Kontoinhaber haftet bei Online-Banking-Betrug mit Smart-TAN plus
Bislang urteilten Gerichte in Fällen von Online-Banking-Betrügereien häufig zugunsten des Opfers und sahen die Verantwortung primär bei den Banken. In einem aktuellen Fall bleibt das Opfer jedoch auf einem Schaden von 18.500 Euro sitzen.
(Bild: Volksbank)
Banken haften nicht, wenn das Opfer einen Online-Banking-Betrug hätte erkennen und verhindern können, urteilte das Landgericht Darmstadt. Es weist damit die Klage eines Betrugsopfers ab, dem offenbar durch einen Trojaner 18.500 Euro gestohlen wurden. Die Klägerin hatte auf Erstattung des Schadens durch die Bank geklagt.
Der Knackpunkt war, dass bei den fraglichen Transaktionen das sogenannte Smart-TAN-Plus-Verfahren zum Einsatz kam. Dabei zeigt ein TAN-Generator wie der abgebildete zunächst Betrag und Ziel der Überweisung an. Erst wenn der Anwender diese bestätigt, wird die zugehörige TAN dafür erzeugt. Diese muss der Anwender dann in das Online-Banking am PC übertragen und dann an die Bank senden. Mit diesem Vorgang sieht die Bank eine dem Anwender zuzurechnende Autorisierung der Überweisung als gegeben an.
Den im Urteil geschilderten Fakten lässt sich entnehmen, dass das Opfer wohl zunächst im Online-Banking auf dem PC Überweisungen an Geschäftspartner angestoßen hatte. Allerdings hat wohl ein Online-Banking-Trojaner oder ein Man-in-the-Middle diese Daten manipuliert und den Vorgang mit einem anderen Zielkonto und einem anderen Betrag versehen. Doch diese manipulierten Daten müssen danach auf dem Display des TAN-Generators angezeigt und somit von Anwender bestätigt worden sein, erklärte die beklagte Bank.
Das Gericht folgte dieser Argumentation offenbar und argumentierte "Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden." Insbesondere hätte "die Klägerin den „Man-in-the-Middle-Angriff“ [..] erkennen und verhindern können" heißt es in dem Urteil vom 28.8.2014 weiter.
Tatsächlich gilt SmartTAN Plus als sicheres Online-Banking-Verfahren – wenn der Anwender die auf dem Display präsentierten Überweisungsinformationen kontrolliert. Nach aktuellem Stand der Technik ist kein realistisches Angriffsszenario denkbar, bei dem der TAN-Generator nicht die Kontonummer und den Betrag der von der Bank tatsächlich durchgeführten Überweisung anzeigt. Denn beide gehen so in die erzeugte TAN ein, dass die Bank sie vor Durchführung der Transaktion prüfen kann.
Einfach gesagt sind TAN, Zielkonto und Betrag fest miteinander verkoppelt – technisch gewährleisten dies kryptografische Hash-Funktionen. Ändert man etwa nachträglich den Betrag, passt die TAN nicht mehr zu der Transaktion. Die wahrscheinlichste Erklärung des Betrugs ist somit, dass das Opfer diesen Informationen nicht genug Beachtung schenkte. (ju)
