5095364

Urteil zum Online-Banking: Tan-Codes verraten? Selber schuld!

Bankkunden müssen auf ihre PIN- und TAN-Nummern gut aufpassen. Wer trotz Warnungen Internet-Betrügern auf den Leim geht, ist selbst schuld, entschied der Bundesgerichtshof.

Wer leichtfertig online seine Geheimnummer preisgibt, hat Pech gehabt. Bild: imago/Jochen Tack

KARLSRUHE dpa | Bankkunden, die auf gefälschten Webseiten leichtfertig ihre Geheimnummern angeben, müssen für Betrugsschäden selbst aufkommen. Das folgt aus einer am Dienstag verkündeten Entscheidung des Bundesgerichtshofs. Dabei sei es unerheblich, ob der eingeräumte Kreditrahmen des Kunden überschritten werde.

Damit blieb die Klage eines pensionierten Bahnbeamten aus Nordrhein-Westfalen ohne Erfolg. Von seinem Konto waren 5000 Euro nach Griechenland überwiesen worden. Zuvor hatte er nach seiner Darstellung insgesamt zehn TAN-Codes (Trankaktionsnummern) auf einer vermutlich gefälschten Website eingegeben - diese Art von betrügerischen Angriffen wird als Phishing bezeichnet.

Der Kunde habe damit „die im Verkehr erforderliche Sorgfalt außer Acht gelassen“, so der BGH. Er hätte Warnhinweise der Bank vor Online-Betrügern berücksichtigen müssen. Deshalb sei er selbst für den Schaden verantwortlich und habe keinen Anspruch auf Ersatz des Geldes.

Eine seit Herbst 2009 geltende verbraucherschützende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Der Vorsitzende Richter ging in seiner mündlichen Urteilsbegründung nicht darauf ein, ob der Fall nach neuem Recht möglicherweise anders zu beurteilen wäre. Das würde davon abhängen, ob das Verhalten des Klägers auch als grob fahrlässig zu bewerten ist.

Wie der BGH entschied, treffe die Bank kein Mitverschulden. Das sogenannte iTAN-Verfahren, bei dem für jede Überweisung eine zufällig ausgewählte Transaktionsnummer eingegeben werden muss, habe zumindest im Jahr 2008 dem Stand der Technik entsprochen. Damit sei die Bank „ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen“, urteilten die Richter.

Unerheblich sei auch, ob mit der Überweisung der Kreditrahmen des Kunden überschritten wurde - weil, wie der BGH ausführt, „Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden“. Nach der Überweisung befand sich der Kläger um mehr als 4300 Euro im Soll. Zuvor hatte die Bank dem Kläger nach Darstellung des seines Anwalts einen Kredit in Höhe von 2000 Euro verweigert.

Ein Sprecher der Deutschen Kreditwirtschaft bezeichnete das Urteil als Einzelfallentscheidung ohne generelle Aussagekraft. „Kunden haben aber einen Anteil daran, für Sicherheit beim Online-Banking zu sorgen.“ (Az.: XI ZR 96/11)

Der Kläger, ein 68-Jähriger Pensionär aus einem kleinen Ort am Niederrhein, zeigte sich von der Entscheidung enttäuscht. Er sei sich keines Verschuldens bewusst: „Für mich war das die offizielle Website. Ich habe auch keinen Warnhinweis gesehen.“

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • George Oberle

    Gast

    Lieber Sille,

    so dumm kann wirklich niemand sein. Aber noch dümmer ist der, der, der einem nichtdeutschen Mitbürger Rechtschreibfehler vorwirft, die sich in seinen eigenen zwei Kommentaren genauso häufen: Ein kleinbürgerlich-deutsches Verhaltensmuster ersetzt keine fundierte Rhetorik.

  • Hans Dampf

    Gast

    Danke, Sille.

    Was Du eventuell noch erwähnen könntest, ist, daß der Link in der entsprechenden E-Mail folgendem Aufbau ähnelt:

    Ein bekanntes Geldinstitut

    Der E-Mail-Konsument sieht in diesem Fall nur die Zeichenkette "Ihr bekanntes Geldinstitut", der href führt ihn aber ganz woanders hin. Dazu braucht es keine Host-Dateien, keine Trojaner, keine Manipulation des Zielrechners.

  • Sille

    Gast

    Goerge ich glaube du willst es nicht verstehen oder?

    Was hat das ganze mit host-Dateien und sonst was zu tun?

    Weißt du was eine Internetseite ist?

