Phishing: Für Schaden beim Onlinebanking haftet der Kunde
Wer auf die gefälschte Website einer Bank hereinfällt und dort Passwörter oder Transaktionsnummern verrät, muss selbst den Schaden tragen. Das entschied der BGH.
Wer im Internet leichtfertig mit Transaktionsnummern für das Onlinebanking umgeht, muss im Schadensfall selbst haften. Das hat der Bundesgerichtshof (BGH) entschieden.
Damit scheiterte die Klage eines Bankkunden, von dessen Konto Unbekannte 5.000 Euro nach Griechenland überwiesen hatten. Der Kläger hatte zehn seiner Transaktionsnummern (TAN) auf einer gefälschten Internetseite der Bank preisgegeben und wurde damit zum Opfer einer sogenannten Pharming-Attacke.
Phishing und Pharming sind Bezeichnungen für eine Betrugsvariante. Dabei werden Ahnungslose beispielsweise mit einer Mail aufgefordert (Phishing), eine Website zu besuchen, die sie für die ihrer Bank halten. Dort sollen sie dann ihre Transaktionsnummern preisgeben (Pharming). Die Ausdrücke sind zusammengesetzte Wörter aus den Begriffen password fishing und password farming.
So war es auch in diesem Fall. Der Kläger hatte nach eigenen Angaben auf einer Internetseite, die optisch dem Auftritt seiner Bank glich, den Hinweis bekommen, dass er zehn Transaktionsnummern eingeben müsse. Die Nummern habe er in die dafür vorgesehenen Felder eingetragen und anschließend Zugriff auf das Onlinebanking erhalten. Allerdings hatte er damit zugleich die TAN-Nummern den unbekannten Tätern verraten, die 5.000 Euro vom Konto des Mannes abbuchten.
Für diesen Betrug ist dem Urteil des BGH zufolge aber nicht die Bank verantwortlich: Sie habe auf ihrer Internetseite ausdrücklich vor solchen Betrügereien gewarnt und Kunden aufgefordert, "niemals mehrere TAN gleichzeitig preiszugeben".
Das BGH-Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht. Können Kunden beweisen, dass sie nur fahrlässig gehandelt haben, ist ihre Haftung auf 150 Euro beschränkt. Und sie haften nur für den Schaden, der entsteht, bevor sie ein Problem gemeldet haben. Wie beim Sperren von Geld- und Kreditkarten müssen sie für Verluste, die nach der Meldung auftreten, nicht einstehen.
Was genau in diesem Zusammenhang von Gerichten künftig als grob fahrlässig betrachtet wird, muss die Urteilsbegründung zeigen. Das Eingeben von zehn TAN auf einmal aber würde wohl auch nach dem neuen Gesetz darunter fallen. Doch gibt es viele Betrugsvarianten, die nur eine TAN abgreifen und für Kunden nicht so schnell zu durchschauen sind, da sie wie fehlgeschlagene Login-Versuche aussehen.
Man gibt doch nicht 10 TAN einfach so ein! Das weiß doch jedes Kind, dass man niemals zu sowas aufgefordert wird oder ähnliches. Ich habe schon so oft Phishing Mails bekommen und immer gemerkt, dass da was nicht in Ordnung ist und oft waren die Seiten sehr gut gemacht.
Einfach beim Online-Banking ein bisschen das Gehirn einschalten und den gesunden Menschenverstand nutzen. Wer dazu nicht in der Lage ist, soll Telefonbanking machen, die Überweisung am Schalter oder per HBCI. Das ist zwar etwas teurer, aber sehr sicher.
vergleichen.
Beim Kind ist die Prognose der zu erwartenden Hirnleistung äusserst positiv.
Beim Rentner, man nehme es mir bitte nicht übel, ist eher das Gegenteil der Fall.
Wundert mich nicht, das man da ersteren die Kontoführung nicht erlaubt und letztere Gruppe das Onlinebanking anträgt.
es kann sicher keiner so perfekt und intelligent sein wie sie. Aber auch für den Rest der Gesellschaft muss es ein Existenzrecht geben.
Erst einmal sind die Kriminellen schuld!
Ob dies nach neueren Gesetzten grob fahrlässig wäre, steht sicher noch nicht fest!
Sollten sie demnächst auf einem Bauernfänger reinfallen, weil sie gerade andere Dinge im Kopf haben (Scheidung, Pfändung, Angehöriger gestorben oder ähnliches), denken sie an Ihren Kommentar!
vergleichen.
