Zu den Risiken des Online-Bankings und wie Kunden sich gegen Betrug zur Wehr setzen können


Phishing als Gefahr für das Onlinebanking

Ursprünglich eins dem meistgenutzten Verfahren ist das sogenannte Phishing. Unter Phishing versteht man Versuche über gefälschte Webseiten oder Nachrichten an die persönlichen Daten eines Internetnutzers zu gelangen und damit einen Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es mit den erhaltenen Daten beispielsweise das Konto des betroffenen zu plündern. Um die Erfolgswahrscheinlichkeit zu erhöhen nutzen Hacker auch die sogenannte „Spear-Phishing“-Methode, bei der ein Opfer oder eine Opfergruppe, etwa über die Mitgliedschaft in einem Verein,  explizit ausgewählt werden um, unter Einbeziehung vom Informationen wie dem Wohnort, die Erfolgswahrscheinlichkeit mit Hilfe „personalisierter“ Phishing-Mails zu erhöhen.

Heute ist die Nutzung von klassischem Phishing vergleichsweise selten geworden, da die Mehrheit der Banken mittlerweile ihre TAN-Systeme verbessert haben und etwa Chip-TAN-Mechanismen verwenden um Betrug zu erschweren und zu verhindern.

 Chip-TAN Verfahren

Bei dem sogenannten Chip-TAN Verfahren, erhält der Kunde einen kleinen TAN-Generator von seiner Bank, für den Gebrauch zu Hause.. Wird in diesen die EC-Karte des Nutzers eingeführt, generiert das Gerät, mithilfe eines visuellen, über die Homepage der Bank übermittelten, Flickercodes einen individuellen TAN-Code für die Autorisierung des Finanzgeschäfts. Der Kunde bestätigt in der Folge noch einmal die Auftragsdaten bevor dieser wie gewünscht ausgeführt wird.

Doch auch hier gibt es Methoden die Sicherheitsmechanismen zu umgehen. Eine Vorgehensweise, die sich in jüngerer Vergangenheit großer Verbreitung erfreut, ist das sogenannte Pharming. Hierbei wird, durch eine Manipulation der DNS-Anfragen des Browsers, der Benutzer auf gefälschte Webseiten seiner Bank umgeleitet. Unter Zuhilfenahme von Trojanern wird hierbei das Computersystem des Opfers manipuliert, mit der Konsequenz, dass von diesem System eine gefälschte Website angezeigt wird, obwohl die Adresse korrekt eingegeben wurde. Die betroffenen Benutzer können so von Betrügern, etwa auf täuschend echt nachgebildete Seiten einer Bank geleitet werden.

Oft werden die betroffenen nun aufgefordert eine Testüberweisung zu tätigen. Da es hierbei nicht erkennbar ist, dass es sich nicht wirklich um die Homepage des Kreditinstituts handelt, kommt eine Vielzahl von Nutzern dieser Aufforderung nach. Die daraufhin vom TAN-Generator angezeigten Daten, stimmen in der Regel mit den genannten „Testdaten“ überein, sodass auch hier kein weiteres Misstrauen entsteht. Der Nutzer bestätigt in der Folge die Überweisung, eine TAN wird generiert und anschließend verwendet. Weil durch die zuvor installierte Malware auch die Online angezeigten Kontostände manipuliert werden, kann der betroffene Kunde den Angriff gar nicht sofort entdecken.

Diese Vorgehensweise ist ein verbreitetes Beispiel für die verwendeten Betrugsmethoden, es kommt jedoch auch eine Vielzahl anderer Vorgehensweisen in Frage, so wird zum Beispiel in einigen Fällen auch die Tatsache ausgenutzt, dass die kleinen Generatoren nicht die vollständige Kontonummer angezeigt, oder aber die angegebene Kontonummer ist eine andere und es wird schlicht mit der Nachlässigkeit der Benutzer gerechnet. Um einen solchen Betrug zu verhindern, ist es vor allem empfehlenswert seine Sicherheitssoftware immer aktuell zu halten und zu aktivieren.

Phishing führt zu leerem Konto

Ist es hierfür jedoch zu spät, und wurde eine Transaktion gegen den tatsächlichen Willen des Opfer getätigt, so stellt sich die Frage wer den finanziellen Schaden zu tragen hat. Da an die Verantwortlichen einer solchen Attacke in den seltensten Fällen heranzukommen ist, handelt es sich hierbei doch zumeist um bewanderte Hacker, die ihre Identität über diverse Mechanismen verschlüsseln und auch das Geld schnell über (oft unwissende) Mittelsmänner ins Ausland schaffen, so bleibt der Schaden an dem Opfer oder aber an der Bank hängen. Die Rechtslage, wer im Einzelfall der Leidtragende ist, gestaltet  sich seit 2009 wie folgt:

Mit Umsetzung der Europäischen Richtlinie über Zahlungsdienste, die unter anderem die Gewährleistung eines sicheren grenzüberschreitenden Zahlungsverkehrs innerhalb der EU zum Ziel hatte, wurde zum 30.10 des Jahres, der § 675 u ins Bürgerliche Gesetzbuch eingeführt. Nach Satz 2 dieser Vorschrift müssen Banken ihren Kunden, den abgebuchten Betrag bei einer Überweisung ersetzen, wenn es sich hierbei um eine sogenannte unautorisierte Zahlung handelt. Die Schwierigkeit bei der richtigen Auslegung der Vorschrift, besteht jedoch darin festzustellen, wann eine Vorschrift als „unautorisiert“ gilt. Liegt zum Beispiel eine Autorisierung vor, wenn der Kunde durch Täuschung dazu gebracht wird, seine TAN-Codes an einen Dritten herauszugeben, und dieser dann eine Zahlung anweist?

§ 675 w BGB und Online Banking

Der nachfolgende § 675 w stellt hierzu klar, dass eine Autorisierung im Sinne einer Identifizierung zu verstehen ist, und dann anzunehmen ist, wenn die Bank die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments unter Berücksichtigung der personalisierten Sicherheitsmerkmale, mit Hilfe eines bestimmten Verfahrens überprüft hat.

Das Amtsgericht Krefeld hat sich hierzu in einem entsprechenden Urteil wie folgt geäußert:

„Die Darlegungs- und Beweislast für die Authentifizierung der streitigen Überweisungen obliegt gemäß § 675w S. 1 BGB der Beklagten [i.d.F. der Bank, Anm.d.Red]. Nach Satz 2 dieser Vorschrift gilt die Authentifizierung als erfolgt, wenn ein Verfahren durchgeführt wurde, mittels dessen der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments mitsamt etwaiger personalisierter Sicherheitsmerkmale überprüft hat, etwa durch Überprüfung von Kundenkennung, PIN und TAN beim Onlinebanking (vgl. Palandt/Sprau, BGB Kommentar, 71. Auflage, § 675w Rn. 3)“

Diese Formulierung erweckt nun zunächst einmal den Anschein, dass eine solche Autorisierung durch die Nutzung der erstellten Codes eines persönlichen TAN Generators erfolgt. Jedoch stellt im Gegensatz hierzu der § 675 w  des BGBs ausdrücklich klar, dass mit der Authentifizierung keinesfalls ein hinreichender Nachweis über die Autorisierung der Zahlungsvorgänge durch den Bankkunden geführt ist.

Weiter heißt es hierzu: „Gemäß § 675w S. 3 BGB ist damit indes nicht der Nachweis erfolgt, dass die Klägerin die streitigen Zahlungsvorgänge autorisiert, eine oder mehrere Pflichten aus § 675l BGB verletzt oder vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments (hier: TAN) verstoßen hat. So ist ein Anscheinsbeweis für das Vorliegen der vorstehend aufgeführten Umstände beim Onlinebanking wie dem hier vorliegenden ausgeschlossen, da mittlerweile durch verschiedene ausgeklügelte Methoden die Erspähung von Daten im Internet, beispielsweise durch Aufforderungen zur Datenangabe unter rechtmäßigem Vorwand, nicht selten ist, und allein die Verwendung richtiger PIN und TAN daher nicht den Rückschluss auf die Zustimmung des Berechtigten zulässt (vgl. LG Mannheim, Urteil vom 16.5.2008“

Wann ist Autorisierung beim Onlinebanking erfolgt?

Es ist somit ein weitergehender Beweis erforderlich, damit eine Autorisierung anzunehmen ist. Wird ein Konto durch eine Überweisung belastet, die der Kontoinhaber nicht veranlasst hat, steht ihm demnach ein Erstattungsanspruch in gleicher Höhe gegen seine Bank zu. Dieser Erstattungsanspruch kann jedoch erlöschen, wenn die Bank mit einem eigenen Schadensersatzanspruch gegen ihren Kunden aufrechnen kann.

Ein Schadensersatzanspruch setzt regelmäßig voraus, dass dem Kunden eine schuldhafte Verletzung seiner Pflichten zu Last gelegt werden kann. Hier kann sich der Anspruch zunächst aus  § 657 V Abs 2 BGB  ergeben. Demnach ist der Kunde dem Institut dann zum Ersatz eines Schadens, welcher durch eine unautorisierte Zahlung entstanden ist, verpflichtet wenn er, zumindest grob fahrlässig eine Verpflichtung aus § 675 I BGB oder aus den Bedingungen der Vereinbarung mit der Bank verletzt hat.

Hat der Kunde also durch eine grob Fahrlässige Handlung dafür gesorgt, dass die Überweisung überhaupt ausgeführt werden kann, dann ist er nach der Wertung des BGBs selbst Schuld und Verpflichtet der Bank den Schaden zu ersetzen. Die Bank kann dann ihrerseits die Aufrechnung erklären, was so viel bedeutet wie das die Ansprüche der Bank (die Schadensersatzansprüche) und die Ansprüche des Kunden (Ersatzpflicht der Bank wegen der unautorisierten Zahlung) gegeneinander aufgehoben werden und demnach der Kunde seinen Schaden selbst zu bezahlen hat.

