Online-Banking: Ausgespäht und ausgeraubt

von Regula Heinzelmann und Brigitte Watermann, Euro Magazin

Mal eben 78 000 Euro weg vom Konto? Der Albtraum eines jeden Bankkunden - und so erst jüngst einer Frau widerfahren, die ihre Bankgeschäfte online mit dem bislang als sicher geltenden mTAN-Verfahren erledigt hatte. Dieser und weitere Fälle mit höheren Schäden sorgten zuletzt für Verunsicherung bei den mit Onlinebanking ohnehin noch zurückhaltenden Deutschen.

Auch bei den neuesten Schadenfällen hat sich wieder gezeigt, dass im ersten Schritt der Computer des Nutzers ausspioniert worden war. So verschafften sich die Kriminellen den Zugang zum Konto. Als Zweites besorgten sie sich beim Mobilfunkanbieter des Opfers eine neue SIM-Karte fürs Handy, die offenbar telefonisch aktiviert werden konnte - und auf die die mTANs dann umgeleitet wurden. Die dafür nötigen persönlichen Daten wie Name, Adresse und Geburtsdatum des Opfers waren wohl ebenfalls vorher ausspioniert worden. Auf einmal funktionierte dann das Handy der Kundin nicht mehr - und die Interneträuber begannen, das Konto leer zu räumen.

Verbraucherschützer bemängeln, dass es die Täter viel zu leicht hatten, die Handynummer des Opfers auf eine andere SIM-Karte zu übertragen. Die Deutsche Telekom hat inzwischen reagiert: Sie verschickt zum Beispiel SIM-Karten nur noch an die bekannte Kundenadresse - oder man muss in einen Telekom-Shop gehen und sich ausweisen, um eine neue SIM-Karte zu bekommen.

Doch klar ist auch: "Das Sicherheitsproblem sitzt meistens vor dem Rechner und nicht drin", wie ein Kenner der Szene sagt. Sprich: In vielen Fällen, so auch in den aktuellen, ist es der gutgläubige Nutzer, der unbeabsichtigt Kriminellen Zugang zu seinem Rechner verschafft, weil er auf gefälschte E-Mails und Internetseiten reinfällt.

Alte Handys sind sicherer. Verbraucher sind daher gut beraten, vor allem ihren Rechner, aber auch ihr Smartphone mithilfe von Firewalls und Virenschutzprogrammen so gut wie möglich gegen Angriffe zu schützen. Wer sein Handy für das mTAN-Verfahren nutzt, muss ebenfalls aufpassen, vor allem wenn es sich bei diesem Handy um ein Smartphone handelt. Auch diese mobilen Minicomputer sind anfällig für Viren und Spähprogramme, sogenannte Trojaner. Kunden sollten wissen: Keine Bank verschickt Sicherheits-Updates fürs Handy oder verlangt die Eingabe einer mTAN, damit man sich überhaupt wieder ins Onlinebanking einloggen kann. Verbraucher, die noch ein altes Handy ohne Internetverbindung haben, können alternativ auch dieses Gerät für den mTAN-Empfang reaktivieren.

Generator schützt. Sicherer als das mTAN-Verfahren sind TAN-Generatoren. Dabei handelt es sich um ein kleines Gerät, in das der Kunde seine Bankkarte steckt und auf dessen Bildschirm dann eine TAN erscheint. "Der TAN-Generator ist im Vergleich zum Mobiltelefon weder umprogrammierbar noch mit dem Internet verbunden. Zumindest bisher", sagt Frank-Christian Pauli vom Verbraucherzentrale Bundesverband.

Mit Foto und Code. Interessant sind auch das Photo-TAN-Verfahren, wie es die Commerzbank und ihre Tochter Comdirect anbieten, sowie das QR-TAN-Verfahren der Onlinebank 1822direkt. Bei beiden muss der Kunde mit seinem Handy einen aus vielen kleinen Quadraten bestehenden QR-Code auf dem Bildschirm seines Rechners einlesen und erhält dann eine TAN.

Die beiden noch recht neuen Verfahren unterscheiden sich zwar im Detail, aber gemeinsam ist ihnen, dass die TAN, mit der der Kunde die Transaktion freigibt, über eine vorher nach einem gesonderten Sicherheitsverfahren installierte, passwortgeschützte Smartphone-App erzeugt wird. Das Handy wird damit faktisch zum TAN-Generator. Wer sich nun fragt, welche Rechte Opfer solcher Angriffe haben, muss sich mit einer komplizierten Rechtsprechung auseinandersetzen. Seit dem 31. Oktober 2009 gilt: Eine Bank, die es ermöglicht, Bankgeschäfte online zu erledigen, muss sicherstellen, dass nur der Kunde über die Zugangsdaten verfügen kann.

Streiten sich Kunde und Bank über einen Vorgang, muss die Bank nachweisen, dass die Zugangsdaten korrekt eingesetzt wurden und kein Dritter sie missbraucht hat. Wird nun ein Zahlungsauftrag fehlerhaft oder gar nicht ausgeführt, kann der Kunde die Bank auffordern, den Auftrag zurückzurufen. Gebühren und eventuell angefallene Dispozinsen muss die Bank erstatten. Darüber hinaus darf sie dem Kontoinhaber hierfür keine Gebühren in Rechnung stellen. Doch es gibt auch Fälle, in denen der Kunde keinen Anspruch auf Schadenersatz hat.

Wurde jemandem etwa das sogenannte Authentifizierungsinstrument, also der TAN-Block oder der TAN-Generator, gestohlen, kann die Bank von ihm Schadenersatz verlangen. Gar nichts zahlen muss sie, wenn der Kunde grob fahrlässig gehandelt hat. Ein Urteil des Bundesgerichtshofs (BGH) vom 24. April 2012 macht deutlich, wann ein Kunde grob fahrlässig gehandelt hat (XI ZR 96/11): Im Jahr 2008 wurde ein Kunde, der online Geld überweisen wollte, von Betrügern aufgefordert, zehn seiner aufgelisteten TAN-Nummern einzugegeben. Er tat das, obwohl die Bank mehrfach vor solchen Angriffen gewarnt hatte. Der Betrüger nutzte die TAN-Nummern für illegale Überweisungen. Die höchsten Zivilrichter urteilten, wer zehn TAN-Nummern nacheinander eingibt, handle fahrlässig und verstoße gegen die Sorgfaltspflicht beim Onlinebanking.

Neue Rechtslage. Doch bei diesem Fall galt noch altes Recht, nach dem Geschädigte öfter mit dem Schaden allein gelassen wurden. Seit Ende Oktober 2009 sind die Gesetze kundenfreundlicher: In einem Fall, über den das Landgericht Landshut zu urteilen hatte, wurde ein Bankkunde gebeten, um sich zu authentifizieren, 100 TAN-Nummern in dafür vorgesehene Felder einzugeben. Die Seite, auf der er die Nummern eingeben sollte, glich der echten Internetseite seiner Bank wie ein Ei dem anderen. Die Richter entschieden, dass die Bank sehr wohl die von den Tätern abgebuchten Beträge zurückzahlen muss (Az. 24 O 1129/11).

Auch wenn die Aufforderung zur Eingabe von 100 TAN-Nummern im Onlinebanking unüblich ist, war das Verhalten des Klägers laut Gericht nicht als vorsätzlich oder grob fahrlässig zu bewerten. Darüber hinaus könne man aus dem Angriff eines eventuell neu entwickelten Trojaners auf einen Computer nicht schließen, dass der Besitzer den handelsüblichen Schutz unterlassen hätte. Dazu kam, dass der betroffene Bankkunde die deutsche Sprache nur mangelhaft beherrschte und kein Fachmann war.

Es bleibt abzuwarten, ob der Bundesgerichtshof solche Fälle in Zukunft ähnlich verbraucherfreundlich beurteilt. Für alle anderen Onlinebanking-Kunden gilt: Trau, schau, wem. Die wichtigsten Tipps zur Sicherheit finden Sie rechts.

Glossar
Onlinebanking

■ Pharming: Laut Bundesgerichtshof wird hierbei ein Angriff gegen eine Internetadresse gerichtet, indem Betrüger entweder den Rechner des Nutzers manipulieren oder einen falschen Server einsetzen. Der Nutzer gibt zwar die korrekte Adresse der Bankseite ein, wird aber auf eine falsche Seite geleitet, auf der seine Daten und Passwörter problemlos ausgespäht werden können.

■ Phishing: Hierbei handelt es sich um eine Täuschung mit manipulieren Internetseiten oder E-Mails. Der Nutzer gibt auf diesem Weg vertrauliche Daten (meist PIN oder TAN) weiter. Am häufigsten werden solche Phishing-Attacken mit E-Mails durchgeführt, die den Nutzer zu einer gefälschten Internetseite eines scheinbar vertrauenswürdigen Betreibers führen.

■ iTAN-Verfahren: Dabei wird der Nutzer durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer durchnummerierten TAN-Liste einzugeben.

■ mTan-Verfahren: Der Anwender bekommt die TAN für eine bestimmte Überweisung per SMS auf sein Handy geschickt.

■ Smart-TAN: Für das Verfahren benötigt der Kunde einen TAN-Generator, in den er entweder die Kontonummer des Empfängers und den Betrag eintippen muss, oder er hält das Gerät an ein bestimmtes Feld auf dem PC-Bildschirm und gibt danach eine Bestätigung ein. Anschließend wird ihm eine TAN-Nummer mitgeteilt.

■ HBCI mit Chipkarte: Am Computer des Bankkunden wird ein externes Chipkartenlesegerät (TAN-Generator) angeschlossen, und er muss dort eine persönliche Chipkarte einführen.

Tipps für Bankkunden
Keine Chance dem Datenklau

■ Bankkunden sind verpflichtet, ihre Zahlungsunterlagen sicher aufzubewahren und ihr Konto auch sonst vor unbefugtem Zugriff zu schützen, andernfalls handeln sie grob fahrlässig.

■ Wenn es ungewöhnlich lang dauert, bis die Internetverbindung zur Bank zustande kommt, sollte man den Vorgang abbrechen und es später noch einmal versuchen.

■ Onlinebanking-Nutzer sollten nie mehr als eine TAN-Nummer eingeben. Werden mehrere TAN-Nummern verlangt, sollte man die Verbindung sofort abbrechen.

■ Kunden sollten ihre Bank so schnell wie möglich, spätestens aber 13 Monate nach dem Tag der Belastung verständigen, wenn sie ihr Authentifizierungsinstrument (TAN-Block, TAN Generator) verloren haben oder es missbräuchlich benutzt wurde.

■ Je häufiger ein Internetbrowser (Internet Explorer, Firefox, Safari etc.) verwendet wird, umso höher ist die Gefahr von Angriffen. Der Computer sollte mit einem aktuellen Antiviren- und Anti-Spyware-Programm sowie einer Firewall ausgerüstet sein.

■ Kunden müssen über ihre Bank jederzeit die Möglichkeit haben, Missbrauch anzuzeigen oder Sperren aufzuheben