Onlineüberweisung – Bankhaftung bei Hackingangriffen (man-in-the-middle-attack)

Rechtsberatung Anwalt Kanzlei Hannover Das LG Darmstadt entschied kürzlich, dass gewisse gehackte Online Überweisungen, dem Überweisenden selbst zuzurechnen sind. Im Ergebnis bestehen somit keine Ausgleichsansprüche gegen die Bank. Dies gilt für Online Bankings mit dem sogenannten „Smart-TAN-Verfahren“ bei welchem der Zahlende selbst eine Kontrollmöglichkeit des tatsächlichen Empfängers hat.

Smart-TAN-Verfahren und Haftung beim Hacking

Bei diesem speziellen Kontrollverfahren wird nach Eingabe der Überweisungsdaten in die Online Banking Maske, durch ein externes Gerät, in welches die zu belastende EC-Karte eingesteckt wird, eine TAN ermittelt. Dazu werden die Überweisungsdaten auf dem externen Gerät erneut angezeigt um deren Richtigkeit prüfen zu können. Anschließend muss eine „ok-Taste“ betätigt werden. Erst danach wird die TAN erstellt welche von dem Gerät dann in das dafür vorgesehene Feld am PC eingegeben wird. Von überragender Bedeutung ist dabei die Überprüfung, ob die angezeigten Daten auf dem TAN-Gerät identisch mit den ursprünglich in die Maske eingegebenen Daten sind.

In dem vor dem LG Darmstadt verhandelten Fall (Urteil vom 28.08.2014, Az. 28 O 36/14) wurden die Überweisungsdaten im Zuge eines „Man-in-the-Middle“-Angriffs vor der TAN Erstellung zugunsten der Hacker verändert, sodass diese die passende TAN für die manipulierte Überweisung abfangen konnten. Auf dem TAN Gerät wurden jedoch die bereits manipulierten Daten angezeigt, sodass bei umsichtiger Kontrolle des Überweisungsvorgangs von dem Ausführenden, der Angriff hätte erkannt werden können. Ein Abbruch der Überweisung ist vor Eingabe der TAN in die Online-Banking Maske noch möglich.

Man-in-the-Middle-Attacken bei Onlineüberweisung

Bei einem solchen Angriff steht der Angreifer unerkannt zwischen zwei online handelnden Parteien. In diesem Fall wurde die Online-Banking Eingabemaske von den Hackern so manipuliert, dass nach Eingabe des berechtigten Benutzers, die Empfängerdaten zugunsten der Hacker geändert wurden. Um diese, geänderte, Überweisung abschließen zu können, muss die TAN auf die eingegebenen Daten passen. Aus diesem Grund werden auf dem Gerät zur TAN Ermittlung die geänderten Daten angezeigt. Werden diese, mangels eingehender Kontrolle, durch den Berechtigten bestätigt, wird die Überweisung zugunsten der Hacker ausgeführt. Der ursprüngliche Empfänger hingegen erhält keine Zahlung.

Rechtsscheinhaftung des Bankkunden

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

Das LG Darmstadt entschied, dass die Klage des Kunden gegen seine Bank auf Ersatz der fälschlich überwiesenen Beträge in Höhe von 18.500 € unbegründet war. Ein Sachverständiger kam zu folgendem Ergebnis:

„Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.“

Dies ließ in dem Verfahren einzig den Schluss zu, dass auf dem TAN Gerät tatsächlich schon der neue Empfänger zu sehen gewesen sein muss, und die Transaktion aus Unachtsamkeit trotzdem bestätigt wurde. Die von dem Kläger ausgeführte Autorisierung des Überweisungsvorgangs erzeugte nach Ansicht des Gerichts dadurch einen Rechtsschein gegenüber der Bank, dass diese, die mit der TAN bestätigte Überweisung, auch durchführen solle. Aufgrund der erfolgten Autorisierung und den dadurch ausgelösten Rechtsschein, wurde dem Kläger kein Anspruch auf Ersatz der fehlgeleiteten Überweisung zugesprochen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 6 Bewertung(en), durchschnittlich: 4,83 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen