Warum 2FA/3D Secure beim Raub wertlos ist – und die Bank trotzdem haftet
Verfasst von
Max Hortmann
01 Dec 2025
•
Lesezeit:
Diesen Beitrag teilen
Wenn Täter nach einem Raub dein Smartphone und deine Kreditkarte nutzen, um per 2FA oder 3D Secure Zahlungen auszulösen, sieht im System der Bank alles „korrekt authentifiziert“ aus. Juristisch ist das kein Beweis für eine Zustimmung. Starke Kundenauthentifizierung funktioniert nur, solange du das Gerät kontrollierst. Beim geraubten Smartphone liegt ein Sicherheitsversagen vor – keine Autorisierung und keine Haftung des Opfers.
Autorenvorstellung
Von Rechtsanwalt Max Nikolas Mischa Hortmann, LL.M. (IT‑Recht) Vertragsautor in jurisPR‑ITR und AZO, bekannt aus BR24 und WirtschaftsWoche+. Spezialisiert auf das Zusammenspiel von Zahlungsdienste‑Regulierung (PSD2), IT‑Sicherheit und Haftungsrecht. Ich vertrete bundesweit Opfer von 2FA‑Missbrauch nach Gerätediebstahl, Raub und gewaltsamen Übergriffen.
CTA – Soforthilfe bei 2FA‑Missbrauch nach Raub: 📞 0160 9955 5525
⭐ Warum mich Mandanten beauftragen
Warum mich Mandanten bei technischem Missbrauch ihrer Geräte beauftragen
Zahlreiche Mandanten melden sich bei mir, weil sie nach einem Überfall oder einem Geräteraub mit technisch hochkomplexen Vorwürfen ihrer Bank konfrontiert werden. Sie hören Sätze wie „die Biometrie war erfolgreich“, „das Gerät hat korrekt authentifiziert“, „Sie müssen es gewesen sein“.
Ich habe mich auf genau diese Schnittstelle spezialisiert: die technisch-juristische Aufarbeitung von SCA-, 2FA- und 3D-Secure-Missbrauch nach Gewalt. Als Autor bei jurisPR-ITR und AZO und durch meine Veröffentlichungen in BR24 und WiWo+ kenne ich sowohl die technische Architektur der Authentifizierungssysteme als auch die juristischen Mechanismen, mit denen Banken versuchen, Verantwortung abzuwälzen.
Mandanten beauftragen mich, weil sie jemanden brauchen, der die Technik nicht mystifiziert, sondern entzaubert – und der ihr Recht durchsetzt, wenn ein Gerät unter Gewalt kompromittiert wurde.
Soforthilfe: 0160 9955 5525
Kreditkarte, 2FA und geraubtes Smartphone: Warum starke Kundenauthentifizierung beim Raub versagt
Die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) gilt als Herzstück der PSD2‑Sicherheitsarchitektur. Banken verweisen in Missbrauchsfällen regelmäßig darauf, dass „alle Vorgaben der SCA erfüllt“ seien und daher eine Täterverantwortung des Kunden nahe liege. Dieser Schluss ist insbesondere bei Raub‑ und Gewaltkonstellationen unzutreffend.
Rechtlich ist die SCA kein Instrument zur Entlastung der Bank, sondern ein Schutzmechanismus zugunsten des Zahlungspflichtigen. Sie soll Angriffe erschweren, nicht deren Folgen auf das Opfer abwälzen. Wird ein Gerät geraubt und unter Gewaltanwendung zur Auslösung von Zahlungen benutzt, dokumentiert ein SCA‑Protokoll nicht eine gelungene Sicherheit, sondern deren Zusammenbruch.
I. Aufbau und Zweck der starken Kundenauthentifizierung
Art. 97 PSD2 verpflichtet Zahlungsdienstleister, bei elektronischen Zahlungen eine starke Kundenauthentifizierung vorzunehmen. Die delegierten Rechtsakte (RTS SCA) definieren hierfür die Kombination von mindestens zwei Elementen aus den Kategorien Wissen (PIN, Passwort), Besitz (Gerät, Karte, Token) und Inhärenz (Biometrie). Die Elemente sollen unabhängig voneinander sein und auf unterschiedlichen Kompromittierungsvektoren beruhen.
Ziel dieser Konstruktion ist es, das Risiko eines Missbrauchs ohne Zutun des Kunden zu minimieren. Je höher die Hürde für einen Angriff, desto wahrscheinlicher ist es, dass Versuche im Sicherheitsnetz der Bank hängen bleiben. Die SCA‑Regeln richten sich an den Zahlungsdienstleister; sie begründen keine Vermutungswirkung gegen den Nutzer.
