Im Zweifelsfall haftet die Bank

Alternativ versuchen Betrüger bis heute, die Rechner von Kunden von Banken mit klassischem TAN-Verfahren mittels eines sog. Trojaners zu infizieren. Dieser kann als Anhang einer unverfänglichen Mail eingeschleust werden oder über infizierte Internetseiten auf den Kundenrechner gelangen. Aufgabe eines Trojaners ist es, z.B. die Tastatureingaben zu protokollieren oder – häufiger – direkt an die Hacker zu übermitteln. Auch leiten manche Trojaner den Bankkunden auf sog. Fake-Seiten weiter, die den Bank-Homepages exakt nachgebaut wurden, aber allein dem „Abfischen“ der Transak­tionsnummern dienen.

Als Alternative stellten einige Kreditinstitute die Freigabe von Zahlungen dahingehend um, dass die erforderlichen Ziffern mittels Maus in einem Nummernblock angeklickt werden mussten und verschlüsselt übertragen wurden. Dies kam jedoch bei den Kunden schlecht an und so stiegen die meisten Banken und Sparkassen auf das sog. iTAN-Verfahren um – und manche sind bis heute dabei geblieben. Das „i“ steht für „indiziert“, d.h., der Kunde bekommt zwar weiterhin eine Liste mit TANs zur Verfügung gestellt, die jedoch einzeln nummeriert sind. Bei jeder Transaktion wird eine ganz bestimmte Nummer aus der Liste abgefragt, die zudem innerhalb eines relativ kurzen Zeitfensters eingegeben werden muss.

Damit wird es Betrügern bereits wesentlich schwerer gemacht, nutzbare Daten vom Kunden „abzufischen“ und entsprechend einzusetzen. Dies gilt insbesondere dann, wenn Bankkunden einige Sicherheitsgrundlagen beachten. Hierzu zählen die Installation eines aktuellen Browsers in der neuesten Version sowie eines Virenschutzprogramms auf dem Rechner, das möglichst täglich aktualisiert werden sollte. Weiterhin sollten alle verdäch­tigen Mails gelöscht und zugesandte Anhänge nicht geöffnet werden. Nicht zuletzt sollten PIN und TANs getrennt voneinander aufbewahrt und keinesfalls direkt auf dem Rechner abgespeichert werden – selbst wenn die meisten Homebanking-Programme dazu auffordern.

In zunehmendem Maß setzen Banken mittlerweile auf einen sog. TAN-Generator, den die Kunden kostenlos oder gegen einen geringen Obolus erhalten können. Das Verfahren ist allerdings etwas umständlich: Nach Eingabe z.B. einer Überweisung muss ein von der Bank angezeigter Code im TAN-Generator erfasst werden. Dieser errechnet daraus eine individuelle Transaktionsnummer, die innerhalb einer kurzen Zeitspanne am Computer einzugeben ist.

Einige Geldhäuser arbeiten auch mit TAN-Generatoren, die mittels eingeschobener Bankkarte aktiviert werden und oftmals sogar vor den Bildschirm gehalten werden müssen, um die TAN zu errechnen und die Aktion freizugeben. Dieses Verfahren gilt als vergleichsweise sicher, so­lange der TAN-Generator selbst nicht in fremde Hände gerät. Insbesondere bei Verfahren mit Einbindung der Bankkarte sind bisher auch noch keine Missbrauchsfälle bekannt.

Da der Umgang mit dem TAN-Generator jedoch umständlich ist und das Verfahren von Kunden ungern angenommen wird, hat die Kreditwirtschaft vor einigen Jahren das sog. mTAN-Verfahren entwickelt, wobei „m“ für „mobil“ steht. Hier wird nach dem Er­fassen z.B. eines Wertpapierauftrags eine Transaktionsnummer per SMS an das zuvor festgelegte Handy des Kunden gesandt, der die Order damit freigeben muss. Die mTAN ist ebenfalls nur innerhalb eines bestimmten zeit­lichen Fensters und nur für den vordefinierten Auftrag gültig.

Doch auch dieses bisher als ab­solut sicher geltende Verfahren wurde mittlerweile „geknackt“. Oft genügt dazu der Diebstahl des Mobiltelefons: Ist darauf der Bankzugang gespeichert und dient dasselbe Gerät auch zum Empfang der TAN-SMS, steht unberechtigten Verfügungen nichts mehr im Weg. Unverzichtbar ist es daher, die entsprechenden Zugangsdaten getrennt zu halten, selbst wenn damit ein Komfortverlust verbunden ist. Auf dem Mobiltelefon sollte entweder der Bankzugang gespeichert sein oder das Gerät sollte zum Empfang von mTANs dienen, dann jedoch keine Hinweise für das Einloggen in das Konto geben.

Mehr kriminelle Energie erfordert eine weitere Betrugsmethode, mit der bereits beträchtliche Schäden entstanden sind. Hier wird der Rechner des Bankkunden mittels Trojaner zunächst danach ausspioniert, ob sich hier sowohl die Zugangsdaten zur Bank wie auch zum Kundenkonto beim Mobilfunkanbieter finden lassen. Im nächsten Schritt loggt sich der Betrüger beim Mobilfunkprovider ein und bestellt eine Zusatzkarte an eine Postlageradresse – oder kauft sie direkt in einem Shop. Im dritten Schritt ändert er die SMS-Mobilfunknummer bei der Bank und schon kann er in vollem Umfang über Konten und Depots verfügen.

Wer besonders sichergehen will, setzt auf das „HBCI-Verfahren“ (Homebanking Computer Interface) mittels Lesegerät, das auch von den meisten Homebanking-Programmen unterstützt wird. In das Lesegerät – Kostenpunkt: 40€ bis 100€ – wird die Bankkarte oder eine spezielle, von der Bank zur Verfügung gestellte HBCI-Karte eingeschoben, jede Transaktion wird mit einer Codenummer freigegeben. Ein Missbrauch ist nur dann möglich, wenn der Betrüger Zugang zum Homebanking-Rechner und der installierten Software hat, die HBCI-Karte in das Lesegerät eingeschoben wird und die PIN bekannt ist – eine insgesamt recht unwahrscheinliche Konstellation. Weiterer Vorteil: Viele Kartenleser eigenen sich z.B. auch für den elektronischen Personalausweis, sodass sich mit diesem Rechner künftig auch Behördengänge elektronisch erledigen lassen.

Zweifellos sinnvoll ist es in jedem Fall, Aufträge nach Mög­lichkeit nicht direkt auf der Homepage des Kreditinstituts einzu­geben, sondern eine entsprechende Homebanking-Software zwischenzuschalten. Die Datenübertragung erfolgt dann meist verschlüsselt, sodass kaum Missbrauchsgefahr besteht, solange PIN und TAN nicht in der Software gespeichert werden.

Ein großer Pluspunkt ist bei allen genannten Schwachstellen zu nennen: Solange der Kunde nicht grob fahrlässig mit seinem Rechner und seinen Zugangsdaten umgeht und dies auch nachweisen kann, haftet die Bank bzw. Sparkasse für jeden Fall des Missbrauchs. Im Zweifel sollte der Hinweis auf mögliche recht­liche Schritte ein schnelles Einlenken sicherstellen, denn kein Kreditinstitut dürfte Interesse an einem Musterprozess haben, in dem die Haftung dann mög­licherweise vollumfänglich und ohne Einschränkungen dem Institut auferlegt wird.