Keine Haftung von Banken bei Pharming-Angriffen

Der Bundesgerichtshof hat in einem wegweisenden Urteil entschieden, daß einem Opfer eines Pharming-Angriffs von seiner Bank keine Entschädigung zusteht, weil der Kunde sich fahrlässig verhalten habe. Was war passiert?

Der Kunde hat bei dem Angriff die korrekte Website der Bank aufgerufen, wurde aber auf eine andere Seite umgeleitet und dort aufgefordert, 10 TANs auf einmal einzugeben, um sein Online-Banking wieder freizuschalten, das angeblich gesperrt war. Daraufhin wurden ihm 5.000 Euro von seinem Konto abgebucht und auf ein Konto nach Griechenland transferiert.

Der BGH hat nun entschieden, daß die Klage unbegründet sei, weil der Kunde trotz eines ausdrücklichen Hinweises seiner Bank die TANs nicht zum Zwecke der Überweisung verwendet und daher seine Sorgfaltspflicht verletzt habe. Zwar sei der Schaden entstanden, die Bank habe aber gleichzeitig einen Schadensersatzanspruch in gleicher Höhe.

Das Urteil liest sich im ersten Moment hart, ist m. E. aber völlig richtig. Man wird meiner Erfahrung nach von Banken sehr genau und sehr ausführlich auf die Risiken des Online-Banking aufmerksam gemacht. Aus diesem Grunde weisen die Banken ebenso auf Angriffsszenarien wie das im verhandelten Fall hin. Man verpflichtet sich beim Online-Banking schriftlich, mit PIN und TANs sorgfältig umzugehen und insbesondere die TANs für nichts anderes als Überweisungsvorgänge zu verwenden. Wenn Online-Banking-Kunden diese Verpflichtungen nicht lesen und nicht ernst nehmen, ist dafür nicht die Bank verantwortlich zu machen. Das ist Fahrlässigkeit seitens des Kunden, und der hat dafür zu haften.

Der Vorgang ist für dieses Blog interessant, weil er einen klassischen Fall von Social Engineering darstellt. Zwar geschah die Umleitung auf die manipulierte Seite vermutlich durch eine Schadsoftware, die sich das Opfer eingefangen hat. Aber der Angreifer muß in einem solchen Fall das Opfer erst noch dazu bringen, die entsprechenden Daten auf der manipulierten Website einzugeben, damit der Angriff Erfolg hat. In diesem Fall wurde dem Opfer vorgegaukelt, sein Online-Banking-Zugang sei gesperrt worden und er müsse ihn durch die Angabe von 10 TANs wieder entsperren. Hier spielen die psychologischen Faktoren Autoritätsgläubigkeit und eventuell auch Angst eine Rolle. Das Opfer glaubt, daß die Aufforderung von seiner Bank stammt und geht davon aus, daß die Bank schon alles richtig macht. Zudem fürchtet es möglicherweise, nicht mehr an sein Online-Banking zu kommen, wenn es die geforderten Aktionen nicht ausführt.

Man kann sich jedoch gegen solche Angriffe recht einfach schützen. Wenn Ihnen ein verdächtiger Vorgang beim Online-Banking begegnet, informieren Sie am besten telefonisch Ihre Bank, bevor Sie die verlangten Daten eingeben, und erkundigen Sie sich, ob alles seine Richtigkeit hat. Eine Anfrage per Mail ist eventuell nicht so ratsam, weil Angreifer bei einem manipulierten Rechner die Mail auch abfangen und selbst beantworten könnten. Selbstverständlich sollten Sie Ihren Rechner auch auf Schadsoftware untersuchen und diese gegebenenfalls entfernen.

7 comments on Keine Haftung von Banken bei Pharming-Angriffen

  • TANs werden nicht nur für Überweisungen gebraucht. Beim Wechsel der TAN-Liste muß(te) man auch eine eingeben, nämlich eine bestimmte von der neuen Liste. Ebenso für die Bestätigung von Daueraufträgen und bei noch ein paar Dingen, die man übers Online-Banking in Auftrag geben kann.

    Eindeutiger ist es, zu sagen, daß für eine Transaktion auch immer nur eine TAN einzugeben ist. Zehn am Stück sollten wirklich auffallen. Das wäre dem Kunden auch vorzuwerfen.

