Ihr Anwalt für Phishing:
Ich stehe Ihnen zur Seite

Auf Phishing hereingefallen?
Was Sie in einem akuten Notfall sofort tun sollten

Sind Sie auf eine Phishing-Attacke hereingefallen und Opfer von Datendiebstahl geworden, ist Zeit ein wesentlicher Faktor. Handeln Sie sofort und gehen Sie die nachfolgenden Schritte in genau dieser Reihenfolge durch:

1. Karten und Online-Banking sperren: Rufen Sie unverzüglich die Sperrhotline Ihrer Bank an oder sperren Sie Karte und Zugang direkt in der App. Wenn möglich, stoppen Sie Sofortüberweisungen und Push-TAN.
2. Passwörter ändern: Ändern Sie unverzüglich die Zugangsdaten für E-Mail, Online-Banking und betroffene Accounts. Aktivieren Sie nach Möglichkeit eine Zwei-Faktor-Authentifizierung. Nutzen Sie für jedes Konto ein eigenes, starkes Passwort.
3. Bank informieren und Vorgang melden: Melden Sie Ihrer Bank Zahlungen und sonstige Aktivitäten rund um die Phishing-Attacke unverzüglich als nicht vom Kontoinhaber autorisiert. Bitten Sie um Rückgängigmachung von Abbuchungen und eine schriftliche Bestätigung des Schadensfalls.
4. Beweise sichern in Form von Screenshots, Mails, Chatverläufen: Sichern Sie Phishing-Mails, SMS, Messenger-Nachrichten und Zahlungsbelege. Dokumentieren Sie Zeiten, Beträge und Empfängerdaten.
5. Kanzlei Heinemann kontaktieren: Als Anwalt für Phishing wende ich mit meinem Team weitere Schäden von Ihnen ab, übernehme die Kommunikation mit Ihrer Bank und prüfe Rückzahlungs- sowie Schadensersatzansprüche.

Opfer einer Phishing-Attacke — Was tun? Ihre Lage aus rechtlicher Sicht

Rechte gegenüber Bank und Zahlungsdienst

Wurde Geld ohne Ihre Zustimmung überwiesen oder abgebucht, muss Ihr Zahlungsdienstleister den Betrag grundsätzlich unverzüglich erstatten. Das folgt aus den Regeln zu nicht autorisierten Zahlungsvorgängen gemäß § 675u BGB.

Beweislast und grobe Fahrlässigkeit kurz erklärt

Sie sind nicht in der Pflicht zu beweisen, dass Sie die entsprechende Zahlung nicht autorisiert haben. Im Streitfall trägt die Bank grundsätzlich die Beweislast für eine wirksame Autorisierung. Das hat die Rechtsprechung zuletzt bestätigt (BGH, 05.03.2024 – XI ZR 107/22). Allerdings war Gegenstand dieser Entscheidung ein E-Mail-Verfahren als vereinbartes Zahlungsinstrument zur Erteilung von Zahlungsaufträgen. Deshalb konnte zugunsten der Bank ein Anscheinsbeweis für eine Autorisierung durch den Bankkunden keine Anwendung finden. Die Bank war in dem vom BGH entschiedenen Fall deshalb gehalten, den vollen Beweis für eine wirksame Autorisierung zu erbringen.

Möglichkeit der Inanspruchnahme eines Anscheinsbeweises durch die Bank

Bei Einsatz eines Zahlungsverfahrens mit personalisiertem Instrument im Sinne von § 1 Abs. 24 ZAG (2-Faktor Authentifizierung) kann die Bank möglicherweise einen Anscheinsbeweis für sich in Anspruch nehmen. Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises ist nach der Entscheidung des BGH vom 26.01.2016, Az. XI 91/14, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Fall feststehen. Bei Eingreifen des Anscheinsbeweises wird zunächst von einer Autorisierung durch den Bankkunden ausgegangen. Durch Vortrag von Umständen, die gegen die Autorisierung und für ein missbräuchliches Eingreifen Dritter sprechen, kann der Bankkunde einen solchen Anscheinsbeweis erschüttern. Solche Umstände können sich z. B. durch Auslösen von Vorgängen im Online-Banking durch Dritte im Zusammenhang mit Spoofing (siehe unten) ergeben.

Einem Erstattungsanspruch des Bankkunden kann die Bank wiederum ggf. einen Schadensersatzanspruch wegen dessen grob fahrlässiger Pflichtverletzung nach § 675v Abs. 2 BGB entgegenhalten. Grobe Fahrlässigkeit kann einen Erstattungsanspruch mindern oder ausschließen, etwa wenn TANs offengelegt wurden. Dafür ist aber die Bank darlegungs- und beweispflichtig.

Fristen und schnelle Gegenmaßnahmen bei Überweisungen und Lastschriften

Handeln Sie sofort! Überweisungen lassen sich nur sehr kurz zurückrufen, Echtzeitüberweisungen praktisch gar nicht. Nicht autorisierte SEPA-Lastschriften können Sie einfacher zurückerhalten. In diesem Zusammenhang haben Sie bei einer unautorisierten Belastung bis zu 13 Monate Zeit.