Beim Kind ist die Prognose der zu erwartenden Hirnleistung äusserst positiv.
Beim Rentner, man nehme es mir bitte nicht übel, ist eher das Gegenteil der Fall.
Wundert mich nicht, das man da ersteren die Kontoführung nicht erlaubt und letztere Gruppe das Onlinebanking anträgt.
es kann sicher keiner so perfekt und intelligent sein wie sie. Aber auch für den Rest der Gesellschaft muss es ein Existenzrecht geben.
Erst einmal sind die Kriminellen schuld!
Ob dies nach neueren Gesetzten grob fahrlässig wäre, steht sicher noch nicht fest!
Sollten sie demnächst auf einem Bauernfänger reinfallen, weil sie gerade andere Dinge im Kopf haben (Scheidung, Pfändung, Angehöriger gestorben oder ähnliches), denken sie an Ihren Kommentar!
die so mit Ihren Kunden umspringt. Wenn ich auch bei dieser Bank sein sollte, würde ich unverzüglich kündigen!
Was soll die Bank denn machen? Sie hat keine Seite mit betrügerischen Inhalten betrieben. Es hat jemand mit den vollständigen Zugangsdaten des Kunden eine Überweisung getätigt. Das mag für den Kunden sehr ärgerlich sein, aber auf Dauer wird keine Bank für den Schaden aufkommen, wenn jemand ganz woanders (jede Bank weist darauf hin, dass man ihre Seite niemals über Links in Emails ansurfen soll) alle Daten eingibt, die für eine Transaktion notwendig sind. Sollte irgendwie ein System der Bank (also z.B. externer Tan-Generator, Website der Bank etc, Sperrung eines Kontos) kompromittiert worden sein, müsste die Bank zu Recht für den Schaden aufkommen.
Ein Rundum-Sorglos-Paket, das selbst bei grober Fahrlässigkeit greift, gibt es auch sonst nirgendwo. Zumindest nicht ohne Aufpreis.
Natürlich sind zuerst die Kriminellen schuld. Danach kommt dann aber der Kunde. Wenn die Bank eine Schuld haben sollte, müsste man argumentieren, dass sie das Tan-Verfahren nicht hätte anbieten dürfe, denn darin ist angelegt, dass spätestens, wenn ein Kunde viele Tans (ob es sich um ein Verfahren handelt, das je nach Überweisung eine bestimmte Tan anfordert, steht leider nicht im Artikel) an Drite weitergibt, diese damit Transaktionen autorisieren können.
Ich bin kein großer Freund von Banken, aber in diesem Fall hatte die Bank doch mit dem ganzen Vorfall gar nichts zu tun.
Sie hat weder die Phishing-Seite betrieben noch zur Nutzung von dieser Seite aufgerufen. Ich selbst nutze Online-Banking nicht, weil es mir zu unsicher ist. Mir ist aber bekannt, dass es durchaus nicht üblich sein dürfte, dass eine Bank ihren Kunden Mails schickt, in denen sie dazu auffordert, gleich 10 (!) TANs auf einmal eingeben soll.
Wenn man etwas nutzt, sollte man sich darüber informieren, was diese Nutzung für Konsequenzen hat und welche Klippen dabei zu beachten sind. Und gerade bei Phishing-Attacken hilft es doch ein wenig, wenn man die URL seiner Bank kennt, weiß dass Banken ihre Kunden sicher nicht per EMail anschreiben, um ihren Kunden seltsame Aktionen abzufordern. Zudem hilft ein Blick in die URL-Zeile des Browsers immer deutlich weiter.
Bei guten Browsern gibt es zudem die Möglichkeit, Scripting nur auf Seiten zuzulassen, die einem selbst als vertrauenswürdig erscheinen, bzw sich über CSS-Attacken warnen zu lassen.
Insofern sehe ich hier die betroffene Bank nicht in der Verantwortung. Den Kunden schon. Wenn man Dinge tut, deren Tragweite man nicht ermessen kann, dann darf man sich nicht wundern, wenn man diese Tragweite erst hinterher erfährt. Das ist der alte Grundsatz "Nichtwissen schützt nicht vor Strafe".