    Der andere Punkt ist, daß ein Bankkunde seinen PC sauberhalten muß. Ich weiß nicht, ob schon höchstrichterlich geklärt wurde, wieviel ein Laie dafür unternehmen muß. Genügt es, die Sicherheits-Updates seines Betriebssystems zeitnah einzuspielen, einen Virenscanner zu installieren und dafür zu sorgen, daß der auch seine Updates macht? (Das macht es nicht besser, aber ist unabhängig davon nicht ganz unwichtig; denn daß der Browser umgeleitet wurde, kann ein Laie nicht unbedingt erkennen.)

    • Sowas wie Daueraufträge kommt Überweisungsaufträgen gleich. Und einen Wechsel der TAN-Liste gibt es in dem Fall nicht mehr, da das iTan-Verfahren zum Einsatz kam. TAN-Listen auf Papier sterben langsam aber sicher aus.
      Beim Thema PC sauberhalten sind die Gerichte oft sehr viel laxer. Ich erinnere mich an einen Fall, in dem ein Mann freigesprochen wurde, obwohl Kinderpornos auf seinem Rechner zu finden waren, weil diese durch eine Schadsoftware auf den Rechner gelangt sein könnten.

  • Ich habe bei der Kreissparkasse Köln SMS TAN Verfahren, was ich aber als höchst unsicher befinde, gerade deshalb, wenn man ein Handy wie iPhone oder Android besitzt. Meine Bank bietet sogar eine iPhone App an. Nun stellt euch mal vor, so eine App wird gehackt und man kann mit Hilfe dieser App meine SMS Nachrichten, auslesen. Man braucht nur meine PIN mitloggen bei der Eingabe. Naja, gewisses Restrisiko gibt es ja überall ;). Auch wenn ich die TAN Liste in Papierform hätte, braucht mir einer nur eins über die Rübe zu geben und schon hat er sie ^^.

  • In Vergangenheit hatte ich mal persönlich einen Fall in einer Firma, wo ich Ausbildung absolviert habe. Ich hatte aus Versehen mir einen Trojaner/Spyware eingefangen. Dieses per AntiVir entfernt, aber er war nicht ganz weg. Ich war natürlich paar Stunden später per Web bei meiner Bank Kreissparkasse Köln und Deutsche Bank. Danach war es für mich unmöglich geworden, mich einzuloggen. Beide Zugänge wurden automatisch gesperrt. Die Deutsche Bank sendete mir per Post eine Nachricht, dass mein Computer infiziert sei und die PIN geloggt wurde. Die Kreissparkasse Köln hat nichts dazu gesagt, ich musste mich erst dort melden, war aber dieselbe Ursache.

    In beiden Fällen hat jemand versucht per TAN Geld zu überweisen, aber 5 mal falsch eingegeben. Die TAN Nummern lagen mir damals noch in schriftlicher Papierform vor.

    Selbst hatte ich auch mal einen Kunden, welcher sich wunderte, dass jedesmal eine E-Mail zurück kam, mit Inhalt, was er so am Tage geschrieben hat. Passwörter, Daten, Briefe, alles was im Anhang vorhanden und kam per Mailer Daemon wieder zurück. Bei ihm war auch ein Trojaner/Keylogger installiert, der sämtliche Tastatureingaben mitgeschnitten hat und dann versuchte per E-Mail SMTP abzusenden. Der anderweitige E-Mailaccount bei web.de wurde vom Provider zu seinem Glück abgeschaltet.

    • Da hat er Glück gehabt und du auch. Die 5-malige falsche Eingabe der TAN dürfte die Kontosperrung bewirkt haben. Dazu erschien grade heute erst ein Bericht in der Zeitung. Dort wurde diese Vorgehensweise als Möglichkeit angepriesen, das eigene Konto sperren zu lassen, wenn andere Methoden nicht funktionieren.

  • Ich habe eine zeitlang auch das SMS TAN Verfahren genutzt, habe mich aber mittlerweile davon distanziert, weil immer mehr Unsicherheit hervor kam. Insbesondere beim Online Banking erwartet man ja eine gewisse Sicherheit und die ist bei einem solchen Verfahren einfach nicht gegeben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.