Jeder dritte Kunde führt sein Konto per Internet – oft mit einem unguten Gefühl. Zu Recht, denn viele halten selbst einfache Schutz­maßnahmen nicht ein. Die Zahl der Betrugs­fälle steigt.

Für einen Moment nur war der Monitor schwarz, als sei kurz die Leitung unterbrochen. Danach war die Seite sofort wieder da, ebenso alle Daten, die Claudia M.* gerade in ihre Über­weisung einge­tippt hatte. Nur die Tan-Nummer war weg. „Die habe ich wohl schon verbraucht und vergessen durch­zustreichen“, dachte sie. Doch dann fehlten 4 128 Euro auf dem Konto.

Die Badenerin war Opfer von Computerkriminellen geworden – wie andere Bank­kunden auch: 2 900 Betrugs­versuche, die zu Anzeigen führten, zählte der Bundes­verband Informations­wirt­schaft, Tele­kommunikation und neue Medien (Bitkom) 2009, die Hälfte mehr als im Vorjahr. Das ist zwar wenig angesichts von 40 Millionen Online­konten, doch diese Sicht hilft dem einzelnen Opfer nicht: Der durch­schnitt­liche Schaden liegt bei 4 800 Euro, und die zahlt niemand aus der Portokasse.

Wie sicher also ist Online­banking? Und wer zahlt, wenn etwas schief geht? Immerhin haben fünf Prozent der Internetnutzer schon erlebt, dass bei ihnen Zugangs­daten für Shops, soziale Netz­werke oder Online-banking ausspioniert wurden, so der Bundes­verband Bitkom – Daten­diebe lauern über­all. Typische Gefahren sind das sogenannte Phishing und Pharming.

Rund 2 900 Anzeigen gab es im vergangenen Jahr wegen Betrugs beim Online­banking. Ohne dass der Kunde es merkt, können zum Beispiel sogenannte Trojaner sich auf seinem Computer einnisten und bei einer Über­weisung den Betrag sowie die Nummer des Ziel­kontos verändern.

Beim Phishing erhält der Nutzer eine E-Mail mit der Bitte, sich bei der Bank einzuloggen und die persönliche Geheimzahl (Pin) und eine Trans­aktions­nummer (Tan) einzugeben. Als Grund wird meist genannt, es müssten Daten aktualisiert werden. Beigefügt ist ein Link. Doch der führt nicht zur Bank, sondern zu einer gefälschten Seite, die der Banken-Home­page täuschend ähnlich sieht. Gibt das Opfer dort Pin und Tan ein, haben die Betrüger alles, was sie brauchen, um das Konto zu plündern.

Mitunter machen sie sich nicht einmal die Mühe, die beim Online­banking übliche SSL-Verschlüsselung nach­zuahmen. In der Adress­zeile des Browsers – also meist der Internet Explorer oder Mozilla Firefox – steht dann nur „http“, nicht „https“ für erhöhte Sicherheit. Außerdem zeigt der Browser nicht das kleine Vorhängeschloss. Die Gauner setzen einfach darauf, dass routinierte Online­kunden nicht mehr jedes Mal diese Sicher­heits­zeichen checken.

Von allen Tricks ist Phishing am einfachsten zu durch­schauen. Denn keine Bank mailt ihre Kunden an und verlangt die Eingabe von Pin und Tan. Mitunter stehen in den Phishing-E-Mails sogar Recht­schreib- und Grammatik­fehler. Außerdem sollten Kunden nie über einen Link zur Bank­seite gehen, sondern über „Favoriten“ oder indem sie die Adresse eintippen.

Kaum zu bemerken ist hingegen Pharming. Dabei wird ein sogenannter Trojaner auf den PC geschmuggelt: ein Schad­programm, das heimlich die Eingabe von Geheimzahlen mitliest und sie an ihre Auftrag­geber weiterleitet. Die brauchen nur noch die Konto­nummer des Empfängers durch ihre eigene zu ersetzen. Den Schaden sieht das Opfer erst auf dem Konto­auszug. Oft sind Trojaner in Downloads von Gratis­programmen versteckt oder im PDF-Anhang einer E-Mail, zum Beispiel als ebay-Rechnung „rechnung.pdf.exe“. Wird der Anhang geöffnet, nistet sich der Schädling auf dem PC ein. Der Besitzer merkt davon nichts, selbst wenn sich Dutzende solcher Trojaner auf seinem Rechner verstecken.