Wann liegt grobe Fahrlässigkeit vor?

Wann exakt grobe Fahrlässigkeit vorliegt ist im BGB gesetzlich nicht definiert. Grundsätzlich wird diese jedoch angenommen, wenn die im rechtlichen Verkehr erforderliche Sorgfalt in „einem ungewöhnlich hohem Maße verletzt“ wurde oder wenn „naheliegende Überlegungen nicht angestellt wurden“.

Es hängt also stark vom Verhalten des Kunden im Einzelfall ab, ob die Schadensersatzpflicht eintritt. Auch können hier von verschiedenen Gerichten unterschiedliche Wertungen einer Handlung getroffen werden. Im bereits oben angesprochenen Urteil hat das Amtsgericht etwa die Herausgabe einer Liste von TAN-Codes auf einer täuschend echt wirkenden „Bank-Homepage“ als grob fahrlässig eingestuft, das die entsprechende Bank den Kunden im Voraus darauf hingewiesen hatte, niemals mehr als einen TAN auf einmal zu fordern. Weitere Verhaltensweisen die zu vermeiden sind um, damit einem als Kunde kein Fahrlässigkeitsvorwurf gemacht werden kann, sind etwa das Versenden erhaltener TANs oder PINs via E-Mail, das Speichern dieser auf dem PC oder in einem elektronischen Adressbuch und natürlich jegliche Eingabe der Nummern auf Bankfremden Websites.

Es gilt im Umgang mit den Identifikationswerkzeugen der Bank also stets, Vorsicht walten zu lassen und in gar keinem Falle eine zu große Vertrauensseligkeit im Internet an den Tag zu legen. Kommt ihnen irgendein Vorgang bei der Identifizierung für einen Vorgang, oder eine Anfrage ihrer pmerkwürdig oder ungewöhnlich vor, so ist es stets ratsam die Bank telefonisch oder persönlichen zu kontaktieren und den bekannten Sachbearbeiter nach der Richtigkeit der Maßnahme zu fragen. Und auch wenn es vielleicht etwas mühsam erscheint, sollte jeder Kunde der Online-Banking betreibt einmal die ABGs des Bankhauses durchlesen, da hierdurch eindeutig erläutert wird, worauf zu achten ist, um nicht für eventuelle Schäden haften zu müssen. Zwar mag dies die Vorteile des Online-Bankings, wie Schnelligkeit und Einfachheit etwas schmälern, dies sollte jedoch einem eventuellen finanziellen Verlust allemal vorzuziehen sein.

Wichtige Tipps zum Onlinebanking

In der Folge haben wir einige Wichtige Tipps noch einmal aufgelistet, damit sie wissen worauf sie im Umgang mit ihrem Banking-Account zu achten haben:

– Sicherheitssoftware  regelmäßig updaten! Ein aktuelles Sicherheitssystem erkennt eine Vielzahl von Malware-Bedrohungen und verhindert so, dass unliebsame Trojaner ihre Kontodaten ausspähen können.

– Stets auf gesicherte Verbindung achten. Beim Aufrufen von Bank-Homepages sollte immer darauf geachtet werden, dass die Domain in der Browserzeile mit https:// anstelle von http:// beginnt.

– Wenn sie keinen TAN-Generator verwenden, zur Übermittlung von TANs nie das gleiche Gerät wie für das Banking benutzen.

– Keine unbekannten oder verdächtigen Anhänge an Mails öffnen, die im Zusammenhang mit ihrem Online-Banking stehen.

– Starke Passwörter verwenden, das heißt Passwörter mit einer hohen Stellenzahl (mind. 6-8), die Alphanummerische Zeichen sowie Groß- und Kleinschreibung kombinieren.

– Passwörter nicht im PC oder sonstigen Endgerät notieren.

– Kontoumsätze immer kontrollieren. Wenn sie Unregelmäßigkeiten entdecken stets das Konto sperren, sodass zumindest für die Zukunft keine weiteren Bewegungen getätigt werden können. Überdies besteht bei Lastschriftverfahren die Möglichkeit das Geld zurückzuholen.

– Zudem ist es wichtig, dass das W-LAN Netzwerk über welches die Kommunikation betrieben wird über eine ausreichende Verschlüsselung verfügt. Online-Banking über öffentliche Netzwerke wie etwa in Internet-Cafés zu betreiben sollte generell vermieden werden.

Zwar kann auch mit der größtmöglichen Vorsicht keine vollumfängliche Sicherheit erreicht werden, doch die Chancen für einen erfolgreichen Angriff auf ihr Konnte steigen immens mit der eigenen Nachlässigkeit. Zudem erhöhen sich bei Berücksichtigung der Sicherheitsvorkehrungen die Chancen, dass bei einem eventuellen Betrug die Bank an ihrer statt haftet.

1 Star2 Stars3 Stars4 Stars5 Stars 11 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular