E-Banking: Unvorsichtigkeit kann teuer werden

24.02.2013 | 18:51 |  von Christine Kary (Die Presse)

Bankgeschäfte abwickeln muss man nicht unbedingt in einer Filiale - immer mehr tun es in der U-Bahn, am Arbeitsplatz oder im Internetcafé. Risikolos ist das aber nicht.

Drucken Versenden AAA
Schriftgröße
Kommentieren

Mehr zum Thema:

Wien. Eurograbber wurde der Trojaner genannt, und der Name war Programm. Um rund 36 Millionen Euro soll er im Vorjahr Onlinebanking-Nutzer in Italien, Spanien, Deutschland und den Niederlanden erleichtert haben („Die Presse“ berichtete). Sein Angriffsziel waren Smartphones, er fing dort TAN-Nummern ab – also die Überweisungscodes, die Banken ihren Kunden aufs Handy schicken. Und räumte die Konten der Betroffenen leer.

Mehr zum Thema:

Generell nehmen Hackerangriffe auf mobile Endgeräte zu; den Siegeszug des Mobile Banking bremst das aber nicht wirklich. Laut einer GfK-Umfrage nutzen es bereits knapp 40 Prozent der Österreicher, die meisten greifen direkt auf die mobile Website der Bank zu, fast genauso viele User verwenden Banking-Apps. Letztere Anwender sind besonders eifrig: Laut der Studie „Branchenkompass 2012 Kreditinstitute“ von Steria Mummert Consulting und dem F.A.Z.-Institut kontaktieren App-User ihre Bank drei- bis viermal öfter als der Durchschnitts-Onlinekunde. Sicherheitsbedenken sind in dieser Gruppe offenbar wenig verbreitet. Wer sich diesbezüglich Sorgen macht, tendiert eher dazu, ganz aufs Mobile Banking zu verzichten: Von jenen, die es nicht nutzen, gibt laut GfK jeder Dritte Sicherheitslücken als Grund an.

Tatsächlich müssen sich vor solchen Lücken weit eher die Banken fürchten als ihre Kunden: Denn meist bleibt der Schaden letztlich am Geldinstitut hängen. „Grundsätzlich gilt, dass eine Bank verschuldensunabhängig für nicht autorisierte Zahlungsvorgänge haftet“, sagt Arthur Stadler, Rechtsanwalt bei Brandl & Talos.

Die Bank muss dann den entsprechenden Betrag samt dem für die Transaktion verrechneten Entgelt ersetzen. Auch für Schäden, die dem Kunden durch Fehler in der Bank-EDV entstanden sind, haftet das Institut. Hier sehen aber, so Stadler, die Allgemeinen Geschäftsbedingungen oft gewisse Haftungsbeschränkungen vor, wenn die Bank kein Verschulden trifft.

 

Oft haftet die Bank – aber nicht immer

Bei Cyberattacken auf Banking-Anwendungen, gegen die man als Betroffener machtlos ist – wie etwa Zugriffe auf den Computer trotz Firewall und Virenschutz – stehen also die Chancen gut, dass man von der Bank sein Geld zurückbekommt. Auch wenn sich jemand die Zugangsdaten des Users erschleicht, ist dafür nicht zwangsläufig der Kunde verantwortlich. „Allgemeine Missbrauchsrisken“ seien ihm nicht anlastbar, so Axel Anderl, Spezialist für IT-Recht bei Dorda Brugger Jordis, „und es gilt auch nicht jeder, der sich einloggt, automatisch als bevollmächtigt“. Dessen ungeachtet hat man aber Sorgfaltspflichten beim Umgang mit Computer, Smartphone oder Tablet. Bei grober Fahrlässigkeit haftet man selbst für Schäden. Anderl nennt Beispiele: „Einen Zettel mit dem Passwort auf den Computer kleben. Oder bei Geräten, die man gemeinsam mit anderen benützt – etwa auf geteilten Arbeitsplätzen – aufs Ausloggen aus der Banking-Anwendung vergessen.“ Bankgeschäfte via WLAN im Internetcafé seien noch kein Sorgfaltsverstoß, wohl aber, „wenn man sich dabei über die Schulter schauen lässt“.

Auch beim Mobile Banking in der U-Bahn ist das keine gute Idee. Genauso wenig wie das Speichern der Zugangsdaten auf dem Handy in den Kontakten, womöglich unter dem Namen der Bank. Wenn man dann auch noch den Zugriff aufs Smartphone nicht durch ein Passwort sichert und sich die TAN-Nummern auf dasselbe Gerät schicken lässt, hat jeder, der das Handy in die Finger bekommt, freie Bahn. Diese Kombination von Unvorsichtigkeiten könne durchaus als grobe Fahrlässigkeit gelten, meint Stadler.