Kurz gesagt: Sie haben starke Erstattungsrechte, müssen aber schnell reagieren. Als Anwalt für Phishing prüfe ich Ihre Situation und stimme mit Ihnen die optimalen nächsten Schritte ab. Ich verhelfe Ihnen zu Ihrem Recht — damit Ihr Anspruch zügig durchgeht und Sie Ihr Geld zurückerhalten.

Typische Phishing-Szenarien und ihre Erkennungsmerkmale

E-Mail und SMS mit gefälschten Login-Seiten

• unbekannte Absenderadresse bzw. Telefonnummer
• suggerierte Dringlichkeit („sofort handeln“)
• Angeblich “endet Registrierung” der PushTan-App
• Verlängerung des Domain-Namens angeblich “fehlgeschlagen”
• oft fehlerhafte Rechtschreibung
• häufig Buchstabendreher oder zusätzliche Wörter in der Domain
  (z. B. amazon-shop.de statt amazon.de)

Fake Support-Anrufe und Fernzugriff

• Anruf eines angeblichen Bank- oder IT-Mitarbeiters
• mit gefälschten Telefonnummern erwecken Anrufer häufig den Eindruck eines wirklichen Anrufs der Bank (Spoofing)
• Anrufe häufig abends oder am Wochenende, um eine Nachfragemöglichkeit bei der Bank auszuschließen
• Darstellung eines fiktiven Problems (z. B. “Ihr Konto wurde gehackt!“)
• Aufforderung zur Installation von Fernwartungssoftware
• Nachfrage nach TAN oder Passwörtern
• Drohung mit dauerhafter Kontosperre, wenn nicht sofort gehandelt wird

Gefälschte Paket- und Zustellbenachrichtigungen

• Link zur angeblichen Zoll- oder Gebührenzahlung
• Trackingnummer ist frei erfunden
• Absenderdomain weicht vom Dienstleister ab
• TAN oder Passwort müssen eingegeben werden

Phishing über Online-Marktplätze, Kleinanzeigen

• Verkäufer schickt externe Bezahl- oder Versandlinks
• Preise klingen zu gut, um wahr zu sein
• Kommunikation weicht auf E-Mail oder Messenger abseits des Marktplatzes aus
• bei Kleinanzeigen (vinted oder ebay) wird Kunde zur angeblichen Aktivierung der Sicher-bezahlen-Funktion auf gefälschten Seiten zur Eingabe seiner persönlichen Daten und Bankdaten (Kontonummer, PIN, etc.) aufgefordert

Gefälschte Banking-Apps

• Aufforderung zum Herunterladen einer neuen Banking-App
• App nicht aus offiziellem App-Store
• oftmals sehr abgespecktes Design
• zusätzliche „Sicherheitsabfrage“ nach vollständigen Kartendaten, Passwörtern, TAN etc.

Übrigens: Ich bin im Bankrecht nicht nur als Anwalt für Phishing tätig. Auch als Anwalt für private Darlehensverträge können Sie auf meine Expertise bauen.

Anwalt für Phishing: Häufig gestellte Fragen

Welche Beweise sollte ich sichern?

• E-Mails und SMS: Löschen Sie keine Nachrichten, die Sie im Zusammenhang mit der Phishing-Attacke erhalten haben.
• Phishing-Seite: Notieren Sie URL sowie Datum und Uhrzeit des Zugriffs. Fertigen Sie außerdem einen Screenshot der Seite an.
• Transaktionen: Bewahren Sie Kontoauszüge, Überweisungsdetails, TAN-Protokolle auf. Sichern Sie zudem Empfänger-IBAN oder Wallet-Adresse des Zahlungsempfängers.
• Kommunikation: Sichern Sie Aktenzeichen, Ticketnummern, Bestätigungen von Bank und Polizei.
• Ablaufprotokoll: Notieren Sie kurz und knapp, was, wann, wie passiert ist. Ziehen Sie ggf. Zeugen hinzu.

Sollte ich nach einer Phishing-Attacke Anzeige erstatten?

Ja, unbedingt. Die Anzeige kostet nichts, eröffnet einen Vorgang samt Aktenzeichen bei der Polizei und kann Erstattungsansprüche und Sperrmaßnahmen bei der Bank unterstützen.

Warum es sinnvoll ist:

• Aktenzeichen für Bank/Zahlungsdienst und Versicherer
• Spurensicherung (Konten/Routen werden schneller blockiert)
• Dokumentation Ihres Schadensfalls

Wichtig zu wissen

• Betrug/Computerbetrug sind Offizialdelikte. Eine formlose Strafanzeige führt regelmäßig zur Einleitung eines strafrechtlichen Ermittlungsverfahrens.
• Die Anzeige ersetzt nicht die Inanspruchnahme des Kreditinstituts bzw. Zahlungsdienstleisters auf Erstattung oder Zahlung.