernimmt anschließend die Koordination der notwendigen Schritte, wie es unter anderem aus der Raiffeisenlandesbank Oberösterreich heißt: Die Maßnahmen umfassen unter anderem die Einleitung von Zahlungsrückrufen sowie die Analyse des Betrugsvorgangs und möglicher Erstattungspflichten gemäß Zahlungsdienstegesetz. Jeder Fall werde separat betrachtet, bei Verdacht auf Betrug werden Maßnahmen zum Schutz des Kunden eingeleitet, bei Bedarf wird der Kunde mit neuen Zugangsdaten ausgestattet.
Wann ist eine Rücküberweisung möglich?
Allerdings ist eine Rücküberweisung des Auftrags an die Betrüger oft nur schwer möglich, wie es nicht nur im eingangs erwähnten Fall der Bank Austria vorkam, sondern auch von der Erste Bank geschildert wird. Grundsätzlich habe eine Bank, nachdem die Zahlung seitens ihres Kunden autorisiert worden ist, keine Möglichkeit mehr, die Zahlung "zurückzuholen", heißt es da: Die Autorisierung sei erfolgt, sobald ein Kunde die Durchführung einer Zahlung unter Nutzung der mit der Bank vereinbarten Freigabemethode bestätigt.
Denn eine Bank unterliegt dem Zahlungsdienstegesetz (ZaDiG) und ist laut diesem grundsätzlich verpflichtet, vom Kunden autorisierte Zahlungen durchzuführen. Als Schutz- und Kontrollmaßnahme dient der Autorisierungsprozess im Sinne der bekannten Zwei-Faktor-Authentifizierung: Neben dem Wissen (beispielsweise eines Pin-Codes) ist noch eine weitere Authentifizierung über etwas, das der Kunde besitzt (zum Beispiel eine Zahlungskarte), oder etwas, das ihm als Mensch inhärent ist (etwa ein biometrisches Merkmal wie ein Fingerabdruck), nötig.
Zwar können sich die Banken bemühen, mit der Empfängerbank Kontakt aufzunehmen, doch eine Rücküberweisung ist von der Zustimmung des Zahlungsempfängers abhängig – im Fall von Kriminellen äußerst unwahrscheinlich. Am Rande wird von der Erste Bank auch erwähnt, dass Echtzeitüberweisungen Betrügern den Erhalt des Geldes erleichtern, da sie die Beute somit rasch weiterüberweisen oder unmittelbar abheben können.
In diesem Kontext verweist man auch bei der Internet-Ombudsstelle darauf, dass es in wenigen Fällen möglich wäre, innerhalb weniger Stunden eine noch nicht durchgeführte Überweisung zu stoppen, einmal überwiesenes Geld aber nicht zurückgeholt werden kann. Verwiesen wird von der Ombudsstelle auch darauf, dass die Banken allein für die Versuche einer solchen Rückbuchung ihren Kunden Gebühren in Rechnung stellen können.
Falsche Überweisungen bei Kreditkarten
Ähnliches gilt bei der Abbuchung von Zahlungen via Kreditkarte, wie DER STANDARD im September 2023 anhand einer Betrugsmasche rund um die Buchungswebsite booking.com erläutert hatte. Im dort geschilderten Fall wurde das Opfer über eine Phishing-Mail zur Eingabe von Kreditkartendaten verleitet und autorisierte die Überweisung zudem über einen zweiten Faktor, Visa Secure. Und durch diese bewusste Autorisierung entfiel der Anspruch, die Überweisung zu stoppen.
Dies ist kein Einzelfall, sondern die Regel, wie man bei der Erste Bank erläutert: Denn auch hier handelt es sich um eine autorisierte Zahlung. Und um diese zu stoppen, wäre die Zustimmung des Empfängers nötig. Die Möglichkeit einer Reklamierung einer Zahlung über das sogenannte Chargeback-Verfahren via Kreditkarte ist demnach nur unter bestimmten Voraussetzungen möglich, wie sie auch bei der Internet-Ombudsstelle erläutert werden.
Dazu gehört vor allem, dass das Opfer die Zahlung nicht selbst autorisiert hat. In dem Fall muss das Kreditkartenunternehmen die Zahlung laut Ombudsstelle unverzüglich zurückerstatten. Das gilt zum Beispiel auch, wenn ein minderjähriges Kind ohne Zwei-Faktor-Authentifizierung mit der Kreditkarte der Eltern Zahlungen in einem Handyspiel tätigt oder wenn nach einer bereits autorisierten Zahlung weitere Abbuchungen erfolgt sind. Verweigern kann das Kreditkartenunternehmen die Rückzahlung wiederum unter anderem bei schwerer Verletzung der Sorgfaltspflicht.
Wie man sich vorab schützt
Die beste Maßnahme gegen Betrug ist aber freilich die Prävention. Und dementsprechend sparen sowohl die drei heimischen Banken als auch die internationalen Banken Revolut und N26 nicht mit Ratschlägen zum Selbstschutz. Unisono wird dabei betont, dass keine Login-Daten oder andere Mittel der Authentifizierung an Dritte gegeben werden sollten und dass Angestellte der Banken ihre Kunden niemals nach den Zugangsdaten des Kontos fragen werden. Erhält man Anfragen zur Bekanntgabe der Daten, so rät die RLB OÖ: die E-Mail oder die SMS sofort löschen, das Telefonat beenden, keine Daten bekanntgeben und keine Links öffnen. Und rasch die eigene Hausbank über die bekannten Kanäle kontaktieren.