Das Verschicken der TAN-Nummer aufs Smartphone gilt überhaupt als große Schwachstelle, es macht auch Cyberattacken leicht. Besser wäre es, dafür ein zweites Handy zu verwenden. Als Fahrlässigkeit kann es aber für sich allein kaum gewertet werden, wenn man bloß das nicht tut. Überhaupt ist die Abgrenzung im Einzelfall schwierig, der Graubereich groß und Sorgfaltsverletzungen des Users oft schwer nachweisbar. Und wenn doch, bedeutet das noch nicht, dass man unbedingt auf dem ganzen Schaden sitzen bleibt: „Es kommt zu einer Schadensteilung je nach Mitverschulden“, so Anderl. Bei leichter Fahrlässigkeit ist laut Zahlungsdienstegesetz die Haftung des Kunden mit 150 Euro begrenzt.

 

Regeln im Kleingedruckten

Gewisse Regeln für Sorgfaltspflicht und Haftung ergeben sich oft aus den Geschäftsbedingungen der Bank. Stadler verweist auf Klauseln, wonach man dafür sorgen muss, dass die persönlichen Identifikationsmerkmale geheim bleiben und man verpflichtet ist, einen Verdacht, dass eine unbefugte Person davon Kenntnis erlangt hat, dem Geldinstitut zu melden. Bei Sorgfaltswidrigkeiten haftet man meist bis zur Sperre des Kontos für nachteilige Folgen, danach nicht mehr. Auch eine Pflicht zur Schadensminderung ist oft verankert.

Eine andere Frage, die sich im Zusammenhang mit Banking-Apps stellt, ist, ob sie als „dauerhafte Datenträger“ gelten. Davon hängt beispielsweise ab, ob die Bank Informationspflichten gegenüber dem Kunden rechtswirksam dadurch erfüllen kann, dass sie die Information in der App bereitstellt. Darf sie also etwa Allgemeine Geschäftsbedingungen, Infos über ein Finanzgeschäft oder Auftragsbestätigungen einfach aufs Handy schicken? Ja, sagt Stadler: Laut Judikatur sei entscheidend, ob die Information gespeichert werden könne und ob gewährleistet sei, dass der Inhalt vom Absender nicht nachträglich verändert werden kann. Bei einem bloßen Link auf die Website der Bank sei das nicht der Fall, im gesicherten Bereich der App schon.

Auf einen Blick

Für allgemeine Risken, die mit dem Electronic Banking verbunden sind, haftet grundsätzlich die Bank. In solchen Fällen bekommt man sein Geld zurück, wenn es zu einem nicht autorisierten Zahlungsvorgang kommt. Das gilt zum Beispiel für Cyberattacken, außer man hat gängige Sicherheitsmaßnahmen wie Virenschutz oder Firewall vernachlässigt. Auch wenn sich jemand widerrechtlich die Banking-Zugangsdaten verschafft, ist das nicht zwangsläufig dem E-Banking-Nutzer zurechenbar, ebenso wenig, wenn etwa ein Smartphone gestohlen wird.

Bei grober Fahrlässigkeit haftet man aber selbst. Darunter fällt zum Beispiel, wenn man das Smartphone nicht durch ein Passwort sichert, seine Zugangsdaten dort speichert und sich dann auch noch die TAN-Nummern direkt auf dasselbe Gerät schicken lässt.

Besondere Vorsicht ist beim Banking in der Öffentlichkeit geboten. Aber auch bei der Benützung von Computern, die man mit anderen teilt: Keinesfalls sollte man dann vergessen, sich aus der Banking-Anwendung auszuloggen.

Konkrete Sorgfaltspflichten sind oft auch in den AGB der Banken festgelegt, etwa Geheimhaltungs-, Melde- und Schadensminderungspflichten.

("Die Presse", Print-Ausgabe, 25.02.2013)

Testen Sie "Die Presse" 3 Wochen lang gratis: diepresse.com/testabo

Lesen Sie hier weiter zum Thema:

Mehr aus dem Web

32 Kommentare
 
12
0

Gesicherter Bereich der App

"Laut Judikatur sei entscheidend, ob die Information gespeichert werden könne und ob gewährleistet sei, dass der Inhalt vom Absender nicht nachträglich verändert werden kann. Bei einem bloßen Link auf die Website der Bank sei das nicht der Fall, im gesicherten Bereich der App schon."

Und wer bitte stellt sicher, dass der App-Anbieter (sprich die Bank) die Information nicht ändern kann? Richtig, niemand. Das ist totaler Unsinn was hier erklärt wurde.

Re: Gesicherter Bereich der App

what's new?

