Die Fälle von Computerbetrug nehmen weiter zu. Zapfen Kriminelle das Konto an, müssen unvorsichtige Bankkunden selbst für den Schaden aufkommen. Aber es gibt Wege, um Online-Attacken vorzubeugen und eigene Haftungsrisiken zu minimieren.

Schnell, flexibel, bequem: Online-Banking hat den Zahlungsverkehr revolutioniert und ist für einen Großteil der Bankkunden mittlerweile Alltag. Das gilt auch für Ärzte und ihre Mitarbeiter, egal ob privat oder für die Praxis. Selbstverständlich arbeiten die Kreditinstitute kontinuierlich an einer Verbesserung der Sicherheitsstandards. Doch auch modernste Verfahren können keine absolute Sicherheit bieten. Denn auch die Gegenseite schläft nicht: Kriminelle entwickeln immer ausgefeiltere Angriffsmethoden, um Zugangsdaten auszuspionieren und Überweisungen auf Fremdkonten zu veranlassen. Die Täter setzen dabei nicht nur auf rein technische Lösungen, sondern nutzen auch menschliche Schwächen wie Neugier oder Angst konsequent aus.

Immer mehr Fälle und hohe Dunkelziffer

Eine aktuelle Studie des Bundeskriminalamtes mahnt zur erhöhten Vorsicht. Die Fälle von Computerbetrug haben im Jahr 2015 um 5,6 % zugenommen, der erfasste Gesamtschaden durch missbräuchliche Transaktionen liegt bei 35,9 Millionen Euro. Und das ist allenfalls die Spitze des Eisberges, denn die Kriminalisten gehen von einer sehr hohen Dunkelziffer aus.

Der größte Schwachpunkt beim Online-Banking ist oft der Nutzer selbst. Immer noch unterschätzen viele die Gefahren: Sie gehen allzu sorglos mit den Zahlungsdaten um und vernachlässigen die IT-Sicherheit auf den eigenen Geräten. Im Schadensfall kann es dann ein böses Erwachen geben. Denn wenn Kunden ihre Sorgfaltspflichten verletzen, müssen sie unter Umständen selbst für den entstandenen Schaden aufkommen.

Wann haften Bankkunden?

Die Rechtsprechung stellt zunehmend strengere Anforderungen an das Verhalten von Online-Banking-Nutzern (z. B. AG Köln, Az. 119 C 143/13; LG Hannover, Az. 11 O 229/15). Die Richter erwarten, dass Anwender aufgrund der weitreichenden Berichterstattung und Warnungen allgemein bekannte Sicherungsmaßnahmen einhalten. Dies gilt für den privaten und in besonderem Maße für den unternehmerischen Bereich.

Grundsätzlich sind Banken und Sparkassen zwar verpflichtet, falsche Abbuchungen unverzüglich zu erstatten. Allerdings können sie bei Mitverschulden des Kunden 150 Euro einbehalten, bei grober Fahrlässigkeit sogar der ganze Betrag. Wo aber beginnt Fahrlässigkeit beim Online-Banking?

Anforderungen an Unternehmen

Welches Verhalten als fahrlässig gilt, regeln Kreditinstitute meist in den Geschäftsbedingungen zum Online-Banking. Nutzer müssen dafür Sorge tragen, dass ihre Zugangsdaten und die Sicherungssysteme nicht leichtfertig missbraucht werden können. Sie sind verpflichtet, ihre Authentifizierung (PIN und TAN) geheim zu halten und nicht an Dritte weiterzugeben. Es darf pro Vorgang nie mehr als eine TAN-Nummer eingegeben werden. Ferner müssen Kunden alle bankseitigen Sicherheitshinweise beachten und einen Missbrauch unverzüglich melden.

Die aktuelle Rechtsprechung geht noch einen Schritt weiter. Die Gerichte halten es für zumutbar, dass Nutzer ihre Rechner per Virenschutzsoftware und Firewall sichern. Nutzer dürfen einer expliziten Aufforderung zur Eingabe von Zugangsdaten oder TAN-Nummern zu keinem Zeitpunkt Folge leisten.

Gerade Unternehmen sollten die Haftungsrisiken keinesfalls unterschätzen. Hier wird der Grad einer groben Fahrlässigkeit deutlich schneller angenommen als bei Privatpersonen. Die Gerichte erwarten von Unternehmen ein weit höheres Maß an Wissen, Technik und Risikoschutz.

Auch die Banken sind in der Pflicht

Trotz verschärfter Pflichten gibt es auch gute Nachrichten. Ein aktuelles Urteil des Bundesgerichtshofs stärkt die Position von Bankkunden im Schadensfall (BGH, Az. XI ZR 91/14). Hiernach müssen Banken nachweisen, dass ihr Sicherheitssystem zum Zeitpunkt der Abbuchung einwandfrei funktioniert hat. Kreditinstitute dürfen nicht mehr davon ausgehen, dass die ordnungsgemäße Eingabe von PIN und TAN automatisch bedeutet, dass der Kunde grob fahrlässig gehandelt haben muss.