Von der Bank Austria wird auch betont, dass die Transaktion des eingangs erwähnten Falls nicht möglich gewesen wäre, ohne dass der Geschäftsführer des geschädigten Unternehmens selbst tätig wird, also die Verfügernummer, TAN und PIN eingibt oder weitergibt. Besondere Skepsis ist angebracht, wenn man unerwartet kontaktiert wird oder Druck ausgeübt wird, schnell zu handeln.
Zudem wird zum Beispiel von der Erste Bank empfohlen, vor jeder Freigabe einer Zahlung noch einmal genau zu prüfen, welcher Betrag an welchen Empfänger gesendet werden soll. Es sollten keine Zahlungen freigegeben werden, die man nicht von selber gestartet hat. Die Onlinebank N26 betont die Existenz eines "Diskretionsmodus", mit dem heikle Informationen ausgeblendet werden können, wenn Kunden zum Beispiel in öffentlichen Verkehrsmitteln mit dem Smartphone auf ihr Konto zugreifen. Außerdem ist es möglich, bestimmte Überweisungen – etwa ins Ausland – zu unterbinden oder Limits festzulegen sowie sich über Push-Nachrichten über Transaktionen informieren zu lassen.
Revolut: Keine Banklizenz in Großbritannien
Der heimische Fall ist jedoch längst nicht der einzige, bei dem Geld von einem Konto entwendet wurde und der Kunde anschließend Unmut über das Verhalten der Bank zeigte. So berichtete der britische "Guardian" am 10. April 2024 von einem Kunden der Onlinebank Revolut, dem mit 38 Buchungen 40.000 britische Pfund entwendet wurden. Revolut habe nach zehn Tagen aufgegeben, das Geld von den Tätern zurückzufordern.
In diesem Kontext wird unter anderem ersichtlich, dass Revolut zwar in der EU über eine Banklizenz verfügt, nicht aber in Großbritannien. Auch gibt es in Großbritannien zwar eine freiwillige Vereinbarung, laut der Banken ihre Kunden entschädigen, wenn diese ohne grobe Fahrlässigkeit Opfer eines Hacks wurden – Revolut hat diese Vereinbarung jedoch nicht unterschrieben.
Künstliche Intelligenz
Auf Anfrage des STANDARD betont man bei Revolut, dass man jeden Fall bedauere, bei dem Kunden Opfer eines skrupellosen Betrugs wurden und dass jeder potenzielle Betrugsfall "von uns sorgfältig untersucht und unabhängig von anderen Fällen bewertet" wird.
Wie andere Banken gibt auch Revolut Tipps zum Schutz vor Phishing und betont, dass intern diverse Maßnahmen zur Bekämpfung der Cyberkriminalität gesetzt werden. Ein besonderer Fokus liegt bei Revolut auf dem "datengetriebenen Ansatz", bei dem KI-Modellierungen eingehender und ausgehender Transaktionen bei der Identifizierung von Betrugsaktivitäten helfen sollen. Mehr als eine halbe Milliarde Transaktionen pro Monat werden analysiert, über 4000 Menschen arbeiten im Financial-Crime-Team, betont man bei der Neo-Bank. Auch Konkurrent N26 erwähnt den verstärkten Einsatz von KI zur Betrugsbekämpfung.
Künstliche Intelligenz wird aber nicht nur von den Banken, sondern auch von den Kriminellen zunehmend eingesetzt, wie es unter anderem bei der Bank Austria heißt: So kann bei KI-gesteuerten Phishing-Mails der Schreibstil von Personen besser nachgeahmt werden, was die Erkennung durch Spam-Filter erschwert. Zudem kann KI zur Erstellung von gefälschten Bildern, Stimmen oder gar Videos beitragen. An anderer Stelle werden unrealistische Renditen durch KI-getriebenen Wertpapierhandel versprochen und somit Menschen in betrügerische Investmentpläne gelockt. Und schließlich wird auch an dieser Stelle gewarnt, sensible Daten nicht weiterzugeben – auch nicht an Chatbots.
Sonderfälle: Lastschrift und Einzugsverfahren
Doch zurück zur Frage, ob Überweisungen rückgängig gemacht werden können – denn hier gibt es noch einen Sonderfall: die Sepa-Lastschrift. Diese kann im Gegensatz zu Überweisungen und Kreditkartenzahlungen nämlich sehr wohl rückgängig gemacht werden, und zwar innerhalb von acht Wochen.
Dazu wird die Bank kontaktiert und die Rückbuchung eingefordert, eine Begründung ist nicht nötig. Sichergehen sollte man dabei, dass der Empfänger der Zahlung keine gültige Zahlungsforderung hat. In jedem Fall sollte die Lastschrift beim Empfänger also auch widerrufen werden, wenn es sich zum Beispiel um ein – mehr oder weniger absichtlich abgeschlossenes – Abo handelt.
Ähnliches gilt, wenn Abbuchungen im Einzugsverfahren von einem Paypal-Account gestoppt werden sollen. Auch dies ist direkt in der Verwaltung des Accounts möglich – sofern hier von der anderen Seite kein berechtigter Anspruch zum Abbuchen besteht. Was bei Kriminellen selten der Fall ist. (Stefan Mey, 20.4.2024)