Tan am Smartphone

Da die Banken Mitarbeiter abbauen und Filailen zusperren, wird man in Zukunft zwar weiterhin z.T. erhebliche Quartalsgebühren zahlen, aber alle Bankgeschäfte online erledigen müssen.
TAN Listen in gedruckter Form, postalisch in fremden Händen, sind doch auch nicht sicherer. Wenn der liebe Einbrecher den Ordner, wo womöglich alle Zugangsdaten und Tan Listen ordentlich abgelgt wurden, bzw. den Computer, auf dem diese gespeichert sind, mitnimmt, dann ist das auch unsicher.

Re: Tan am Smartphone

Wenn Sie so d.mmlich sind und alles zentral an einem Ort, quasi griffbereit für den Einbrecher aufbewahren, dann sind Sie schon selber schuld wenn Ihnen das Bankkonto leergeräumt wird.

Schreiben Sie Ihren PIN auch auf und geben sie diesen gemeinsam mit der Bankomatkarte in die Brieftasche? Eben nicht.

Wie ich unten schon sagte: Internetbanking ist nicht für jeden D.eppen geeignet. Man sollte schon eine gewisse Grundintelligenz besitzen. Ansonsten wäre es sinnvoller wieder in die Filiale zu gehen.

Re: Re: Tan am Smartphone

gebe ihnen vollkommen recht, aber hört man doch immer wieder, dass, Leute den Pin Code in der Geldbörse mit sich tragen, bzw. auf der Ec oder Kreditkarte notieren. Absolut dämlich!

Und wie viele haben eben die Tan Listen und die Zugangs-Codes dann brav in einem Ordner?

Genau so dumm, wie Login und Passwort des Online-Banking Apps am Handy zu speichern.

Aber es wird immer wieder solche unvernünftigen Leute geben.

Und am Bankomaten bzw. beim Bank Terminal seine Geschäfte zu erledigen, solll ja auch nicht ganz sicher sein, oder?

Re: Re: Re: Tan am Smartphone

Eine 100%ige Sicherheit gibt es grundsätzlich nirgendswo. Wenn jemand unbedingt betrügen will und er genügend Zeit und Aufwand betreibt wird er irgendwann sein Ziel zu erreichen.

Aber manche Menschen machen es den Verbrechern schon verantwortungslos einfach. Und genau diejenigen sind es dann die den Ruf eines an und für sich eh schon guten Systems ruinieren weil sie selbst zu d.ämlich waren.

Vielleicht...

...sollten sich die Leute mehr Gedanken über Datenschutz und Sicherheit im Internet machen. So schwer ist das heutzutage auch nicht um sich vor 99% der Probleme zu schützen. Gibt genug Informationen im Internet.

http://www.arbeiterkammer.at/konsumentenschutz/datenschutz.htm

http://helpv1.orf.at/?story=7798

Nach 2 Minuten suchen, findet man schon genug.
Finde es aber auch ein bisschen fahrlässig von den Banken, dass sie das alles großartig anbieten aber keine Aufklärung dafür betreiben.

Re: Vielleicht...

Sorry aber die Aufklärung über Computersicherheit gehört definitiv nicht zu den Aufgaben der Banken.

Es steht eh im Artikel - und EINSPRUCH! es ist GROB fahrlässig ..

... wenn man sich die SMS TAN auf dasselbe Gerät schicken lässt, mit dem man das Telebanking betreibt.
Allein mit Passwort kan niemand was abbuchen.

Mobile Apps

Mit der Einführung der mobile Apps war mir klar, dass es zu Sicherheitslücken kommen wird. Online-Banking am PC und TAN-Code aufs Handy => Angreifer muss 2 Geräte hacken. Jetzt nur mehr eines. Es war nur eine Frage der Zeit ...

Re: Mobile Apps

Wenn man es verantwortungsbewusst gemacht hätte, z.B. mit einem externen mobilen Key-Generator, wäre es auch dann kein Problem. Aber manche Unternehmen sparen halt beim Thema Sicherheit.

Wie?

Gab es in der goldenen guten alten internetfreien Zeit keine Sicherheitslücken bei den Banken? So was anzudeuten ist ein Sakrileg. Mein Posting darüber durfte nicht publiziert werden. - Ich weiß sogar von einem Fall, wo der Rechtsexperte einer noch heute existierenden hoch angesehenen flächendeckenden Bank, doch nicht in Ö., einen seiner älteren wohlhabenden alleinstehenden Kunden geplündert und ihn fast zur Gänze im Kachelofen seines prächtigen Arbeitszimmers verheizt hat. Die Polizei überraschte ihn aber als er einen der letzten Teile des Corpus (!) delicti in den Ofen schob. Damals gab es noch eine für ihn sichere Todesstrafe.

