Kontoauszüge sind oft unerfreulich. Aber manchmal führt die Lektüre auch zum Schock: Ohne jeden Auftrag sind Beträge an völlig unbekannte Empfänger überwiesen worden. Hinter den angemaßten Transaktionen stecken versierte Täter, die sich die technischen Unzulänglichkeiten des Internet zu Nutze machen.
Ist Onlinebanking wirklich sicher?
Die Banken behaupten dies beharrlich. Die jüngeren Entwicklungen geben aber zu der Vermutung Anlass, dass die Banktransfers am privaten Rechner ganz erhebliche Sicherheitsrisiken mit sich bringen. Denn in zunehmendem Maße gelingt es Tätern, vertrauliche Kontodaten wie Zugangspasswörter, Geheimnummer (PINs) und Transaktionsnummern (TANs) herauszufinden und sie zu ihren Gunsten zu nutzen.
Phishing-Mails: gefälschte E-Mail für Datenklau
Dies geschieht zum einen im Wege so genannter „Phishing-Mails“. Dies sind gefälschte E-Mails, die dem Empfänger vorspiegeln, sie seien von seiner Hausbank versendet worden. In ihnen werden die Bankkunden aufgefordert, vertrauliche Kontodaten preiszugeben. Wer der Anweisung folgt, macht sich zum klassischen Betrugsopfer: Mit den Daten nehmen die Täter eigene Transaktionen auf dem Konto des Verbrauchers vor. Die Beträge werden an Drittkonten im Ausland überwiesen und dort vereinnahmt. In der Vergangenheit sind zahlreiche Verbraucher auf die an sich plumpe Masche hereingefallen. In jüngerer Zeit häufen sich Fälle, die durch eine wesentlich subtilere und perfidere Vorgehensweise der Betrüger gekennzeichnet sind.
Der Kontodatenklau erfolgt im Wege so genannter Trojaner-Mails, die den Bankkunden nicht zu einer wissentlichen Preisgabe seiner Daten veranlassen. Vielmehr werden E-Mail-Anhänge mit Virenprogrammen gespickt, die sämtliche vertraulichen Daten wie Passwörter und Geheimnummern erkennen. Selbst ohne Öffnung eines derartigen Anhangs nisten sich die Viren unbemerkt auf der Festplatte des Rechners ein und torpedieren die nächste elektronische Transaktion des Users: Sobald er die persönlichen Angaben eingetragen und das Überweisungsformular ausgefüllt hat, fragt ihn der Bankserver nach einer gültigen TAN. Ist diese eingegeben und per Mausklick bestätigt, fängt das Virus die TAN ab und macht sie sich für eine eigene, von den Tätern bereits programmierte Überweisung zu Nutze. Der User bemerkt zunächst nicht, dass er in Wahrheit eine völlig andere Transaktion, als die eigentlich von ihm eingegebene veranlasst hat.
In der Regel werden die Fehlanweisungen erst bei späterer Lektüre des Kontoauszugs bemerkt. Im Normalfall veranlassen die Betrüger Überweisungen von maximal etwa 1.000 bis 2.000 Euro, um den Deckungsrahmen eines durchschnittlichen Verbraucherkontos nicht zu sprengen oder das Misstrauen der Bank zu wecken. Es gehört zu den Vorgehensweisen der Täter, die Geldflüsse zu verschleiern, noch bevor die Ermittlungsbehörden ihre Tätigkeit aufgenommen haben. In der Regel werden so genannte Finanzagenten angeworben, die gegen eine Beteiligung die Empfängerkonten zügig kündigen und die Beträge ins Ausland transferieren. Bevorzugt werden Unternehmen wie Western Union eingeschaltet; weder Absender noch Empfänger benötigen einen festen Wohnsitz oder ein Girokonto.
Welche Rechte haben die Opfer?
Allgemein gilt: Wer durch nicht veranlasste Transaktionen um seine Gutschriften gebracht wird, hat einen Anspruch auf Rückerstattung der abgebuchten Beträge gegen die Bank, wenn und soweit er den Schaden nicht durch eigene Fahrlässigkeit verursacht hat.
