Darum gehts
- Cyberbetrug nimmt zu, Banken haften selten für Kundenverluste
- Bankenombudsmann empfiehlt Aufklärung, Skepsis und Sicherheitsmassnahmen gegen Betrug
- In der Schweiz gab es 2024 rund 42'000 Fälle von Cyberbetrug
Die Vorstellung ist schlimm: Man möchte auf tutti.ch lediglich einen Kinderrucksack verkaufen, um dem Kind das Taschengeld aufzubessern – wenig später ist man um 3000 Franken ärmer. Genau das passierte der Zugerin Nicole P.* (44). Sie ging einem äusserst überzeugend gefälschten QR-Code auf den Leim.
In einem anderen Fall passierte noch Schlimmeres. Eine gefälschte Website der Berner Kantonalbank führte das Ehepaar Jost aus dem Kanton Bern in die Irre. Peter Jost loggt sich in die vermeintliche Bank-Website ein – und verliert prompt 20'000 Franken.
Betrügereien im Internet sind allgegenwärtig. Weltweit richten Straftaten im Internet, auch Cybercrime genannt, gemäss aktuellen Studien einen Schaden von schätzungsweise 400 Milliarden US-Dollar an. In der Schweiz gab es gemäss Polizeistatistik 2024 rund 42'000 Fälle von Cybercrime. 40 Prozent mehr als im Jahr davor. Ganz vorne mit dabei: Betrug.
Diese Entwicklung wirft drängende Fragen auf. Nach der Haftung. Nach der Verantwortlichkeit. Im Fall von Peter Jost hiess es von der Berner Kantonalbank sinngemäss: «Selber schuld.» Er habe sich schliesslich täuschen lassen, er sei darauf hereingefallen. Die Bank gibt sich kulant, will ihm 6000 der 20'000 Franken wieder zurückgeben. Der Rest des Geldes dürfte aber für immer verloren sein.
Der Ombudsmann gibt Antwort
Blick fragt beim schweizerischen Bankenombudsmann Andreas Barfuss (53) nach. Als unabhängige Stelle setzt er sich fast täglich mit solchen Betrügereien auseinander. «Jeder Fall ist anders und muss einzeln beurteilt werden», schickt er voraus.
Online-Transaktionen, bei denen Kunden viel Geld vom Konto abgezügelt wird, würden von Opfern oft als nicht von ihnen ausgelöst, als «unautorisiert» wahrgenommen, sagt Barfuss. Aber: «Sie werden typischerweise unter dem Einfluss einer Täuschung freigegeben. Bei der Bank kommt das als lupenreine Transaktion an.»
In einem ähnlichen Fall aus dem Jahresbericht des Ombudsmanns aus dem Jahr 2020 steht: «Gemäss den üblichen vertraglichen Bestimmungen kann und muss eine Bank einen Auftrag ausführen, welcher gestützt auf die korrekten Legitimationsmittel im E-Banking-System eingegeben wurde.» Die «korrekte Legitimation» ist beispielsweise der Twint-PIN oder das Login im E-Banking. Ob diese Informationen im Besitz eines Betrügers sind, kann die Bank nicht wissen.
Zwar gibt es Banksicherheitssysteme, die verdächtige Transaktionen erkennen und blockieren können. Diese lernen auch immer wieder dazu. Eine allumfassende Sicherheit böten sie aber nicht.
Wer haftet?
Bei fast allen Ombudsfällen im Bereich Betrug kommt die sogenannte «Risikosphärentheorie» zur Anwendung. Sie besagt: Es haftet grundsätzlich die Partei für den Fehler, in deren Verantwortungsbereich (Risikosphäre) er passiert ist – und wo er auch hätte verhindert werden können.
Kurz und brutal gesagt: Macht der Bankangestellte einen Fehler, haftet die Bank, wird der Kunde getäuscht und gibt seine Login-Daten weiter, haftet der Kunde. Dieser Logik folgen auch die Verträge, die die Kunden mit den Banken abschliessen.
Für die Zukunft sieht Barfuss mehrere Lösungsansätze. Einerseits eine kontinuierliche Aufklärung: Bankkunden brauchen eine gesunde Skepsis. Andererseits sollten sie Kreditkarten sperren, wenn diese nicht in Gebrauch sind, und Transaktionslimiten herabsetzen.
Tech-Firmen und Telekom in der Pflicht
Das grösste Verbesserungspotenzial sieht der Bankenombudsmann bei den grossen Tech-Firmen: «Viele Betrugsopfer googeln ihre Bank, klicken auf den ersten Link und sind schon auf der betrügerischen Website.» Die Bank könne nicht steuern, ob ihre offizielle Website als Erstes angezeigt wird. «Google schon», sagt Barfuss.
Dasselbe gelte für Telekom-Anbieter. «In meinen Augen dürften diese vielleicht noch mehr unternehmen, um dem Missbrauch ihrer Nummern für Twint-Betrügereien oder Schockanrufe entgegenzuwirken.»