E-Banking: Unvorsichtigkeit kann teuer werden

EBanking Unvorsichtigkeit kann teuer
EBanking Unvorsichtigkeit kann teuer(c) www.BilderBox.com (BilderBox.com)
  • Drucken

Bankgeschäfte abwickeln muss man nicht unbedingt in einer Filiale - immer mehr tun es in der U-Bahn, am Arbeitsplatz oder im Internetcafé. Risikolos ist das aber nicht.

Wien. Eurograbber wurde der Trojaner genannt, und der Name war Programm. Um rund 36 Millionen Euro soll er im Vorjahr Onlinebanking-Nutzer in Italien, Spanien, Deutschland und den Niederlanden erleichtert haben („Die Presse“ berichtete). Sein Angriffsziel waren Smartphones, er fing dort TAN-Nummern ab – also die Überweisungscodes, die Banken ihren Kunden aufs Handy schicken. Und räumte die Konten der Betroffenen leer.

Generell nehmen Hackerangriffe auf mobile Endgeräte zu; den Siegeszug des Mobile Banking bremst das aber nicht wirklich. Laut einer GfK-Umfrage nutzen es bereits knapp 40 Prozent der Österreicher, die meisten greifen direkt auf die mobile Website der Bank zu, fast genauso viele User verwenden Banking-Apps. Letztere Anwender sind besonders eifrig: Laut der Studie „Branchenkompass 2012 Kreditinstitute“ von Steria Mummert Consulting und dem F.A.Z.-Institut kontaktieren App-User ihre Bank drei- bis viermal öfter als der Durchschnitts-Onlinekunde. Sicherheitsbedenken sind in dieser Gruppe offenbar wenig verbreitet. Wer sich diesbezüglich Sorgen macht, tendiert eher dazu, ganz aufs Mobile Banking zu verzichten: Von jenen, die es nicht nutzen, gibt laut GfK jeder Dritte Sicherheitslücken als Grund an.

Tatsächlich müssen sich vor solchen Lücken weit eher die Banken fürchten als ihre Kunden: Denn meist bleibt der Schaden letztlich am Geldinstitut hängen. „Grundsätzlich gilt, dass eine Bank verschuldensunabhängig für nicht autorisierte Zahlungsvorgänge haftet“, sagt Arthur Stadler, Rechtsanwalt bei Brandl & Talos.

Die Bank muss dann den entsprechenden Betrag samt dem für die Transaktion verrechneten Entgelt ersetzen. Auch für Schäden, die dem Kunden durch Fehler in der Bank-EDV entstanden sind, haftet das Institut. Hier sehen aber, so Stadler, die Allgemeinen Geschäftsbedingungen oft gewisse Haftungsbeschränkungen vor, wenn die Bank kein Verschulden trifft.

Oft haftet die Bank – aber nicht immer

Bei Cyberattacken auf Banking-Anwendungen, gegen die man als Betroffener machtlos ist – wie etwa Zugriffe auf den Computer trotz Firewall und Virenschutz – stehen also die Chancen gut, dass man von der Bank sein Geld zurückbekommt. Auch wenn sich jemand die Zugangsdaten des Users erschleicht, ist dafür nicht zwangsläufig der Kunde verantwortlich. „Allgemeine Missbrauchsrisken“ seien ihm nicht anlastbar, so Axel Anderl, Spezialist für IT-Recht bei Dorda Brugger Jordis, „und es gilt auch nicht jeder, der sich einloggt, automatisch als bevollmächtigt“. Dessen ungeachtet hat man aber Sorgfaltspflichten beim Umgang mit Computer, Smartphone oder Tablet. Bei grober Fahrlässigkeit haftet man selbst für Schäden. Anderl nennt Beispiele: „Einen Zettel mit dem Passwort auf den Computer kleben. Oder bei Geräten, die man gemeinsam mit anderen benützt – etwa auf geteilten Arbeitsplätzen – aufs Ausloggen aus der Banking-Anwendung vergessen.“ Bankgeschäfte via WLAN im Internetcafé seien noch kein Sorgfaltsverstoß, wohl aber, „wenn man sich dabei über die Schulter schauen lässt“.

Auch beim Mobile Banking in der U-Bahn ist das keine gute Idee. Genauso wenig wie das Speichern der Zugangsdaten auf dem Handy in den Kontakten, womöglich unter dem Namen der Bank. Wenn man dann auch noch den Zugriff aufs Smartphone nicht durch ein Passwort sichert und sich die TAN-Nummern auf dasselbe Gerät schicken lässt, hat jeder, der das Handy in die Finger bekommt, freie Bahn. Diese Kombination von Unvorsichtigkeiten könne durchaus als grobe Fahrlässigkeit gelten, meint Stadler.

