Es war ein ganz normaler Dienstagmorgen, als mein Mann Stefan mit hochrotem Kopf in die Küche gestürmt kam. „Schatz, da stimmt was nicht!", rief er und wedelte mit seinem Handy. „Die Sparkasse schreibt, unser Konto sei gesperrt und wir müssten uns sofort über einen Link einloggen!" Ich stellte gerade die Kaffeetasse ab und schaute mir die Nachricht genauer an. Der Absender hieß „Sparkase" – mit nur einem S. Ein kleiner Tippfehler, der uns fast 12.000 Euro gekostet hätte. Diese Geschichte ist der Anfang unserer intensiven Auseinandersetzung mit Online-Banking-Betrug, Haftungsfragen und der schmalen Grenze zwischen Bankverantwortung und Eigenverantwortung. Was wir in den letzten zwei Jahren erlebt und gelernt haben, möchten wir heute mit euch teilen – nicht als Experten, sondern als ganz normale Menschen, die beinahe in die Falle getappt wären und daraus gelernt haben.
Der erste richtige Schock kam drei Monate später, als tatsächlich Geld von unserem Konto verschwand. Stefan hatte morgens noch schnell eine Überweisung gemacht, mittags waren plötzlich 1.850 Euro weg – überwiesen an einen uns unbekannten Empfänger in Litauen. Die Panik war groß. Wir riefen sofort bei der Bank an, aber die Dame in der Hotline klang wenig optimistisch: „Da müssen wir erst prüfen, ob Sie nicht grob fahrlässig gehandelt haben." Grob fahrlässig? Wir hatten doch gar nichts gemacht! Oder doch? Die nächsten Wochen wurden zu einem Crashkurs in Sachen Online-Banking-Sicherheit und Haftungsrecht, den wir so nie geplant hatten.
Die rechtliche Grundlage beim Online-Banking ist eigentlich eindeutig – zumindest in der Theorie. Laut Paragraf 675u BGB haftet grundsätzlich die Bank für nicht autorisierte Zahlungsvorgänge. Das bedeutet, wenn jemand ohne eure Erlaubnis Geld von eurem Konto abbucht, muss die Bank den Schaden ersetzen. Klingt beruhigend, oder? Der Haken kommt mit dem kleinen Wörtchen „grundsätzlich". Denn es gibt Ausnahmen, und die haben es in sich. Wenn ihr grob fahrlässig oder gar vorsätzlich gehandelt habt, könnt ihr auf dem Schaden sitzen bleiben. Was das konkret bedeutet, mussten wir am eigenen Leib erfahren. Die Bank wollte nämlich wissen: Wo bewahren wir unsere PIN auf? Haben wir sie jemandem verraten? Waren wir auf einer gefälschten Banking-Seite? Haben wir eine TAN weitergegeben?
Die Definition von grober Fahrlässigkeit ist dabei der Knackpunkt. Ein Anwalt, den wir konsultierten, erklärte es uns so: „Stellen Sie sich vor, Sie lassen Ihr Auto mit steckendem Schlüssel vor dem Supermarkt stehen. Das wäre grob fahrlässig. Beim Online-Banking ist es ähnlich: Wenn Sie Ihre PIN auf einen Zettel schreiben und in die Handyhülle stecken, handeln Sie grob fahrlässig." Aber wo genau verläuft die Grenze? Das Landgericht München hat 2019 entschieden, dass selbst das Speichern der PIN im Smartphone grob fahrlässig sein kann. Andererseits urteilte das OLG Köln 2020, dass nicht jeder Phishing-Angriff automatisch grobe Fahrlässigkeit des Kunden bedeutet – besonders wenn die Fälschung sehr professionell war.
In unserem Fall stellte sich heraus, dass Stefans Laptop mit einem Trojaner infiziert war. Dieser hatte unsere Banking-Daten ausgespäht und die Überweisung im Hintergrund manipuliert. Stefan hatte auf dem Bildschirm eine Überweisung von 85 Euro an unseren Stromanbieter gesehen, tatsächlich gingen aber 1.850 Euro nach Litauen. Diese Art von Man-in-the-Middle-Angriff ist besonders tückisch, weil man als Nutzer alles richtig zu machen glaubt. Die Bank argumentierte zunächst, wir hätten unseren Computer nicht ausreichend geschützt. Wir hatten zwar ein Antivirenprogramm, aber die kostenlose Version, und das letzte Update war drei Monate her.