    Weißt du was ein Eingabeformular ist?

    Weißt du was ein Link in einer eMail ist?

    Ich erkläre es nochmal gaaaanz langsam für dich, wie das mit dem Tanklau funtioniert.

    Also Schritt 1: Der Betrüger, der gerne die Tans haben möchte, registriert eine Domain. Ganz legal, ohne fälschung, wie jede andere Domain auch. Dazu holt er sich einen Webspace (da du ziemlich hochtrabend davon redest wie viel Ahnung du von solchen Dingen hast, gehe ich davon aus, dass du weißt was solche Wörter bedeuten). Auf diesen Webspace läd er ein Eingabeformular hoch, mit den Feldern "Kontonummer", "Login", "Passwort", "Bank", "Name" und "Bestigungstan 1-10". Wenn dieses Formular abgeschickt wird, erhält der Betrüger eine eMail mit den eingetragenen Daten.

    Schritt 2: Er schreibt eMails an tausende Leute in der etwa sowas steht:"Sehr geehrte Damen und Herren, leider hatten wir in der Zentrale einen Datenverlust bitte gehen sie auf folgende Internetseite (hier ist der link zu der in Schritt 1 beschriebenen Domain) um ihre Daten zu bestätigen. Dazu halten sie bitte ihre Tanliste Bereit.

    Schritt 3: Ein gutgläubiger Mensch geht auf die Seite und trägt seine Daten ein --> Der Betrüger hat die Tans mit Login, Passwort und allem was er brauch.

    Keine Trojaner, keine Viren, keine Host-Dateien, kein Schutz durch Linux, keine html-mails und keine Zauberei.

    Und das funtioniert auch bei gutgläubigen Menschen, die Linux verwenden. Jetzt kommt, wie ich dich einschätze entweder wieder ein Beitrag wie ich keine Ahnung habe und wie man nicht an das Root-PW von Unix-Systemen rankommt (Was gar nichts mit dem Thema zu tun hat) oder du sagst "Achso.... so dumm kann ja gar keiner sein und außerdem hast du ganz viele Rechtschreibfehler in deinem Kommentar... also lern erstmal schreiben". Aber gut. Das lass ich dir dann.

  • George Oberle

    Gast

    Liebe Bachsau, dann erkläre mir mal ganz "cool", wie ein "Virus" oder ein "Trojaner" in ein Linux-Betriebssystem eindringen soll, ohne dass ein Administrator seine Zustimmung gegeben hat? Manchmal genügt es eben nicht "$-Jahre an einem Linux-Desktop zu arbeiten", sondern man sollte auch in die Entwicklung des Betriebssystems eingebunden sein.

  • Bachsau

    Gast

    Mal an alle, die hier was von Linux ablassen, die Eine wie die Anfrage Fraktion: Es ist alles Blödsinn. Ich arbeite seit mehr als vier Jahren mit Linux am Desktop, und das einzige was einen schützt ist, dass es bislang wenig Viren und Trojaner für Linux gibt. Das ganze gerede um "root" klingt zwar "cool", ist aber genau so falsch, wie alle anderen Behauptungen. Richtig ist, dass sich bestimmte Dinge nur mit Admin-Rechten ändern lassen, was bei Windows aber nicht anders ist. Buffer overflows, exploits und so weiter können aber ebenfalls ausgenutzt werden, ebenso wie andere Sicherheitslücken. Und natürlich lassen sich auch ohne root-Rechte Programme, und natürlich können diese auch Schaden anrichten!

    Linux ist toll, aber ganz bestimmt nicht das Allheilmittel gegen alles Böse, was euren Computer heimsuchen kann!

  • George Oberle

    Gast

    Flatto, Hans Dampf und Sille haben leider keine Ahnung: Ohne Manipulation der Host-Datei ist ein "Pharming"-Angriff nicht möglich, da die IP-Adresse nur dann nicht richtig ankommen kann, wenn die interne Liste, z. B. die Datei "hosts", durch eine Virenattacke manipuliert wurde (selber editiert ja kein Mensch eine bestehende Liste mit falschen Angaben). Daher nochmals: wie bitte soll es sonst technisch möglich sein, bei bloßem anklicken einer E-Mail eine falsche "Website" aufzurufen?

