Onlinebanking Meldung

Jeder dritte Kunde führt sein Konto per Internet – oft mit einem unguten Gefühl. Zu Recht, denn viele halten selbst einfache Schutzmaßnahmen nicht ein. Die Zahl der Betrugsfälle steigt.

Für einen Moment nur war der Monitor schwarz, als sei kurz die Leitung unterbrochen. Danach war die Seite sofort wieder da, ebenso alle Daten, die Claudia M.* gerade in ihre Überweisung eingetippt hatte. Nur die Tan-Nummer war weg. „Die habe ich wohl schon verbraucht und vergessen durchzustreichen“, dachte sie. Doch dann fehlten 4 128 Euro auf dem Konto.

Die Badenerin war Opfer von Computerkriminellen geworden – wie andere Bankkunden auch: 2 900 Betrugsversuche, die zu Anzeigen führten, zählte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) 2009, die Hälfte mehr als im Vorjahr. Das ist zwar wenig angesichts von 40 Millionen Onlinekonten, doch diese Sicht hilft dem einzelnen Opfer nicht: Der durchschnittliche Schaden liegt bei 4 800 Euro, und die zahlt niemand aus der Portokasse.

Wie sicher also ist Onlinebanking? Und wer zahlt, wenn etwas schief geht? Immerhin haben fünf Prozent der Internetnutzer schon erlebt, dass bei ihnen Zugangsdaten für Shops, soziale Netzwerke oder Online-banking ausspioniert wurden, so der Bundesverband Bitkom – Datendiebe lauern überall. Typische Gefahren sind das sogenannte Phishing und Pharming.

Onlinebanking Meldung

Rund 2 900 Anzeigen gab es im vergangenen Jahr wegen Betrugs beim Onlinebanking. Ohne dass der Kunde es merkt, können zum Beispiel sogenannte Trojaner sich auf seinem Computer einnisten und bei einer Überweisung den Betrag sowie die Nummer des Zielkontos verändern.

Beim Phishing erhält der Nutzer eine E-Mail mit der Bitte, sich bei der Bank einzuloggen und die persönliche Geheimzahl (Pin) und eine Transaktionsnummer (Tan) einzugeben. Als Grund wird meist genannt, es müssten Daten aktualisiert werden. Beigefügt ist ein Link. Doch der führt nicht zur Bank, sondern zu einer gefälschten Seite, die der Banken-Homepage täuschend ähnlich sieht. Gibt das Opfer dort Pin und Tan ein, haben die Betrüger alles, was sie brauchen, um das Konto zu plündern.

Mitunter machen sie sich nicht einmal die Mühe, die beim Onlinebanking übliche SSL-Verschlüsselung nachzuahmen. In der Adresszeile des Browsers – also meist der Internet Explorer oder Mozilla Firefox – steht dann nur „http“, nicht „https“ für erhöhte Sicherheit. Außerdem zeigt der Browser nicht das kleine Vorhängeschloss. Die Gauner setzen einfach darauf, dass routinierte Onlinekunden nicht mehr jedes Mal diese Sicherheitszeichen checken.

Von allen Tricks ist Phishing am einfachsten zu durchschauen. Denn keine Bank mailt ihre Kunden an und verlangt die Eingabe von Pin und Tan. Mitunter stehen in den Phishing-E-Mails sogar Rechtschreib- und Grammatikfehler. Außerdem sollten Kunden nie über einen Link zur Bankseite gehen, sondern über „Favoriten“ oder indem sie die Adresse eintippen.

Kaum zu bemerken ist hingegen Pharming. Dabei wird ein sogenannter Trojaner auf den PC geschmuggelt: ein Schadprogramm, das heimlich die Eingabe von Geheimzahlen mitliest und sie an ihre Auftraggeber weiterleitet. Die brauchen nur noch die Kontonummer des Empfängers durch ihre eigene zu ersetzen. Den Schaden sieht das Opfer erst auf dem Kontoauszug. Oft sind Trojaner in Downloads von Gratisprogrammen versteckt oder im PDF-Anhang einer E-Mail, zum Beispiel als ebay-Rechnung „rechnung.pdf.exe“. Wird der Anhang geöffnet, nistet sich der Schädling auf dem PC ein. Der Besitzer merkt davon nichts, selbst wenn sich Dutzende solcher Trojaner auf seinem Rechner verstecken.