Der Kampf mit der Bank zog sich über vier Monate. Wir sammelten Beweise: Screenshots vom infizierten System, Protokolle vom Antivirenhersteller, der bestätigte, dass dieser spezielle Trojaner erst zwei Tage vor unserem Vorfall bekannt wurde. Wir dokumentierten, dass wir regelmäßig – wenn auch nicht täglich – Updates installiert hatten. Der Durchbruch kam, als unser Anwalt auf ein BGH-Urteil von 2021 verwies: Die Bank muss beweisen, dass der Kunde grob fahrlässig gehandelt hat, nicht umgekehrt. Und dieser Beweis gelang der Bank nicht. Nach vier Monaten, unzähligen Briefen und 450 Euro Anwaltskosten bekamen wir unser Geld zurück – plus Zinsen.
Das Thema Phishing-Mails verdient besondere Aufmerksamkeit, weil es die häufigste Betrugsform ist. Wir bekommen mittlerweile wöchentlich gefälschte E-Mails von angeblichen Banken, Paketdiensten oder Behörden. Die Qualität dieser Fälschungen hat sich dramatisch verbessert. Früher erkannte man sie an schlechtem Deutsch und pixeligen Logos. Heute sehen sie täuschend echt aus. Ein Beispiel: Letzte Woche bekam ich eine Mail von „Amazon", die mich über eine verdächtige Bestellung informierte. Logo perfekt, Formatierung wie immer, sogar meine Lieferadresse stimmte. Nur ein Detail verriet die Fälschung: Die E-Mail-Adresse des Absenders endete auf „.amazone-service.com" statt „.amazon.de". Hätte ich auf den Link geklickt und meine Daten eingegeben, wäre das grobe Fahrlässigkeit gewesen – die Bank hätte nicht gehaftet.
Die Zwei-Faktor-Authentifizierung ist mittlerweile Pflicht beim Online-Banking, aber auch hier gibt es Fallstricke. Die klassische TAN-Liste auf Papier gilt als unsicher, mTAN per SMS ist besser, aber auch nicht unknackbar – Stichwort SIM-Swapping. Dabei erschleichen sich Betrüger eine neue SIM-Karte mit eurer Nummer und fangen die SMS-TANs ab. Das sicherste Verfahren ist derzeit die App-basierte TAN oder ein TAN-Generator. Aber Vorsicht: Wenn ihr die TAN-App auf demselben Gerät habt wie die Banking-App, hebelt ihr die Zwei-Faktor-Authentifizierung aus. Das kann im Schadensfall als grobe Fahrlässigkeit ausgelegt werden. Wir nutzen jetzt konsequent zwei getrennte Geräte: Stefan macht Banking am Laptop, die TAN kommt aufs Handy.
Ein besonders perfider Trick, der uns fast erwischt hätte, war der Anruf eines angeblichen Bank-Mitarbeiters. Die Stimme klang professionell, er kannte unsere Kundennummer und die letzten vier Stellen unserer IBAN. Er warnte uns vor verdächtigen Aktivitäten auf unserem Konto und wollte uns helfen, unser Geld zu sichern. Dafür bräuchte er nur eine TAN zur Verifizierung. Stefan war schon dabei, die App zu öffnen, als ich dazwischengegangen bin. „Moment mal, die Bank ruft doch nie an und fragt nach TANs!" Wir legten auf und riefen die echte Bank an. Tatsächlich: Es war ein Betrüger. Woher er unsere Daten hatte? Wahrscheinlich aus einem Datenleck. Die gibt es häufiger, als man denkt.
Die Frage der Beweislast ist zentral bei Online-Banking-Betrug. Grundsätzlich muss die Bank nachweisen, dass eine Transaktion autorisiert war. Das macht sie meist über die Protokolle: Wurde die richtige PIN eingegeben? Wurde eine gültige TAN verwendet? Wenn ja, gilt die Transaktion erstmal als autorisiert. Dann müsst ihr beweisen, dass ihr die Transaktion nicht veranlasst habt. Das ist oft schwierig. In unserem Fall half uns, dass wir zum Zeitpunkt der Transaktion nachweislich beim Zahnarzt waren – 50 Kilometer vom heimischen Computer entfernt. Die Praxisbestätigung und die Tankquittung von der Rückfahrt waren unsere Rettung.
Eine wichtige Lektion lernten wir beim Thema Haftungsobergrenzen. Selbst wenn ihr fahrlässig – aber nicht grob fahrlässig – handelt, ist eure Haftung auf 50 Euro begrenzt. Das steht in Paragraf 675v BGB. Aber Achtung: Diese Grenze gilt nur, wenn ihr die Bank unverzüglich informiert, sobald ihr den Betrug bemerkt. „Unverzüglich" bedeutet juristisch „ohne schuldhaftes Zögern". Wenn ihr also Freitagabend merkst, dass etwas nicht stimmt, solltet ihr nicht bis Montag warten. Die meisten Banken haben eine 24/7-Hotline zum Kartensperren. Diese Nummer solltet ihr immer parat haben – wir haben sie jetzt in beiden Handys eingespeichert.
