Ein falscher Klick und der Bank-Account wurde gehackt?
Die Technik des Zahlungsverkehrs sowie der entsprechende Rechtsrahmen entwickelt sich ständig fort und das nicht erst seit der Blockchaintechnik der Bitcoins. Der Erfindungsreichtum von kriminellen Hackern, um an vertrauliche Daten von Bankkunden heranzukommen, ist nahezu unerschöpflich.
Mithilfe von Trojanern gelingt es Betrügern, nicht autorisierte Abbuchungen vorzunehmen, sodass ganze Konten leer geräumt werden und jedes Jahr ein Schaden im zweistelligen Millionenbereich von Internetkriminellen verursacht wird. Der durchschnittliche Schaden pro Fall beträgt 4.000 – 6.000 Euro. In Einzelfällen können Schäden – gerade bei Unternehmerkonten – auch Hunderttausende Euro betragen. Dabei finden sich folgende Angriffsformen:
- Beim Phishing wird an den Nutzer eine E-Mail versandt, deren Absender seine Hausbank zu sein scheint, in der er darum gebeten wird, PIN und TAN – meist aus „Sicherheitsgründen“ – anzugeben. Nachdem diese E-Mails anfänglich eher dilettantisch wirkten und als Fälschungen erkennbar waren, sind sie mittlerweile so gut gemacht, dass auch der kritische Betrachter kaum noch feststellen kann, ob es sich um eine Fälschung handelt. Mittels der vom Nutzer dem Täter zur Verfügung gestellten Daten können dann zu Lasten seines Kontos unberechtigte Zahlungen ausgeführt werden.
- Beim Man-in-the-middle-Angriff macht sich der Angreifer eine Schwachstelle in einer weit verbreiteten DNS-Server-Software zu Nutze, in dem DNS-Datensätze mit falschen Zuordnungen zwischen Domain-Namen und IP-Adresse eingespielt werden. Nach dem Angriff wird vom DNS-Server eine falsche IP-Adresse als Antwort auf die DNS-Anfrage übersandt. Dadurch wird der Online-Banking-Nutzer auf den Server des Angreifers weitergeleitet, auf dem das Portal der Bank nachgebildet wird. Setzt der Nutzer PIN und (eine) TAN ein, werden diese an den Angreifer übermittelt, der sie zu unberechtigten Transaktionen nutzen kann. Da der Zugang zum Bankportal üblicherweise mit der Übermittlung des Kontostands verbunden ist, wird mittels des Servers des Angreifers Zugang zum Bankportal gesucht, um diese Informationen bereitstellen zu können, damit der reguläre Nutzer nicht merkt, dass ein Unberechtigter sich Zugang zu seinen Daten verschafft hat. Ein solcher Angriff lässt sich verhindern, indem die Banken ihren Kunden eine feste IP-Adresse für das Online-Banking-Portal und nicht die URL mitteilen.
- Beim Pharming gelingt es dem Angreifer, einen Trojaner auf dem Computer des Nutzers zu installieren. In der Regel geschieht dies durch Übermittlung einer Mail, die einen Anhang enthält, bei dessen Öffnung der Trojaner installiert wird. Dieser ergänzt die Hosts auf dem Rechner um den veränderten Eintrag für das Online-Banking-Portal. Wird das Bank-Portal aufgerufen, erfolgt eine Weiterleitung auf den Server des Angreifers, der danach wie ein Man-in-the-Middle agieren kann.
Der Bankkunde ist nicht schutzlos. Auch wenn Banken oft zunächst versuchen, das Problem schulterzuckend abzuwälzen.
Die Frage, wer den Schaden aus dem Betrug zu tragen hat, ist rechtlich geregelt.
- Grundsätzlich erwirbt die Bank im Falle der Ausführung eines vom Kunden autorisierten Zahlungsauftrages (=Überweisung) einen Aufwendungsersatzanspruch i.H.d. Überweisungsbetrages.
- Der Aufwendungsersatzanspruch der Bank besteht nicht, wenn der Kunde die Zahlung nicht autorisiert hat, etwa bei Missbrauch durch einen Dritten.
- Sonderfall: Zahlungsauftrag unter Verwendung der korrekten PIN und TAN-Nummer. Im Normalfall hat der Bankkunde den Zahlungsauftrag mit den korrekten Daten selbst veranlasst. Was aber, wenn ein unbefugter Dritter die Daten abgegriffen und zu seinen Gunsten missbraucht hat? Der Anschein spricht zunächst gegen den Kunden. Hat dann die Bank einen Aufwendungsersatzanspruch gegen den Kunden oder der Kunde umgekehrt einen Wiedergutschriftsanspruch gegen die Bank? Das entscheidet sich nach Beweislastgrundsätzen. Die Bank trägt die Beweislast für die Autorisierung der Überweisung durch den Kunden. Allein die Verwendung der richtigen PIN und TAN schneidet dem Bankkunden rechtlich nicht die Möglichkeit ab, einen Missbrauch/Betrug geltend zu machen – der Bankkunde muss dann aber auch ausreichend Umstände vortragen, die die ernsthafte Möglichkeit einer solchen Tat nahelegen.
Nach den allgemeinen Darlegungs- und Beweislastregeln muss jedoch die Bank beweisen, dass der Kunde tatsächlich die Verfügung vorgenommen hat!
Gerne stehen Ihnen unsere Anwälte bei rechtlichen Fragen rund um das Online-Banking zur Verfügung. SH Rechtsanwälte ist eine auf das Bank- und Kapitalanlagerecht spezialisierte Kanzlei. Unser Team besteht aus Rechtsanwälten und Fachanwälten für Bank- und Kapitalmarktrecht und vertritt betroffene Bankkunden bundesweit.