15. Oktober 2008 - Online-Banking

Der Kunde ist im Zweifel der Dumme

Wer haftet eigentlich, wenn ein Bankkunde beim Online-Banking betrogen wird? Die Antwort: Meist der Bankkunde selbst! Das gilt auch dann, wenn er Opfer einer Phishing-Attacke wird, bei der PIN und TAN abgefangen werden. Das Landgericht Köln mutet dem Bankkunden beim Online-Banking umfassende Vorsichtsmaßnahmen zu, die ein Laie nicht leicht erfüllen kann.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Wie die Täter an PIN und TAN gekommen waren, konnte auch das Gericht nicht ermitteln. Fest stand jedenfalls, dass PIN und TAN bei einem Kontoinhaber ausspioniert worden waren, als er das Online-Banking benutzte.

Die Daten wurden dann dazu benutzt, um von seinem Konto Geld nach Russland zu überweisen, wo es auf Nimmerwiedersehen verschwand. Nun ging es darum, ob der Bankkunde am Schaden – ganz oder teilweise – selbst schuld ist.

Sicherheit beim Online-Banking ist Sache des Bankkunden!

Viele Bankkunden meinen, bei Betrügereien im Zusammenhang mit Online-Banking würden die Banken den Schaden übernehmen, und sei es aus Kulanz.

Schließlich liege es ja im Interesse der Banken, dass die Bankkunden das Online-Banking nutzen. Außerdem hätten sie Sorge um eine Schädigung ihres Rufs, wenn sie sich hier kleinlich verhielten.

Das Argument des „guten Rufs“ mag angesichts der Welt-Finanzkrise schon ohnehin naiv wirken.

Unabhängig davon sehen die Banken die Verhältnisse beim Online-Banking generell anders: Der Kunde entscheide sich freiwillig dafür, diesen für ihn bequemen Weg zu benutzen. Deshalb sei es in erster Linie auch seine Sache, sich um die Sicherheit beim Online-Banking zu kümmern.

Nur in extremen Fällen ist die Bank in der Pflicht

Wer hat nun Recht? Irgendwo beide Seiten. In erster Linie liegt der „Schwarze Peter“ jedoch beim Bankkunden, nur in Extremfällen bei der Bank. So lässt sich die Entscheidung des Landgerichts Köln zusammenfassen.

Den Bankkunden sind einige Sicherheitsmaßnahmen zumutbar

Folgende Maßnahmen sind nach Auffassung des Gerichts einem „verständigen, technisch durchschnittlich begabten Anwender“ ohne weiteres zuzumuten:

  • Verwendung einer aktuellen Virenschutzsoftware und einer Firewall
  • Regelmäßiges Einspielen von Sicherheitsupdates für das Betriebssystem und die Software
  • Beachten offensichtlicher Indizien für gefälschte Internetseiten (offensichtliche sprachliche Mängel, deutlich falsche Internetadresse, Adresse ohne https://, kein Schlüsselsymbol)
  • Beachten der Warnung, PIN und TAN niemals telefonisch oder per Mail herauszugeben

Der Bankkunde muss aber nicht zum EDV-Spezialisten werden

Wer darüber erschrickt, was ein Bankkunde alles können muss, um zum Beispiel Phishing-Attacken abzuwehren, wird vom Landgericht Köln wieder etwas beruhigt. Es gibt nämlich auch Dinge, die man nicht können muss.

Dazu gehören:

  •  Verwendung spezialisierter Schutzprogramme gegen Schadsoftware
  • Veränderung der Standardsicherheitseinstellungen
  • Arbeiten ohne Administratorrechte
  • ständige Zertifikate-Überprüfung

Für betrogene Kunden wird es schwieriger

Liest man die Anforderungen des Landgerichts Köln, dann muss man Folgendes sagen: Online-Banking sollte nur jemand nutzen, der selbst eine gewisse Ahnung von EDV hat oder von jemanden unterstützt wird, der sich mit Firewalls usw. auskennt.

Ein Märchen ist es übrigens, dass die Banken bei einem Schaden immer sehr kulant wären. Immer mehr Banken stellen sich auf den Standpunkt, dass Online-Banking vor allem der Bequemlichkeit des Kunden dient und es deshalb seine Sache ist, sich zu schützen.

Zumindest bei sehr unvorsichtigem Handeln ist es deshalb mit der Kulanz nicht weit her, und der betrogene Kunde muss damit rechnen, auf seinem Schaden sitzen zu bleiben.

Gegen Phishing kann man sich oft schützen

Eine besondere Bedeutung hat dabei die Nutzung eines möglichst modernen TAN-Verfahrens.

Dabei gilt:
  • Das ursprüngliche TAN-Verfahren, bei dem der Kunde aus einer Nummernliste frei wählen konnte, welche TAN er eingibt, ist überholt und zu unsicher. Sollte es noch irgendwo im Einsatz sein, sollte möglichst schnell auf ein modernes Verfahren umgestellt werden.
  • Das „iTAN-Verfahren“, bei dem die TAN-Nummern nummeriert sind und die Bank dem Kunden bei jeder Überweisung mitteilt, welche TAN jetzt zu verwenden ist, gilt als Stand der Technik. Im Hintergrund entscheidet dabei ein Zufallsgenerator im System der Bank, welche TAN an der Reihe ist.
  • Noch sicherer ist das mTAN-Verfahren. Dabei wird die TAN dem Kunden aufs Handy geschickt und ist nur wenige Minuten gültig. Wenn die Bank das anbietet, sollte man sich damit befassen.

Den Text des erwähnten Urteils des Landgerichts Köln finden Sie unter http://www.justiz.nrw.de/.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren ständig intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln