Online-Banking Gefahren durch Phishing / Pharming

Neue Fallen beim Online-Banking – Spoofing im Zeitalter des mTAN / SMS TAN und Rechte Betroffener

Der virtuelle Besuch der Bankfiliale im Internet bietet in der heutigen Zeit einen schnellen und bequemen Weg, um die eigenen Bankgeschäfte und insbesondere Überweisungen aus den heimischen vier Wänden zu erledigen.

Doch nicht zuletzt durch die Medienberichterstattungen sorgen sich vermehrt Bankkunden um die Sicherheit des Online-Banking. Die Angst vor der „Erleichterung“ des Bankkontos durch strafrechtlich bedenkliche Verhaltensweisen, wie etwa dem sogenannten Phishing oder Pharming, hat bei Bankkunden zu einer Sensibilisierung im Umgang mit den Online-Banking Portalen geführt. Eine gesunde Wachsamkeit im Umgang mit der Online-Banking Software und den individuellen Zugangs- und Zahlungsdaten verlangt auch die Rechtsprechung. Dies hat der Bundesgerichtshof in einer aktuellen Entscheidung vom 24.04.2012 zum Aktenzeichen XI ZR 96/11 hervorgehoben. So handelt nach dem Bundesgerichtshof ein Onlinebankkunde fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklicher Warnung durch seine Bank (diese findet sich nicht selten in den Allgemeinen Geschäftsbedingungen des Kreditinstituts) 10 Transaktionsnummern (TAN) eingibt. Dabei gelten die Grundsätze der Fahrlässigkeit auch dann, wenn der Bankkunde Opfer eines von ihm nicht erkannten Pharmingangriffs wird.

Das Pharming ist eine jüngere Entwicklung in der Internetbetrugsmethodik und vom rudimentären Phishing abzugrenzen. Unter dem Phishing wird zumeist der Versuch verstanden, mittels einem Link in einer E-Mail den Nutzer eines Online-Banking Portals zu einer gefälschten Internetadresse zu leiten, damit dieser dort seine Benutzerdaten und TAN eingibt. Derartige Versuche sind zumeist leicht zu durchschauen, da die Internetseiten, auf welche der Nutzer geleitet wird, offenkundig nicht von dem jeweiligen Bankinstitut unterhalten werden.

Hingegen ist Pharming für den Online-Bankingnutzer schwieriger zu durchschauen. Beim Pharming gelangt eine Schadsoftware auf den eigenen Computer, die den Nutzer auch bei der korrekten Eingabe der Internetadresse der jeweiligen Bank direkt auf eine – in der Regel sehr gut manipulierte – Internetseite führt. Auf dieser Internetseite, welche auch in dem jeweiligen Eingabefeld des Internetbrowsers nur schwer als Fälschung zu erkennen ist, scheint der Online-Banking Nutzer nach einer PIN und TAN Abfrage wie gewohnt seinen Bankgeschäften nachgehen zu können. Regelmäßige Prüfungen des Systems mit einer aktuellen Virenerkennungssoftware und die Verwendung einer Firewall können das Risiko des Pharmings vermindern.

Doch auch die Bankinstitute versuchen mit immer neuen Verfahren die Sicherheit ihrer Angebote zu erhöhen. So ist das ursprüngliche TAN-Verfahren zunächst durch das iTAN-Verfahren ersetzt worden. Der Nutzer muss beim iTAN-Verfahren nicht nur eine beliebige, sondern die – einer bestimmten Nummer zugeordnete – Transaktionsnummer eingeben, um seinen Bankauftrag zu bestätigen. Auch das iTAN Verfahren wurde von vielen Banken überholt. Heute sind das mTAN-Verfahren und die Verwendung eines TAN-Generators vorherrschend. Beim mTAN-Verfahren wird dem Kunden durch die Bank eine TAN zugesendet, die nur einmalig, für einen bestimmten Zeitraum und nur für einen individuellen Vorgang gelten soll. Auch beim mTAN-Verfahren kann ein Angreifer über eine geschickte Pharming Attacke an eine aktive TAN Nummer gelangen. Demgegenüber gilt das Verfahren mittels der Verwendung eines TAN-Generators allgemein als sicher, sofern der TAN-Generator eine TAN nur für einen bestimmten Auftrag unter Verwendung der Bankkarte generiert und der Kunde hierbei die Kontonummer des Empfängers auf seinem TAN-Generator überprüfen kann.

Opfer von Online-Banking Betrügereien sollten unverzüglich die Hausbank über den Vorfall informieren. Im Falle einer Sorgfaltspflichtverletzung der Hausbank ist diese ihrem Kunden für den Schaden einstandspflichtig. So kann sich die Haftung der Bank etwa für eine verzögerte Sperre des Kontos trotz Kenntnis von rechtswidrigen Transaktionen ergeben. Die Bank kann auch dann haftbar gemacht werden, wenn sie durch den Einsatz eines veralterten, d.h. nicht dem Stand der Technik entsprechenden TAN-Verfahrens den Schaden mitverursacht. Eine Bank muss auch für einen Schaden einstehen, der entsteht, weil die Bank keine Warnhinweise an den Kunden erteilt, obwohl ihr bei einem Zahlungsverkehrsvorgang Verdachtsmomente auffallen und sie den Verdacht einer Veruntreuung schöpft. Überdies verhält sich eine Bank sorgfaltswidrig, wenn sie eine Vereinbarung über den Verfügungsrahmen für eine einzelne Transaktion (nicht zu verwechseln mit dem Dispositionskredit, deren Überschreitung keine Haftung der Bank begründet) missachtet (Grundmann in Ebenroth/ Boujong/Joost/Strohn, HGB, 2. Aufl., Rn. II 299; MünchKommHGB/Häuser/ Haertlein, 2. Aufl., Bd. 5 Rn. E 62; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 54 Rn. 20, 98; Nobbe in Ellenberger/ Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, § 675v BGB Rn. 116; Recknagel, Vertrag und Haftung beim Internet-Banking, Diss. iur. 2005, S. 192).

Vorsicht geboten ist auch bei einem Hinweis, es sei dem Bankkunden versehentlich Geld von einem Dritten oder der Bank zugewiesen worden. Dies kann – muss aber nicht – Vorbereitung eines perfiden „Man in the Browser“ Übergriffs sein. Der Angreifer kann die Bankdaten im noch nicht gesicherten Verbindungsstatus so manipulieren, dass der bankkunde meint, es befinde sich tatsächlich eine nicht für ihn gedachte Überweisung auf seinem Bankkonto. Der Überweisungsaufforderung sollte zunächst nicht Folge geleistet werden.Es empfiehlt sich dringlich Rücksprache mit dem eigenen Kreditinstitut zu halten und sich den Kontenstand und die angeblich fälschliche Zahlung telefonisch bestätigen zu lassen. Die Rufnummer der eigenen Bank ist auf der Rückseite der Bankkarte vermerkt. Gerichtsentscheidungen, die sich mit der Frage befassen, inwieweit bei einer „Kontenplünderung“ unter einem „Man in the Browser Übergriff“ eine Sicherungspflichtverletzung einer Vertragspartei in Betracht kommt, existieren derzeit noch nicht.

Nicht zuletzt aus diesem Grunde sollte der Bankkunde auf jeden Fall darauf achten, dass eine gesicherte Hypertext Transfer Protokoll Verbindung hergestellt ist, bevor sensible Daten in ein Formular im Browser eingegeben werden. Diese gesicherte Verbindung erkennt der Bankkunde durch das „https“ Kürzel und ein entsprechendes grafisches Verifizierungszeichen (idR ein geschlossenes Schlosssymbol).