WiWo App 1 Monat für nur 0,99 €
Anzeigen

Online-Banking Jeder haftet für seine TAN-Nummern selbst

Wer seine geheimen Transaktionsnummern fürs Online-Banking herausgibt, haftet für den Schaden - egal wie geschickt sich Betrüger anstellen.

  • Artikel teilen per:
  • Artikel teilen per:
 Eine Frau führt mit einem TAN-Generator und ihrer Bankcard eine Überweisung per Onlinebanking durch Quelle: dpa

Bankkunden, die auf gefälschten Webseiten ihre Trankaktionsnummern angeben, müssen für den Schaden durch betrügerische Überweisungen in der Regel selbst aufkommen. Das folgt aus einer am Dienstag verkündeten Entscheidung des Bundesgerichtshofs (BGH, Aktenzeichen: XI ZR 96/11). Damit blieb die Klage eines Bankkunden aus Nordrhein-Westfalen ohne Erfolg. Von seinem Konto waren 5000 Euro nach Griechenland überwiesen worden.

Zuvor hatte er insgesamt zehn Transaktionsnummern (TANs) auf einer vermutlich gefälschten Website eingegeben. Der Kunde habe damit „die im Verkehr erforderliche Sorgfalt außer Acht gelassen“, so der BGH. Er hätte Warnhinweise vor Online-Betrügern berücksichtigen müssen. Mehr als eine TAN verlange die Bank außerdem bei keiner Transaktion. Deshalb sei er selbst für den Schaden verantwortlich und habe keinen Anspruch auf Ersatz des Geldes.

Der Rentner ist Opfer einer Weiterentwicklung des sogenannten Phishings, also dem Abfischen von Passwörtern, geworden. Dem Opfer wird im Browser die korrekte Internet-Adresse der Bank vorgegaukelt, obwohl die dargestellte Webseite auf einem Computer des Betrügers liegt. Diese technische Manipulation nennt sich DNS-Spoofing oder Pharming. Für den Betroffenen kein Trost, aber er steht nicht alleine da: Die statistischen Zahlen zeigen das Ausmaß der Betrugsdelikte in der Vergangenheit: Das Bundeskriminalamt zählte 2010 noch 5300 Fälle, in denen Phishing im Zusammenhang mit Online-Banking zur Anzeige gebracht wurde - das waren 82 Prozent mehr als ein Jahr zuvor. Für 2011 liegen noch keine Angaben vor.

Fest steht jedoch: Die faulen Tricks für das Abfischen von Passwörtern ziehen bei den meisten Bankkunden nicht mehr. Inzwischen wissen die meisten Internet-Nutzer: Man klickt eben nicht auf Links in E-Mails unbekannter Absender und man gibt auf gefälschten Webseiten, die dann im Browser erscheinen, auch nicht persönliche Daten fürs Online-Banking ein. „Das klassische Phishing über E-Mail ist ein Auslaufmodell“, sagt der Sicherheitsexperte beim IT-Branchenverband Bitkom, Lutz Neugebauer.

Phishing 2.0

Online-Banking gilt als bequem, schnell und kostengünstig Quelle: dpa/dpaweb

Bei der Sicherheitssoftwarefirma G Data hat der Experte Ralf Benzmüller festgestellt: „Das Phishing ist vom Online-Banking in andere Bereiche umgezogen.“ Weil die Phishing-Betrüger kaum noch an die einmaligen Transaktionsnummern (TAN) herankommen, attackieren sie jetzt vor allem Webseiten, bei denen man sich nur mit Nutzername und Passwort anmelden muss. Das betrifft neben Sozialen Netzwerken wie Facebook und Twitter auch finanziell lukrative Ziele wie Online-Kasinos und Betreiber von Pokerspielen, aber auch den Bezahldienst PayPal, der noch häufig zum Ziel von Phishing-Attacken wird. Nach einer Studie von Microsoft handelt es sich bei 4,1 Prozent aller ausgewerteten Spam-E-Mails um Phishing-Attacken.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt fest: „Klassisches Phishing ist praktisch nicht mehr festzustellen.“ Die Werkzeuge der Betrüger sind jetzt raffinierter geworden. Diese versuchten zunehmend, mit Hilfe von Trojanern oder in sogenannten Drive-By-Attacken beim Aufrufen infizierter Webseiten den ganzen Rechner zu kapern, erklärt Bitkom-Experte Neugebauer. Über eine als Keylogger bezeichnete Software kann der Angreifer dann jede Tastatureingabe protokollieren. Oft benutzten die ersten Angreifer die erbeuteten Zugangsdaten dann nicht selbst, sondern handelten damit auf dem Schwarzen Markt. Bei Webseiten, die ihren Datenverkehr verschlüsseln und an der Eingangsziffernfolge „https“ zu erkennen sind, scheitern auch Trojaner, die sich als „Man in the Middle“ in den Datenverkehr zwischen Nutzer und Bank einzuschleichen versuchen. „Das funktioniert nicht mehr, weil jetzt der gesamte Bankenverkehr verschlüsselt wird“, erklärt Benzmüller.

Aktuelle Schadsoftware jedoch schleust einen „Man in the Browser“ (MITB) auf dem Computer des Betrugsopfers ein. Hier werden die Daten fürs Online-Banking manipuliert, wenn sie noch nicht oder nicht mehr verschlüsselt sind - je nachdem, ob sie vom Nutzer zur Bank oder in umgekehrter Richtung verschickt werden. „Die entsprechende Software gibt es im Untergrund“, erklärt Benzmüller. „Für 5000 bis 8000 Euro kann man sich für jede Bank der Welt den entsprechenden Bausatz kaufen.“ Phishing war nur ein Anfang - Sicherheit beim Online-Banking bleibt eine Daueraufgabe für alle Beteiligten.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%