Unfassbar ist für viele Opfer, dass es nicht einmal hilft, die Adresse der Bank von Hand einzutippen – sie landen dennoch auf einer gefälschten Seite. Das liegt daran, dass der Trojaner die Host-Datei des Betriebssystems manipuliert. Dort sind jede Menge Internetadressen abgelegt. Das könnte etwa www.dorfbank.de sein. Wählt der Kunde diese Adresse, steuert der manipulierte PC nicht die Bank an, sondern die Seite des Fälschers – angezeigt wird aber die vom Kunden eingetippte Adresse.

Ganz ähnlich lief es bei Claudia M. Auf ihrem Rechner hatten sich 14 Schadprogramme installiert. Dennoch wollte die Bank das Geld nicht erstatten: Die Kundin habe gegen ihre Sorgfaltspflichten verstoßen.

Antiviren-Software ist Pflicht

Fragt sich nur: Welche Pflichten haben Onlinekunden konkret? Dazu gibt es bisher kaum Gerichtsentscheidungen, schon gar keine höchstrichterliche Rechtsprechung. Denn meist erstatten Banken und Sparkassen lieber das Geld, als schlagzeilenträchtige Prozesse zu riskieren. Als eines der wenigen befasste sich das Landgericht Köln mit Onlinebanking. Ergebnis: Wenn der Normalnutzer eine Antiviren-Software einsetzt sowie eine Firewall, muss er nicht haften (Az. 9 S 195/07). Genauso sah es das Landgericht Nürnberg-Fürth (Az. 10 O 11391/07).

Und auch das Amtsgericht Wiesloch gab Claudia M. Recht. Sie hatte den „Norton Antivirus“ installiert. Das sei genug, urteilte das Gericht (Az. 4 C 57/08). Die Bank muss ihr den Betrag zurückbuchen..

Das ist auch herrschende Meinung unter Rechtsexperten: Antivirenschutz und Firewall sollte jeder Kunde haben. Das gilt auch, wenn er Kontoprogramme benutzt wie Star Money, Quicken oder Wiso-mein-Geld, denn die bringen zwar mehr Sicherheit, vor allem gegen Phishing, sind aber nicht wirklich vor Trojanern gefeit. Dennoch vernachlässigen viele Kunden diese Minimalanforderung: Laut Bitkom surft jeder fünfte Internetnutzer ohne Virenschutz.

Geld müssen Kunden dafür nicht ausgeben. Der Kauf teurer Software sei Normalnutzern nicht zumutbar, meinten die Kölner Richter. Ein Gratis-Virenscanner reicht. In unserem Test Internetsicherheit: Diese Programme schützen aus test 4/2009 haben Antivir Personal Free Antivirus und Alwil Avast 4.8 mit „gut“ abgeschnitten. Deren Installation ist einfach.

Software regelmäßig aktualisieren

Damit allein ist es aber noch nicht getan. Die Software muss auch regelmäßig aktualisiert werden. Mindestens einmal wöchentlich, so meinen Juristen, sollten Kunden ein Update laden – Vielsurfer mit DSL-Anschluss sogar täglich. Viele Programme haben eine automatische Updatefunktion. Die sollte eingeschaltet bleiben.

Dasselbe gilt für das Betriebssystem und den Browser: Wenn der Computer meldet, dass ein Update bereitsteht, sollten Onlinebanker es herunterladen – auch wenn das nervig ist, auch wenn sie die neue Version gar nicht wollen oder mit der alten viel besser klarkommen. Denn Updates schließen neu entdeckte Sicherheitslücken.

Firewall gegen Trojaner

Ganz wichtig ist eine Firewall. Ihre Bedeutungwird vielfach unterschätzt: Nach Bitkom-Angaben surft jeder dritte Internetnutzer ohne Firewall. Dabei kann auch sie als Mindestvoraussetzung gelten. Der Virenscannerallein bietet nämlich keinen Komplettschutz. Nur eine Firewall schirmt den Rechner gegen Trojaner ab. Sie verhindert nicht nur das Einschmuggeln, sondern kontrolliert auch ausgehende Aktionen, zum Beispiel während der Nutzer Kontonummer und Pin eintippt.

