Sicheres Online-Banking
Nie wieder PIN/TAN-Pannen
PIN/TAN anfällig für Spionage
Sicheres Online-Banking
Online-Banking ist ein Milliardengeschäft. Rund zwei Drittel der Deutschen sind online. Davon betreiben etwa 60 Prozent Online-Banking, also rund 30 Millionen. Banken sparen dabei jede Menge Investitionen in Immobilien, Mitarbeiter und Service. Trickbetrüger wie Phisher, Pharmer und Virus/Trojaner-Entwickler verdienen sich eine goldene Nase, indem sie Sicherheitslücken und die Gutgläubigkeit von Anwendern systematisch ausnutzen.
Auch wenn Banken Schadensfälle und Rückforderungen von Online-Kunden aus Imagegründen gerne vertuschen, es gibt sie. Vor allem, weil das meist genutzte Verfahren PIN/TAN durchaus anfällig für Spionage ist. Grund genug, sich rechtlich abzusichern und Fehltritte beim virtuellen Bankbesuch zu vermeiden.
Erfolgreiche Angriffe
Sicheres Online-Banking
Um an Ihr Geld zu kommen, ist der einfachste Weg, Ihre PIN/ TAN-Daten auszuspionieren, um in Ihrem Namen, aber ohne Ihr Wissen möglichst hohe Beträge aufs eigene Konto zu scheffeln. Am erfolgreichsten sind die Trickbetrüger noch immer mit Phishing. Für Mai 2006 weist der aktuelle Bericht der Antiphishing Working Group 20 109 Angriffe aus. 92 Prozent dieser Angriffe per perfekt gefälschter E-Mail und Webseite zielen auf Banken und Finanzdienstleister.
Deutlich seltener nutzen Trickbetrüger Pharming, also gefälschte DNS-Einträge, die von der Original-URL der Bank auf eine manipulierte Webseite umleiten. Trojaner und Keylogger eignen sich zudem, um automatisiert PIN/TAN-Kombinationen auszuspähen, die dann im Web meistbietend verkauft werden. Wer eine solche Liste ergattert, plündert dann die entsprechenden Konten gleich im Dutzend.
Bild: Die Deutsche Bank macht’s richtig und bietet online detaillierte Sicherheitstipps, inklusive Zertifikatsprüfung.
Sind Sie verantwortlich?
Sicheres Online-Banking
Müssen Sie nun mit dem Schaden leben, den ein PIN/TAN-Dieb verursacht hat? Oder muss die Bank Ihnen den Schaden ersetzen? Die Rechtsgrundlage für Bankgeschäfte ist folgende: Überweist die Bank von Ihrem Konto einen Betrag X, muss ein ordentlicher Überweisungsauftrag durch einen Berechtigten vorliegen. Nur damit hat die Bank, die ja Ihre Geldgeschäfte besorgt, auch einen so genannten Aufwendungsersatzanspruch (§§ 675 Abs. 1, 670 BGB). Das heißt, die Bank zahlt an den Empfänger den Betrag X aus und hat das Recht, Ihr Konto mit X zu belasten. Sprich: Ihr Geld ist weg.
Wenn nun aber Ihre Daten missbraucht wurden, haben Sie persönlich ja keine Anweisung erteilt. Der Bank liegt folglich kein ordentlicher Überweisungsauftrag vor und sie hat kein Recht, Ihr Konto um den gestohlenen Betrag zu reduzieren.
Bild: Informiert die Bank nicht über Gefahren, kann eine Pflichtverletzung vorliegen, und die Bank muss für Betrügereien haften.
Missbrauch contra Haftung
Sicheres Online-Banking
Klingt logisch, ist aber nicht immer richtig. Denn wie die Bank unterliegen auch Sie als Kunde Pflichten, nämlich Sorgfalts-, Geheimhaltungs- und vertraglichen Nebenpflichten. Eine nachweisliche Pflichtverletzung Ihrerseits kann gemäß § 280 Abs. 1 BGB (Bürgerliches Gesetzbuch) zum Anspruch der Bank auf Schadensersatz führen. Sie müssen für den Schaden also selbst aufkommen, nicht die Bank.
Anders ist es, wenn Sie der Bank eine Pflichtverletzung nachweisen können, dann muss natürlich die Bank zahlen.
Kein Haftungsausschluss
Meint eine Bank nun, sie könne einen Haftungsausschluss in den AGB verstecken, sich von aller Verantwortung freizeichnen und auf diese Weise dem Kunden alle Risiken des Internet-Banking aufbürden, so irrt sie. Eine solche Klausel wurde bereits vom BGH als Verstoß gegen das AGB-Gesetz für unwirksam erklärt (AZ: XI ZR 138/00).
