Online-Banking-Betrug: Gerichte zwingen Banken zur Mithaftung

Ein richtungsweisendes Urteil aus Österreich signalisiert das Ende der Alleinschuldzuweisung.**

Die rechtlichen Spielregeln im Online-Banking verändern sich grundlegend. Gerichte und Verbraucherschützer erhöhen den Druck auf Finanzinstitute, sich stärker an den Kosten von Cyberkriminalität zu beteiligen. Ein aktuelles Urteil eines Oberlandesgerichts Ende April 2026 zeigt den klaren Trend zur geteilten Haftung – und stellt die bisherige Praxis infrage, bei der Banken Kunden häufig die alleinige Verantwortung für Verluste durch Social Engineering und Phishing-Attacken zuschoben.

Die zunehmende Professionalität von Angriffen auf das Online-Banking macht einen eigenständigen Schutz des Smartphones unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Maßnahmen, um Ihr Android-Gerät effektiv gegen Hacker und Finanzbetrug abzusichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken

OLG Linz: Bank muss Hälfte des Schadens tragen

Am 29. April 2026 entschied das Oberlandesgericht (OLG) Linz, dass ein Phishing-Opfer und seine Bank den finanziellen Schaden von 200.000 Euro je zur Hälfte tragen müssen. Der Kunde hatte versehentlich Zugangsdaten preisgegeben und anschließend 41 einzelne Überweisungen autorisiert. Zwar sei das Verhalten des Kunden ein Faktor gewesen, doch das Gericht sah die Bank in der Pflicht: Ihre internen Betrugserkennungssysteme seien unzureichend gewesen, um die Serie ungewöhnlicher Transaktionen zu stoppen.

Das Urteil fällt in eine Zeit, in der Verbraucherschutzorganisationen ein Muster erkennen: Banken lehnen Erstattungen systematisch ab. Eine Studie des Bundesverbands der Verbraucherzentralen (vzbv) vom 27. April 2026 belegt: Geldinstitute verweigern Entschädigungsansprüche oft mit pauschalen Vorwürfen der groben Fahrlässigkeit. Demnach mussten Betrugsopfer in Deutschland im Jahr 2024 bis zu 89 Prozent der Gesamtschäden selbst tragen. Doch die zunehmend professionelleren Betrugsmethoden machen es Aufsichtsbehörden und Gerichten schwerer, die alleinige Schuld beim Endkunden zu suchen.

NGate-Malware: Neue Android-Bedrohung liest Bankkarten aus

Die Bedrohungslage verschärft sich rasant. Die Zahl der Cybercrime-Beschwerden im Finanzdienstleistungssektor stieg zwischen 2024 und 2025 um 54 Prozent. Treiber sind technisch immer ausgefeiltere Angriffe, die weit über einfache Phishing-Mails hinausgehen.

Am 28. April 2026 warnte der Sicherheitsanbieter ESET vor einer neuen Variante der „NGate“-Android-Malware. Diese Bedrohung, die seit November 2025 über eine manipulierte App namens „HandyPay“ aktiv ist, kann NFC-Daten physischer Bankkarten samt zugehöriger PINs auslesen. Deutschland ist ein Hauptziel: Hier wurden über 18 Prozent aller NGate-Infektionen weltweit registriert.

Die Raffinesse der Angriffe zeigt sich auch in aktuellen Kampagnen gegen Prominente. Am 27. April 2026 wurden Berichte über eine großangelegte Phishing-Aktion bekannt, die rund 300 Personen in Deutschland ins Visier nahm – darunter die Spitzenpolitikerinnen Julia Klöckner und Verena Hubertz. Die Angreifer gaben sich als Support-Mitarbeiter des Messengers Signal aus. Die Signal Foundation bestätigte am 28. April 2026, dass die App selbst nicht kompromittiert wurde, kündigte aber neue Schutzfunktionen für die kommenden Wochen an.