Was soll die Bank denn machen? Sie hat keine Seite mit betrügerischen Inhalten betrieben. Es hat jemand mit den vollständigen Zugangsdaten des Kunden eine Überweisung getätigt. Das mag für den Kunden sehr ärgerlich sein, aber auf Dauer wird keine Bank für den Schaden aufkommen, wenn jemand ganz woanders (jede Bank weist darauf hin, dass man ihre Seite niemals über Links in Emails ansurfen soll) alle Daten eingibt, die für eine Transaktion notwendig sind. Sollte irgendwie ein System der Bank (also z.B. externer Tan-Generator, Website der Bank etc, Sperrung eines Kontos) kompromittiert worden sein, müsste die Bank zu Recht für den Schaden aufkommen.
Ein Rundum-Sorglos-Paket, das selbst bei grober Fahrlässigkeit greift, gibt es auch sonst nirgendwo. Zumindest nicht ohne Aufpreis.
Natürlich sind zuerst die Kriminellen schuld. Danach kommt dann aber der Kunde. Wenn die Bank eine Schuld haben sollte, müsste man argumentieren, dass sie das Tan-Verfahren nicht hätte anbieten dürfe, denn darin ist angelegt, dass spätestens, wenn ein Kunde viele Tans (ob es sich um ein Verfahren handelt, das je nach Überweisung eine bestimmte Tan anfordert, steht leider nicht im Artikel) an Drite weitergibt, diese damit Transaktionen autorisieren können.
Ich bin kein großer Freund von Banken, aber in diesem Fall hatte die Bank doch mit dem ganzen Vorfall gar nichts zu tun.
Sie hat weder die Phishing-Seite betrieben noch zur Nutzung von dieser Seite aufgerufen. Ich selbst nutze Online-Banking nicht, weil es mir zu unsicher ist. Mir ist aber bekannt, dass es durchaus nicht üblich sein dürfte, dass eine Bank ihren Kunden Mails schickt, in denen sie dazu auffordert, gleich 10 (!) TANs auf einmal eingeben soll.
Wenn man etwas nutzt, sollte man sich darüber informieren, was diese Nutzung für Konsequenzen hat und welche Klippen dabei zu beachten sind. Und gerade bei Phishing-Attacken hilft es doch ein wenig, wenn man die URL seiner Bank kennt, weiß dass Banken ihre Kunden sicher nicht per EMail anschreiben, um ihren Kunden seltsame Aktionen abzufordern. Zudem hilft ein Blick in die URL-Zeile des Browsers immer deutlich weiter.
Bei guten Browsern gibt es zudem die Möglichkeit, Scripting nur auf Seiten zuzulassen, die einem selbst als vertrauenswürdig erscheinen, bzw sich über CSS-Attacken warnen zu lassen.
Insofern sehe ich hier die betroffene Bank nicht in der Verantwortung. Den Kunden schon. Wenn man Dinge tut, deren Tragweite man nicht ermessen kann, dann darf man sich nicht wundern, wenn man diese Tragweite erst hinterher erfährt. Das ist der alte Grundsatz "Nichtwissen schützt nicht vor Strafe".
"Das BGH-Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht."
Ich denke, jemandem, der am Online-Banking teilnimmt, ist in dem entschiedenen Fall früher wie auch nach dem Oktober 2009 grobe Fahrlässigkeit nachzusagen.
Die Hinweise zum Online-Banking sind wirklich unübersehbar und deutlich. Dieses BGH-Urteil hat ganz meine Zustimmung.
Ginge es um ein Mütterchen, dem der Banker gesagt hatte, ach, einfach machen was auf dem Bildschirm gesagt wird, ist ganz einfach, dann sähe ich das anders. War aber wohl nicht ganz der Fall, bei dieser Sache.
"Watch your step!" gilt. Schusselige Blindheit kann nicht gelten. Zehn TANs einzutippen ist schusselig blind.
Glaube jetzt keiner, dass die Interessen der Bank meine Interessen sein könnten, dem ist bestimmt nicht so.
vergleichen.
Beim Kind ist die Prognose der zu erwartenden Hirnleistung äusserst positiv.
Beim Rentner, man nehme es mir bitte nicht übel, ist eher das Gegenteil der Fall.
Wundert mich nicht, das man da ersteren die Kontoführung nicht erlaubt und letztere Gruppe das Onlinebanking anträgt.
