„Zeit ist Geld - Time is Money“ Bekanntermaßen haben Kulturschaffende zur Zeit der Corona-Krise viele…
Mitverschulden der Bank beim Online Banking Betrug
Ausgangssituation beim Online-Banking Betrug :
Der durchschnittliche Kunde einer Bank nutzt heute in der Regel für Kontostandabfragen, Überweisungen oder Einrichtung von Daueraufträgen usw. das Online Banking . Hierfür erhält er von der Bank personifizierte Authentifizierungsmerkmale – die nach Angaben der Bank – absolut sicher sein sollen. Das es sich hier inzwischen um ein Massengeschäft handelt, haben auch Kriminelle entdeckt, die immer ausgefeiltere Methoden entwickeln, um an diese Identifizierungsmerkmale des Kunden zu gelangen.
In der Regel wird bei allen Banken ( immer in etwas abgeänderter Form und Bezeichnung ) das Authentifizierungsverfahren in zwei Stufen durchgeführt . Zuerst muss sich der Kunde mit einem Anmeldenamen und Pin entweder im Browser seines Computers oder seiner Banking App auf dem Smartphone anmelden, um Zugang zu seinem Konto zu erhalten. Dieses ist das Wissenselement mit dem sich der Kunde authentifiziert.
Möchte der Kunde dann beispielsweise einen Überweisungsauftrag ausführen, muß er diesen auf auf seinem Handy mittels einer Push Tan freigeben. Hierbei handelt es sich um das zweite Authentifizierungselement ( sogenanntes Besitzelement), weil nur der Kunde, der sich im Besitz des Smartphones befindet ,diese Push Tan auch auslösen kann. Inzwischen ist ein Großteil der Banken dazu übergegangen ist, daß die Generierung dieser Push Tan direkt in der Banking App des Smartphones stattfindet.Diese App- basierten Lösungen tragen je nach Bankinstitut unterschiedliche Namen wie das S-Push -Tan Verfahren bei der Sparkasse, Best-Sign Verfahren bei der Postbank, Tan2 Go Verfahren bei der Dkb Bank oder schließlich das Secure Go Plus Verfahren bei der Volksbank. Manche Banken nutzen jedoch noch das ältere SMS Tan Verfahren, welches selbst nach Auskunft des Bundesamtes für Sicherheit ( kurz BSI ) nicht sicher ist, weil die von der Bank versendeten SMS von Kriminellen abgefangen werden können.
Stellt der Kunde zu seiner Bestürzung fest, daß sehr hohe Beträge unter Mißachtung des eingerichteten Überweisungslimits an irgenwelche Personen teilweise im Ausland überwiesen worden sind, ist es meistens zu spät. Denn die Täter führen die Überweisungen in Echzeit aus , so die Rückforderungen der Bank erfolglos bleiben . Selbst wenn sich das Empfängerkonto im Inland befindet, bleiben die Ermittlungen der Staatsanwaltschaft in Deutschland erfolglos, weil sich im Zuge der Ermittlungen ergibt, daß es sich bei diesen diesen Emfpängern um gefälschte Identitäten handelt. Gerade digitale Banken wie die N26 Bank aus Berlin leisten diesem Betrug Vorschub, weil Sie den Tätern ermöglichen ihre Konten bei der Bank online zu eröffnen. Spätestens an dieser Stelle stellen dann auch die Staatsanwaltschaften ihre Ermittlungen ein.
Schadensersatzanspruch der Bank wegen grobfahrlässigen Verhaltens des Kunden
Der Kunde der Bank ist sich keiner Schuld bewusst. Aufgrund der ausgefeilten Methoden der Täter ( Pharming, Pishing, Einsatz von Trojanern usw. ) ist dem Kunden bis zur mißbräuchlichen Überweisung nicht einmal klar, daß die Täter in Bestz seiner Anmeldedaten gelangt sind . Wenn der Kunde nun, wie es das Gesetz vorsieht , seine Erstattungsanspruch gegenüber der Bank nach § 675 u BGB geltend macht, verweigert die Bank die Erstattung. Aus Sicht der Bank ist Ihr Authentifizierungssystem nämlich so sicher, daß nur ein grob fahrlässiges Verhalten des Kunden den Mißbrauch der Täter ermöglichen konnte. In einem gesonderten Beitrag gehen wir darauf ein, wann die Rechtsprechung ein solch grob fahrlässiges Verhalten des Kunden annimmt und wer vor Gericht hier die Beweislast trägt.
Die Bank trägt oft ein erhebliches Mitverschulden an dem Schaden
Im Rahmen der Auseinandersetzung mit den Banken wird oft ein erhebliches Mitverschulden der Banken vergessen. Die folgenden Schwachstellen im Bankverfahren ermöglichen oft den Diebstahl der Zugangsdaten und die Übernahme der Kontrolle über das Banking des Kunden :
- Beim Versenden von E-Mails an Kunden versenden die Banken keine Digitale Signatur, welche die Digitale Identität der Bank beweisen würde . Die Kunden können damit nicht erkennen, ob es sich um legale E-Mails der Bank oder um Pishing E-Mails handelt.
- Oft ist es ganz einfach möglich, die Zugangsdaten, Adresse, Mobilfunknummer, E-Mail des Kunden zu ändern. Der Kunde erhält keine zusätzlichen Sicherheitsinformationen der Bank beim Wechsel von wichtigen Änderungen seiner Zugangs- und Profildaten. Warum die Banken bei der Änderung von solch sensiblen Daten nicht genauso verfahren wie die meisten Anbieter digitaler Dienste ( Streamingdienste, Emailprovider usw. ) ist nicht nachvollziehbar und grob fahrlässig. Während andere Anbieter sich bei ihren Kunden bei einem Login von einem fremden Gerät oder einen anderen Ort über die Identität vergewissern , haben die Banken kein solches Informationssystem. Erst recht müßte dies Sicherheitssystem eingerichtet sein , wenn hier durch Dritte das Überweisungslimit angehoben wird oder eine anderes Smartphone hinterlegt wird.
- Da die Banken weder eine IP-Adresse als Quelle für das Weblogin liefern (beim Leerräumen des Kontos), ist davon auszugehen, dass das Login auf der Webseite der Bank Incognito (anonym) erfolgt. Das ist für betrügerisches Verhalten typisch, aber auf der Webseite der Banken in der Regel zulässig . Somit wird keine IP-Adresse aufgezeichnet und die Identität des Bank Benutzers kann nicht ermittelt werden. Damit haben es Täter leicht, ihre Identität zu verschleiern. Beweise können nicht gesichert werden.
- Oft wird noch das SMS Tan Verfahren angewendet, welches unsicher ist weil die SMS Tans durch die Täter abgefangen werden können.
In der Regel kann die Bank deshalb nie in voller Höhe ihren Schadensersatzanspruch durchsetzen, weil Sie sich immer sich ein erhebliches Eigenverschulden anrechnen lassen muß . Es reicht nämllich nicht aus, durch allgemeine Geschäftsbedingungen zum Online Banking Verfahren dem Kunden alle Pflichten und Obliegenheiten aufzubürden und sich damit von dem jederzeit gegebenen Risiko eines Mißbrauchs freizuzeichnen.