Handelsblatt

MenüZurück
Wird geladen.

24.04.2012

16:54 Uhr

BGH-Urteil

Kunden haften für leichtfertige Fehler beim Online-Banking

Bankkunden sollten beim Online-Banking vorsichtig sein – und in Zukunft noch besser aufpassen. Nach einem BGH-Urteil tragen sie den Schaden, wenn sie fahrlässig mit ihren TAN- oder PIN-Nummern umgehen.

TAN-Generator: Unterschiedliche Sicherheitsniveaus. dpa

TAN-Generator: Unterschiedliche Sicherheitsniveaus.

KarlsruheBankkunden müssen den Schaden tragen, wenn sie leichtfertig mit ihren Transaktionsnummern für das Online-Banking umgehen und Betrüger deshalb ihr Konto plündern können. Dies gilt zumindest für alle Fälle bis Ende Oktober 2009, wie der Bundesgerichtshof (BGH) in einem am Dienstag verkündeten Urteil entschied. (Az: XI ZR 96/11)

Damit scheiterte ein Bankkunde, von dessen Konto Unbekannte 5.000 Euro nach Griechenland überwiesen hatten. Der Kläger hatte zehn seiner Transaktionsnummern (TAN) auf einer gefälschten Internetseite der Bank preisgegeben und wurde damit zum Opfer einer sogenannten Pharming-Attacke.

Der Kläger hatte nach eigenen Angaben bei dem Onlinebanking den Hinweis bekommen, dass er zunächst zehn Transaktionsnummern eingeben müsse. Die Nummern habe er deshalb in dafür vorgesehene Felder eingetragen und anschließend wieder Zugriff auf das Online-Banking erhalten. In Wirklichkeit war er zunächst auf einer täuschend echt aussehenden, aber gefälschten Internetseite gelandet.

„Das Urteil ist eine Einzelfallentscheidung und kann nicht verallgemeinert werden“, erklärte der auf Internetrecht spezialisierte Kölner Rechtsanwalt Christian Solmecke. Der Fall erfolgte noch vor Einführung des eines speziellen Gesetzes, das nun konkret regelt, dass Bankkunden im Onlinebanking nur haften, wenn ihnen PIN und TAN grob fahrlässig abhandengekommen sind. „Ich gehe zwar davon aus, dass im entschiedenen Fall eine grobe Fahrlässigkeit gegeben war und der Kunde auch nach heutiger Rechtslage sein Geld nicht zurück bekommen würde“, macht Solmecke deutlich, „allerdings handelte es sich hier auch um einen Extremfall. Wie Kunden ihre Zugangsdaten schützen müssen, bleibt damit trotz des Urteils nach wie vor umstritten.“

Wie Sie ihr Konto beim Online-Banking schützen

TAN

Die alte TAN hat ausgedient - zu leicht zu knacken. Weil Betrüger immer neue Wege finden, Kontodaten im Internet abzugreifen, verschärfen auch Banken ihre Sicherheitsstandards beim Online-Banking. Den klassischen Weg mit geheimem PIN-Code und einer Sammlung von Transaktionsnummern (TAN) nach dem Zufallsprinzip gibt es fast gar nicht mehr. Auch das sogenannte indizierte TAN-Verfahren (iTAN) mit durchnummerierten Codes läuft aus, weil es zu viele Schwachstellen hat.

TAN per SMS

Wer das Handy immer in Reichweite hat, der kann sich seine TAN per SMS schicken lassen. Dazu hinterlegt man einmalig seine Nummer bei der Bank - und bekommt automatisch eine mobile TAN (mTAN) geschickt, um eine Transaktion zu bestätigen. Die haben meist nur eine begrenzte Gültigkeit, um in falschen Händen nicht missbraucht werden zu können.

Risiken lauern trotzdem - gerade bei Smartphones. Denn es gibt schon Programme, die TAN-SMS abgefangen oder auf Handys von Betrügern umleitet sollen. „Die Einführung der Smartphones ist eine Gefahr für das Online-Banking“, warnt Georg Borges, Jura-Professor an der Ruhr-Universität Bochum. „Es gibt ernsthafte Versuche, in mTANs einzugreifen.“

Bestätigungen für einen erfolgreichen Angriff gebe es allerdings noch nicht. Außerdem seien ältere Handys ohne Internetnutzung sicherer - wenn auch nicht unangreifbar. Laut Verbraucherzentrale Nordrhein-Westfalen verbieten Banken in ihren Geschäftsbedingungen deswegen, dass mTANs an Handys geschickt werden, mit denen Bankgeschäfte erledigt werden.

TAN-Generator

Wem die Handy-Variante zu viel Angriffsfläche bietet, der kann bei vielen Banken auf sogenannte TAN-Generatoren zurückgreifen. Die sehen aus wie kleine Taschenrechner mit einem Leseschlitz, in den der Kunde seine EC-Karte schiebt. Je nach Anbieter braucht die Maschine dann mehr oder weniger Informationen, um schließlich auf Knopfdruck eine TAN auszuspucken - das Sicherheitsniveau ist entsprechend unterschiedlich.

Einigen Modellen reicht schon eine Kontrollnummer auf der Webseite der Bank. Andere lesen beim sogenannten optischen Verfahren einen flackernden Strichcode auf der Webseite der Bank aus. Dazu haben die Geräte Sensoren, die der Kunde an den Bildschirm halten muss. Erst wenn der richtige Strichcode erkannt ist, zeigt das Gerät die TAN an.

Die sicherste Variante ist laut Professor Borges aber die, bei der Daten aus der Überweisung in die Berechnung der TAN einbezogen werden - etwa eine Zahlenfolge aus der Kontonummer des Empfängers. „Mit der jeweiligen TAN kann dann nur diese spezielle Überweisung getätigt werden“, sagt Borges.

Allerdings kosten die Generatoren zwischen zehn und 15 Euro und müssen zur Überweisung immer zur Hand sein. „Das ist eine Abwägung zwischen Komfort und Sicherheit“, sagt der Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner. „Das Mobiltelefon habe ich immer dabei.“

Virenschutz

Neben einem sicheren TAN-Verfahren empfiehlt es sich, auch den eigenen Computer samt Virenschutz immer auf dem aktuellen Stand zu halten, um Betrügern den Zugriff möglichst schwer zu machen. „Wir raten auch von Online-Banking in unbekannten oder ungesicherten Drahtlosnetzwerken ab“, sagt Professor Borges. Außerdem sollten Kunden ihre Kontobewegungen regelmäßig prüfen, um einen Betrug schnell zu entdecken und die Bank zu informieren.

HBCI-Verfahren

Allerhöchste technische Sicherheit liefert das HBCI-Verfahren, das einige Banken anbieten. Das Homebanking Computer Interface hat aber seinen Preis: Neben einem speziellen Lesegerät braucht der Kunde ein Computerprogramm und eine Chipkarte mit einem digitalen Schlüssel. Erst diese Dreierkombination verpasst der Transaktion eine kaum zu fälschende Signatur. Selbst geklaute Passwörter sind ohne Zugriff auf die Chipkarte dann nutzlos. Allerdings laufen Überweisungen auch nur mit den Rechnern, auf denen die Software installiert ist.

Diese Weiterentwicklung des sogenannten Phishings, des Abschöpfens sensibler Daten wie Passwörtern, basiert auf der Manipulation von Webbrowsern und wird Pharming genannt. Die bis heute unbekannten Täter erleichterten mit dem Trick nicht nur das Konto des Mannes um 5.000 Euro. Am gleichen Tag wurden vom Konto eines anderen leichtgläubigen Kunden sogar 7.000 Euro nach Griechenland transferiert.

Die Bank ist für das Verhalten des Klägers laut Urteil nicht verantwortlich: Sie hatte auf ihrer Internetseite ausdrücklich vor Schadprogrammen gewarnt, in welchen Kunden aufgefordert werden mehrere Transaktionsnummern in ein Formular einzugeben. Ausdrücklich hieß es auf der Seite: „Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben!“ Gleichwohl habe der Kunde „die erforderliche Sorgfalt beim Log-In-Vorgang außer Acht gelassen“, heißt es in der Entscheidung. Ein Mitverschulden der Bank sah der BGH nicht, da ihr Online-Banking zum Tatzeitpunkt dem damaligen Stand der Technik entsprach.

Angriffsmethoden: Betrüger rüsten beim Online-Banking auf

Angriffsmethoden

Betrüger rüsten beim Online-Banking auf

Jahrelange Aufklärung zeigt ihre Wirkung: Die faulen Tricks für das Abfischen von Passwörtern ziehen bei den meisten Bankkunden nicht mehr. Die Betrugsmethoden sind raffinierter geworden.

Das Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht. Die Richter ließen nun offen, ob der Umgang des Klägers mit den Konto-Zugangsdaten auch als grobe Fahrlässigkeit bewertet werden kann. Rechtsexperten gehen davon allerdings aus.

Von

afp

Kommentare (9)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Sue

24.04.2012, 17:48 Uhr

Also wenn die Banken leichtsinnig sind, haftet nicht nur der Kunde, sondern gleich alle Steuerzahler - aber wenn der Kunde auf Betrüger reinfällt, auch aufgrund mangelnder Sicherheitsmaßnahmen der Banken, haftet der Kunde selbst? Hab ich das so richtig verstanden?

Kritiker

24.04.2012, 17:54 Uhr

Selbst wenn der Kunde nicht direkt für seinen Fehler haftet, kommt doch sowieso alles in einen Pott und am Ende zahlt der Kunde, also der Steuerzahler.

Account gelöscht!

25.04.2012, 06:21 Uhr

...wer haftet, ist doch eigentlich egal... ...viel wichtiger ist doch die Information, daß in beiden Fällen das Geld ebenfalls nach Griechenland überwiesen wurde... ...und das bereits vor der Einrichtung des ersten Rettungsschirmes... ...bereits da hätte unsere Gesetzgebung einschreiten müssen (Anfangsverdacht!!!) ;-)

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×