Unfass­bar ist für viele Opfer, dass es nicht einmal hilft, die Adresse der Bank von Hand einzutippen – sie landen dennoch auf einer gefälschten Seite. Das liegt daran, dass der Trojaner die Host-Datei des Betriebs­systems manipuliert. Dort sind jede Menge Internet­adressen abge­legt. Das könnte etwa www.dorfbank.de sein. Wählt der Kunde diese Adresse, steuert der manipulierte PC nicht die Bank an, sondern die Seite des Fälschers – ange­zeigt wird aber die vom Kunden einge­tippte Adresse.

Ganz ähnlich lief es bei Claudia M. Auf ihrem Rechner hatten sich 14 Schad­programme installiert. Dennoch wollte die Bank das Geld nicht erstatten: Die Kundin habe gegen ihre Sorgfalts­pflichten verstoßen.

Antiviren-Software ist Pflicht

Fragt sich nur: Welche Pflichten haben Online­kunden konkret? Dazu gibt es bisher kaum Gerichts­entscheidungen, schon gar keine höchst­richterliche Recht­sprechung. Denn meist erstatten Banken und Sparkassen lieber das Geld, als schlagzeilenträchtige Prozesse zu riskieren. Als eines der wenigen befasste sich das Land­gericht Köln mit Online­banking. Ergebnis: Wenn der Normalnutzer eine Antiviren-Software einsetzt sowie eine Firewall, muss er nicht haften (Az. 9 S 195/07). Genauso sah es das Land­gericht Nürn­berg-Fürth (Az. 10 O 11391/07).

Und auch das Amts­gericht Wiesloch gab Claudia M. Recht. Sie hatte den „Norton Antivirus“ installiert. Das sei genug, urteilte das Gericht (Az. 4 C 57/08). Die Bank muss ihr den Betrag zurück­buchen..

Das ist auch herr­schende Meinung unter Rechts­experten: Antiviren­schutz und Firewall sollte jeder Kunde haben. Das gilt auch, wenn er Konto­programme benutzt wie Star Money, Quicken oder Wiso-mein-Geld, denn die bringen zwar mehr Sicherheit, vor allem gegen Phishing, sind aber nicht wirk­lich vor Trojanern gefeit. Dennoch vernach­lässigen viele Kunden diese Minimalan­forderung: Laut Bitkom surft jeder fünfte Internetnutzer ohne Viren­schutz.

Geld müssen Kunden dafür nicht ausgeben. Der Kauf teurer Software sei Normalnutzern nicht zumut­bar, meinten die Kölner Richter. Ein Gratis-Virens­canner reicht. In unserem Test Internetsicherheit: Diese Programme schützen aus test 4/2009 haben Antivir Personal Free Antivirus und Alwil Avast 4.8 mit „gut“ abge­schnitten. Deren Installation ist einfach.

Tipp: Weitere Informationen erhalten Sie in unserem aktuellen Test Antivirus.

Software regel­mäßig aktualisieren

Damit allein ist es aber noch nicht getan. Die Software muss auch regel­mäßig aktualisiert werden. Mindestens einmal wöchentlich, so meinen Juristen, sollten Kunden ein Update laden – Vielsurfer mit DSL-Anschluss sogar täglich. Viele Programme haben eine auto­matische Update­funk­tion. Die sollte einge­schaltet bleiben.

Dasselbe gilt für das Betriebs­system und den Browser: Wenn der Computer meldet, dass ein Update bereit­steht, sollten Online­banker es herunter­laden – auch wenn das nervig ist, auch wenn sie die neue Version gar nicht wollen oder mit der alten viel besser klar­kommen. Denn Updates schließen neu entdeckte Sicher­heits­lücken.

Firewall gegen Trojaner

Ganz wichtig ist eine Firewall. Ihre Bedeutungwird vielfach unter­schätzt: Nach Bitkom-Angaben surft jeder dritte Internetnutzer ohne Firewall. Dabei kann auch sie als Mindest­voraus­setzung gelten. Der Virens­cannerallein bietet nämlich keinen Komplett­schutz. Nur eine Firewall schirmt den Rechner gegen Trojaner ab.  Sie verhindert nicht nur das Einschmuggeln, sondern kontrolliert auch ausgehende Aktionen, zum Beispiel während der Nutzer Konto­nummer und Pin eintippt.

Wind­ows 7 und Vista verfügen bereits über eine Firewall. Bei Wind­ows XP prüft sie aber nur die einge­henden Daten, nicht die ausgehenden. XP-Nutzer sollten daher eine zusätzliche Firewall installieren. Auch da gibt es Gratis-Versionen, zum BeispielAd-Aware Free oder Zone Alarm. Dafür muss aber die XP-Firewall deaktiviert werden.Das geht so: Auf „Start“ und „Ausführen“ klicken, ins Feld „Öffnen“ die Zeichen „Firewall.cpl“ eingeben und „Okay“ klicken. Danach auf der Registerkarte „Allgemein“ auf „Inaktiv“ klicken, dann „Okay“.

Das Kölner Land­gericht ist außerdem der Ansicht, dass Kunden darauf achten müssen, ob in der Adresse „http“ steht oder das sichere „https“. Und sie müssen die Warnungen der Banken beachten, Pin und Tan nie am Telefon oder auf Anforderung per E-Mail heraus­zugeben. Wer so einen Betrug nicht bemerkt, handelt fahr­lässig und muss einen Teil des Schadens selbst tragen (Land­gericht Berlin, Az. 37 O 4/09): Das sei vergleich­bar mit dem Miss­brauch der ec-Karte. In dem Fall musste die Kundin 10 Prozent aus eigener Tasche beisteuern.

Kunden, die über WLan ins Internet gehen, sollten es unbe­dingt verschlüsseln. Stan­dard ist der WPA2-Kode, noch sicherer ist WPS. Ganz ohne Verschlüsselung WLan zu nutzen, gilt als grob fahr­lässig (Ober­landes­gericht Düssel­dorf, Az. I-20 W 157/07).

Wer diese Schutz­vorkehrungen einhält, kann verlangen, dass die Bank den Schaden über­nimmt. Falls sie ablehnt und darauf verweist, auf ihrer Home­page würden weitere Maßnahmen gefordert, sollten Kunden sich nicht verunsi­chern lassen: Unter Juristen gilt es als unwahr­scheinlich, dass Normal­kunden zu noch mehr Aufwand verpflichtet werden können – zum Beispiel zu Änderungen am Betriebs­system oder zum Einrichten von Administratorrechten. Kein Gericht hat das bisher verlangt. „Schließ­lich können Banken nicht erwarten, dass jeder Durch­schnitts­nutzer zum EDV-Experten wird“, meint Bank­rechts­experte Markus Feck von der Verbraucherzentrale Nord­rhein-West­falen.

Freiwil­lige Schutz­maßnahmen

Dennoch können Kunden schon aus eigenem Interesse ihre Sicherheit erhöhen. Etwa indem sie die Sicher­heits­einstel­lungen des Browsers akti­vieren. Beim Internet Explorer geht das unter „Extras“, dann „Internet­optionen“, dann „Sicherheit“, bei Firefox unter „Extras“, „Einstel­lungen“, „Inhalt“.

Außerdem schmuggeln sich Trojaner oft über ein Active-X-Element oder Javascript auf den PC. Wer sicher­gehen will, schaltet unter „Extras“ diese Elemente ab oder stellt ein, dass Java-Applets nur nach Rück­frage ausgeführt werden. Vorsichtige schalten auch das „Auto-Vervoll­ständigen“ ab. Diese Funk­tion schlägt den vollen Namen und das Pass­wort vor, sobald jemand die ersten Buch­staben eingibt. Und falls der Browser vor einer Seite warnt, sollten Nutzer dem lieber Glauben schenken. Es kann sein, dass sonst ein Trojaner einge­schleust wird.

Fazit: Wenn der Kunde mit Viren­schutz und Firewall surft, Pin und Tan sorgfältig behandelt, hat er seine Pflicht getan. Falls dann doch etwas passiert, ist die Bank dran.

Nur schade, dass die Hoff­nung, Betrüger könnten ohnehin nur Geld auf ihr Konto umleiten und dann als Konto­inhaber identifiziert werden, nicht greift: Die 4 128 Euro von Claudia M. waren an eine ebay-Verkäuferin geflossen. Die wiederum hatte als „Finanz­agentin“ einer russischen Firma den Betrag sofort nach Sankt Peters­burg trans­feriert. Solche Agenten müssen zwar wegen Beihilfe zur Geld­wäsche haften. Doch obwohl der Betrug schon nach einem Tag aufflog, war das Geld weg.

Dieser Artikel ist hilfreich. 702 Nutzer finden das hilfreich.