Vorsicht, Falle: Onlinebanking ist in Zeiten von Phishing und Pharming nicht ungefährlich! Foto: epd

Bankkunden können beim Online-Banking keinen Schadenersatz verlangen, wenn sie die erforderliche Sorgfalt außer Acht lassen und dadurch auf Betrüger hereinfallen. So hat – in Kurzform – jüngst der Bundesgerichtshof geurteilt. Sicherheitsexperten wie Lutz Neugebauer vom Branchenverband BITKOM glauben jedoch, dass es in Betrugsfällen durchaus eine Chance auf Schadenersatz gibt – aber eben nur, wenn der Kunde entsprechende Vorsichtsmaßnahmen belegen kann.
In dem vor dem Bundesgerichtshof verhandelten Fall hatte ein pensionierter Bahnbeamter aus Nordrhein-Westfalen trotz einer Warnung der Bank zehn Transaktionsnummern auf einmal eingegeben. In der Mitte der Login-Seite des Online-Bankings der Bank hatte sich jedoch folgender Warnhinweis befunden: “Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!”
Trotzdem wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 Euro auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete Strafanzeige und gab Folgendes zu Protokoll: “Im Oktober 2008 – das genaue Datum weiß ich nicht mehr – wollte ich ins Onlinebanking. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff hätte. Danach kam eine Anweisung, zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Onlinebanking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt.”
Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
Ein anspruchsminderndes Mitverschulden der Bank hat der BGH verneint. Die Bank sei mit dem Einsatz des dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.

Der Branchenverband BITKOM empfiehlt fürs Banking folgende Sicherheitsmaßnahmen:
1. Gesunde Vorsicht bei E-Mails
Banken bitten ihre Kunden nie per E-Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind immer gefälscht: Am besten sofort löschen. Das gleiche gilt für dubiose E-Mails von Unbekannten – vor allem, wenn eine Datei angehängt ist. Dahinter könnte ein Schadprogramm stecken, zum Beispiel ein Phishing-Trojaner. Solche verdächtigen Dateien auf keinen Fall öffnen! Auch dann nicht, wenn in der E-Mail mit einer Kontosperre gedroht wird. Solche Einschüchterungen zählen zum Arsenal von Betrügern, um Bankkunden unter Druck zu setzen. PC-Nutzer sollten Drohungen ignorieren und Phishing-Mails nie beantworten.
2. Den Computer vor Schädlingen schützen
Entscheidend ist eine gute Sicherheitsausstattung Ihres Computers. Vor der ersten Internet-Sitzung müssen ein Anti-Viren-Programm und eine Firewall installiert werden, um den PC vor schädlichen Dateien zu schützen. Für diese Schutzprogramme, das Betriebssystem und den Internet-Browser werden regelmäßig Aktualisierungen angeboten, die auch automatisiert abgerufen werden können. Updates sind umgehend zu installieren. Da Schadsoftware zunehmend über Datenträger wie CDs oder USB-Sticks verbreitet wird, sollten diese vor der Nutzung auf Viren geprüft werden. Öffentliche Computer oder Internet-Cafés sind für Bankgeschäfte wenig geeignet.
3. Vorsicht beim Aufruf der Bank-Webseite
Beim Online-Banking sollte man die offizielle Adresse der Bank immer direkt eingeben oder über eigene Lesezeichen (Favoriten) aufrufen. Maßgeblich ist die Adresse, die die Bank in ihren offiziellen Unterlagen angibt. Die Verbindung zum Bankcomputer muss verschlüsselt sein. Das ist erkennbar an den Buchstaben „https“ in der Web-Adresse und einem Schloss- oder Schlüssel-Symbol im Internet-Programm (Browser). Zukünftig erkennen Verbraucher sichere Webseiten auch an einer grün hinterlegten Adresszeile, wenn sich der Betreiber vorab einer unabhängigen Prüfung unterzogen hat.
4. Moderne Transaktions-Verfahren nutzen
Für Überweisungen und andere Kundenaufträge sind Transaktionsnummern (TANs) nötig. In den Anfängen des Online-Bankings konnten die Nutzer einen solchen Code aus einer Liste frei wählen. Sicherer ist das iTAN-Verfahren, bei dem die Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN aus der Liste eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim mTAN-Verfahren: Die TAN wird dem Kunden aufs Handy geschickt und ist nur kurzzeitig gültig. Weitere Schutzverfahren sind chipTAN und HBCI, bei denen der Kunde als Zusatzgeräte einen TAN-Generator oder ein Kartenlesegerät nutzt. PC-Nutzer sollten ihre Bank fragen und das modernste verfügbare Verfahren wählen.
5. Mit Geheimzahlen richtig umgehen
Passwort (PIN) und Transaktionsnummern nicht auf dem PC speichern. Auch eine automatische Speicherung im Internet-Programm (Browser) ist riskant. Ein frei wählbares Passwort fürs Online-Banking sollte mindestens acht Zeichen lang sein und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Fürs Online-Banking unbedingt ein separates Passwort wählen – keines, das auch für andere Dienste im Web genutzt wird. Empfehlenswert ist auch, die PIN regelmäßig zu ändern.

6. Falls es zu spät ist – Schadensbegrenzung

Nicht immer ist das Geld sofort weg, wenn Kriminelle eine Sicherheits-lücke ausgenutzt haben. Opfer sollten zuerst die Bank alarmieren: Wenn eine Phishing-Überweisung nicht lange zurückliegt, kann sie manchmal noch gestoppt oder rückgängig gemacht werden. Entsteht doch ein finanzieller Schaden, unbedingt Anzeige bei der Polizei erstatten. Das ist nötig, um Geld von der Bank zurückzubekommen. Falls der Kunde nicht grob fahrlässig gehandelt hat, zeigen sich viele Banken kulant.