Onlinebanking: Ausgespäht und abgezockt

von B. Watermann und R. Heinzelmann, Euro am Sonntag

Plötzlich fehlen 78.000 Euro. Der Albtraum eines jeden Bankkunden — und so jüngst einer Frau geschehen, die ihre Bankgeschäfte online mit dem bislang als sicher geltenden mTAN-Verfahren erledigt hatte. In einem anderen Fall betrug der Schaden 58.000 Euro, in zwei weiteren zusammen 200.000 Euro. Diese Vorkommnisse sorgten zuletzt für Verunsicherung bei den mit Online­banking ohnehin noch zurückhaltenden Deutschen.

Auch bei den neuesten Schadensfällen hat sich wieder gezeigt, dass im ersten Schritt der Computer des Nutzers ausspioniert worden war. So verschafften sich die Kriminellen den Zugang zum Konto. Dann besorgten sie sich beim Mobilfunk­anbieter des Opfers eine neue SIM-Karte fürs Handy, die offenbar telefonisch aktiviert werden konnte und auf die die mTANs dann umgeleitet wurden. Die dafür nötigen persön­lichen Daten wie Name, Adresse und Geburtsdatum des Opfers waren wohl ebenfalls vorher ausspioniert worden. Auf einmal funktionierte dann das Handy der Kundin nicht mehr — und die Interneträuber begannen das Konto leer zu räumen.

Verbraucherschützer bemängeln, dass es die Täter viel zu leicht hatten, die Handynummer des Opfers auf eine andere SIM-Karte zu übertragen. Die Deutsche Telekom hat ­inzwischen reagiert: Sie verschickt zum Beispiel SIM-Karten nur noch an die bekannte Kundenadresse — oder man muss in einen Telekom­shop gehen und sich ausweisen, um eine neue SIM-Karte zu bekommen.

Gutgläubige Nutzer
Doch klar ist auch: „Das Sicherheitsproblem sitzt meistens vor dem Rechner und nicht drin“, wie ein Kenner der Szene sagt. Sprich: In vielen Fällen, so auch in den aktuellen, ist es der gutgläubige Nutzer, der unbeabsichtigt Kriminellen Zugang zu seinem Rechner verschafft, weil er auf gefälschte E-Mails und Internetseiten reinfällt.

Verbraucher sind daher gut beraten, vor allem ihren Rechner, aber auch ihr Smartphone mithilfe von Firewalls und Virenschutzprogrammen so gut wie möglich gegen Angriffe zu schützen. Wer sein Handy für das mTAN-Verfahren nutzt, muss ebenfalls aufpassen, vor allem wenn es sich bei diesem Handy um ein Smartphone handelt. Auch diese mobilen Minicomputer sind anfällig für Viren und Spähprogramme, sogenannte Trojaner.

Mehr Schutz
Kunden sollten wissen: Keine Bank verschickt Sicherheits-Updates fürs Handy oder verlangt die Eingabe einer mTAN, damit man sich überhaupt wieder ins Onlinebanking einloggen kann. Verbraucher, die noch ein altes Handy ohne Internetverbindung haben, können alternativ auch dieses Gerät für den mTAN-Empfang reaktivieren.

Sicherer als das mTAN-Verfahren sind TAN-Generatoren. Dabei handelt es sich um ein kleines Gerät, in das der Kunde seine Bankkarte steckt und auf dessen Bildschirm dann eine TAN erscheint. „Der TAN-Generator ist im Vergleich zum Mobiltelefon weder umprogrammierbar noch mit dem Internet verbunden. Zumindest bisher“, sagt Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen.

Interessant sind auch das Photo-TAN-Verfahren, wie es die Commerzbank und ihre Tochter Com­direct anbieten, sowie das QR-TAN-Verfahren der Onlinebank 1822-direkt. Bei beiden muss der Kunde mit seinem Handy einen aus vielen kleinen Quadraten bestehenden QR-Code auf dem Bildschirm seines Rechners einlesen und erhält dann eine TAN.

Die beiden noch recht neuen Verfahren unterscheiden sich zwar im Detail, aber gemeinsam ist ihnen, dass die TAN, mit der der Kunde die Transaktion freigibt, über eine vorher nach einem gesonderten Sicherheitsverfahren installierte, passwortgeschützte Smartphone-App erzeugt wird. Das Handy wird damit faktisch zum TAN-Generator.

Wer sich nun fragt, welche Rechte Opfer solcher Angriffe haben, muss sich mit einer komplizierten Rechtsprechung auseinandersetzen. Seit November 2009 gilt: Eine Bank, die es ermöglicht, Bankgeschäfte online zu erledigen, muss sicherstellen, dass nur der Kunde über die Zugangsdaten verfügen kann.

Streiten sich Kunde und Bank über einen Vorgang, muss die Bank nachweisen, dass die Zugangsdaten korrekt eingesetzt wurden und kein Dritter sie missbraucht hat. Wird nun ein Zahlungsauftrag fehlerhaft oder gar nicht ausgeführt, kann der Kunde die Bank auffordern, den Auftrag zurückzurufen. Gebühren und eventuell angefallene Dispozinsen muss die Bank erstatten. Darüber hinaus darf sie dem Kontoinhaber hierfür keine Gebühren in Rechnung stellen. Doch es gibt auch Fälle, in denen der Kunde keinen Anspruch auf Schadenersatz hat.

Wurde jemandem etwa das so­genannte Authentifizierungsinstrument, also der TAN-Block oder der TAN-Generator, gestohlen, kann die Bank von ihm Schadenersatz verlangen. Gar nichts zahlen muss sie, wenn der Kunde grob fahrlässig gehandelt hat. Ein Urteil des Bundesgerichtshofs vom April 2012 macht deutlich, wann grobe Fahrlässigkeit vorliegt (XI ZR 96/11): Im Jahr 2008 wurde ein Kunde, der online Geld überweisen wollte, von ­Betrügern aufgefordert, zehn seiner aufge­listeten TAN-Nummern einzugeben. Er tat das, obwohl die Bank mehrfach vor solchen Angriffen ­gewarnt hatte. Der Betrüger nutzte die TAN-Nummern für illegale Überweisungen.

Die Richter urteilten, wer zehn TAN-Nummern nacheinander eingibt, handle fahrlässig und verstoße gegen die Sorgfaltspflicht beim Onlinebanking.
Doch bei diesem Fall galt noch altes Recht, nach dem Geschädigte öfter mit dem Schaden allein gelassen wurden. Seit November 2009 sind die Gesetze kundenfreundlicher: In einem Fall, der dem Landgericht Landshut vorlag, wurde ein Bankkunde gebeten, 100 TAN-Nummern in dafür vorgesehene Felder einzugeben, um sich zu authentifizieren. Die Seite, auf der er die Nummern eingeben sollte, glich der echten Internetseite seiner Bank wie ein Ei dem anderen. Die Richter entschieden, dass die Bank die von den Tätern abgebuchten Beträge erstatten muss (Az. 24 O 1129/11).

Kunden dürfen Fehler machen
Auch wenn es beim Onlinebanking unüblich ist, dass der Kunde 100 TAN-Nummern eingeben muss, war das Verhalten des Klägers laut Gericht weder vorsätzlich noch grob fahrlässig. Darüber hinaus könne man aus dem Angriff eines eventuell neu entwickelten Trojaners auf einen Computer nicht schließen, dass der Besitzer den handelsüblichen Schutz unterlassen habe. Hinzu kam, dass der betroffene Kunde die deutsche Sprache mangelhaft beherrschte und kein Fachmann war.
Es bleibt abzuwarten, ob der Bundesgerichtshof solche Fälle in Zukunft ähnlich verbraucherfreundlich beurteilen wird.