Wenn es um Betrügereien im Zusammenhang mit Online-Banking ging, entschieden Gerichte bisher meist zugunsten der Kunden, weil sie für solche Betrügereien in erster Linie die Banken verantwortlich machten. Ganz anders urteilte jedoch am 28.08.2014 die Zivilkammer des Landgerichtes Darmstadt. Sie wies die betreffende Klage ab (Az: 28 O 36/14) und entschied, dass der Kontoinhaber für den Online-Banking-Betrug selbst verantwortlich ist und den erlittenen Schaden in Höhe von 18.500 Euro tragen muss.
Tenor der Gerichtsentscheidung ist, dass Banken grundsätzlich dann nicht haften, wenn der Betrug vom Opfer bei entsprechender Aufmerksamkeit hätte erkannt und verhindert werden können. Dies wäre insbesondere in dem vorliegenden Fall möglich gewesen, gerade weil bei der Ausführung der Geldtransaktion das Smart-TAN-plus-Verfahren zum Einsatz kam, das nach einhelliger Expertenmeinung eine hohe Systemsicherheit aufweist. Nach dem derzeitigem Stand der Technik ist es so gut wie ausgeschlossen ist, dass bei der Verwendung dieses Verfahrens die tatsächlich erfolgte Online-Überweisungen nicht vom Bankkunden selbst ausgelöst wurde.
Beim Smart-TAN plus Verfahren, auch als chipTAN Verfahren bekannt, wird vom TAN-Generator zunächst der zu überweisende Betrag und die Kontonummer bzw. der IBAN-Code des Empfängers angezeigt. Erst wenn der Kontoinhaber diese Daten mit der OK-Taste bestätigt, wird anhand der vorgenannten Daten die betreffende TAN generiert, die der Nutzer dann in das Online-Banking Formular eintippt und an die Bank sendet. Mit der Auslösung dieses Vorgangs kann die Bank sicher sein, dass die Überweisung auch vom Kontoinhaber selbst in Auftrag gegeben wurde.
Im vorliegenden Fall lässt sich aus den Fakten entnehmen, dass der vom Bankkunden benutzte Rechner offensichtlich von einem Online-Banking Trojaner befallen war. Der Geschädigte hatte wohl zunächst die korrekten Daten für eine Überweisung an seinen Geschäftspartner ins Online Formular eingetragen. Diese Daten waren aber anscheinend von einem Online-Banking-Trojaner bzw. durch einen „Man-in-the-Middle-Angriff“ manipuliert worden und mit einem anderen Empfängerkonto, im vorliegenden Falle einem Konto im Ausland, sowie einem anderen Betrag versehen worden. Nach den Ausführungen der Bank und auch des hinzugezogenen Sachverständigen müssen diese manipulierten Daten jedoch auf dem Display des TAN-Generators angezeigt worden und in jedem Falle vom Kontoinhaber auch bestätigt worden sein.
Nach Ansicht des Gerichtes, das den Ausführungen des Sachverständigen folgte, wäre es für das Betrugsopfer möglich gewesen, den „Man-in-the-Middle-Angriff“ zu erkennen und zu verhindern. Der Geschädigte hatte die Möglichkeit, die Manipulation dadurch zu verhindern, dass er die auf dem Display des TAN-Generators angezeigten Überweisungsdaten vor dem Drücken der OK-Taste kontrolliert. Somit hätte er die Manipulation des Zahlungsvorgangs erkennen und sofort den Zahlungsvorgang abbrechen können. In diesem Fall hätte die vom Generator erzeugte TAN nicht missbraucht werden können. Offenbar ist dies aus Unachtsamkeit seitens des Bankkunden nicht geschehen und stellt somit einen Verstoß gegen die Sorgfaltspflichten dar, die sich aus den Allgemeinen Sonderbedingung der Bank für das Online-Banking ergeben.
Fazit: Wer das Smart-TAN plus Verfahren beim Online-Banking einsetzt, sollte immer die Anzeige auf dem Display des TAN-Generators mit den Daten der Rechnung abgleichen, bevor das OK zum Absenden der TAN gegeben wird. Treten irgendwelche Unstimmigkeiten auf, sollte der Vorgang vorher sofort abgebrochen werden.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.