Onlinebanking
Phishing, Hacking & Co - Probleme beim Onlinebanking und die Ansprüche der Bankkunden.
Es ist der Alptraum eines jeden Onlinebanking-Kunden: Über Nacht ist der Kontostand am Dispo-Limit angelangt. Ein unbekannter Dritter hat beispielsweise 10.000 Euro vom eigenen Konto abgebucht - per Onlinebanking, obwohl man selbst PIN- und TAN-Nummern vorbildlich und sicher an einem geheimen Ort verwahrt hat. Der Empfänger der Zahlung wiederum hat - angeblich auf Anweisung des Bankkontoinhabers - das empfangene Geld weitergeleitet. Nun befinden sich 10.000 Euro auf einem Konto irgendwo in Russland. Und die Bank fordert vom überrumpelten Kunden den Ausgleich des Kontos.
Der völlig überraschte Bankkunde ist in einer solchen Situation mehr als verzweifelt. Er fragt sich, an wen er sich wenden soll, um seinen Schaden auszugleichen. Der Erstempfänger der Überweisung - der das Geld weitergeleitet hat - ist oft zahlungsunfähig. Trotz seiner Verantwortlichkeit ist die Geltendmachung von Ansprüchen aussichtslos. Ebenso schwierig bis unmöglich ist die Durchsetzung eines Anspruchs in Russland. Lediglich bei der eigenen Bank erscheint es realistisch, einen Ausgleich erhalten zu können.
Die Bank ist zahlungsfähig - aber auch haftbar?
Naturgemäß bestreitet das Geldinstitut irgendein Verschulden. Das von ihr verwendete System des Onlinebankings sei vielfach geprüft und sicher. Der Kunde selbst sei durch fehlerhaftes Verhalten beim Onlinebanking verantwortlich für den entstandenen Schaden. Sehr oft wird nicht installierte Anti-Viren-Software oder ein veraltetes Betriebssystem beim Kunden als Grund für das erfolgreiche Phishing oder Hacking angeführt.
Auch die nicht unverzüglich erfolgte Information über abhandengekommene TAN-Nummern wird regelmäßig als Beweis für das Verschulden des Kunden beim Onlinebanking angeführt. Die Fahrlässigkeit des Kunden könne auch darauf beruhen, dass der Lebensgefährte oder andere Bekannte leichten Zugriff zu Zugangsdaten hatten und die Straftat einem Dritten somit erleichtert wurde.
Mit diesen Argumenten scheitern Banken vor Gericht immer öfter.
Dass die Risiken des Onlinebankings nicht so einfach von der Bank auf die Kunden übertragen werden können, ist ein in der Rechtsprechung anerkannter Grundsatz. Gerade wenn es um Darlegungs- und Beweislastfragen geht, machen es die Gerichte den Banken oft schwer, mit ihren Interessen durchzukommen. Tendenziell ist in der Rechtsprechung eine kundenfreundliche Gesetzesauslegung zu beobachten. So trifft auch die Banken eine Pflicht, Kundenhinweisen auf eventuelle Sicherheitslücken nachzugehen, ihre AGB einer strengen Prüfung zu unterziehen und stets nur die aktuellste Software zu verwenden, um sich nicht ein Mitverschulden anrechnen lassen zu müssen.
Cyberkriminelle, die die Sicherheitslücken des Onlinebankings ausnutzen, setzen dafür ausgeklügelt programmierte Software ein (zum Beispiel Trojaner), deren Angriffsziel die Kommunikationsabläufe im Onlinebanking sind. Datensendungen zur Bank werden abgefangen, was zur Folge hat, dass die Bank das Abfangen selbst gar nicht bemerkt. Moderne Bezahlsysteme, die häufig von Internet-Versandhäusern genutzt werden, eignen sich ebenfalls für das Ausspähen von Daten, die für das Onlinebanking benötigt werden.
Die traditionellen Phishing-Methoden mit gefälschten Webseiten gehören längst der Vergangenheit an. Die neuartigen, geschickt ausgeführten Angriffe auf das Onlinebanking aufzudecken ist extrem schwierig. Selbst das moderne eTAN-Verfahren ist gegen diese Angriffe nicht 100-prozentig gewappnet.
Der Schaden ist meist noch höher als zuerst befürchtet.
Denn zusätzlich zu den finanziellen Einbußen können Delikte mit Bezug zum Onlinebanking auch Rufschädigungen zur Folge haben, wenn zum Beispiel der eigenen Name im Zusammenhang mit der Online-Ersteigerung gestohlener Waren unbefugt benutzt wird. Es kann sehr teuer werden, in diesem Bereich Aufklärung zu leisten und Schäden wieder gut zu machen.
Wer Opfer einer Straftat aus dem Bereich Onlinebanking wird, sollte unbedingt den Rat eines Anwalts in Anspruch nehmen, der auf diesem Gebiet Spezialkenntnisse aufweisen kann. Dieser wird genau prüfen können, welche Anspruchsgegner in Frage kommen und wie realistisch die Durchsetzung von Ansprüchen ist. Wer auf Rechtsberatung verzichtet, wird auf jeden Fall einen erheblichen finanziellen Schaden selbst tragen müssen.
100-prozentige Sicherheit ist beim Onlinebanking beinahe unmöglich.
Wer einen höchstmöglichen Schutz im Onlinebanking sucht, sollte auf jeden Fall folgende Hinweise ernst nehmen:
-
Es sollten Antivirenprogramme verwendet werden, die immer auf dem neuesten Stand sind. Viele dieser Programme können Phishing-E-Mails sehr gut erkennen und filtern beziehungsweise löschen. Der Schutz vor Phishing-Attacken beruht auf einer Blacklist, die laufend online aktualisiert wird oder auf dem Erkennen typischer Eigenschaften (Verweise auf IP-Adressen, Verweise auf Hostnamen, die dem Verweistext nicht entsprechen usw.).
-
Immer häufiger nutzen Banken so genannte Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate) für das Onlinebanking, um den Internetnutzern schnell und zuverlässig einen Hinweis auf die Authentizität einer Website geben zu können.
-
Empfehlenswert ist es, stets unterschiedliche Passwörter zu wählen. Wer dies nicht tut, gibt einem Hacker mit der Preisgabe nur eines Passworts einen Universalzugang zu jeder Anwendung, die er im Internet nutzt.
-
Beim Verlust oder dem Verbrauch einer TAN sollte umgehend die Bank informiert werden, damit das Konto schnell gesperrt werden kann. Genauso schnell sollte jedoch ein im Bankrecht versierter Rechtsanwalt aufgesucht werden, wenn ein Schaden bereits eingetreten ist.
Stand: 08.03.2012