Die gängigen Tricks Cyber-Krimineller, an sensible Daten von Bankkunden zu gelangen, ziehen nicht mehr. Wer dennoch darauf hereinfällt, hat keine Chance auf Haftung. Das entschied im April 2012 der Bundesgerichtshof im Fall eines Rentners, der auf einer simulierten Webseite pro Anweisung gleich mehrere Transaktionsnummern (TAN) eingegeben und 5000 Euro an Betrüger überwiesen hatte. Nun reagieren Online-Räuber auf zunehmende Aufklärung und neue Sicherheitsvorkehrungen wiederum mit einer neuen, undurchsichtigeren Methode. Wie steht es hier mit der Haftung und wie kann man sich schützen?
Jens Ossa
Fahrlässigkeit kommt teuer
Online Banking und Einkaufen
„Selber schuld“, könnten böse Zungen sagen, wenn jemand einem Internetbetrüger auf den Leim gegangen ist. Nicht zu Unrecht, wenn dieser Jemand auf den Link in einer Mail mit unbekanntem Absender geklickt und dann auf der erscheinenden Webseite auch noch delikate Login-Daten preisgegeben hat. Dass man so etwas auf keinen Fall tut und auch nicht mehr als eine TAN pro Überweisungsauftrag eingibt, sollte inzwischen jeder wissen – zumindest jeder, der seine Bankgeschäfte online tätigt. Weisen die Banken auf ihren Webseiten in der Regel doch schon darauf und auf weitere Aspekte für sicheres Online-Banking hin.
Neue Malware und Haftung
Was aber, wenn ein Schadprogramm den Nutzer Geld auf fremde Konten überweisen lässt, ohne ihm vorher die nötigen Angaben auf gefälschten Fenstern zu entlocken? Tatsächlich gibt es ein solches Tool, und es trägt die schmucklose Bezeichnung Automatic Transfer System, kurz ATS. Es verleiht den trojanischen Pferden in bereits verwendeten Malware-Produkten mit Namen wie Zeus oder SpyEye eine besonders tückische Eigenschaft: Eingeschleust in den Rechner des Benutzers gaukelt es ihm auf seiner Kontoseite vor, er habe Geld an den gewünschten Empfänger überwiesen, während es in Wahrheit auf ein anderes Konto geflossen ist.
Euro-Geldscheine
Aber auch hier erfolgt der Transfer nicht ganz unbemerkt. Es empfiehlt sich daher unbedingt, vor der TAN-Eingabe Kontonummer des Empfängers und Betrag noch einmal genau zu überprüfen, und zwar bei SMS-TAN auf dem Handy oder beim Chip-TAN-Verfahren auf dem TAN-Generator. Diese Daten stammen direkt von der Bank und können laut IT-Experten noch nicht von Cyber-Kriminellen manipuliert werden. Im Verlustfall könnte also auch hier ein Geldinstitut auf Fahrlässigkeit pochen, sollte das Opfer klagen. Banken hingegen, deren Kunden immer noch mit Papierlisten operieren, dürften da schlechte Karten haben. „Die Frage der Haftung ist immer eine Frage des Einzelfalles“, erklärt André Grunert, Pressesprecher der Hamburger Sparkasse. Nach der ständigen Rechtsprechung des Bundesgerichtshofs trage im Überweisungsverkehr laut Regel die Bank und nicht der Kunde das Risiko, wenn Überweisungsaufträge gefälscht würden. Der Kunde hafte grundsätzlich nur bei Vorsatz oder Fahrlässigkeit.