    Aber bitte, liebe Leute: Erklärt eure Behauptungen mit technischen Erläuterungen .Es reicht nicht zu schreiben, dass man eine E-Mail anklickt und dann auf einer gefälschten "Website" landet, sondern man sollte erklären, wie so etwas funktionieren soll. Alle die oben beschriebenen Dinge machen nämlich den Unterschied zwischen "Linux" und kommerziellen Betriebssystemen ("Windows", "Macintosh", etc.).

  • Hans Dampf

    Gast

    "Da bei den sogenannten "Pharming"-Attacken stets ein "Trojaner" zuvor den Rechner infizieren muss"

    Genau das, Herr Oberle, ist eben nicht der Fall. Sie haben das Prinzip nicht erfasst. Genau wie Flatto es bereits beschrieben hat: Dazu ist noch nicht einmal ein Mailanhang oder eine versuchte Website nötig - und es funktioniert sogar mit Gast-Rechten.

    Bitte informieren Sie sich. Genau solche Leute wie Sie sind die Ziele.

  • Sille

    Gast

    George, George....

    Du redest komplett am Thema vorbei.

    Das mit den Tans funktioniert ohne Trojaner, ohne irgendwelche exe-Dateien und auch, man mags kaum glauben, ohne Zauberei.

    Ich erklärs dir mal wie das funktioniert (anstatt auf irrelevante wiki-seiten zu verweisen).

    Der Gauner stellt eine Website, z.B. unter www.ichklaudeinetans.de online. Dann schickt er dir ne eMail, dass dein Konto gesperrt wird, wenn du nicht auf den Link klickst und deine Identität bestätigst. Für diese bestätigung sind natürlich 10 TANS nötig, um ganz sicher zu gehen.

    Der naive User führt das jetzt durch. Schwupps ist das Konto geplündert.

    Jetzt erklär mir mal bitte wie dein hochgelobtes Linux das verhindert?

    Ok Linux verhindet das vielleicht, weil es so kompliziert ist, dass kein älterer Herr, wie er betroffen war damit umgehen kann. Somit kann er auch kein Onlinebanking betreiben wenn er Linux benutzt und ist damit ziemlich sicher. Aber das ist nicht wirklich ein Schutzmechanismus

  • George Oberle

    Gast

    Herr Dampf, hätten Sie geschwiegen, wären Sie Philosoph geblieben! Aber im Ernst: bitte erst überlegen und dann schreiben. Beim "Linux"-Betriebssystem können Sie 1000-mal eine "verseuchte" Website anklicken oder auch eine "verseuchte" E-Mail empfangen: es passiert dabei gar nichts, da sich die Software bei "Linux" nicht ohneweiteres als Programm auf den Rechner aufspielen lässt. Hierzu benötigt es, selbst wenn es sich um ein "Linux"-Paket handelt, der manuellen Freigabe durch eine Person mit "Root"-Rechten (Administrator-Rechten).

    Da bei den sogenannten "Pharming"-Attacken stets ein "Trojaner" zuvor den Rechner infizieren muss (siehe "Wikipedia, wenn Sie es noch nicht wissen sollten) und es sich bei diesem Trojaner stets um ein Miniprogramm handelt, dass eine ".exe"-Endung hat, können diese (Mini)Programme bei "Linux" keinen Schaden anrichten.

  • Hans Dampf

    Gast

    Herr Oberle, Ihre Äußerungen sind Unsinn. Erst wenn Sie auf E-Mail und den besuch von Webseiten verzichten, kann der beschriebene Fall ausbleiben. Der Empfang von E-Mail und der Besuch von Webseiten ist aber nicht vom Betriebssystem abhängig.

  • Hauke Laging

    Gast

    Da hat der Geschädigte einen virenverseuchten Rechner und stellt sich danach geradezu satiremäßig blöd an, ist sich aber keiner Schuld bewusst. Willkommen in Deutschland.

    Auch wenn die Bank dafür nichts kann, sollte das System an sich schon robuster werden. Warum gibt es nur eine Kategorie von TANs? Warum kann man mit jeder TAN hohe Beträge überweisen, warum mit jeder ins Ausland, obwohl beides beim Normalkunden selten nötig ist? Pro 100 EUR eine normale TAN, dazu ein paar "Super-TANs", für deren unbeabsichtigte Eingabe man wirklich nicht mehr alle Latten am Zaun haben kann. Das würde den Gewinn der Gauner dramatisch schmälern. Irgendwann wird's uninteressant.

  • Flatto

    Gast

    >> da zuerst ein "Trojaner" auf die Festplatte des

    >> Betrogenen geschmuggelt werden musste

    Nein. Kein Trojaner nötig. Einfach nur eine Mail mit einem Link zu der betrügerischen Webseite. Link anklicken, auf der Webseite die TANs eingeben. Funktioniert auch unter Linux.