Das sind Ihre Pflichten
Sicheres Online-Banking
Aus den Allgemeinen Geschäftsbedingungen für Online-Banking ergibt sich zunächst die Pflicht zur Geheimhaltung. Sie müssen Ihre PIN/TAN-Daten vor Dritten verbergen, dürfen sie nicht elektronisch speichern oder auf einem zugänglichen Zettel notieren. Bei der Online-Dateneingabe müssen Sie Sorge tragen, dass Ihnen niemand über die Schulter schaut oder Sie per Minikamera ausspioniert.
Darüber hinaus dürfen Sie nur ein möglichst sicheres Computersystem für das Online-Banking verwenden. Das ergibt sich aus den vertraglichen Nebenpflichten gemäß § 241 Abs. 2 BGB. Der Umfang der geforderten Absicherung ist nicht eindeutig geregelt, sollte jedoch dem zu erwartenden Standard entsprechen, der einem Durchschnittsbürger zugemutet werden darf. Wer Firewall, Antivirus-Tool, aktuelle Patches und Updates installiert hat, ist auf der sicheren Seite und wird es der klagenden Bank damit unmöglich machen, ihm hier eine Pflichtverletzung nachzuweisen.
Kritische Anwender
Sicheres Online-Banking
Weiter besteht auch die Pflicht, sich in einem zumutbaren Rahmen über die aktuellen Gefahren im Web und beim Online-Banking zu informieren. Das geht jedoch nicht so weit, dass Sie den ganzen Tag recherchieren oder ein Informatik-Diplom nachweisen. Aber Sie sollten regelmäßig die Webseite der Online-Bank auf Sicherheitsmitteilungen prüfen.
Auch Skepsis kann von Ihnen als Online-Banking-Kunde erwartet werden: Wer auf schlampige Phishing-Mails hereinfällt, ist selbst schuld. Wenn Sie Ihre Bank über Sicherheitsaspekte wie das Schloss-Symbol im Browser und HTTPS berät, sollten Sie diesem Rat folgen. Eine Zertifikatskontrolle wäre wohl von den meisten Anwendern zu viel verlangt. Dennoch bietet etwa die Deutsche Bank auf ihren Seiten eine sehr gut nachvollziehbare Anleitung, wie Sie Zertifikate binnen weniger Minuten prüfen können.
Bild: Die Sparkasse macht Extra-Kasse und verkauft Chipkarten-Leser für das sichere HBCI-Verfahren im eigenen Online-Shop.
Fahrlässigkeit = Haftung
Sicheres Online-Banking
EC-Kartenbesitzer haben es leicht. Ihre AGB enthalten in der Regel klare Haftungsregelungen. Nicht so selbstverständlich ist das bei den AGB Online-Banking. Fehlen diese, tritt Ziffer 3 der AGB Banken in Kraft. Die allgemeine gesetzliche Haftungsregel verlangt, dass jede Vertragspartei die schuldhafte Verletzung ihrer vertraglichen Pflichten vertritt (§ 276 BGB). Kurz: Wer Mist gebaut hat, muss dafür geradestehen. Dazu reicht es bereits, wenn man Ihnen als Anwender einfache Fahrlässigkeit nachweisen kann.
Noch im Jahre 2004 hat der BGH die Fahrlässigkeit bei fehlendem Software-Schutz für den PC verneint. Doch Gefahren und Anforderungen an die PC-Sicherheit wachsen ständig. Das sieht auch die Rechtsprechung. So ist beim Weiterleiten virenverseuchter E-Mails ein fehlendes Antiviren-Tool eine Verletzung der Verkehrssicherungspflicht .
Verzichten Sie etwa auf das Absichern des PCs oder tippen PIN/TAN in einem gut besuchten Internet-Cafe ein, könnten Sie Ihre für den Verkehr erforderlichen Sorgfaltspflichten bereits verletzt haben und müssen für den Schaden dann auch selbst aufkommen. Eine verschuldensunabhängige Haftung des Kunden allein wäre aber ungültig und ein Verstoß gegen § 307 BGB.
Die Pflichten der Banken
Sicheres Online-Banking
Natürlich sind Vertraulichkeit und Sicherheit ein Kernelement von Bankgeschäften (Nr. 2 Abs. 1 AGB Banken). Die Bank muss also ebenfalls entsprechende Sicherungsmaßnahmen treffen. Lange galt das PIN/TAN-System als grundlegend sicher. Missbrauchsfälle wurden me
ist auf die Nachlässigkeit von Kunden zurückgeführt. Aber die perfiden Methoden cleverer Cracker ändern diese Sicht. Eine perfekte Phishing-Mail oder eine Pharming-Site können die meisten Kunden nicht als solche erkennen. Selbst Antiviren-Software kann Viren/Trojaner-Befall nicht zu 100 Prozent ausschließen.
Daraus ließe sich ableiten, dass auch Banken einer Produktbeobachtungspflicht unterliegen und ihr Online-Banking-System weiter absichern und Risiken vermeiden müssen. Das ist jedoch nicht allgemein anerkannt. Banken sind zwar grundsätzlich angehalten, den neuesten Schutz zu gewährleisten, doch nicht um jeden Preis. Ist die Absicherung etwa mit unzumutbaren Kosten für die Bank verbunden, wird keine Verpflichtung zu dieser Maßnahme angenommen. Eindeutig ist aber: Banken müssen Ihre Kunden über mögliche Gefahren beim Online-Banking informieren, klare Verhaltensregeln aufstellen und sichere Techniken einsetzen, etwa Authentifizierung, Verschlüsselung und Absicherung der Kundendaten im Backend.
Die Informationspflichten sind jedoch ohne eine spezifische gesetzliche Grundlage, so dass deren Umfang abermals Auslegungssache ist und nach Treu und Glauben erfolgt. Wer allerdings von seiner Bank nachweislich nicht über Gefahren informiert und beraten wurde, hat beste Chancen, sich auch vor Gericht durchzusetzen. Einer Bank wird es wohl auch nicht reichen, wenn sie angibt, online per E-Mail oder Pop-up-Fenster informiert zu haben. Denn diese Mittel setzen natürlich auch Phisher ein. Und aus Sicherheitsgründen gehört auf jeden PC eben auch ein Pop-up-Blocker, so dass Kunden entsprechende Hinweise nicht sehen.
Beweisrechtliche Fragen
Sicheres Online-Banking
Der klassische Fall: Sie finden eine unbekannte Abbuchung auf Ihrem Konto und bestreiten, dafür einen Überweisungsauftrag erteilt zu haben. Die Bank geht aber davon aus, dass der Auftrag von Ihnen kommen musste, da PIN/TAN korrekt waren. Es kommt zum Streit vor Gericht.
Das Problem: Wer einen Anspruch geltend macht, muss Beweise beibringen. Die Bank kann nur beweisen, dass der Überweisungsauftrag mit der PIN/TAN des Kunden erfolgte. Sie kann aber nicht beweisen, dass auch der Kunde selbst diesen erteilt hat. Der Kunde wiederum kann kaum beweisen, dass er es nicht war. Ein Patt? In genau solchen Fällen gehen Richter gerne vom so genannten Anscheinsbeweis aus. So ist es im Fall von EC-Karten sehr unwahrscheinlich, dass ohne fahrlässiges Handeln des Kunden ein Betrüger an dessen Karte plus PIN kommt. Der Kunde hat also schlechte Karten. Auch für Online-Banking wird der Anscheinsbeweis angenommen. Das kann sich aber ändern, denn der Anscheinsbeweis geht von einem typischen Geschehensverlauf aus. Zeigt die Statistik, dass perfide Trojaner-Attacken reihenweise an Security-Software vorbei erfolgreich sind und zum großen PIN/TAN-Klau führen, hat der geprellte Kunde gute Karten auch beim Online-Banking.
Sie können einen Anscheinsbeweis vor Gericht dann gut erschüttern: Legen Sie dar, dass auch ein anderer Ablauf als der angenommene möglich und wahrscheinlich war. Sammeln Sie Infos über Trojaner-Attacken und Pharming-Fälle. Heben Sie Protokolle Ihres Virenscanners auf, um eventuelle Angriffe nachweisen zu können. Ein befallenes System sollten Sie nicht reinigen. Sichern Sie ein Image, um den Schädlingsbefall belegen zu können. Denn eine Trojaner-Infektion hat das LG Koblenz schon am 19.4.2002 als Unschuldsbeweis anerkannt. Beruft sich die Bank nur auf ihren Schadensersatzanspruch (§ 280 Abs. 1 BGB), muss sie die Beweislast tragen.
Weitere Infos
Sicheres Online-Banking
– Recht des E-Commerce
– Recht des Online-Banking
– Urteil zum Haftungsauschluss
– Homebanking-Risikoverteilung
PC Professionell rät:
“Ob Sie bei Online-Banking-Pannen schuld sind oder nicht, zeigt sich nur im Einzelfall und hängt stark von Ihrem Vorwissen und der Missbrauchs-Variante ab. Beachten Sie aber diese Tipps, sind Sie für den Gerichtsstreit gut gewappnet.”