Das mTAN-Verfahren und die Frage nach der Haftung bei Betrugsfällen

iphone-624709_1280

Online-Banking und elektronische Bezahlsysteme sind durchaus komfortabel. Solange sie funktionieren und keine Probleme auftauchen, stellt sich kaum jemand die Frage, wie es um die Haftung in Schadensfällen bestellt ist. Dabei berichten Medien im Zusammenhang mit dem Mobilen-TAN-Verfahren immer wieder über Systemhacking und Datenmissbrauch. Auch das im Online-Banking häufig verwendete Smart-TAN-plus Verfahren scheint nicht frei von Manipulationen zu sein. Ein Urteil des Landgerichts Darmstadt gibt Nutzern dieses Verfahrens Anlass zur Vorsicht.

Der Entscheidung der Darmstädter Richter zufolge müssen es sich die Bankkunden zurechnen lassen, wenn sie Opfer manipulierter Smart-TAN-plus Verfahren werden. Kritiker sehen sich durch das Urteil in ihrer Vermutung bestätigt, dass Geldinstitute diese Methode favorisieren, um bei durch Hackerangriffe verursachte Schäden von Haftungsansprüchen verschont zu bleiben.
Von der EinfĂĽhrung des Smart-TAN-plus Verfahren versprachen sich die Initiatoren mehr Sicherheit bei Online-Ăśberweisungen. Da der TAN-Generator getrennt vom PC, ĂĽber den die Online-Ăśberweisung durchgefĂĽhrt wird, arbeitet, schien eine wirksame Manipulation ausgeschlossen.

Kommt es dennoch zu erfolgreichen Manipulationen, führen Banken dies auf die Nachlässigkeit ihrer Kunden zurück. Gegenwärtig verlaufen Angriffe häufig in Form von sogenannten Man-In-The-Middle-Attacken. Hierbei schaltet sich der Hacker zwischen Bankserver und Kunden-PC und präsentiert dem unwissenden Nutzer eine gefälschte Überweisungsmaske, die jener der Bank täuschend ähnlich sieht. Bankkunden wird deshalb empfohlen, vor Eingabe der TAN unbedingt das in der Adresszeile des Browsers angezeigte Sicherheitszertifikat auf seine Echtheit hin zu überprüfen.

Als besonders anfällig gilt das mobile TAN-Verfahren (mTAN), bei dem die für Überweisungen benötigte TAN auf das Mobiltelefon des Nutzers geschickt wird. Wie einfach dieses System ausgetrickst werden kann, belegt der Fall einer Lübecker Bankkundin, über den die Süddeutsche Zeitung in ihrer Online-Ausgabe vom 17. August 2014 berichtete. Hier hatten die Täter einfach eine zweite SIM-Karte des für die Kundin zuständigen Providers freischalten lassen. Nachdem sie sich Zugang zum Konto des Opfers verschafft hatten, konnten sich die Cyberkriminellen die für Online-Überweisungen benötigten TANs auf das neu freigeschaltete Mobiltelefon schicken lassen und kräftig abkassieren. Hier hatte die geschädigte Kundin noch Glück, dass ihr der finanzielle Schaden in Höhe von mehreren Tausend Euro durch die Bank ersetzt wurde.

Die Zahl der Missbrauchsfälle ist in jüngster Zeit stark angestiegen und verzeichnet weiterhin eine Tendenz nach oben. Häufig jedoch zeigen sich Geldinstitute bei der Regelung von Schäden, die auf die missbräuchliche Eingabe von Transaktionsnummern zurückzuführen sind, wenig kulant. Dann kann es – wie das Darmstädter Gerichtsverfahren zeigt – durchaus vorkommen, dass dem Kunden Leichtsinn im Umgang mit dem Online-Banking unterstellt wird und er den Verlust zu tragen hat.
Einen neuen Vorstoß macht jetzt die Commerzbank: Sie hat zum Jahreswechsel eine Sicherheitsgarantie im Onlinebanking eingeführt. Sie gilt für Nutzer der Legitimationsverfahren mTAN und photoTAN und setzt voraus, dass von Betrug betroffene Kunden nicht grob fahrlässig gehandelt haben. Diese neue Entwicklung zeigt, dass Banken die Sicherheitsprobleme beim mTAN-Verfahren durchaus bewusst sind. Mit der Sicherheitsgarantie soll Kunden nun ein neuer Anreiz gegeben werden, die Verfahren trotz Unsicherheiten für ihre Bankgeschäfte zu nutzen.

Bitte um den ersten Kommentar.

Mitdiskutieren

Sie können dieseHTML Schlagworte und Eigenschaften verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>