Warum 2FA/3D Secure beim Raub wertlos ist – und die Bank trotzdem haftet

Wenn Täter nach einem Raub dein Smartphone und deine Kreditkarte nutzen, um per 2FA oder 3D Secure Zahlungen auszulösen, sieht im System der Bank alles „korrekt authentifiziert“ aus. Juristisch ist das kein Beweis für eine Zustimmung. Starke Kundenauthentifizierung funktioniert nur, solange du das Gerät kontrollierst. Beim geraubten Smartphone liegt ein Sicherheitsversagen vor – keine Autorisierung und keine Haftung des Opfers.

Autorenvorstellung

Von Rechtsanwalt Max Nikolas Mischa Hortmann, LL.M. (IT‑Recht)
Vertragsautor in jurisPR‑ITR und AZO, bekannt aus BR24 und WirtschaftsWoche+. Spezialisiert auf das Zusammenspiel von Zahlungsdienste‑Regulierung (PSD2), IT‑Sicherheit und Haftungsrecht. Ich vertrete bundesweit Opfer von 2FA‑Missbrauch nach Gerätediebstahl, Raub und gewaltsamen Übergriffen.

CTA – Soforthilfe bei 2FA‑Missbrauch nach Raub:
📞 0160 9955 5525

⭐ Warum mich Mandanten beauftragen

Warum mich Mandanten bei technischem Missbrauch ihrer Geräte beauftragen

Zahlreiche Mandanten melden sich bei mir, weil sie nach einem Überfall oder einem Geräteraub mit technisch hochkomplexen Vorwürfen ihrer Bank konfrontiert werden. Sie hören Sätze wie „die Biometrie war erfolgreich“, „das Gerät hat korrekt authentifiziert“, „Sie müssen es gewesen sein“.

Ich habe mich auf genau diese Schnittstelle spezialisiert: die technisch-juristische Aufarbeitung von SCA-, 2FA- und 3D-Secure-Missbrauch nach Gewalt. Als Autor bei jurisPR-ITR und AZO und durch meine Veröffentlichungen in BR24 und WiWo+ kenne ich sowohl die technische Architektur der Authentifizierungssysteme als auch die juristischen Mechanismen, mit denen Banken versuchen, Verantwortung abzuwälzen.

Mandanten beauftragen mich, weil sie jemanden brauchen, der die Technik nicht mystifiziert, sondern entzaubert – und der ihr Recht durchsetzt, wenn ein Gerät unter Gewalt kompromittiert wurde.

Soforthilfe: 0160 9955 5525

Kreditkarte, 2FA und geraubtes Smartphone: Warum starke Kundenauthentifizierung beim Raub versagt

Die starke Kundenauthentifizierung (Strong Customer Authentication – SCA) gilt als Herzstück der PSD2‑Sicherheitsarchitektur. Banken verweisen in Missbrauchsfällen regelmäßig darauf, dass „alle Vorgaben der SCA erfüllt“ seien und daher eine Täterverantwortung des Kunden nahe liege. Dieser Schluss ist insbesondere bei Raub‑ und Gewaltkonstellationen unzutreffend.

Rechtlich ist die SCA kein Instrument zur Entlastung der Bank, sondern ein Schutzmechanismus zugunsten des Zahlungspflichtigen. Sie soll Angriffe erschweren, nicht deren Folgen auf das Opfer abwälzen. Wird ein Gerät geraubt und unter Gewaltanwendung zur Auslösung von Zahlungen benutzt, dokumentiert ein SCA‑Protokoll nicht eine gelungene Sicherheit, sondern deren Zusammenbruch.

I. Aufbau und Zweck der starken Kundenauthentifizierung

Art. 97 PSD2 verpflichtet Zahlungsdienstleister, bei elektronischen Zahlungen eine starke Kundenauthentifizierung vorzunehmen. Die delegierten Rechtsakte (RTS SCA) definieren hierfür die Kombination von mindestens zwei Elementen aus den Kategorien Wissen (PIN, Passwort), Besitz (Gerät, Karte, Token) und Inhärenz (Biometrie). Die Elemente sollen unabhängig voneinander sein und auf unterschiedlichen Kompromittierungsvektoren beruhen.

Ziel dieser Konstruktion ist es, das Risiko eines Missbrauchs ohne Zutun des Kunden zu minimieren. Je höher die Hürde für einen Angriff, desto wahrscheinlicher ist es, dass Versuche im Sicherheitsnetz der Bank hängen bleiben. Die SCA‑Regeln richten sich an den Zahlungsdienstleister; sie begründen keine Vermutungswirkung gegen den Nutzer.

II. Das Smartphone als Single Point of Failure

Die Praxis der letzten Jahre hat gezeigt, dass viele SCA‑Umsetzungen de facto auf ein einziges Gerät konzentriert sind. Banking‑App, pushTAN‑App, Wallet‑App (Apple Pay, Google Pay) und die Authentifizierung weiterer Dienste laufen auf demselben Smartphone. Dieses Endgerät wird damit zum Single Point of Failure: Wer das Gerät kontrolliert, kontrolliert große Teile der Zahlungsinfrastruktur des Nutzers.

In einem geordneten Setting, in dem das Gerät physisch und logisch in der Sphäre des Kunden verbleibt, ist dies beherrschbar. In Raub‑ und Gewaltkonstellationen kehrt sich das Bild um. Das, was als „Komfortlösung“ eingeführt wurde, wirkt für Täter als Einfallstor: Mit einem Schlag erhalten sie Zugang zu Karte, App und teilweise auch Biometrie.

Die SCA verliert in diesem Moment ihren Charakter als mehrstufiges Verteidigungssystem und verdichtet sich faktisch auf die bloße Frage: Wer hält das Gerät in der Hand?

III. Biometrie unter Zwang: Inhärenz ohne Willen

Biometrische Verfahren (Fingerabdruck, Gesichtserkennung) werden in der Kommunikation der Banken häufig als „höchste Sicherheitsstufe“ verkauft. Tatsächlich sind sie in freiwilligen Nutzungsszenarien ein komfortables Sicherheitsmerkmal. Unter Zwang kehrt sich diese Sicherheitslogik ins Gegenteil:

Für Täter ist es vergleichsweise leicht, den Finger eines Opfers auf einen Sensor zu drücken oder das Gesicht vor die Kamera zu zwingen – insbesondere, wenn das Opfer bereits körperlich überwältigt oder eingeschüchtert ist. Technisch betrachtet wird der biometrische Faktor „erfolgreich“ erkannt; rechtlich betrachtet liegt keine Willensbetätigung vor.

Die SCA‑Regeln der PSD2 setzen stillschweigend voraus, dass der biometrische Faktor durch eine vom Nutzer gesteuerte Handlung aktiviert wird. Die erzwungene Biometrie („coerced authentication“) liegt außerhalb dieses Normkonzepts. Sie ist keine „sichere Authentifizierung“, sondern eine Form des Identitätsmissbrauchs unter Gewalt.

‍

‍

Mehr zu organisierter Kriminalität und digitalen Spurensicherungen

Kreditkartenmissbrauch nach Gewalt ist selten ein Einzelfall, sondern Teil größerer Strukturen aus organisierter Kriminalität und professioneller Geldwäsche. Wer verstehen will, wie weit diese Mechanismen reichen – von systematischen „ORC-Betrugswellen“ im Luxus-Retail bis hin zu verschachtelten Krypto-Wallets – findet in zwei weiterführenden Analysen vertiefte Einordnung und praktische Hinweise zur Beweisführung:

Im Beitrag zu bandenmäßigem ORC-Betrug im Luxus-Retail 2025 zeige ich, wie professionelle Tätergruppen Zahlungsdaten, Retourenketten und Lagerprozesse ausnutzen – und welche Haftungsrisiken Händler und Zahlungsdienstleister wirklich tragen:
www.hortmannlaw.com/articles/orc-betrug-luxus-retailt-2025-anwalt

Im Krypto-Betrug-Aufsatz zu Wallets, Transaktionsspuren und Beweisstrategien geht es darum, wie sich digitale Zahlungswege exakt nachzeichnen lassen und wie Opfer ihre Rechte auch gegenüber internationalen Plattformen und Banken durchsetzen können:
www.hortmannlaw.com/articles/krypto-betrug-wallet-beweise-opfer-anwalt

Beide Texte ergänzen die hier behandelten Fälle, indem sie zeigen, wie physische Gewalt, Kartensysteme und digitale Assets in ein und dieselbe Täterlogik eingebettet sind – und warum rechtlich nicht das Opfer, sondern die professionellen Marktteilnehmer das strukturelle Risiko tragen.

IV. Warum SCA‑Protokolle beim geraubten Gerät keinen Autorisierungsbeweis liefern

Banken verweisen in Missbrauchsfällen nach Raub häufig auf ihre SCA‑Protokolle: Zeitpunkt der App‑Freigabe, verwendetes Gerät, erfolgreiche Biometrie, ggf. Standortdaten. Diese Informationen zeigen, dass ein technischer Prozess durchlaufen wurde – mehr nicht.

Nach § 675w Satz 3 BGB genügt der Nachweis der Authentifizierung nicht als Beweis der Autorisierung. Bei geraubten Geräten und erzwungener Biometrie ist dies besonders augenfällig: Der technische Prozess mag „ordnungsgemäß“ sein, der rechtliche Prozess (Willensbildung und Zustimmung) hat nie stattgefunden.

Zudem handelt es sich beim Geräte‑Raub um eine klassische Sicherheitskompromittierung. Die PSD2 verlangt von Zahlungsdienstleistern, Systeme so auszugestalten, dass Kompromittierungen erkannt und Risiken reduziert werden. Wenn Täter mit einem frisch geraubten Gerät innerhalb kurzer Zeit eine Serie hochauffälliger Transaktionen durchführen, belegt dies eher eine Lücke in der Risikoüberwachung der Bank, als dass es den Kunden entlastet oder belastet.

V. Haftungsverteilung bei 2FA‑Missbrauch nach Raub

Die Haftung folgt in diesen Fällen denselben Grundsätzen wie bei anderen nicht autorisierten Zahlungsvorgängen:

• Keine Autorisierung: Mangels eigener Willenserklärung liegt ein nicht autorisierter Zahlungsvorgang vor (§ 675u BGB).
• Keine Haftung mangels grober Fahrlässigkeit: Der Kunde hat keine zumutbaren Sicherungspflichten verletzt; Gewalt entzieht ihm die Handlungsfähigkeit.
• Beweislast der Bank: Die Bank muss darlegen, dass keine Kompromittierung vorlag und der Vorgang auf einer Zustimmung des Kunden beruhte. Beim geraubten Gerät ist dieser Beweis nicht zu führen.

Der Einsatz von SCA‑Verfahren in Raub‑ und Gewaltkonstellationen begründet daher gerade keine Haftungserleichterung zugunsten der Bank. Die Architektur der PSD2 ist opfer‑, nicht bankenfreundlich angelegt. Starke Kundenauthentifizierung dient der Prävention, nicht als Argument, um Opfern die Verantwortung aufzubürden, wenn Prävention gescheitert ist.