Vernetzungs-Risiken minimieren

Die fortschreitende Vernetzung digitaler Geräte bietet Cyber-Kriminellen neue Angriffspunkte. Besonders gefährdet sind Smartphones. Hier bündeln viele Nutzer ihre gesamte Kommunikation, übermitteln Daten an Online-Speicher und wickeln womöglich noch ihre Bankgeschäfte ab. Riskant ist es auch, private und berufliche Internet- und Computeraktivitäten zu vermengen. Nicht immer ist der private Rechner in puncto Virenschutz und Co. auf dem gleichen Stand wie im Betrieb, wo sich IT-Verantwortliche darum kümmern.

Keine Bankgeschäfte auf fremden Rechnern

Anwender können das Gefährdungspotenzial deutlich reduzieren, wenn sie einige Verhaltenstipps befolgen. Das A und O ist eine effektive IT-Sicherheit. Neben aktueller Firewall und Antivirensoftware ist bei WLAN-Nutzung stets auf eine sichere Verschlüsselung zu achten. Auch Bankgeschäfte auf fremden Rechnern sind Tabu. Nicht zuletzt sind Limits für tägliche Transaktionen sinnvoll. Weitere hilfreiche Tipps hält das Bundesamt für Sicherheit in der Informationstechnik bereit, die unter
www.bsi-fuer-buerger.de abrufbar sind.

Für Unternehmen gilt: Haben mehrere Personen Zugriff auf das Online-Banking, sind sie sorgfältig auszuwählen und für IT-Risiken zu sensibilisieren. Idealerweise protokolliert das IT-System alle Zahlungsvorgänge, auch um etwaigen Missbrauchsfällen und ihren Ursachen besser auf die Spur zu kommen. Firmen sollten keinesfalls bei Investitionen in IT-Sicherheit sparen. Im Schadensfall wird es deutlich teurer.

Kooperation statt Konfrontation

Angesichts zahlreicher Missbrauchsfälle hält sich die Kulanz der Kreditinstitute naturgemäß in Grenzen. Die entscheidende Frage im Schadensfall ist: Wer hat die Transaktion zu verantworten? Während der Kunde mögliche Lücken im Sicherheitssystem ins Feld führt, sucht die Bank nach Anhaltspunkten für Pflichtverletzungen des Kunden. Bevor sich die Fronten unnötig verhärten, sollte eine gemeinsame Aufklärung im Vordergrund stehen. Das liegt im besonderen Interesse der Banken: Sie möchten den tatsächlichen Ursachen auf den Grund gehen und mögliche Schwachstellen im eigenen Sicherheitssystem aufdecken.

Vorsicht zahlt sich aber in jedem Falle aus: Wer seinen Sorgfaltspflichten konsequent nachkommt, vermeidet den Vorwurf der Fahrlässigkeit und muss keinen finanziellen Schaden fürchten.

Konto leergeräumt - was tun?

Man sollte das eigene Konto laufend im Blick haben. Bei fragwürdigen Transaktionen ist schnelles Handeln gefragt. So lassen sich mögliche Schäden und eigene Haftungsrisiken begrenzen.

1. Konto sperren: Der Zugang zum Online-Banking sollte umgehend blockiert werden. Anwender sollten sich für den Ernstfall wappnen und die zentrale Notrufnummer auf dem Handy abspeichern. Viele Kreditinstitute verwenden den bundesweiten Sperr-Notruf 116 116, der rund um die Uhr gebührenfrei erreichbar ist.

2. Geld zurückrufen: Der Nutzer sollte die kontoführende Stelle sofort kontaktieren. Falsche Überweisungen auf inländische Empfängerkonten lassen sich zurückrufen, solange noch keine Gutschrift erfolgt ist. Andernfalls sollte man möglichst unter Mithilfe der Bank den Empfänger ermitteln und zur Rücküberweisung des Betrages auffordern.

3. Anzeige erstatten: Liegt eine Straftat vor, sollten Anwender unverzüglich Strafanzeige erstatten. Dazu sollten sie alle Beweise sichern, wie etwa einen Screenshot der Betrugsseite oder verdächtige E-Mails. Zudem kann man der Polizei das Endgerät zur kriminaltechnischen Auswertung überlassen. Ist der Täter zu ermitteln, ist eine Klage auf Schadenersatz ratsam.



Autor:

Dr. Volker Lang

Rechtsanwalt, Fachanwalt für Bank- und Kapitalmarktrecht
Kanzlei BKL Fischer Kühne Lang
Bonn, München



Erschienen in: Der Allgemeinarzt, 2016; 38 (17) Seite 70-72