II. Das Smartphone als Single Point of Failure
Die Praxis der letzten Jahre hat gezeigt, dass viele SCA‑Umsetzungen de facto auf ein einziges Gerät konzentriert sind. Banking‑App, pushTAN‑App, Wallet‑App (Apple Pay, Google Pay) und die Authentifizierung weiterer Dienste laufen auf demselben Smartphone. Dieses Endgerät wird damit zum Single Point of Failure: Wer das Gerät kontrolliert, kontrolliert große Teile der Zahlungsinfrastruktur des Nutzers.
In einem geordneten Setting, in dem das Gerät physisch und logisch in der Sphäre des Kunden verbleibt, ist dies beherrschbar. In Raub‑ und Gewaltkonstellationen kehrt sich das Bild um. Das, was als „Komfortlösung“ eingeführt wurde, wirkt für Täter als Einfallstor: Mit einem Schlag erhalten sie Zugang zu Karte, App und teilweise auch Biometrie.
Die SCA verliert in diesem Moment ihren Charakter als mehrstufiges Verteidigungssystem und verdichtet sich faktisch auf die bloße Frage: Wer hält das Gerät in der Hand?
III. Biometrie unter Zwang: Inhärenz ohne Willen
Biometrische Verfahren (Fingerabdruck, Gesichtserkennung) werden in der Kommunikation der Banken häufig als „höchste Sicherheitsstufe“ verkauft. Tatsächlich sind sie in freiwilligen Nutzungsszenarien ein komfortables Sicherheitsmerkmal. Unter Zwang kehrt sich diese Sicherheitslogik ins Gegenteil:
Für Täter ist es vergleichsweise leicht, den Finger eines Opfers auf einen Sensor zu drücken oder das Gesicht vor die Kamera zu zwingen – insbesondere, wenn das Opfer bereits körperlich überwältigt oder eingeschüchtert ist. Technisch betrachtet wird der biometrische Faktor „erfolgreich“ erkannt; rechtlich betrachtet liegt keine Willensbetätigung vor.
Die SCA‑Regeln der PSD2 setzen stillschweigend voraus, dass der biometrische Faktor durch eine vom Nutzer gesteuerte Handlung aktiviert wird. Die erzwungene Biometrie („coerced authentication“) liegt außerhalb dieses Normkonzepts. Sie ist keine „sichere Authentifizierung“, sondern eine Form des Identitätsmissbrauchs unter Gewalt.
Makroaufnahme eines 3D‑Secure‑Screens, der als „erfolgreich“ markiert ist, überlagert von einem transluzenten roten X, das die rechtliche Unwirksamkeit bei geraubten Geräten symbolisiert.
Mehr zu organisierter Kriminalität und digitalen Spurensicherungen
Kreditkartenmissbrauch nach Gewalt ist selten ein Einzelfall, sondern Teil größerer Strukturen aus organisierter Kriminalität und professioneller Geldwäsche. Wer verstehen will, wie weit diese Mechanismen reichen – von systematischen „ORC-Betrugswellen“ im Luxus-Retail bis hin zu verschachtelten Krypto-Wallets – findet in zwei weiterführenden Analysen vertiefte Einordnung und praktische Hinweise zur Beweisführung:
Im Beitrag zu bandenmäßigem ORC-Betrug im Luxus-Retail 2025 zeige ich, wie professionelle Tätergruppen Zahlungsdaten, Retourenketten und Lagerprozesse ausnutzen – und welche Haftungsrisiken Händler und Zahlungsdienstleister wirklich tragen: www.hortmannlaw.com/articles/orc-betrug-luxus-retailt-2025-anwalt
Im Krypto-Betrug-Aufsatz zu Wallets, Transaktionsspuren und Beweisstrategien geht es darum, wie sich digitale Zahlungswege exakt nachzeichnen lassen und wie Opfer ihre Rechte auch gegenüber internationalen Plattformen und Banken durchsetzen können: www.hortmannlaw.com/articles/krypto-betrug-wallet-beweise-opfer-anwalt
Beide Texte ergänzen die hier behandelten Fälle, indem sie zeigen, wie physische Gewalt, Kartensysteme und digitale Assets in ein und dieselbe Täterlogik eingebettet sind – und warum rechtlich nicht das Opfer, sondern die professionellen Marktteilnehmer das strukturelle Risiko tragen.
IV. Warum SCA‑Protokolle beim geraubten Gerät keinen Autorisierungsbeweis liefern
Banken verweisen in Missbrauchsfällen nach Raub häufig auf ihre SCA‑Protokolle: Zeitpunkt der App‑Freigabe, verwendetes Gerät, erfolgreiche Biometrie, ggf. Standortdaten. Diese Informationen zeigen, dass ein technischer Prozess durchlaufen wurde – mehr nicht.