Snippet – Weiterführende vertiefende Beiträge

Die technische Betrachtung des geraubten Geräts ist nur eine Seite der Medaille. Flankierend sind die dogmatischen Fragen der Autorisierung und der Zurechnung von Täterhandlungen entscheidend. Diese werden in folgenden Beiträgen vertieft:

Autorisierung und Opferrechte nach Überfall:
https://www.hortmannlaw.com/articles/kreditkarte-ueberfall-missbrauch-opfer-rechte

Keine Zurechnung von Täterhandeln bei Gewalt:
https://www.hortmannlaw.com/articles/kreditkartenmissbrauch-gewalt-keine-zurechnung

Snippet – FAQ: 2FA, 3D Secure und geraubtes Smartphone

Die folgenden Fragen werden von Mandant:innen besonders häufig gestellt, wenn 2FA‑Verfahren nach einem Raub „gegen sie verwendet“ wurden.

FAQ

Frage 1: Wenn 2FA oder 3D Secure „erfolgreich“ war, bin ich dann automatisch verantwortlich?
Nein. Die erfolgreiche technische Authentifizierung beweist nicht, dass du zugestimmt hast. Bei einem geraubten Gerät ist die Authentifizierung lediglich Ausdruck der Täterherrschaft über das Instrument.

Frage 2: Spielt es eine Rolle, ob meine Biometrie (Finger/FaceID) genutzt wurde?
Biometrie ist nur dann ein sicheres Merkmal, wenn sie freiwillig genutzt wird. Unter Zwang ist sie kein Ausdruck deines Willens, sondern ein Missbrauch deines Körpers als „Schlüssel“. Rechtlich ersetzt dies keine Autorisierung.

Frage 3: Hätte ich mein Handy sicherer konfigurieren müssen, um nicht zu haften?
Die PSD2 verlangt von Banken, sichere Verfahren zu implementieren. Es ist nicht Aufgabe des Nutzers, sich gegen bewaffnete oder gewaltsame Angriffe zu „härten“. Ein normal konfiguriertes Smartphone mit Banking‑Funktionen stellt keine grobe Fahrlässigkeit dar.

Frage 4: Kann die Bank sagen, ich hätte mein Handy nicht entsperrt mitführen dürfen?
Wer ein entsperrtes oder leicht entsperrbares Smartphone mit sich führt, bewegt sich im Rahmen typischen Alltagsverhaltens. Den extremen Ausnahmefall eines Raubüberfalls darf die Bank nicht rückwirkend in eine „selbstverschuldete Gefahr“ umdeuten.

Frage 5: Wie gehe ich konkret vor, wenn meine Bank sich auf SCA‑Protokolle beruft?
In der Regel empfiehlt sich eine substantielle Zurückweisung, die die fehlende Autorisierung, die gewaltsame Kompromittierung des Geräts und die Beweislast der Bank herausstellt. Bleibt die Bank bei ihrer Position, ist eine gerichtliche Klärung angezeigt – die sachlichen Argumente liegen in Raubfällen klar auf Seite des Opfers.

CTA – individuelle Fallprüfung:
Für eine rechtliche Einschätzung zum Einsatz von 2FA/3D Secure nach Gerätediebstahl oder Raub und zur Durchsetzung von Erstattungsansprüchen gegen Banken stehe ich zur Verfügung:
📞 0160 9955 5525

‍

Weiterführende Informationen finden Sie in folgenden Artikeln:

https://www.hortmannlaw.com/articles/kreditkartenbetrug-bankhaftung
https://www.hortmannlaw.com/articles/kreditbetrug-scheinantrag
https://www.hortmannlaw.com/articles/haftung-der-bank-bei-onlinebetrug
https://www.hortmannlaw.com/articles/fake-sec-taskforce-betrug
https://www.hortmannlaw.com/articles/ceo-fraud-business-email
https://www.hortmannlaw.com/articles/krypto-betrug-fiu-meldung-opfer-anwalt
https://www.hortmannlaw.com/articles/steuerliche-behandlung-recovery-gelder
https://www.hortmannlaw.com/articles/krypto-betrug-analysieren-anwalt-erklart-layering
https://www.hortmannlaw.com/articles/geldwaescheketten-krypto-betrug
https://www.hortmannlaw.com/articles/recovery-scam-krypto-betrug
https://www.hortmannlaw.com/articles/paypal-betrug-und-dating-scams
https://www.hortmannlaw.com/articles/forensics-dashboard-creditcard-fraud