Die Dokumentation ist das A und O bei Online-Banking-Problemen. Nach unserer Erfahrung haben wir ein System entwickelt: Wir machen von jeder Online-Banking-Sitzung Screenshots, besonders von wichtigen Transaktionen. Die speichern wir in einem verschlüsselten Ordner. Klingt paranoid? Vielleicht. Aber als die Bank behauptete, wir hätten eine bestimmte Überweisung selbst veranlasst, konnten wir mit den Screenshots das Gegenteil beweisen. Auch E-Mails von der Bank drucken wir aus oder speichern sie als PDF. Man weiß nie, wann man sie braucht. Und führt ein Haushaltsbuch! Wenn ihr genau wisst, welche Abbuchungen legitim sind, merkt ihr Betrug schneller.
Ein Aspekt, der oft unterschätzt wird, ist die psychologische Komponente von Online-Banking-Betrug. Die Scham, darauf hereingefallen zu sein, ist groß. Viele Opfer melden den Betrug deshalb gar nicht. Das ist ein Fehler! Erstens habt ihr nur eine Chance auf Erstattung, wenn ihr es meldet. Zweitens helft ihr anderen, indem die Bank vor neuen Betrugsmaschen gewarnt wird. Wir haben uns anfangs auch geschämt – immerhin halten wir uns für internetaffin. Aber in der Selbsthilfegruppe für Betrugopfer, die wir später besuchten, trafen wir IT-Experten, Banker und sogar einen Kriminalkommissar, die alle Opfer geworden waren.
Das Thema Versicherungen gegen Online-Banking-Betrug ist komplex. Es gibt spezielle Cyberversicherungen für Privatpersonen, die kosten etwa 50 bis 100 Euro im Jahr. Sie decken nicht nur Online-Banking-Betrug ab, sondern auch Schäden durch Identitätsdiebstahl oder Cybermobbing. Wir haben lange überlegt und uns dagegen entschieden. Der Grund: Die meisten Schäden werden ohnehin von der Bank erstattet, wenn man nicht grob fahrlässig war. Und die Versicherungen haben oft so viele Ausschlussklauseln, dass im Ernstfall doch nicht gezahlt wird. Stattdessen investieren wir das Geld lieber in gute Sicherheitssoftware und einen aktuellen Router.
Die technischen Sicherheitsmaßnahmen sind ein Kapitel für sich. Nach unserem Trojaner-Erlebnis haben wir aufgerüstet: Bezahlte Antivirus-Software mit Echtzeitschutz, automatische Updates für Betriebssystem und Browser, regelmäßige Backups. Für Online-Banking nutzen wir jetzt einen eigenen Browser-Benutzer ohne Add-ons und Erweiterungen. Warum? Viele Browser-Erweiterungen können Daten mitlesen. Außerdem haben wir einen separaten, einfachen Laptop nur fürs Banking angeschafft – gebraucht für 200 Euro. Der ist nicht mit unserem Heimnetzwerk verbunden und wird für nichts anderes genutzt. Übertrieben? Vielleicht. Aber die Ruhe, die es uns gibt, ist unbezahlbar.
Ein unterschätztes Risiko sind öffentliche WLANs. Neulich saß Stefan im Café und wollte „nur schnell" den Kontostand checken. Zum Glück erinnerte er sich an unsere neue Regel: Kein Banking über öffentliche WLANs! Das Risiko, dass jemand mitliest, ist einfach zu groß. Wenn es unbedingt sein muss, dann nur über eine VPN-Verbindung. Die kostet etwa 5 Euro im Monat und verschlüsselt eure Datenverbindung. Aber selbst dann würden wir maximal den Kontostand abfragen, niemals Überweisungen tätigen. Zu Hause nutzen wir nur noch WPA3-Verschlüsselung für unser WLAN und haben das Standard-Passwort des Routers geändert – ihr glaubt nicht, wie viele Leute das vergessen!
Die neuen Betrugsmaschen werden immer raffinierter. Deepfakes zum Beispiel – Videos oder Sprachnachrichten, die täuschend echt wirken. Eine Bekannte bekam einen Anruf von ihrer „Tochter", die weinend um Geld bat. Die Stimme klang exakt wie ihre Tochter! Nur dass die gerade friedlich in der Uni-Vorlesung saß. Die Betrüger hatten aus Social-Media-Videos genug Sprachmaterial gesammelt, um die Stimme zu klonen. Bei Geldbitten, selbst von vermeintlich bekannten Personen, immer über einen anderen Kanal rückversichern! Ein kurzer WhatsApp-Anruf hätte genügt, um den Betrug zu entlarven.