Sehr geehrter Herr Christine Kary (Die Presse),

Sie haben in Ihrem Artikel vergesse zu erwähnen, dass die Sicherheit im Bankenwesen vor dem Internet nicht unbedingt besser war als heute. In beiden Fällen war/ist der Mensch das schwächste Glied jeder Banktransaktionskette. Wer meint, dass in der guten alten Zeit in den Banken keine Vermögen verschwunden sind oder veruntreut wurden, der ist auf einem ziemlich modrigen Holzweg. - Wie schütze ich mich nun als Verbraucher und Bankenkunde? Man soll sich jeder Bank - egal ob physisch oder virtuell - mit einer gesunden Portion von Skeptizismus nähern.

Re: Sehr geehrter Herr Christine Kary (Die Presse),

Herr??? Sicher?

Re: Sehr geehrter Herr Christine Kary (Die Presse),

Ich muss Sie korrigieren. Überall wo es um Geld geht sollte man eine gewisse Grundskepsis an den Tag legen und Hirn einschalten.

Blindes Vertrauen in Geldangelegenheiten ist sehr selten angebracht.

Hallo diePresse

Ihr wurdet von irgendjemanden gehackt

diese Seite ist von der Startseite nicht erreichbar, außer man bedient einen Grabber.

sieht dann so aus

http://economist.diepresse.com/home/finanzen/meingeld/1348528/index.do

irgendwer hat "economist" hinzugefügt.


Wer Internetbanking

in der U-Bahn oder im Internetcafe macht, dem sollte eigentlich das aktive Wahlrecht entzogen werden.

Re: Wer Internetbanking

Internetbanking ist nicht für jeden D.eppen geeignet. Man sollte schon über eine gewisse Grundintelligenz verfügen. Ansonsten sollte man einfach wieder die Überweisungen in der Bankfiliale abgeben.

Re: Re: Wer Internetbanking

Sie haben absolut recht. Hat sich scheinbar noch nicht überall herumgesprochen, dass das Internetz auch seine (sehr bösen) Tücken hat.
I-Banking in Cafe oder Öffi.....ztztzt. Wenn jemand die rudimentärsten Vorsichtsmassnahmen nicht beachtet - dann geschieht ihm ja fast schon recht.

Re: Re: Re: Wer Internetbanking

Korrekt. Solche Menschen müssen halt Lehrgeld zahlen.

alleine die Zulassung, solcher unsicheren.....

...Bankgeschäfte, ist eine Sauerei! Solange diese Geschäfte unsicher bleiben, sollen die Banken keine Filialen schliessen dürfen!

Re: alleine die Zulassung, solcher unsicheren.....

Ich mache seit 14 Jahren sämtliche Bankgeschäfte inkl. Wertpapiertransaktionen ausschließlich am PC weil ich mir auch gar nicht die Zeit nehmen will in eine Bankfiliale zu fahren. In diesen 14 Jahren hat es keinen einzigen Vorfall bei mir gegeben.

Wenn man darauf aufpasst, dass der PC sicherheitstechnisch am letzten Stand ist, nicht jede Sch....-Software darauf installiert wird und wenn man obendrein noch Hirn einschaltet bei der Arbeit am PC kann nicht wirklich etwas passieren.

Aber ich bin auch ein EDV-Sicherheitsexperte und klicke nicht bei jedem Mail von einem unbekannten Absender einfach drauf. D.h. ich weiß (hoffentlich) was ich am PC mache und was ich nicht machen sollte.

Re: Re: alleine die Zulassung, solcher unsicheren.....

naja, das mit dem "Hirn einschalten" klappt halt nicht bei jedem so toll....

Sichere Browser verwenden!

Verwendet dafür verschiedene Browser

und
informiert euch über den sicheren Zugang
eures Browsers

Hmmm

Also ganz klar ist mir nicht, wie das mit den TAN-Nummern gehen soll...bei mir ist es so, dass die TAN, die per SMS kommt, immer nur für die gewünschte Überweisung einmal gilt (die Empfängerkontonummer steht nochmal im SMS)...sollte also jemand die TAN abfangen, kann er zwar von mir aus die Überweisung für mich durchführen, aber das Geld bekommt der richtige Empfänger...sollte natürlich eine TAN verschickt werden, die für jede Überweisung gilt, ist das wohl eher eine grobe Schwachstelle im System der Bank....

Re: Hmmm

Der punkt ist hier, dass manche keinen pc mehr benutzen, sondern eine app am Smartphone benutzen. Das handy IST somit der PC. Eine schadsoftware kann das ausnutzen und kann verdeckte Überweisungen in Auftrag geben.

 
12

People & Business

CA Immo Logo
AnmeldenAnmelden