Häufig gestellte Fragen zum Missbrauch und zur Haftung beim Online-Banking

Rechtsanwalt Dr. Lorenz befasst sich als Fachanwalt für IT-Recht auch mit Fragen der IT-Sicherheit und des Identitätsmissbrauchs. Hier hat Dr. Lorenz die wichtigsten Fragen zum Online-Banking zusammengestellt:

 

1. Wie gehen die Täter vor?

Früher sind die Täter hauptsächlich mit Phishing und Pharming vorgegangen. Dabei wurden die Bankkunden auf gefälschte Webseiten geleitet, auf denen die Kunden ihre persönliche Identifikationsnummer (PIN) und Transaktionsnummern (TANs) eingeben sollten. Mit den ausspionierten Daten haben die Täter dann selber Überweisungen von dem Konto der Kunden durchgeführt.

Nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gehen die Täter heute hauptsächlich mit Trojanern vor. Diese Trojaner kann man sich schon durch das bloße Anschauen einer Webseite einfangen. Ohne dass der Nutzer aktiv ein Herunterladen initiiert hat, wird die Schadsoftware im Vorbeisurfen heruntergeladen (sog. Drive-by-Download).

 

2. Wie kann man sich schützen?

Zunächst einmal sollte jeder Computer über einen tagesaktuellen Virenscanner verfügen. Es gibt bereits gute kostenlose Anti-Virenprogramme:

• avast! Free Antivirus
• AVG AntiVirus Free
• Avira Free Antivirus
• Windows Defender, Bestandteil des Windows-Betriebssystems

 

Unter Windows ist es möglich, einen Antivirenscanner eines Drittanbieters einzusetzen und den Windows Defender als zweiten Virenscanner (sog. Second-Opinion-Scanner) zu verwenden. Der Windows Defender fungiert dabei nicht als Echtzeitscanner, sondern er prüft das System nach manuellem Starten.

Weiterhin sollte jeder Computer mit einer Firewall gesichert sein. Die Windows-Firewall reicht dafür vollkommen aus.

Nutzen Sie Spam-Filter. Mit Spam-Filtern können Sie massenweise versandte E-Mails erkennen, mit denen Betrüger Sie auf gefälschte Webseiten locken wollen.

Schließlich sollten Sie regelmäßig die Updates für Ihr Betriebssystem, Ihren Browser und dessen Plug-Ins installieren. Drive-by-Downloads nutzen Sicherheitslücken im Browser aus. Halten Sie Ihren Browser deshalb immer auf aktuellem Stand.

 

3. Wer haftet beim Missbrauch?

Für Missbrauch haftet grundsätzlich erst einmal das Kreditinstitut (§ 675u BGB). Das Kreditinstitut kann aber gegen den Bankkunden einen Schadensersatzanspruch haben, wenn dieser seine Sorgfaltspflichten verletzt hat (§ 675v BGB).

 

4. Welche Sorgfaltspflichten hat der Kunde im Hinblick auf Passwörter?

Der Kunde muss die persönliche Identifikationsnummer (PIN), Transaktionsnummern (TANs) und andere Passwörter sicher aufbewahren (§ 675l S. 1 BGB). Dazu zählt es auch, dass der Kunde sichere Passwörter wählt. Beachten Sie die folgenden Passwortregeln:

• Verwenden Sie nie Namen oder Wörter als Passwort. Sichere Passwörter bestehen aus einer Mischung von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
• Ihr Passwort sollte mindestens 10 Zeichen lang sein.
• Wechseln Sie Ihr Passwort regelmäßig (mindestens alle 1-2 Jahre).

 

5. Welche technischen Sicherheitsvorkehrungen muss der Kunde treffen?

Der Computer des Kunden muss mit einem aktuellen Anti-Virenprogramm und einer Firewall gesichert sein. Ferner müssen regelmäßig Updates für das Betriebssystem, den Browser und dessen Plug-Ins eingespielt werden.

 

6. Welche Sorgfaltspflichten des Kunden bestehen noch?

Bei der Nutzung des Online-Bankings ist ein gesundes Misstrauen angebracht. Kreditinstitute versenden vertrauliche Informationen nicht per E-Mail. E-Mails dienen nur dazu, Kunden auf gefälschte Webseiten zu locken. Online-Banking-Programme fordern Sie auch nicht dazu auf, mehrere Transaktionsnummern (TANs) hintereinander einzugeben. Für jede Transaktion ist auch nur eine Transaktion erforderlich. Es ist fahrlässig nacheinander mehrere Transaktionsnummern einzugeben.

• BGH, Urteil vom 24.04.2012 – XI ZR 96/11, JurPC Web-Dok. 86/2012
• BGH Pressemitteilung Nr. 50/2012

 

7. Welche Pflichten hat das Kreditinstitut?

Das Kreditinstitut ist verpflichtet die neuste Technik und die neusten Sicherheitsverfahren einzusetzen. Ferner hat es Aufklärungs- und Warnpflichten gegenüber dem Kunden. Es muss den Kunden auf Gefahren beim Online-Banking hinweisen.

 

8. Was muss man in einem Missbrauchsfall tun?

Einen Missbrauch muss der Kunde dem Kreditinstitut unverzüglich anzeigen (§ 675l S. 2 BGB). Unverzüglich bedeutet ohne schuldhaftes Zögern (§ 121 Abs. 1 S. 1 BGB). Nach zutreffender Auffassung reicht schon die konkrete Gefahr eines Missbrauchs für die Anzeigepflicht aus. Wenn Sie den begründeten Verdacht haben, dass Passwörter ausspioniert wurden, ändern sie diese sofern möglich sofort und informieren Sie sofort Ihr Kreditinstitut.

Zu den weiteren Einzelheiten siehe:

• Lorenz DuD 2013, 220-226

 

Ist Ihr Konto geplündert worden? Dann können Sie sich jederzeit an Dr. Lorenz wenden.