Anlagebetrug

Ob vermeintlich seriöse Trading-Plattform, betrügerische Broker-App oder raffinierte Lockvogel-Taktik: Anlagebetrug nimmt viele Formen an – das Ergebnis ist oft dasselbe: hohe Verluste, gebrochene Versprechen und kein Ansprechpartner mehr. Wir helfen Betroffenen, ihre rechtlichen Möglichkeiten zu prüfen, Ansprüche durchzusetzen und weitere Schäden zu verhindern. Wer früh reagiert, erhöht die Chance, Vermögenswerte zu sichern oder zurückzuholen.

1. Schwarze Liste betrügerischer Plattformen (aktualisiert: Oktober 2025)
   https://www.hortmannlaw.com/articles/schwarze-liste-betrugerischer-plattformen            
2. Anlagebetrug durch Fake-Profile – wenn Vertrauen gezielt missbraucht wird
   https://www.hortmannlaw.com/articles/anlagebetrug-fake-profile-vertrauen-missbrauch                
3. Anlagebetrug durch Lockvögel – Wie Täter Vertrauen durch Chatkontakte erschleichen
   https://www.hortmannlaw.com/articles/anlagebetrug-lockvoegel-vertrauen-chatkontakte                
4. Anlagebetrug in Messenger-Gruppen – Die Macht der Schein-Community
   https://www.hortmannlaw.com/articles/anlagebetrug-whatsapp-gruppen-social-proof-taktiken
5. Anlagebetrug über Fake-Trading-Apps – Virtuelle Depots, reale Verluste
   https://www.hortmannlaw.com/articles/anlagebetrug-fake-trading-apps-virtuelle-depots                  
6. Anlagebetrug: Gefälschte Kreditrahmen – Wie Betrüger mit Fake-Plattformen neue Zahlungen erzwingen
   https://www.hortmannlaw.com/articles/gefaelschte-kredite-anlagebetrug-virtuelle-kreditrahmen              
7. Anlagebetrug: Geldflüsse – Internationale Überweisungen als Spur
   https://www.hortmannlaw.com/articles/geldfluesse-anlagebetrug-internationale-ueberweisungen          
8. Anlagebetrug: Psychologie digitaler Betrugsnetzwerke – Manipulation in WhatsApp-Gruppen
   https://www.hortmannlaw.com/articles/psychologie-digitaler-betrugsnetzwerke-whatsapp-gruppen      
9. Anlagebetrug: TaktikInvest Allianz & Clearstream Fake – neue Betrugsmasche über Finanzen.net
   https://www.hortmannlaw.com/articles/taktikinvest-allianz-clearstream-finanzen-net-betrug      

Plattformhaftung

Online-Plattformen wie Crypto-Börsen, Zahlungsdienstleister oder Vermittlungsportale tragen Mitverantwortung, wenn Nutzer geschädigt werden – etwa durch betrügerische Angebote, Sicherheitslücken oder unterlassene Warnungen. Immer mehr Gerichte erkennen in solchen Fällen eine Haftung der Anbieter. Wir setzen uns dafür ein, dass Plattformen nicht nur von Transaktionen profitieren, sondern auch Verantwortung übernehmen – und helfen Betroffenen, ihre Rechte konsequent geltend zu machen.

