Magdeburg l In der ersten mündlichen Verhandlung vor der Zivilkammer des Magdeburger Landgerichtes deutet der Vorsitzende Richter Hans-Michael Otto an, dass er nach dem gegenwärtigen Stand kein grob fahrlässiges Verhalten des Ehepaares sehe. Das sei nach gültiger Rechtssprechung aber nötig, um Kunden für den Schaden in Mithaftung zu nehmen. Sowohl Kläger und der Anwalt der Harzsparkasse können ihre Argumente noch mit Fakten untermauern. Ein weiterer Verhandlungstermin ist am 26. November 2019 angesetzt.

Was war passiert? Es ist in der Nacht zum 12. Oktober 2018, als auf dem Konto (mit einigen Unterkonten) das Geld in Bewegung gerät. Nicht nur rund 30.000 Euro des Unternehmer-Ehepaares – beide vermieten Wohnungen und Ferienwohnungen im Harz – werden über Nacht auf zwei Konten in Spanien geleitet. Auch zahlreiche bereits getätigte Überweisungen und Lastschriften an Dritte buchten unbekannte Cyber-Kriminelle wieder zurück auf das Konto, um weitere 30.000 Euro auch nach Spanien zu überweisen. Eddy Ahrend: „Als ich am folgenden Montag aufs Konto geschaut habe, war ich einfach nur schockiert – alles leer.“

Überweisungen nach Spanien

Im Zuge der Ermittlungen der Polizei wird später festgestellt, dass es den Cyber-Kriminellen offenbar gelungen ist, den vollen Zugriff auf das Konto und die Unterkonten in einem bisher als sicher geltenden Onlinebanking-Verfahren zu erhalten. 64-mal forderten die Täter eine TAN-Nummer zu generieren und damit 14 Überweisungen nach Spanien auf zwei dortige Konten zu tätigen. Die Konten sollen dort mit falschen Identitäten eröffnet und mit EC-Bar-Abhebungen geleert worden sein. Das ganze gelang, weil es den Tätern offensichtlich möglich war, ein zweiphasiges Sicherheits-System auszuhebeln.

Und das soll nach den bisherigen Ermittlungen so geschehen sein: Den Cyber-Kriminellen ist es offensichtlich gelungen eine sogenannte Schadsoftware auf dem Computer der Familie Ahrend zu platzieren. „Die Ermittler des Landeskriminalamtes haben zumindest Reste davon auf unserem Rechner gefunden. Die Software war offenbar so programmiert, dass sie sich nach Nutzung zum Teil von selbst zerstört“, sagt Nadine Ahrend. Mit diesem kleinen Computerprogramm gelang es aber sehr wahrscheinlich, die Onlinebanking-Geschäfte und Daten des Harzer Ehepaares auszuspionieren.

Doch damit allein, selbst mit so ausspionierter PIN, wäre dieser dreiste Diebstahl nicht gelungen. Denn als zweite Sicherheitsmaßnahme muss jede Überweisung, Rückbuchung oder Änderung mit einer einzelnen generierten und nur zeitlich begrenzten TAN (Transaktionsnummer) bestätigt werden. Diese wird nach Eingabe der Überweisungsdaten in diesem Online-Bankingverfahren auf eine extra hinterlegte Handy-Nummer geschickt und muss dann als Authentifizierung eingegeben werden. Der Vorwurf der Kläger: Vor den Überweisungen habe ein Mann, offenbar einer der Täter, bei der Bank angerufen und dort telefonisch eine Änderung der Telefonnummer für die Zusendung der SMS-TAN sowie eine Aufhebung des Transaktionslimits von 3000 Euro veranlasst.

Harzsparkasse bleibt bei Fahrlässigkeit

„Wir hatten auch die Überweisungen ins Ausland aus Sicherheitsgründen gesperrt und auch das wurde aufgehoben“, sagt Eddy Ahrend. Zur Überprüfung der Berechtigung des Anrufers hätten sich Bankmitarbeiter persönliche Daten des Kunden am Telefon nennen lassen. „So etwas macht man aber nicht am Telefon sondern persönlich in der Bank“, sagt Ahrend. Da helfe es auch nicht, wenn bei der Änderung der Nummer die hinterlegte Telefonnummer angezeigt wird. Nach den Ermittlungen der Polizei wurde diese offenbar durch einen technischen Trick nur vorgetäuscht.

Der Anwalt der beklagten Harzsparkasse bleibt beim Vorwurf grober Fahrlässigkeit der Kunden. Er glaubt an einen Phishing-Angriff über eine Spam-Mail, bei dem das Opfer aktiv Daten auf einer Internetseite eingegeben haben muss.