  • Paint.Black

    Gast

    Das ist unglaublich.

    Wenn Banken - die es besser wissen sollten - mit ihrem Tun eine weltweite Krise fabrizieren, wird ihnen Steuergeld in rauen Mengen hinterher geworfen.

    Aber der Bürger - der mit seinen Steuern Polizei und Gerichte dafür bezahlt, ihn zu schützen - muss jetzt zum Computerfachmann umschulen, damit er informiert genug ist, um eine Banktransaktion durchführen zu können.

    Und wo bitte bleiben die Pflichten der Bank hier - nur weil banken mittlerweile automatisiert arbeiten, ist das nicht zumutbar?

    Sorry - aber wenn die Bürger eh alles alleine machen müssen - und selbst für alles sorgen müssen dann brauchts auch keinen teuren aufgeblasenen Staatsapparat mehr.

    Wenn es nur noch ein Nachtwächterstaat ist, geht das auch billiger!

  • George Oberle

    Gast

    Allein schon mit einem "Windows"-Betriebssystem (oder auch "Apple Macintosh"-Betriebssystem) Onlinebanking zu betreiben ist sträflicher Leichtsinn. Mit "Linux" wäre es sicherlich nicht passiert, da zuerst ein "Trojaner" auf die Festplatte des Betrogenen geschmuggelt werden musste und man nur bei "Linux"-Betriebssystemen Herr seiner Festplatte ist (keine "exe"-Software verbreitet sich dort bei "Maus"-Klick).

  • Bachsau

    Gast

    Endlich mal eine sinnvolle Entscheidung zu dem Thema. Ich war immer sehr zufrieden mit dem iTan-Verfahren, was nicht nur bequem, sondern auch sicher ist. Jetzt muss ich meine Karte in so ein dämliches Gerät und schieben, und einen Code mit blinkenden Balken vom Bildschirm abscannen, oder massig Zahlen eintippen, um eine TAN zu bekommen. Und das nur, weil einige nicht in der Lage sind ihren Computer Virenfrei zu halten, oder beim Online-Banking das Hirn einzuschalten.

    Wer zu blöd ist einen Computer zu benutzen, ist selber schuld, und das ist völlig richtig. Wenn ich einen Kran bediene, ohne es gelernt zu haben, und mir deshalb damit die Rübe weghaue, bin ich ja auch selbst schuld.

  • Bachsau

    Gast

    Endlich mal eine sinnvolle Entscheidung zu dem Thema. Ich war immer sehr zufrieden mit dem iTan-Verfahren, was nicht nur bequem, sondern auch sicher ist. Jetzt muss ich meine Karte in so ein dämliches Gerät und schieben, und einen Code mit blinkenden Balken vom Bildschirm abscannen, oder massig Zahlen eintippen, um eine TAN zu bekommen. Und das nur, weil einige nicht in der Lage sind ihren Computer Virenfrei zu halten, oder beim Online-Banking das Hirn einzuschalten.

    Wer zu blöd ist einen Computer zu benutzen, ist selber schuld, und das ist völlig richtig. Wenn ich einen Kran bediene, ohne es gelernt zu haben, und mir deshalb damit die Rübe weghaue, bin ich ja auch selbst schuld.

  • Felix

    Gast

    Was lernen wir daraus?

    1. Wenn es geht nur Bar zahlen und das Geld zu den Öffnungszeiten am Schalter abheben wie früher. Denn inzwischen werden auch Geldautomaten manipuliert.

    2. Das Konto, das man für Zahlungsgeschäfte verwendet muss immer ein nicht überziehbares Konto sein, auf dem sich nur so viel Geld befindet, wie man vorhat auszugeben. So laufen unberechtigte Lastschriften ins Leere oder der Schaden wird wenigstens begrenzt. Und Banken müssen ein solches Konto zur Verfügung stellen.

  • Manfred Weininger

    Gast

    wer aber auch 10 iTANs auf 1 Website eintippt,

    dem ist nicht zu helfen. Spätestens bei der Frage

    nach der 2. iTAN eines Zahlungsauftrages muss der

    Benutzer bemerken, dass etwas nicht stimmt und

    abbrechen. Und mit 1 oder 2 iTANs kann ein Betrüger

    selten was anfangen.

    Freundliche Grüße

    MW