1. AGB im Krypto-Handel – Verantwortung der Plattformen und Grenzen der Haftung
   https://www.hortmannlaw.com/articles/agb-krypto-plattform-verantwortung-haftung        
2. Bankhaftung bei Onlinebetrug – Wann Sie Ihr Geld zurückfordern können
   https://www.hortmannlaw.com/articles/haftung-der-bank-bei-onlinebetrug                
3. DSGVO und Crypto.com – Pflichten bei Krypto-Betrug und Datenzugriff
   https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug              
4. Klage gegen die Bank bei Love-Scam, Krypto- und Anlagebetrug – Gerichtspraxis statt Theorie
   https://www.hortmannlaw.com/articles/klage-gegen-die-bank-betrug              
5. Love Scam und Crypto.com – Haftet die Plattform trotz AGB? Anwalt hilft Opfern
   https://www.hortmannlaw.com/articles/love-scam-crypto-com-haftung-agb

Cybercrime & Strafrecht

Digitale Straftaten wie Phishing, CEO-Fraud oder Identitätsdiebstahl nehmen rasant zu – ebenso wie die Komplexität strafrechtlicher Verfahren. Wir unterstützen Betroffene und Unternehmen dabei, Täter zur Verantwortung zu ziehen, Beweise zu sichern und zivil- wie strafrechtliche Ansprüche durchzusetzen.

1. Adhäsionsverfahren und Schadensersatz im Krypto-Betrugsfall
   https://www.hortmannlaw.com/articles/adhasionsverfahren-und-schadensersatz-im-krypto-betrugsfall              
2. Bedeutung von Haftsachen, Strafvollstreckung und Strafvollzug
   https://www.hortmannlaw.com/articles/bedeutung-von-haftsachen-strafvollstreckung-und-strafvollzug              
3. CEO-Fraud und Business-E-Mail-Compromise – Unternehmensbetrug durch Täuschung
   https://www.hortmannlaw.com/articles/ceo-fraud-business-email    
4. Geheimhaltungsvereinbarungen (NDAs): Schutz vor Industriespionage
   https://www.hortmannlaw.com/articles/geheimhaltungsvereinbarungen-ndas-schutz-industriespionage            
5. Industriespionage im internationalen Handel
   https://www.hortmannlaw.com/articles/industriespionage-im-internationalen-handel        
6. Industriespionage und Datenschutz
   https://www.hortmannlaw.com/articles/industriespionage-und-datenschutz              
7. Klage gegen Crypto.com & Co: Wie Opfer von Krypto-Betrug, Bitcoin- und Love-Scam-Fällen vor Gericht Erfolg haben
   https://www.hortmannlaw.com/articles/klage-gegen-crypto-com-plattform-betrug                
8. Kreditbetrug durch fingierte Anträge – Haftungs- und Strafrisiken
   https://www.hortmannlaw.com/articles/kreditbetrug-scheinantrag    
9. Kreditkartenbetrug – Haftung der Bank bei missbräuchlicher Nutzung
   https://www.hortmannlaw.com/articles/kreditkartenbetrug-bankhaftung      
10. Online-Betrug & Adhäsionsverfahren – Schadensersatz mit Anwalt durchsetzen
    https://www.hortmannlaw.com/articles/adhasionsverfahren-online-betrug-anwalt                
11. Phishing Betrug – Anwalt bei Fake-Support und Online-Täuschung
    https://www.hortmannlaw.com/articles/phishing-fake-support-anwalt            
12. Prävention von Industriespionage: technische Schutzmaßnahmen
    https://www.hortmannlaw.com/articles/pravention-industriespionage-technische-schutzmasnahmen
13. Recovery Scams nach Krypto-Betrug – Die zweite Täuschungswelle
    https://www.hortmannlaw.com/articles/recovery-scam-krypto-betrug              
14. Scamming: PayPal-Betrug und Dating-Scams
    https://www.hortmannlaw.com/articles/paypal-betrug-und-dating-scams    
15. Starting a GmbH in Germany
    https://www.hortmannlaw.com/articles/starting-a-gmbh            
16. Strafanzeige Krypto Betrug
    https://www.hortmannlaw.com/articles/strafanzeige-krypto-betrug  
17. Was sind Crypto Plattformen und wann haften sie?
    https://www.hortmannlaw.com/articles/was-sind-krypto-plattformen-und-wann-haften-sie