Rund 2,9 Millionen Euro haben Hacker vom Bankkonto eines mittelständischen Unternehmens in Kärnten, der Europlast Kunststoffbehälterindustrie, erbeutet. Die Hacker bekamen offenbar Vollzugriff auf das Konto und räumten dieses leer, indem nicht eine einzige, sondern insgesamt 137 kleine Überweisungen an Privatpersonen in Drittländern erfolgten. Der Fall ereignete sich bereits im Juli 2023, nun macht Anwalt Daniel Schwarzl den Fall öffentlich – und klagt im Auftrag seines Mandanten auch die Bank. "Die Beträge waren meistens knapp unter EUR 5000 bzw. EUR 25.000 und erfolgten ohne jeglichen Verwendungszweck" erklärt Schwarzl dem STANDARD.

Rund sechs Stunden nach Durchführung der Überweisungen fielen diese auf, woraufhin das Konto sofort gesperrt wurde. "Zu diesem Zeitpunkt war das Konto leider schon großteils leergeräumt, und die Spur der Gelder hatte sich bereits quer durch zahlreiche Drittländer verflüchtigt", sagt Schwarzl. Zwar seien Teilbeträge durch Ermittlungen der Staatsanwaltschaft Klagenfurt geortet worden, die Rückführung erweise sich jedoch als nahezu undurchführbar. "Die Bank Austria gesteht selbst ein, bereits ca. 577.000 Euro identifiziert zu haben, hatte diese jedoch bis dato nicht weitergeleitet", sagt Schwarzl. "Insgesamt dürfte daher das Geld mehrheitlich unwiderruflich verloren sein."

Der Fall weist deutliche Parallelen zu jenem von Franz Neubauer auf (DER STANDARD berichtete): Dem Immobilienunternehmer waren im Juni laut Eigenangabe 257.560 Euro gestohlen worden, in Form von 17 Auslandsüberweisungen innerhalb von 23 Minuten. Auch Neubauer geht rechtlich gegen die Bank vor: Er wirft dem Geldinstitut unter anderem vor, zu langsam reagiert zu haben.

Wie konnte das passieren?

In solchen Fällen stellt sich freilich die Frage: Wie konnten die Hacker überhaupt Vollzugriff auf das Konto erlangen und ungehindert Überweisungen tätigen? Laut Bank Austria steht fest, dass ein zeichnungsberechtigter Mitarbeiter des Kärntner Unternehmens auf einer Fake-Website die vertraulichen Daten eingegeben hat. "Ohne die Weitergabe von Verfügernummer, PIN und TAN durch den zeichnungsberechtigten Mitarbeiter unseres Kunden ist es Dritten unmöglich, Transaktionen auf einem Konto dieses Kunden durchzuführen", heißt es von der Bank gegenüber dem STANDARD.

Die im Internetbanking zeichnungsberechtigten Personen sind verpflichtet, die Geheimzahl sowie die TANs geheim zu halten und dritten Personen – außer Kontoinformationsdienstleistern und Kontoauslösedienstleistern – nicht bekanntzugeben, heißt es weiters von der Bank. Zudem betont man, dass "eine Autorisierung von Überweisungsaufträgen ohne die Verwendung der von der Bank zur Verfügung gestellten TAN sowie bei Nutzung der Banking-App zusätzlich zum TAN ohne Einsatz der Biometrie des Kunden (z. B. Fingerprint; Face-ID) oder eines vom Kunden festgelegten Codes ("ATC") in keinem Fall möglich ist".

Was ist "normal"?

Schwarzl argumentiert aber, dass die Bank ihre Sorgfalts- und Überwachungspflichten gröblich verletzt habe: "Unabhängig davon, wie der technische Zugriff nun genau erfolgte, hätte der Bank auffallen müssen, wenn ein lokales Unternehmen völlig unübliche 137 Überweisungen an Privatpersonen in Nicht-EU-Staaten ohne Verwendungszweck überweist", sagt er. "Ein solches Überweisungsvolumen binnen weniger Stunden ist absolut lebensfremd."

Bei der Bank Austria vertritt man hingegen die Ansicht, dass Überweisungen dieser Größenordnung bei Firmenkunden "üblich und nicht außergewöhnlich sind". Wie perfide das System der zahlreichen, kleinen Einzelüberweisungen ist, zeigt sich auch im Fall Franz Neubauers: Dem STANDARD liegen Gerichtsunterlagen vor, laut denen ein Großteil der Überweisungen nach Schweden erfolgte – per se nicht unbedingt ein Krisenland, bei dem die Alarmglocken schrillen. Von dort wurde das Geld an andere Konten weitergeleitet.

Ich will mein Geld zurück!

Das führt auch zu der eingangs von Schwarzl angesprochenen Thematik: der Frage, ob und wie das gestohlene Geld wieder zurückgeholt werden kann. Hier heißt es seitens der Bank Austria, dass bereits durchgeführte, mit den persönlichen Zugangsmerkmalen des Kunden autorisierte Überweisungen zwar von den Empfängerbanken zurückgefordert werden können: "Wenn die Empfängerbank die Rückbuchung allerdings von der Zustimmung des Zahlungsempfängers abhängig macht, kann die Bank des Betrugsopfers nur die Kontodaten des Zahlungsempfängers anfordern, und der Kunde muss seine Ansprüche direkt gegen diesen geltend machen."

Die Chancen, dass die Verbrecher das Geld freiwillig wieder herausrücken, sind naturgemäß äußerst gering. Dementsprechend betont man bei der Bank Austria ein weiteres Mal, wie wichtig die Sensibilisierung und Schulung der Verantwortlichen in Unternehmen ist, damit es erst gar nicht zu einem derartigen Schadenfall kommt.

Prozesse ante portas

Als vorläufige Sicherheitsmaßnahmen hat Schwarzls Mandant "weitere umfassende Sicherheitsschranken im IT-System eingezogen". Insgesamt ist Schwarzl aber der Ansicht, dass die Bank verpflichtet sei, den Betrag rückzuerstatten: "Dies ergibt sich aus dem Zahlungsdienstegesetz (ZaDiG), europäischen Rechtsvorschriften für Banken zur Etablierung interner Kontrollsysteme sowie einer allgemeinen Verschuldenshaftung. Darüber hinaus erachten wir die AGB der Bank als sittenwidrig an, da sie die (EU-rechtlich normierten) zwingenden Bestimmungen des ZaDiG völlig obsolet machen würden."

Die Bank Austria wiederum verweist auf die eigenen Sicherheitsstandards und darauf, dass für Unternehmen strengere Sorgfaltspflichten gelten als für Privatkunden. Außerdem wird betont, dass die beiden Fälle rund ein Jahr zurückliegen und es keine offenen Sicherheitslücken bei der Bank Austria gebe.

Wie es sich nun mit der Schuldigkeit und der Verantwortung verhält, werden die Gerichte klären: Die nächste Verhandlung in der Causa Europlast Kunststoffbehälterindustrie ist für den 9. September beim Handelsgericht Wien angesetzt, am 29. August wird Franz Neubauer von Xuxa Immobilien gegen die Bank Austria vor dem Richter stehen. (Stefan Mey, 5.7.2024)