Haftung beim Online-Banking

Das Online-Banking-Verfahren funktionierte jahrelang, ohne dass Missbrauchsfälle in spürbarem Umfange vorgekommen wären. Nunmehr haben sich neue Angriffsszenarien entwickelt. Dabei finden sich folgende Angriffsformen:

Phishing

Beim Phishing wird an den Nutzer eine E-Mail versandt, deren Absender seine Hausbank zu sein scheint, in der er darum gebeten wird, PIN und TAN – meist aus „Sicherheitsgründen“ – anzugeben. Nachdem diese E-Mails anfänglich eher dilettantisch wirkten und als Fälschungen erkennbar waren, sind sie mittlerweile so gut gemacht, dass auch der kritische Betrachter kaum noch feststellen kann, ob es sich um eine Fälschung handelt. Mittels der vom Nutzer eingegebenen Zugangsdaten können dann zu Lasten seines Kontos unberechtigte Zahlungen ausgeführt werden.

Man-in-the-middle-Angriff

Beim Man-in-the-middle-Angriff macht sich der Angreifer eine Schwachstelle in einer weit verbreiteten DNS-Server-Software zu Nutze, in dem DNS-Datensätze mit falschen Zuordnungen zwischen Domain-Namen und IP-Adresse eingespielt werden. Nach dem Angriff wird vom DNS-Server eine falsche IP-Adresse als Antwort auf die DNS-Anfrage übersandt. Dadurch wird der Online-Banking-Nutzer auf den Server des Angreifers weitergeleitet, auf dem das Portal der Bank nachgebildet wird. Setzt der Nutzer PIN und (eine) TAN ein, werden diese an den Angreifer übermittelt, der sie zu unberechtigten Transaktionen nutzen kann. Da der Zugang zum Bankportal üblicherweise mit der Übermittlung des Kontostands verbunden ist, wird mittels des Servers des Angreifers Zugang zum Bankportal gesucht, um diese Informationen bereit stellen zu können, damit der reguläre Nutzer nicht merkt, dass eine Unberechtigter sich Zugang zu seinen Daten verschafft hat. Ein solcher Angriff lässt sich verhindern, indem die Banken ihren Kunden eine feste IP-Adresse für das Online-Banking-Portal und nicht die URL mitteilen.

Pharming

Beim Pharming gelingt es dem Angreifer, einen Trojaner auf dem Computer des Nutzers zu installieren. In der Regel geschieht dies durch Übermittlung einer Mail, die einen Anhang enthält, bei dessen Öffnung der Trojaner installiert wird. Dieser ergänzt die Hosts auf dem Rechner um den veränderten Eintrag für das Online-Banking-Portal. Wird das Bank-Portal aufgerufen, erfolgt eine Weiterleitung auf den Server des Angreifers, der danach wie ein Man-in-the-Middle agieren kann.

Nun stellt sich die Frage, wer das daraus resultierende Schadensrisiko zu tragen hat.

1. Grundsätzlich erwirbt die Bank im Falle einer Überweisung einen Aufwendungsersatzanspruch in Höhe des Überweisungsbetrags, wenn der Kunde die Überweisung vornimmt. Allerdings nur, wenn ein wirksamer Zahlungsauftrag erteilt worden ist.
2. Im Falle eines Missbrauchs fehlt es jedoch an einer entsprechenden Auftrag mit der Folge, dass die Bank keinen Aufwendungsersatzanspruch geltend machen kann.
3. Sonderfall: Einsatz der richtigen PIN und einer TAN Nummer. Allerdings spricht der Einsatz der richtigen PIN sowie einer wirksamen TAN zunächst dafür, dass der Kunde selbst gehandelt hat. Wer den Verlust aus einer missbräuchlichen Verfügung zu tragen hat, hängt davon ab, welche beweisrechtliche Bedeutung PIN und TAN haben.

Nach den allgemeinen Darlegungs- und Beweislastregeln muss die Bank beweisen, dass der Kunde auch tatsächlich die Verfügung vorgenommen hat.

Als Beleg dafür stehen der Bank jedoch lediglich die Daten für die Feststellung zur Verfügung, dass wirksame PIN und TAN verwendet worden sind. Damit kann allerdings nicht unmittelbar nachgewiesen werden, dass der Kunde die Verfügung auch selbst veranlasst hat. Eine Beweislastumkehr scheidet aus.

In Betracht kommt aber auch hier die Anwendung des Anscheinsbeweises. Als alternativer Anscheinsbeweis spricht er entweder dafür, dass der Nutzer die PIN und die TAN selbst eingesetzt hat oder dass er mit seinen Medien nicht sorgfältig umgegangen ist und dadurch den Missbrauch schuldhaft verursacht hat.

Aufgrund der Ähnlichkeiten mit dem ec-PIN-Verfahren sind die von der Rechtsprechung dazu entwickelten Grundsätze auf das PIN-/TAN-Verfahren übertragbar, soweit die entsprechenden tatsächlichen Voraussetzungen, wie insbesondere die technischen Sicherheitsanforderungen vergleichbar sind. Nach einer Entscheidung des BGH vom 5. 10. 2004 begründet der Einsatz der ec-Karte mit der richtigen PIN zwar nicht den Beweis des ersten Anscheins dafür, dass der Inhaber selbst verfügt hat, wenn er dies bestreitet, wohl aber für Tatsachen, aus denen sich ergibt, dass der Berechtigte mit seinen Legitimationsmedien nicht sorgfältig umgegangen ist. Der Anscheinsbeweis ist deshalb geeignet, einen Sachverhalt zu begründen, aus dem sich eine Verletzung seiner Sorgfaltspflichten ergeben kann. Voraussetzung für die Anwendung der vorstehend bezeichneten Grundsätze ist allerdings, dass das Sicherheitssystem mit einem vertretbaren technischen oder finanziellen Aufwand nicht überwunden werden kann.

Werden die vorstehend bezeichneten Grundsätze auf die Bedrohungsszenarien im Online-Banking-Verfahren übertragen, ergibt sich zusammenfassend Folgendes:

1. Die Bank überweist an einen Dritten. Sie kann vom Kunden grundsätzlich nur dann einen Ausgleich in gleicher Höhe verlangen, wenn der Kunde die Überweisung vorgenommen hat.
2. Wenn der Missbrauch des Online-Bankings behauptet wird, ist fraglich, wer was beweisen muss. Grundsätzlich muss die Bank beweisen, dass der Kunde die Überweisung veranlasst hat. Allerdings spricht der Anschein dafür, wenn eine Pin und die Tan verwendet worden sind. Dann muss der Kunde belegen, dass er tatsächlich nicht gehandelt hat. Gelingt dies nicht, wird vermutet, dass die Überweisung ordnungsgemäß war.
3. Ist bewiesen, dass ein Missbrauch vorlag, so können der Bank trotzdem Schadensersatzansprüche gegen den Kunden zustehen, wenn dieser seine Pflichten verletzt hat. Für einfache Fahrlässigkeit haftet der Kunde mit einem Pauschalbetrag von 150,00 EUR. Bei grober Fahrlässigkeit haftet der Kunde voll.

Die volle Haftung hat praktisch zur Folge, dass die Bank dem Rückzahlungsanspruch des Kunden dann den vollen Schadensersatzanspruch entgegen halten kann und sich beide Ansprüche aufheben. Es muss dann keine Gutschrift auf dem Kundenkonto erteilt werden.

Gerne stehen Ihnen unsere Anwälte bei rechtlichen Fragen rund um das Online-Banking zur Verfügung.

SH Rechtsanwälte ist eine auf das Bank- und Kapitalanlagerecht spezialisierte Kanzlei. Unser Team besteht aus Rechtsanwälten und Fachanwälten für Bank- und Kapitalmarktrecht und vertritt betroffene Bankkunden bundesweit.