Nach § 675w Satz 3 BGB genügt der Nachweis der Authentifizierung nicht als Beweis der Autorisierung. Bei geraubten Geräten und erzwungener Biometrie ist dies besonders augenfällig: Der technische Prozess mag „ordnungsgemäß“ sein, der rechtliche Prozess (Willensbildung und Zustimmung) hat nie stattgefunden.
Zudem handelt es sich beim Geräte‑Raub um eine klassische Sicherheitskompromittierung. Die PSD2 verlangt von Zahlungsdienstleistern, Systeme so auszugestalten, dass Kompromittierungen erkannt und Risiken reduziert werden. Wenn Täter mit einem frisch geraubten Gerät innerhalb kurzer Zeit eine Serie hochauffälliger Transaktionen durchführen, belegt dies eher eine Lücke in der Risikoüberwachung der Bank, als dass es den Kunden entlastet oder belastet.
V. Haftungsverteilung bei 2FA‑Missbrauch nach Raub
Die Haftung folgt in diesen Fällen denselben Grundsätzen wie bei anderen nicht autorisierten Zahlungsvorgängen:
Keine Autorisierung: Mangels eigener Willenserklärung liegt ein nicht autorisierter Zahlungsvorgang vor (§ 675u BGB).
Keine Haftung mangels grober Fahrlässigkeit: Der Kunde hat keine zumutbaren Sicherungspflichten verletzt; Gewalt entzieht ihm die Handlungsfähigkeit.
Beweislast der Bank: Die Bank muss darlegen, dass keine Kompromittierung vorlag und der Vorgang auf einer Zustimmung des Kunden beruhte. Beim geraubten Gerät ist dieser Beweis nicht zu führen.
Der Einsatz von SCA‑Verfahren in Raub‑ und Gewaltkonstellationen begründet daher gerade keine Haftungserleichterung zugunsten der Bank. Die Architektur der PSD2 ist opfer‑, nicht bankenfreundlich angelegt. Starke Kundenauthentifizierung dient der Prävention, nicht als Argument, um Opfern die Verantwortung aufzubürden, wenn Prävention gescheitert ist.
Snippet – Weiterführende vertiefende Beiträge
Die technische Betrachtung des geraubten Geräts ist nur eine Seite der Medaille. Flankierend sind die dogmatischen Fragen der Autorisierung und der Zurechnung von Täterhandlungen entscheidend. Diese werden in folgenden Beiträgen vertieft:
Snippet – FAQ: 2FA, 3D Secure und geraubtes Smartphone
Die folgenden Fragen werden von Mandant:innen besonders häufig gestellt, wenn 2FA‑Verfahren nach einem Raub „gegen sie verwendet“ wurden.
FAQ
Frage 1: Wenn 2FA oder 3D Secure „erfolgreich“ war, bin ich dann automatisch verantwortlich? Nein. Die erfolgreiche technische Authentifizierung beweist nicht, dass du zugestimmt hast. Bei einem geraubten Gerät ist die Authentifizierung lediglich Ausdruck der Täterherrschaft über das Instrument.
Frage 2: Spielt es eine Rolle, ob meine Biometrie (Finger/FaceID) genutzt wurde? Biometrie ist nur dann ein sicheres Merkmal, wenn sie freiwillig genutzt wird. Unter Zwang ist sie kein Ausdruck deines Willens, sondern ein Missbrauch deines Körpers als „Schlüssel“. Rechtlich ersetzt dies keine Autorisierung.
Frage 3: Hätte ich mein Handy sicherer konfigurieren müssen, um nicht zu haften? Die PSD2 verlangt von Banken, sichere Verfahren zu implementieren. Es ist nicht Aufgabe des Nutzers, sich gegen bewaffnete oder gewaltsame Angriffe zu „härten“. Ein normal konfiguriertes Smartphone mit Banking‑Funktionen stellt keine grobe Fahrlässigkeit dar.
Frage 4: Kann die Bank sagen, ich hätte mein Handy nicht entsperrt mitführen dürfen? Wer ein entsperrtes oder leicht entsperrbares Smartphone mit sich führt, bewegt sich im Rahmen typischen Alltagsverhaltens. Den extremen Ausnahmefall eines Raubüberfalls darf die Bank nicht rückwirkend in eine „selbstverschuldete Gefahr“ umdeuten.
Frage 5: Wie gehe ich konkret vor, wenn meine Bank sich auf SCA‑Protokolle beruft? In der Regel empfiehlt sich eine substantielle Zurückweisung, die die fehlende Autorisierung, die gewaltsame Kompromittierung des Geräts und die Beweislast der Bank herausstellt. Bleibt die Bank bei ihrer Position, ist eine gerichtliche Klärung angezeigt – die sachlichen Argumente liegen in Raubfällen klar auf Seite des Opfers.