Das Thema Limits und Benachrichtigungen haben wir nach unserem Vorfall komplett überarbeitet. Früher war unser Tageslimit bei 5.000 Euro – viel zu hoch für unsere normalen Bedürfnisse. Jetzt sind es 500 Euro, für größere Überweisungen erhöhen wir es temporär. Außerdem haben wir Push-Benachrichtigungen für jede Transaktion aktiviert. Ja, das nervt manchmal, wenn beim Bäcker die 2,30 Euro für die Brötchen gemeldet werden. Aber wir merken sofort, wenn etwas schiefläuft. Eine Freundin hat sich sogar ein Zweitkonto eingerichtet: Auf dem Hauptkonto liegt nur das Geld für die laufenden Ausgaben, der Rest ist auf einem Tagesgeldkonto ohne Online-Banking-Zugang.
Die rechtliche Entwicklung im Bereich Online-Banking-Haftung ist dynamisch. Die PSD2-Richtlinie der EU hat 2019 vieles verbessert. Banken müssen jetzt eine starke Kundenauthentifizierung verlangen, die Haftungsobergrenze wurde gesenkt, und die Beweislast liegt eindeutiger bei der Bank. Trotzdem gibt es Grauzonen. Was ist mit Echtzeitüberweisungen, die nicht mehr rückgängig gemacht werden können? Was, wenn der Betrüger die Überweisung so stückelt, dass sie unter dem Radar bleibt? Ein Urteil des EuGH von 2023 stärkte die Kundenrechte weiter: Banken müssen auch dann haften, wenn der Kunde auf eine sehr professionelle Phishing-Seite hereingefallen ist, solange er nicht „außergewöhnlich sorglos" war.
Ein praktischer Tipp aus unserer Erfahrung: Richtet euch ein Sicherheitskonto ein. Das ist ein Konto bei einer anderen Bank, auf dem ihr einen Notgroschen parkt. Warum? Wenn euer Hauptkonto gesperrt wird – sei es wegen Betrugsverdacht oder weil ihr selbst Opfer wurdet – habt ihr trotzdem Zugriff auf Geld. Das kann Wochen dauern, bis alles geklärt ist. Wir haben das am eigenen Leib erfahren: Vier Wochen lang war unser Konto eingefroren, während die Bank „ermittelte". Ohne das Zweitkonto hätten wir uns Geld leihen müssen.
Die Kommunikation mit der Bank ist entscheidend. Dokumentiert alles schriftlich! Nach unserem Vorfall haben wir jedes Telefonat mit Datum, Uhrzeit und Gesprächsinhalt notiert und uns den Namen des Mitarbeiters geben lassen. E-Mails immer mit Lesebestätigung. Und ganz wichtig: Fristen einhalten! Die Bank setzt oft Fristen für Widersprüche oder Nachweise. Verpasst ihr die, wars das mit der Erstattung. Wir haben uns einen digitalen Kalender eingerichtet, der uns drei Tage vor Ablauf einer Frist erinnert. Klingt übertrieben, aber einmal haben wir eine Frist nur um zwei Stunden geschafft.
Ein besonders heikles Thema ist die Haftung bei Familienmitgliedern. Was, wenn euer Teenager eure Banking-App benutzt und aus Versehen – oder absichtlich – Geld überweist? Grundsätzlich haftet ihr dafür, weil ihr die Zugangsdaten nicht hättet weitergeben dürfen. Selbst bei Ehepartnern ist es kompliziert. Stefan und ich haben jetzt jeder ein eigenes Online-Banking-Login, auch wenn wir auf dasselbe Gemeinschaftskonto zugreifen. So ist klar nachvollziehbar, wer was gemacht hat. Und die Kinder? Die bekommen Jugendkonten mit eigenem, limitiertem Online-Banking. So lernen sie den Umgang, ohne dass große Schäden entstehen können.
Nach zwei Jahren intensiver Beschäftigung mit dem Thema haben wir unsere Lehren gezogen. Online-Banking ist sicher, wenn man die Regeln kennt und befolgt. Die Banken haften in den meisten Fällen, aber man muss seine Rechte kennen und durchsetzen. Grobe Fahrlässigkeit ist der Knackpunkt – und die Grenze ist nicht immer klar. Deshalb: Lieber einmal zu vorsichtig als einmal zu sorglos. Wir haben eine Checkliste entwickelt, die wir vor jeder Banking-Sitzung durchgehen: Ist die URL korrekt? Ist das Sicherheitszertifikat gültig? Sind wir im richtigen WLAN? Ist die Software aktuell? Klingt aufwändig, wird aber zur Routine.