Das Verschicken der TAN-Nummer aufs Smartphone gilt überhaupt als große Schwachstelle, es macht auch Cyberattacken leicht. Besser wäre es, dafür ein zweites Handy zu verwenden. Als Fahrlässigkeit kann es aber für sich allein kaum gewertet werden, wenn man bloß das nicht tut. Überhaupt ist die Abgrenzung im Einzelfall schwierig, der Graubereich groß und Sorgfaltsverletzungen des Users oft schwer nachweisbar. Und wenn doch, bedeutet das noch nicht, dass man unbedingt auf dem ganzen Schaden sitzen bleibt: „Es kommt zu einer Schadensteilung je nach Mitverschulden“, so Anderl. Bei leichter Fahrlässigkeit ist laut Zahlungsdienstegesetz die Haftung des Kunden mit 150 Euro begrenzt.

Regeln im Kleingedruckten

Gewisse Regeln für Sorgfaltspflicht und Haftung ergeben sich oft aus den Geschäftsbedingungen der Bank. Stadler verweist auf Klauseln, wonach man dafür sorgen muss, dass die persönlichen Identifikationsmerkmale geheim bleiben und man verpflichtet ist, einen Verdacht, dass eine unbefugte Person davon Kenntnis erlangt hat, dem Geldinstitut zu melden. Bei Sorgfaltswidrigkeiten haftet man meist bis zur Sperre des Kontos für nachteilige Folgen, danach nicht mehr. Auch eine Pflicht zur Schadensminderung ist oft verankert.

Eine andere Frage, die sich im Zusammenhang mit Banking-Apps stellt, ist, ob sie als „dauerhafte Datenträger“ gelten. Davon hängt beispielsweise ab, ob die Bank Informationspflichten gegenüber dem Kunden rechtswirksam dadurch erfüllen kann, dass sie die Information in der App bereitstellt. Darf sie also etwa Allgemeine Geschäftsbedingungen, Infos über ein Finanzgeschäft oder Auftragsbestätigungen einfach aufs Handy schicken? Ja, sagt Stadler: Laut Judikatur sei entscheidend, ob die Information gespeichert werden könne und ob gewährleistet sei, dass der Inhalt vom Absender nicht nachträglich verändert werden kann. Bei einem bloßen Link auf die Website der Bank sei das nicht der Fall, im gesicherten Bereich der App schon.

Auf einen Blick

Für allgemeine Risken, die mit dem Electronic Banking verbunden sind, haftet grundsätzlich die Bank. In solchen Fällen bekommt man sein Geld zurück, wenn es zu einem nicht autorisierten Zahlungsvorgang kommt. Das gilt zum Beispiel für Cyberattacken, außer man hat gängige Sicherheitsmaßnahmen wie Virenschutz oder Firewall vernachlässigt. Auch wenn sich jemand widerrechtlich die Banking-Zugangsdaten verschafft, ist das nicht zwangsläufig dem E-Banking-Nutzer zurechenbar, ebenso wenig, wenn etwa ein Smartphone gestohlen wird.

Bei grober Fahrlässigkeit haftet man aber selbst. Darunter fällt zum Beispiel, wenn man das Smartphone nicht durch ein Passwort sichert, seine Zugangsdaten dort speichert und sich dann auch noch die TAN-Nummern direkt auf dasselbe Gerät schicken lässt.

Besondere Vorsicht ist beim Banking in der Öffentlichkeit geboten. Aber auch bei der Benützung von Computern, die man mit anderen teilt: Keinesfalls sollte man dann vergessen, sich aus der Banking-Anwendung auszuloggen.

Konkrete Sorgfaltspflichten sind oft auch in den AGB der Banken festgelegt, etwa Geheimhaltungs-, Melde- und Schadensminderungspflichten.

("Die Presse", Print-Ausgabe, 25.02.2013)

Mehr erfahren

Bank Austria wieder offline
Mein Geld

Bank Austria war wieder offline

Nach den großen IT-Problemen im Oktober 2012 stand bei der Bank Austria das Online-Banking erneut still. In Filialen waren Überweisungen unmöglich.
Bank Austria testet Bankberatung
Mein Geld

Bank Austria testet Bankberatung per Videokonferenz

Bis zu sechs Spezialisten können sich in diese Online-Dates mit dem Bankberater zuschalten. Der Pilotbetrieb wird ab Juli auf ganz Österreich ausgedehnt.

Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.