Windows 7 und Vista verfügen bereits über eine Firewall. Bei Windows XP prüft sie aber nur die eingehenden Daten, nicht die ausgehenden. XP-Nutzer sollten daher eine zusätzliche Firewall installieren. Auch da gibt es Gratis-Versionen, zum BeispielAd-Aware Free oder Zone Alarm. Dafür muss aber die XP-Firewall deaktiviert werden.Das geht so: Auf „Start“ und „Ausführen“ klicken, ins Feld „Öffnen“ die Zeichen „Firewall.cpl“ eingeben und „Okay“ klicken. Danach auf der Registerkarte „Allgemein“ auf „Inaktiv“ klicken, dann „Okay“.

Das Kölner Landgericht ist außerdem der Ansicht, dass Kunden darauf achten müssen, ob in der Adresse „http“ steht oder das sichere „https“. Und sie müssen die Warnungen der Banken beachten, Pin und Tan nie am Telefon oder auf Anforderung per E-Mail herauszugeben. Wer so einen Betrug nicht bemerkt, handelt fahrlässig und muss einen Teil des Schadens selbst tragen (Landgericht Berlin, Az. 37 O 4/09): Das sei vergleichbar mit dem Missbrauch der ec-Karte. In dem Fall musste die Kundin 10 Prozent aus eigener Tasche beisteuern.

Kunden, die über WLan ins Internet gehen, sollten es unbedingt verschlüsseln. Standard ist der WPA2-Kode, noch sicherer ist WPS. Ganz ohne Verschlüsselung WLan zu nutzen, gilt als grob fahrlässig (Oberlandesgericht Düsseldorf, Az. I-20 W 157/07).

Wer diese Schutzvorkehrungen einhält, kann verlangen, dass die Bank den Schaden übernimmt. Falls sie ablehnt und darauf verweist, auf ihrer Homepage würden weitere Maßnahmen gefordert, sollten Kunden sich nicht verunsi­chern lassen: Unter Juristen gilt es als unwahrscheinlich, dass Normalkunden zu noch mehr Aufwand verpflichtet werden können – zum Beispiel zu Änderungen am Betriebssystem oder zum Einrichten von Administratorrechten. Kein Gericht hat das bisher verlangt. „Schließlich können Banken nicht erwarten, dass jeder Durchschnittsnutzer zum EDV-Experten wird“, meint Bankrechtsexperte Markus Feck von der Verbraucherzentrale Nordrhein-Westfalen.

Freiwillige Schutzmaßnahmen

Dennoch können Kunden schon aus eigenem Interesse ihre Sicherheit erhöhen. Etwa indem sie die Sicherheitseinstellungen des Browsers aktivieren. Beim Internet Explorer geht das unter „Extras“, dann „Internetoptionen“, dann „Sicherheit“, bei Firefox unter „Extras“, „Einstellungen“, „Inhalt“.

Außerdem schmuggeln sich Trojaner oft über ein Active-X-Element oder Javascript auf den PC. Wer sichergehen will, schaltet unter „Extras“ diese Elemente ab oder stellt ein, dass Java-Applets nur nach Rückfrage ausgeführt werden. Vorsichtige schalten auch das „Auto-Vervollständigen“ ab. Diese Funktion schlägt den vollen Namen und das Passwort vor, sobald jemand die ersten Buchstaben eingibt. Und falls der Browser vor einer Seite warnt, sollten Nutzer dem lieber Glauben schenken. Es kann sein, dass sonst ein Trojaner eingeschleust wird.

Fazit: Wenn der Kunde mit Virenschutz und Firewall surft, Pin und Tan sorgfältig behandelt, hat er seine Pflicht getan. Falls dann doch etwas passiert, ist die Bank dran.

Nur schade, dass die Hoffnung, Betrüger könnten ohnehin nur Geld auf ihr Konto umleiten und dann als Kontoinhaber identifiziert werden, nicht greift: Die 4 128 Euro von Claudia M. waren an eine ebay-Verkäuferin geflossen. Die wiederum hatte als „Finanzagentin“ einer russischen Firma den Betrag sofort nach Sankt Petersburg transferiert. Solche Agenten müssen zwar wegen Beihilfe zur Geldwäsche haften. Doch obwohl der Betrug schon nach einem Tag aufflog, war das Geld weg.

Dieser Artikel ist hilfreich. 702 Nutzer finden das hilfreich.