Online-Banking. Wer nicht fahrlässig gehandelt hat, bekommt das Geld von seiner Bank rückerstattet. An sich müssen die Banken den Schaden sofort ersetzen. Mehr als eine schöne Theorie ist das aber nicht.
Wien. Trusteer Mobile. Das klingt doch vertrauenerweckend. Vor allem, wenn Sie die eigene Bank-Homepage darum bittet, das Programm aus Sicherheitsgründen auf Ihr Mobiltelefon zu laden. Das Problem: Auch wenn es im Internet so aussehen mag, keine Bank denkt daran, so etwas zu tun. Und wer das Programm trotzdem installiert, öffnet damit Cyberkriminellen Tür und Tor. Jeden Überweisungscode (TAN), den die Bank fortan per SMS auf Ihr mobiles Gerät schickt, fängt die Schadsoftware ab und überweist Geld an die Auftraggeber.
Auch wenn Österreichs Banken Sicherheitslücken im Mobile-Banking gern kleinreden: Es gibt sie, die Österreicher, die den digitalen Dieben zum Opfer fallen. Peter W. ist einer von ihnen. Der Rechner des gut dreißig Jahre alten Wieners war mit einem Trojaner verseucht und lenkte ihn zur oben beschriebenen Meldung im Internet. Im festen Glauben, im Auftrag seiner Bank zu handeln, saugte W. das Programm auf sein Mobiltelefon. Am Tag danach waren die gesamten Ersparnisse weg. 5000 Euro, einfach verschwunden.
Banken spielen auf Zeit
Doch damit sollte die Odyssee des Musikers erst beginnen. Denn sein erster Weg in die Filiale brachte wenig. Abwarten, hieß es vonseiten der Bank. Und abwarten heißt es heute, Wochen später, noch immer. Auf eigene Initiative hat W. herausgefunden, dass sein Geld auf einem gesperrten Konto bei einer russischen Bank in Tschechien liegt. Wann er damit rechnen kann, dass die 5000 Euro sein eigenes Konto wieder ins Plus hieven, weiß er allerdings noch nicht.
Ist das normal? Schließlich ist Peter W. kein Einzelfall. Laut einer GfK-Umfrage tätigen bereits knapp 40 Prozent aller Österreicher ihre Bankgeschäfte über das Mobiltelefon. Gleichzeitig verlagern sich die Angriffe von Cyberkriminellen zusehends vom Computer zu Hause auf das Smartphone. Im Vorjahr zählten die Sicherheitsexperten von Lookout 30.000 Schadprogramme allein für Android-Geräte. Ein Jahr davor waren es noch 250.
Was ist also zu tun, wenn Internetbetrüger das Konto leerräumen? Welche Rechte und Pflichten haben Bank und Kunde?
„Eigentlich hat der Konsument Anspruch, den gesamten Betrag sofort von der Bank ersetzt zu bekommen“, heißt es beim Verein für Konsumenteninformation. Zumindest dann, wenn er den Diebstahl nicht vorsätzlich oder fahrlässig herbeigeführt habe. Mehr als eine „schöne Theorie“ sei das aber nicht.
In der Regel verstreichen Wochen, bis die die Frage geklärt ist, ob denn nun Fremdverschulden vorliegt oder nicht. Denn genau hier wird es auch heikel. Verlässliche Faustregeln gibt es nicht. Freilich sollte man seinen Computer mit gängigen Sicherheitsmaßnahmen wie einer Firewall und Anti-Virenschutz sichern und das Passwort nicht auf einem Zettel auf den Rechner kleben oder in dem Handy speichern, auf dem auch die TANs landen.
Aber ist es schon fahrlässig, wenn man im Internet auf eine gefälschte Homepage der Bank hereinfällt oder gutgläubig eine schädliche Software herunterlädt? Die Frage ist entscheidend, denn wer leicht fahrlässig handelt, muss 150 Euro selbst tragen. Wer grob fahrlässig oder gar vorsätzlich handelt, bleibt auf dem gesamten Schaden sitzen.
Mit dem Computer zur Bank
Für einen Sprecher der UniCredit gibt es zumindest eine einfache Regel: „Die Bank wird Sie niemals per E-Mail bitten, irgendwelche Daten preiszugeben.“ In Summe hält er das Problem aber für überschaubar. In fast allen Fällen habe man es geschafft, das gestohlene Geld wieder zurückzuholen.
Aber warum erstattet die Bank das Geld nicht sofort, wie es im Gesetz steht, und lässt stattdessen die Kunden in der Warteschleife hängen? „Grundsätzlich haben wir eine Erstattungspflicht“, räumt er ein. Aber sobald ein Trojaner im Spiel ist, müsse das überprüft werden. Gebe es berechtigte Zweifel, werde die Zahlung aufgeschoben. Im Extremfall müssten die Kunden den Computer erst zur Bank bringen und prüfen lassen, um die Schuldfrage zu klären.
Was Sie beachten sollten bei... Mobile-Banking
Tipp 1
Gesunde Skepsis bewahren
Keine seriöse Bank wird ihre Kunden je via Internet dazu auffordern, irgendwelche Daten einzugeben oder Programme auf das Mobiltelefon zu laden. Wer eine derartige Meldung erhält, hat vermutlich einen Virus im Computer und sollte die Bank verständigen. Um Computerviren zu vermeiden, ist ein – aktuelles – Virenschutzprogramm unerlässlich.
Tipp 2
Passwort nicht speichern
Passwörter sollten in keinem Fall in dem Mobiltelefon gespeichert, auf das auch die mobilen TANs verschickt werden. Stiehlt sonst ein Betrüger womöglich das Smartphone, hat er freie Bahn. Experten empfehlen, ein zweites, altes Gerät als Empfangsstation für TANs zu verwenden. Wichtig ist auch, bei mobilen Überweisungen die Kontodaten des Empfängers stets zu überprüfen.
Tipp 3
Vorsicht in der Öffentlichkeit
Besondere Vorsicht ist beim Online-Banking in der Öffentlichkeit geboten. Dasselbe gilt auch bei der Benützung von Computern, die man mit anderen teilt, zum Beispiel am Arbeitsplatz. Hierbei sollte man keinesfalls vergessen, sich aus der Online-Banking-Anwendung wieder abzumelden. Konkrete Sorgfaltspflichten sind oft in den AGB der Banken festgelegt.
Tipp 4
Konto sofort sperren lassen
Zu den Pflichten eines Bankkunden gehört es auch, sein Konto im Auge zu behalten, verdächtige Bewegungen sofort zu melden und das Konto sperren zu lassen. Handelt der Kunde nicht fahrlässig, bleibt das Risiko meist bei den Banken. Sollte es zu Problemen kommen, kann man zum Beispiel den Verein für Konsumenteninformation als Streitschlichter heranziehen.
("Die Presse", Print-Ausgabe, 13.05.2013)