CTA – individuelle Fallprüfung: Für eine rechtliche Einschätzung zum Einsatz von 2FA/3D Secure nach Gerätediebstahl oder Raub und zur Durchsetzung von Erstattungsansprüchen gegen Banken stehe ich zur Verfügung: 📞 0160 9955 5525
Ein Smartphone wird von einem blauen digitalen Schutzring umgeben. Dahinter versucht eine schemenhafte Figur, das Gerät zu erreichen, wird jedoch sichtbar aufgehalten – rein symbolisch.
Weiterführende Informationen finden Sie in folgenden Artikeln:
Ob vermeintlich seriöse Trading-Plattform, betrügerische Broker-App oder raffinierte Lockvogel-Taktik: Anlagebetrug nimmt viele Formen an – das Ergebnis ist oft dasselbe: hohe Verluste, gebrochene Versprechen und kein Ansprechpartner mehr. Wir helfen Betroffenen, ihre rechtlichen Möglichkeiten zu prüfen, Ansprüche durchzusetzen und weitere Schäden zu verhindern. Wer früh reagiert, erhöht die Chance, Vermögenswerte zu sichern oder zurückzuholen.
Online-Plattformen wie Crypto-Börsen, Zahlungsdienstleister oder Vermittlungsportale tragen Mitverantwortung, wenn Nutzer geschädigt werden – etwa durch betrügerische Angebote, Sicherheitslücken oder unterlassene Warnungen. Immer mehr Gerichte erkennen in solchen Fällen eine Haftung der Anbieter. Wir setzen uns dafür ein, dass Plattformen nicht nur von Transaktionen profitieren, sondern auch Verantwortung übernehmen – und helfen Betroffenen, ihre Rechte konsequent geltend zu machen.
Digitale Straftaten wie Phishing, CEO-Fraud oder Identitätsdiebstahl nehmen rasant zu – ebenso wie die Komplexität strafrechtlicher Verfahren. Wir unterstützen Betroffene und Unternehmen dabei, Täter zur Verantwortung zu ziehen, Beweise zu sichern und zivil- wie strafrechtliche Ansprüche durchzusetzen.
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
Cybercrime & Strafrecht
12/1/2025
December 1, 2025
Gewalt, Raub, Kontrollverlust: Warum Täterhandlungen dir nie zugerechnet werden
Täterhandlungen dürfen einem Opfer von Gewalt zu keinem Zeitpunkt zugerechnet werden. Weder Anscheinsbeweis noch Rechtsscheinkonstruktionen greifen, wenn der Betroffene die Kontrolle über sein Gerät nicht mehr besitzt. Grobe Fahrlässigkeit setzt ein subjektiv unentschuldbares Fehlverhalten voraus, das in einer Gewaltsituation per definitionem ausgeschlossen ist. Die Rechtsprechung bestätigt klar, dass Opfer eines Überfalls nicht für die Taten Dritter haften können und dass jede Form der Zurechnung oder Verantwortung in solchen Konstellationen gegen das System des Zahlungsdiensterechts verstößt.
Kreditkartenmissbrauch nach Gewalt und Überfall: Warum du nichts zahlen musst
Wer Opfer eines Überfalls wird und dadurch sein Handy oder seine Kreditkarte verliert, autorisiert keine der nachfolgenden Zahlungen. Das Zahlungsdiensterecht verlangt eine bewusste, freiwillige Willenserklärung; Gewalt zerstört diese Möglichkeit vollständig. Technische Protokolle einer 2FA oder 3D-Secure-Freigabe beweisen keinen Willen, sondern lediglich, dass Täter das Gerät unter Kontrolle hatten. Die PSD2 und die Rechtsprechung ordnen das Missbrauchsrisiko der Bank zu, nicht dem Opfer. Jede Belastung nach körperlicher Gewalt ist daher ein nicht autorisierter Zahlungsvorgang, der vollständig zu erstatten ist.
Anwalt für Kreditkartenbetrug 2025 – Wie ORC-Gruppen interne Thresholds ausnutzen und Händler in hochpreisigen Retail-Segmenten gezielt angreifen
Kreditkartenbetrug beim kontaktlosen Zahlen trifft 2025 sowohl Karteninhaber als auch Händler hart. ORC-Gruppen testen interne Thresholds mit gezielten Testkäufen, setzen kompromittierte Karten und PIN-Informationen ein und nutzen strukturelle Schwächen hochpreisiger Retail-Prozesse aus. Der Artikel zeigt, wie Täter operieren, warum Transaktionen formal korrekt wirken und wie Betroffene geschützt werden können.
.jpg)
