26.04.2012

Phishing for TANs

- Missbrauch beim Online-Banking: Worauf Kunden achten müssen - 

-  mit Rechtsanwalt Michael Terhaag, LL.M.
Fachanwalt für IT-Recht - 

Nutzer von Online-Banking-Diensten, die auf gefälschten Internetseiten ihre Transaktionsnummern (TAN) eingeben, müssen möglicherweise selbst für den Schaden aufkommen.

Der Bundesgerichtshof (BGH) entschied in dieser Woche (Az. XI ZR 96/11), dass eine Bank das falsch überwiesene Geld nicht zurückzahlen müsse. Der BGH wies damit die Klage eines Pensionärs aus NRW ab, der um Schadensersatz von 5.000 Euro gegen sein Kreditunternehmen klagte.

Von seinem Konto wurden 5.000 Euro auf ein anderes Konto in Griechenland überwiesen. Nach seiner Darstellung hat er zuvor gut zehn TAN-Nummern auf einer vermutlich gefälschten Bankseite eingegeben – die Betreiber dieser Website konnten so auf betrügerische Weise an die empfindlichen Daten gelangen (sog. Phishing). Der Pensionär erstatte Strafanzeige. Das Verfahren wurde jedoch eingestellt, weil ein Täter nicht ermittelt werden konnte.

Außerdem versuchte der Pensionär auf dem Zivilrechtsweg im Wege des Schadensersatzes sein verlorenes Geld von seiner Bank zurückzuholen. Darüber hatte der BGH nun zu entscheiden und lehnte das Begehren des Kunden ab.

Der Hintergrund: Der Pensionär war Inhaber eines Girokontos bei der beklagten Bank und nahm seit 2001 den Online-Banking-Service war. Der Dienst sieht vor, dass die Nutzer das sogenannte „iTAN-Verfahren“ anwenden. Die Bank stellt ihm dafür eine TAN-Liste zur Verfügung, auf welcher verschiedene TANs durchnummeriert aufgelistet sind. Um eine Überweisung zu tätigen muss der eingeloggte Nutzer eine bestimmte, ihm vom System vorgegebene TAN aus dieser Liste eingeben. Erst dann kann der Überweisungsauftrag abgeschickt werden.

Das Phänomen von Phishing ist nicht neu und war der beklagten Bank auch bekannt. Auf dem Internetauftritt des Online-Banking-Dienstes wies das Kreditunternehmen mit folgendem Hinweis auf Missbrauchsfälle im Internet hin:

Diesen Hinweis hatte der Pensionär offensichtlich nicht gelesen. Beim Aufruf der Seite seiner Bank wurde seine Anfrage technisch auf die betrügerische Phishing-Seite umgeleitet. Das allein kann ihm natürlich nicht zum Vorwurf gemacht werden. Jedoch gab er auf dieser gefälschten Bankseite zehn TANs von seiner TAN-Liste ein. Und das obwohl die Bank genau auf dieses betrügerische Verhalten hingewiesen hatte. Darin sah das Gericht ein fahrlässiges Verhalten des Nutzers, somit trage er selbst eine Schuld an dem Schaden. Mit anderen Worten: Wer die Hinweise seiner Bank nicht befolge, könne die Schuld nicht auf andere schieben.

Ein Mitverschulden der Bank hat der BGH bewusst verneint: Das iTAN-Verfahren sei sicher. Auch habe die Bank genügend über den Missbrauch aufgeklärt. Der Kunde bleibt demnach auf dem Schaden sitzen.

Was bedeutet das nun für Kunden, die den Online-Banking-Service ihrer Bank benutzen?

Kunden müssen auch in Zukunft keine Angst vor dem Online-Banking haben. Jedoch sollten sie auf der Hut sein, wie sie mit ihren Daten umgehen. Besonders wenn ihnen etwas „komisch“ vorkommt, sollten sie ihre Bank informieren und bis dahin den Vorgang abbrechen. Das hatte der Pensionär in dem vom BGH entschiedenen Fall wohl nicht getan. Merkwürdig erscheint es nämlich schon, dass die Bank mehr als eine TAN für eine Überweisung verlangt. Schon hier hätte der aufmerksame Nutzer stutzig werden müssen. Sollte sich nämlich etwas an dem Ablauf der Überweisung ändern, so sind die Banken gehalten ihre Kunden darüber genau in Kenntnis zu setzen und zu informieren. War das nicht der Fall, ist vermutlich etwas „faul“.

Weitere Anzeichen für eine Phishing-Seite können etwa sein, wenn der sonst so gewohnte Internetauftritt in einem anderen Design oder Farbe erscheint bzw. Informationen verlangt werden, die sonst unüblich sind. Auch sollte man sich vergewissern, dass die korrekte Seite im Verlauf des Internetbrowsers (z.B. Explorer, Modzilla, Safari) eingeben ist. Das Motto heißt also: „Augen auf!“ – Wer dies beherzigt und sich ein bisschen auf sein Bauchgefühl verlässt, dürfte beim Online-Banking keine Probleme bekommen.

Wichtig ist immer: Niemals wertvolle Daten herausgeben. Banken fragen nicht nach ihrer persönlichen PIN, mit der sie ihren Banking-Account erreichen. Auch wollen sie nicht mehr als eine TAN pro Überweisung wissen.

Auch sollte der Nutzer nicht jeden x-beliebigen Computer benutzen, sondern möglichst das Online-Banking nur von seinem eigenen, ihm vertrauten Rechner durchführen. Dieser sollte sich im besten Fall nur in einer gesicherten Drahtlosverbindung befinden, also einer WLAN-Verbindung die durch ein Passwort geschützt ist. Sonst könnte auch von hier ein Hackerangriff drohen. Außerdem ist es sinnvoll eine Virenschutzsoftware zu installieren und diese immer auf dem Stand der aktuellsten Version zu halten.

Hinzu kommt noch, dass die „klassische“ TAN-Liste bei fast allen Banken mittlerweile ein Auslaufmodell ist. Immer mehr Kreditinstitute steigen auf „mTAN“ (die TAN kommt einmalig als SMS direkt aufs Handy) oder auf TAN-Generatoren um („smartTAN“), bei denen die Nummer mit einem kleinen Gerät und der EC-Karte zuhause erstellt wird. Mit diesen Methoden ist die Eingabe von mehr als einer TAN in Zukunft gar nicht mehr möglich, da eben pro Überweisung nur eine einzige Nummer versendet bzw. geniert wird.

Sollten Ihnen dennoch Unregelmäßigkeiten auf Ihrem Konto auffallen, sollten alle Zugänge sicherheitshalber sofort gesperrt werden. Für weitere Fragen, kann es sinnvoll sein, einen Rechtsanwalt einzuschalten, der alle weiteren Schritte für Sie in die Wege leitet.

Der Verfasser war einmal mehr als Rechts- und Internetexperte beim Verbrauchermagazin "Volle Kanne" im Zweiten Deutschen Fernsehen zum Top-Thema der Sendung zu Gast.

Unten sehen Sie -wie gewohnt- diesmal zwei Videoausschnitte des Auftritts bei der Vollen Kanne im ZDF.

Videos zu diesem Beitrag

Bilder zu diesem Beitrag