Online-Banking ist nicht risikofrei / Risikovermeidung oder -verminderung
Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 24.04.2012 (Az. XI ZR 96/11) einen Fall zu beurteilen, bei dem ein Bankkunde trotz ausdrücklicher Warnhinweise der Bank gleichzeitig zehn Transaktionsnummern (TAN) beim Log-In-Vorgang des online-Bankings eingegeben hat.
Der Bankkunde klagte seine Bank auf Rückzahlung einer von ihr im online-Banking ausgeführten Ueberweisung von EURO 5‘000 ein. Für online-Ueberweisungen verwendet die beklagte Bank das sog. „iTAN-Verfahren“. Beim „iTAN-Verfahren“ gibt der Bankkunde einerseits seine persönliche Identifikationsnummer (PIN) und andererseits eine (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste ein. Die Bank wies den Bankkunden in ihren Allgemeinen Geschäftsbedingungen (AGB) für online-Banking (siehe Box1 unten) und in der Mitte der Log-In-Seite mittels Warnhinweises (siehe Box 2 unten) auf die Risiken hin.
Vom Konto des Bankkunden waren mit korrekter PIN und TAN EURO 5‘000 auf ein Konto im Ausland überwiesen worden; der Täter konnte leider nicht ermittelt werden. Der Bankkunde machte nun geltend, er hätte die Ueberweisung nicht veranlasst; er hatte aber entgegen der AGB und des Log-In-Warnhinweises auf eine Aufforderung hin 10 chronologische TAN in vorgegebene Felder eingetragen. Die Bank machte ihrerseits Schadenersatzansprüche geltend, weil sich der Kunde nicht weisungskonform verhalten habe. Der Bankkunde ist offenbar Opfer eines sog. Pharming geworden.
Phishing
= Täuschung des Bankkunden mittels eines verfälschten, per e-mail mitgeteilten links auf eine website, die die Bank als Betreiber vorspiegelt, er solle vertrauliche Daten wie den PIN und / oder die zehn TAN preisgeben
Pharming
= Mittels Manipulation der Host-Datei auf dem Rechner des Bankkunden oder durch die Verwendung eines korrumpierten DNS-Servers wird beim Aufruf der Banken-online-website die Bildschirmmaske durch die betrügerische Eingabemaske ersetzt.
Der Bankkunde hatte die Warnungen der Bank missachtet und hat sich im Rahmen einer schwer erkennbaren Pharming-Attacke fahrlässig falsch verhalten. Laut BGH trifft die Bank kein Mitverschulden; eine besondere Warnpflicht hätte nur bei erheblichen Verdachtsmomenten bestanden.
Der Streitfall zeigt auf, dass online-Banking für Bankkunden nicht risikofrei ist und, dass die Bank nicht in der Lage ist, ihre Kunden vor Phishing oder Pharming zu schützen!
Es ist davon auszugehen, dass der Streitfall unter schweizerischem Recht gleich entschieden worden wäre.
AGB für online-Banking (Auszug)
„7 Finanzielle Nutzungsgrenze
Der Nutzer darf Verfügungen nur im Rahmen des Kontoguthabens oder eines vorher für das Konto eingeräumten Kredits vornehmen. Auch wenn der Nutzer diese Nutzungsgrenze bei seinen Verfügungen nicht einhält, ist das Kreditinstitut berechtigt, den Ersatz der Aufwendungen zu verlangen, die aus der Nutzung des Online-Banking entstehen. Die Buchung solcher Verfügungen auf dem Konto führt lediglich zu einer geduldeten Ueberziehung; das Kreditinstitut ist berechtigt, in diesem Fall den höheren Zinssatz für geduldete Kontoüberziehungen zu verlangen.
8 Sorgfalts- und Mitwirkungspflichten
Der Nutzer hat dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und den TAN erlangt. Jede Person, die die PIN und – falls erforderlich – eine TAN kennt, hat die Möglichkeit, das Online-Banking-Leistungsangebot zu nutzen. Sie kann z.B. Aufträge zulasten des Kontos/Depots erteilen. Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten:
[…] Die technische Verbindung zum Online-Banking-Angebot des Kreditinstituts ist nur über die vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle herzustellen.“
Log-In-Hinweis
„Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails im Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden Sie niemals per E-Mail zu einer Anmeldung im Banking auffordern!“
Tipps
- Vereinbarung von Transaktionslimits!
- Kontos für online-Banking nur mit minimalen Geldeinlagen bestücken!
Weiterführende Informationen / Linktipps
BGH-Urteil noch nicht publiziert / nicht auffindbar
Report zu Phishing im ersten Quartal 2012 (PDF) | antiphishing.org
Risikomanagement | praeventionsberatung.ch