Als Bürger sieht man sich wachsender Möglichkeiten im Netz gegenüber. Die Jungen scheinen damit recht gut klar zu kommen, scheinen deswegen, weil die Benützung von Facebook nicht als Computerkenntnisse anzusehen ist. Ein Autofahrer muss ja auch nicht wissen wie sein Auto funktioniert.
Angesichts der vielfältigen Gefahren die in der online-Welt lauern, ist es notwendig die Bürger im Umgang mit den modernen Technologien zu schulen. Den Führerschein bekommt man auch erst nach erfolgreichem Besuch der Fahrschule. Daher sollte in den Schulen das Niveau des Informatikunterrichts drastisch erhöht werden.
Die Zeiten in den die Bedienung von Word und Co. als Computerkenntnisse ausreichend waren, sind vorbei.
Schüler, diese sich am leichtesten erreichbar, müssen über die Hintergründe und über Standards im Netz aufgeklärt werden.
Im Fall von TAN Diebstahl täten die Banken gut daran ihre Kunden besser aufzuklären, nicht bloß irgendwelche Meldungen in den Startseiten des Internetbankings platzieren. Es ist auch im Interesse der Banken, dass die Bürger nicht leichtfertig mit ihren Bankdaten umgehen.
Generell sollten sich die Menschen bewusster werden, dass das Netz nicht einfach die heile bunte Welt von Facebook ist.
"Im Fall von TAN Diebstahl täten die Banken gut daran ihre Kunden besser aufzuklären, nicht bloß irgendwelche Meldungen in den Startseiten des Internetbankings platzieren"
Aber das tun sie doch, und zwar fast schon so nervig wie die Stewardess, von der man jetzt zum x-hundertsten Mal aufgeklärt wird, wo die Schwimmwesten zu finden sind.
Ich meine, ein Verklicker möglich und schon ist das Malheur passiert, das sollte Sache der Bank sein. Dann soll sie haften.
Aber den Leuten wird schriftlich und elektronisch immer und immer wieder eingebleut, dass die jede Frage nach Passwort oder mehreren TANs unbedingt ein Betrugsversuch sein muss - ja was wollen Sie dann noch machen?
Die von Ihnen geforderte "Internetschulung" heiße ich durchaus für gut, aber in Fällen, wie den vom BGH entschiedenen nützt das auch nichts mehr. Übrigens auch ein geprüfter Führerscheinbesitzer crasht in der Einbahnstraße, wenn er falsch herum hineinfährt. Dann muss er bezahlen, wer sonst?
"Im Fall von TAN Diebstahl täten die Banken gut daran ihre Kunden besser aufzuklären, nicht bloß irgendwelche Meldungen in den Startseiten des Internetbankings platzieren"
Aber das tun sie doch, und zwar fast schon so nervig wie die Stewardess, von der man jetzt zum x-hundertsten Mal aufgeklärt wird, wo die Schwimmwesten zu finden sind.
Ich meine, ein Verklicker möglich und schon ist das Malheur passiert, das sollte Sache der Bank sein. Dann soll sie haften.
Aber den Leuten wird schriftlich und elektronisch immer und immer wieder eingebleut, dass die jede Frage nach Passwort oder mehreren TANs unbedingt ein Betrugsversuch sein muss - ja was wollen Sie dann noch machen?
Die von Ihnen geforderte "Internetschulung" heiße ich durchaus für gut, aber in Fällen, wie den vom BGH entschiedenen nützt das auch nichts mehr. Übrigens auch ein geprüfter Führerscheinbesitzer crasht in der Einbahnstraße, wenn er falsch herum hineinfährt. Dann muss er bezahlen, wer sonst?
Warum wird der Name der Bank hier nicht genannt?
War das ein Geheimprozess oder eine öffentliche Verhandlung?
Müssen erst wieder die User recherchieren und den Namen dann selbst veröffentlichen?
"Müssen erst wieder die User recherchieren"
Ja.
Der Öffentlichkeitsgrundsatz besagt, daß eine Verhandlung unbeteiligten Personen zugänglich sein muß (= Sie hätten also hingehen können). Er bedeutet nicht, daß Teilnehmer den Nichtteilnehmern den A* hinterhertragen müssen (= das Auslassen von Details in der Berichterstattung hat also nichts, aber auch gar nichts, nichtmals im Entferntesten mit einem "Geheimprozess" zu tun).
"und den Namen dann selbst veröffentlichen?"
