Phishing-Attacke aufs Bankkonto

Angriff auf vermeintlich sicheres Online-Banking-Verfahren: Wer haftet für den Verlust?

onlineurteile.de - 15 Jahre lang hatte Bankkunde W Glück beim Online-Banking, alles ging gut. Doch dann wurde auch er Opfer von Web-Kriminalität. W nutzte das mTAN-Verfahren, das als besonders sicher gilt. Bei dieser Form des Online-Bankings bekommt ein Kunde, der z.B. Geld überweisen will, von der Bank eine SMS aufs Handy. Um sich am PC als Verfügungsberechtigter auszuweisen, schickt er deren Inhalt (TAN, Codewort) an die Bank zurück. Damit wird sein Bankauftrag freigegeben.

Auch dieses vermeintlich sichere Verfahren wurde offenbar von Kriminellen gehackt. Innerhalb von vier Tagen verschwanden im März 2015 11.244 Euro von W‘s Konto. Als er vom Geldinstitut verlangte, die unberechtigt abgebuchten Beträge zu ersetzen, verwies es nur darauf, wie sicher das mTAN-Verfahren sei.

Ihr Sicherheitssystem habe keine Lücken, erklärte die Bank, also müsse sich der Bankkunde grob fahrlässig verhalten haben. Bestimmt habe er Apps auf sein Mobiltelefon geladen, die nicht aus sicheren Quellen stammten. Da habe er sich wohl Schadsoftware "eingehandelt".

Mit seiner Schadenersatzklage gegen die Bank setzte sich Herr W beim Landgericht Oldenburg durch (8 O 1454/15). Nicht der Kunde müsse beweisen, dass er einer Phishing-Attacke zum Opfer fiel und die 44 strittigen Zahlungsvorgänge durch unberechtigte Dritte ausgeführt wurden. Umgekehrt: Das Geldinstitut müsse einwandfrei nachweisen, dass der Kunde die Zahlungsvorgänge doch selbst autorisiert oder grob fahrlässig gehandelt habe.

Dass die Bank diese Vorgänge elektronisch aufgezeichnet habe, belege das nicht. Auch wenn der oder die "Abbucher" sich mit dem Benutzernamen, PIN und TAN des Bankkunden legitimieren konnten, beweise das keine von W autorisierte Zahlung. Das Geldinstitut müsse den Verlust ausgleichen, der durch die Phishing-Attacke entstanden sei.