1. Ausgangslage
Im vorliegenden Fall wurde eine betroffene Person Opfer eines Phishing-Angriffs. Die betroffene Person erhielt eine Mail. In dieser Mail wurde die Person aufgefordert binnen zwei Tagen Ihre PushTan zu aktualisieren, andernfalls sei Neuregistrierung erforderlich. Die betroffene Person klickte daher auf den Link in der Mail, der sich wie sich später rausstellte zu einer gefälschten Webseite führte. Dort gab Sie zumindest Ihr Geburtsdatum sowie die Nummer Ihrer EC Karte ein. Im Anschluss erhielt Sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTan Verfahren. Am nächsten Tag bemerkte Sie, dass durch zwei Echtzeit Überweisungen knapp 41.000 € auf ein Konto in Estland überwiesen worden waren.
3. Prüfung durch das Finanzinstitut
Das Finanzinstitut prüfte den Vorgang gemäß den geltenden Sicherheitsrichtlinien. Dabei wurde festgestellt:
- Die Phishing-Mail wies typische Erkennungsmerkmale auf (z. B. fremde Absenderdomain, fehlerhafte Sprache, ungewöhnliche Aufforderung zur Datenfreigabe).
- Die Kundin/der Kunde hatte mehrfache und aktuelle Sicherheitshinweise erhalten, besonders zur Nutzung des Zwei-Faktor-Authentifikationsverfahrens und zur Gefahr von Phishing-Links.
- Der Zugriff erfolgte nicht über die offiziellen Kanäle, sondern über eine fremde, nachweislich manipulierte Website.
4. Bewertung: Grobe Fahrlässigkeit
Im Ergebnis wurde das Verhalten der betroffenen Person vom OLG Oldenburg als grob fahrlässig eingestuft. Grobe Fahrlässigkeit liegt vor, wenn grundlegende, leicht erkennbare Sicherheitsregeln missachtet werden und das Fehlverhalten “jedem verständigen Menschen” auffallen müsste. So habe die betroffene Person mehrere Warnhinweise ignoriert Zu den entscheidenden Punkten gehörten u.a . dass die Mail mehrere Rechtsschreibefehler enthielt. Ebenso eine unpersönliche Anrede (Sehr geehrter Kunde)
6. Schlussfolgerung
Der Vorfall zeigt, dass trotz umfangreicher Sicherheitsmaßnahmen weiterhin ein erhebliches Risiko durch Phishing-Angriffe besteht. Dies sollte mit Mitarbeitern, die Kontozugriff haben besprochen und geschult werden.
Bei grob fahrlässigem Umgang mit Zugangsdaten kann eine Erstattung des Schadens durch das Finanzinstitut rechtlich ausgeschlossen sein.
Gerne schulen wir Ihr Personal und helfen Ihnen Ihr Unternehmen datenschutzkonform aufzustellen