Die emotionale Belastung durch Online-Banking-Betrug darf man nicht unterschätzen. Das Gefühl, dass jemand in deine finanzielle Privatsphäre eingedrungen ist, sitzt tief. Wir haben Wochen gebraucht, um wieder Vertrauen ins Online-Banking zu fassen. Die Selbsthilfegruppe hat geholfen, aber auch die Erkenntnis: Wir sind nicht dumm oder naiv, wir sind Opfer von Kriminellen geworden. Das kann jedem passieren. Die Betrüger werden immer raffinierter, die Technik immer ausgefeilter. Umso wichtiger ist es, wachsam zu bleiben und sich zu informieren.
Ein Aspekt, den viele vergessen: Die Verjährung. Ansprüche gegen die Bank wegen unauthorisierter Zahlungen verjähren nach drei Jahren. Aber: Die Frist beginnt erst, wenn ihr von dem Schaden erfahrt. Deshalb ist es so wichtig, regelmäßig die Kontoauszüge zu prüfen. Wir machen das jetzt wöchentlich, immer sonntags beim Frühstück. Klingt spießig, aber so entgeht uns nichts. Einmal haben wir dabei eine kleine Abbuchung von 4,99 Euro entdeckt, die sich als Abo-Falle entpuppte. Schnell gekündigt, Geld zurückgefordert, Problem gelöst.
Die Zukunft des Online-Bankings sieht technisch vielversprechend aus. Biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung machen es Betrügern schwerer. Die künstliche Intelligenz der Banken wird besser darin, ungewöhnliche Transaktionen zu erkennen. Aber die Betrüger schlafen nicht. Quantum Computing könnte heutige Verschlüsselungen knacken. Deepfakes werden noch überzeugender. Der Wettlauf zwischen Sicherheit und Kriminalität geht weiter. Unsere Strategie: Informiert bleiben, vorsichtig sein, aber nicht paranoid werden. Das Leben ist zu kurz, um in ständiger Angst zu leben.
Was würden wir heute anders machen? Wir hätten früher in Sicherheit investiert – nicht erst, nachdem das Kind in den Brunnen gefallen war. Wir hätten uns früher über unsere Rechte informiert. Und wir hätten früher verstanden, dass Online-Banking-Sicherheit kein einmaliges Projekt ist, sondern eine dauerhafte Aufgabe. Wie das Zähneputzen – man macht es täglich, ohne groß darüber nachzudenken. Heute ist Sicherheit für uns zur Routine geworden. Die 1.850 Euro haben wir zurückbekommen, aber die Lektion war unbezahlbar.
Unser wichtigster Rat an euch: Seid misstrauisch, aber nicht ängstlich. Nutzt die Vorteile des Online-Bankings – es ist bequem, schnell und meist sicher. Aber seid euch der Risiken bewusst und handelt entsprechend. Keine Bank wird euch jemals per E-Mail oder Telefon nach PINs oder TANs fragen. Keine seriöse Seite verlangt, dass ihr „dringend" oder „sofort" handelt. Wenn ihr unsicher seid, ruft lieber einmal zu viel bei der Bank an als einmal zu wenig. Und das Wichtigste: Sprecht darüber! Je mehr Menschen über die Maschen Bescheid wissen, desto schwerer haben es die Betrüger.
Heute, zwei Jahre nach unserem ersten Betrugsversuch, sitzen wir wieder am Küchentisch. Die morgendliche Banking-Routine läuft nebenbei, während der Kaffee dampft. Keine Panik mehr bei jeder E-Mail, aber gesunde Wachsamkeit. Wir haben gelernt, mit den Risiken zu leben und sie zu managen. Und wir haben verstanden: Die Grenze zwischen Bankpflicht und Eigenverantwortung mag schmal sein, aber mit dem richtigen Wissen navigiert man sicher darauf. Diese Erfahrungen teilen wir gerne hier in unseren „Geschichten vom Küchentisch". Wenn ihr mehr über unsere Alltagsabenteuer lesen wollt – sei es über unsere Erfahrungen mit Versicherungen, Steuererklärungen oder dem ganz normalen Familienchaos – schaut gerne regelmäßig vorbei. Wir freuen uns über eure Kommentare und eigenen Erfahrungen. Denn gemeinsam sind wir stärker – auch gegen Online-Banking-Betrüger.