Und wenn Sie nun unbedingt veröffentlichen möchten (warum eigentlich nur den Namen der Beklagten und nicht auch den des Klägers?), dann sollten Sie sich vorher mal dem Thema "Persönlichkeitsrechte" annehmen. Sonst könnte es u.U. passieren, daß eines Tages Ihr Name in einer öffentlichen Verhandlung eine Rolle spielt ;-)
"Müssen erst wieder die User recherchieren"
Ja.
Der Öffentlichkeitsgrundsatz besagt, daß eine Verhandlung unbeteiligten Personen zugänglich sein muß (= Sie hätten also hingehen können). Er bedeutet nicht, daß Teilnehmer den Nichtteilnehmern den A* hinterhertragen müssen (= das Auslassen von Details in der Berichterstattung hat also nichts, aber auch gar nichts, nichtmals im Entferntesten mit einem "Geheimprozess" zu tun).
"und den Namen dann selbst veröffentlichen?"
Und wenn Sie nun unbedingt veröffentlichen möchten (warum eigentlich nur den Namen der Beklagten und nicht auch den des Klägers?), dann sollten Sie sich vorher mal dem Thema "Persönlichkeitsrechte" annehmen. Sonst könnte es u.U. passieren, daß eines Tages Ihr Name in einer öffentlichen Verhandlung eine Rolle spielt ;-)
es kann sicher keiner so perfekt und intelligent sein wie sie. Aber auch für den Rest der Gesellschaft muss es ein Existenzrecht geben.
Erst einmal sind die Kriminellen schuld!
Ob dies nach neueren Gesetzten grob fahrlässig wäre, steht sicher noch nicht fest!
Sollten sie demnächst auf einem Bauernfänger reinfallen, weil sie gerade andere Dinge im Kopf haben (Scheidung, Pfändung, Angehöriger gestorben oder ähnliches), denken sie an Ihren Kommentar!
...wie Sie richtig sehen.
Gleich nach den Kriminellen ist aber die Bank schuld an der Misere und damit (durch seinen Geiz) wiederum der Kunde.
Läge die Haftung beim Onlinebanking bei der Bank würde die sich wesentlich mehr bemühen, die Sache sicher zu gestalten, aber das kostet nunmal Geld.
Bei klassischen Kreditkarten liegt die Haftung praktisch vollständig beim Institut, bis ich die Rechnung absegne ist jede Transaktion offen.
Das ist umständlicher und teuerer als einfach durchzuführen und im Zweifelsfall den Kunden blechen lassen.
...wie Sie richtig sehen.
Gleich nach den Kriminellen ist aber die Bank schuld an der Misere und damit (durch seinen Geiz) wiederum der Kunde.
Läge die Haftung beim Onlinebanking bei der Bank würde die sich wesentlich mehr bemühen, die Sache sicher zu gestalten, aber das kostet nunmal Geld.
Bei klassischen Kreditkarten liegt die Haftung praktisch vollständig beim Institut, bis ich die Rechnung absegne ist jede Transaktion offen.
Das ist umständlicher und teuerer als einfach durchzuführen und im Zweifelsfall den Kunden blechen lassen.
...den minimal notwendigen Sicherheitslevel, was man an dem ganzen TAN mTAN usw Geschwurbel gut sieht.
Warum sollten sie auch mehr tun, der Kunde lässt es sich mühelos bieten und da er ja auch die Haftung trägt, um so besser.
HBCI löst schon länger die meisten Probleme (nicht alle!) http://de.wikipedia.org/w...
Aber Ihh Pfui, das ist ja teuer, da braucht man ein Lesegerät. Deswegen bietet es kaum noch einer an.
Jeder bekommt was er bezahlt, nicht mehr nicht weniger.
Oft genug am Schalter erlebt. Kunde kommt angerannt und beschwert sich, dass sein Online Banking ja so unsicher ist und er nen Phishing Fall hatte und dann das HBCI abgelehnt, weil es 5 € pro Monat kostet.
Und da sagt nochmal einer, dass die Banken geizig sind...
Klassischer Fall von selbst schuld
Oft genug am Schalter erlebt. Kunde kommt angerannt und beschwert sich, dass sein Online Banking ja so unsicher ist und er nen Phishing Fall hatte und dann das HBCI abgelehnt, weil es 5 € pro Monat kostet.
Und da sagt nochmal einer, dass die Banken geizig sind...
Klassischer Fall von selbst schuld
Bitte melden Sie sich an, um zu kommentieren