Rekordstrafen und strenge Regulierung setzen Banken unter Druck

Der Trend zu strengerer Haftung beschränkt sich nicht auf Einzelfälle vor Gericht. Marktforscher von Gartner berichteten Ende April 2026, dass Datenschutz-Strafen in den USA 2025 mit 3,425 Milliarden US-Dollar (umgerechnet rund 3,2 Milliarden Euro) einen Rekordwert erreichten – fast eine Verdopplung gegenüber 2024 (1,827 Milliarden US-Dollar). Analysten sehen die Aufsichtsbehörden auf dem Weg zur Vollstreckung, insbesondere bei automatisierten Entscheidungen und Künstlicher Intelligenz.

In Europa verschärft sich die Lage ebenfalls. Der EU AI Act erreicht am 2. August 2026 seine volle Anwendung für Hochrisiko-Systeme – mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes. Die NIS2-Richtlinie, in Deutschland seit Dezember 2025 in Kraft, macht das Unternehmensmanagement direkt haftbar für IT-Sicherheitsversäumnisse. Diese Regelwerke zwingen Finanzinstitute zu höheren technischen Standards und besserer Überwachung. Die Ausrede, der Kunde sei allein schuld, wenn die Systeme verdächtiges Verhalten nicht erkennen, wird damit immer schwerer haltbar.

Rechtslage: Ende der „Alles-oder-Nichts“-Haftung

Das Urteil des OLG Linz markiert eine Abkehr von der bisherigen „Alles-oder-Nichts“-Logik. Bislang argumentierten Banken erfolgreich, dass die Preisgabe einer PIN oder TAN grobe Fahrlässigkeit darstelle – was sie nach geltendem Zahlungsdiensterecht von der Erstattungspflicht befreit. Doch der Fokus des Gerichts auf „unzureichende Betrugsüberwachung“ zeigt: Banken haben eine aktive Pflicht, verdächtige Transaktionsmuster zu erkennen und zu stoppen – selbst wenn der Kunde getäuscht wurde.

Diese Entwicklung deckt sich mit den Erkenntnissen der vzbv-Studie, die die automatische Schuldzuweisung durch Banken kritisierte. Da Social Engineering immer professioneller wird – die jüngsten Signal-Phishing-Fälle werden sogar mit russischen Geheimdiensten in Verbindung gebracht –, wird die rechtliche Schwelle für „vorhersehbares“ oder „vermeidbares“ Verhalten von Verbrauchern neu justiert.

Da Betrugsmethoden immer raffinierter werden, reicht technischer Schutz allein oft nicht aus, um moderne Phishing-Fallen rechtzeitig zu entlarven. Erfahren Sie in diesem kostenlosen Paket, wie Sie psychologische Manipulationen erkennen und Hacker-Angriffe in vier Schritten erfolgreich abwehren. Anti-Phishing-Paket jetzt kostenlos herunterladen

Ausblick: Banken zwischen Technik- und Rechtsdruck

Für 2026 zeichnet sich eine doppelte Herausforderung für Finanzinstitute ab: Sie müssen sich gegen technisch immer raffiniertere Malware wie NGate wappnen und gleichzeitig ein feindlicheres rechtliches Umfeld bei Erstattungen navigieren. Gartner-Analysten erwarten, dass der Trend zu höheren Strafen und strengerer Durchsetzung bis 2028 anhalten wird.

Die angekündigten Sicherheitsupdates der Signal Foundation und die mögliche Verlagerung der deutschen Regierungskommunikation auf alternative Plattformen wie Wire deuten auf einen breiteren Trend hin: den Aufbau „phishing-resistenter“ Infrastruktur. Für den Bankensektor sind die Gerichtsentscheidungen vom April 2026 ein klares Signal: Investitionen in moderne, KI-gestützte Betrugserkennung sind keine Kür, sondern eine rechtliche Notwendigkeit – um die steigenden Kosten der geteilten Haftung zu begrenzen.

de | wirtschaft | 69259053 |