Im Bereich des Onlinebanking verwenden die meisten Banken standardisierte AGB; die allgemein übliche Klausel enthält zum Pflichtenkatalog des Nutzers nur vage Aussagen: Er muss dafür Sorge tragen, dass keine andere Person Kenntnis der ihm übersandten PIN oder der verwendeten TAN erlangt. Insbesondere dürfen PINs und TANs nicht elektronisch gespeichert oder in anderer Form notiert werden, die TAN-Liste ist sicher zu verwahren und bei Eingabe von PIN und TAN ist sicherzustellen, dass diese nicht durch Dritte ausgespäht werden können. Was bedeutet das konkret für Phishing- und Trojaner-Mails? Bislang sind nur strafrechtliche Entscheidungen der Gerichte ergangen. So hat das LG Darmstadt mit Urteil vom 11. Januar 2006 (212 Ls 360 Js 33848/05) das Phishing mit anschließendem Auslandstransfer als gewerbsmäßige Geldwäsche nach § 261 IV StGB angesehen. Regelmäßig machen sich die Täter auch des Computerbetruges (§263a StGB) und des Ausspähens von Daten (§ 202a StGB) strafbar.
In zivilrechtlicher Hinsicht kommt es für eine Erstattungspflicht der Bank letztlich auf Art und Umstände der Täuschung an. Je schwieriger die Fälschung der Fishing Mail zu entdecken war, desto weniger wird dem Kunden eine Sorgfaltspflichtverletzung vorgeworfen werden können. Dies gilt insbesondere im Falle einer Trojaner-Mail, die praktisch nicht als solche erkannt werden kann. Die Banken haben auf die neue Bedrohung bislang nicht durch Änderung ihrer AGB reagiert, sondern nur Empfehlungen abgegeben, wie derartige Attacken zu vermeiden sind. Hierzu gehört, Dateianhänge von unbekannten E-Mails nicht zu öffnen, das Betriebssystem regelmäßig durch Updates zu aktualisieren und die Festplatte mit einer Firewall auszustatten. Eine Nichtbeachtung dieser Empfehlungen wird aber nicht ohne weiteres eine Sorgfaltspflichtverletzung des Kunden darstellen.
Vielmehr müssten die Banken bestimmte Vorkehrungen vertraglich vorschreiben. Ob damit zukünftig zu rechnen ist, bleibt abzuwarten. Jedenfalls dürften zu hohe Anforderungen an die Computersicherheit oder eine grundsätzliche Abwälzung des Kriminalitätsrisikos unangemessene Benachteiligungen des Bankkunden darstellen.
Einige Banken haben zwischenzeitlich durch Einführung des indizierten TAN-Verfahrens reagiert. Bei diesem Verfahren wird der Bankkunde aufgefordert, eine nach dem Zufallsprinzip ausgewählte, unverbrauchte TAN aus seiner Liste einzugeben. Diese TAN-Nummer ist dann an den Überweisungsvorgang gebunden und kann nur in diesem Zusammenhang verwendet werden. Wird die angeforderte TAN für einen anderen Vorgang verwendet – etwa weil der Kunde die Transaktionsdaten korrigiert hat – so wird sie durch den Server der Bank automatisch entwertet. Dieses Verfahren soll sicherstellen, dass die TAN nicht durch Trojaner-Mails für betrügerische Zwecke verwendet werden kann. Teil des neuen, indizierten TAN-Verfahrens ist es auch, dass dieTAN-Anfrage eine Gültigkeit von nur sieben Minuten hat. Wenn der Kunde innerhalb dieses Zeitraumes die Anfrage nicht beantwortet, wird die angeforderte Nummer automatisch verbraucht. Allerdings wird durch diese Maßnahmen lediglich ein Sicherheitsvorsprung im Internet geschaffen.
Vorläufiges Fazit: Erste zivilgerichtliche Urteile zum manipulierten Onlinebanking stehen noch aus.
Nach Einschätzung von Dr. Schulte und sein Team Rechtsanwälte mbB darf sich die Bank im Falle einer durch eine Phishing- oder Trojaner-Mail veranlassten Fehlüberweisung dem Rückerstattungsanspruch des Kunden nicht ohne weiteres entgegenstellen, sondern muss plausibel darlegen, worin die Sorgfaltspflichtverletzung des Nutzers bestanden haben soll. Außerdem ist es höchstwahrscheinlich nur eine Frage der Zeit, bis sich die professionellen Passwortdiebe auch auf das indizierte TAN-Verfahren eingestellt haben.
Autor (ViSdP):
Dr. iur. Thomas Schulte
Rechtsanwalt