Betrüger haben die Konten zahlreicher Telekom-Kunden gehackt - wer haftet?

Wieder einmal gibt es eine Serie von Betrugsfällen beim Online-Banking. Betroffen sind dieses Mal ausschließlich Telekom-Kunden, die das vermeintlich sichere m-Tan-Verfahren nutzen. Die Betrüger haben es geschafft, sich erst in den Computer der Kunden einzuhacken, um an die nötigen Passwörter zu gelangen und anschließend bei der Telekom eine neue SIM-Karte zu aktivieren, um die Online-Transaktion durchzuführen. Beim Antrag für eine neue SIM-Karte gaben sie sich als Mitarbeiter eines Mobilfunkshops aus. Der Schaden beläuft sich auf über eine Million Euro. Doch wer haftet für den Schaden? Diese und andere wichtige Fragen beantwortet RA Christian Solmecke.

Wie funktioniert das m-Tan Verfahren?

Online-Banking-Kunden füllen die Überweisungsvorlage auf ihrem PC im Bereich des Online-Bankings aus und bekommen dann zur Sicherheit von ihrer Bank per SMS eine TAN Nummer zugeschickt. Mit dieser TAN bestätigen die Kunden den Online-Überweisungsvorgang. Die Methode gilt als sicher, weil zwei voneinander unabhängige Geräte genutzt werden.

Ist das m-Tan Verfahren trotz des Vorfalls bei der Telekom immer noch sicher?

Nein, das kann man so nicht sagen. Insbesondere dann nicht, wenn es sich bei dem benutzten Handy um ein Smartphone handelt. Smartphones sind wie kleine Computer und ebenso anfällig für Schadsoftware. Um wirklich sicher zu sein, müsste das m-TAN-Verfahren am besten nur mit einem alten Mobiltelefon verwendet werden, welches weder fähig ist, Drittprogramme zu installieren noch generell auf das Internet zugreifen kann. Nur so kann sich ein m-TAN-Nutzer vor dem Abfangen der m-TAN-SMS durch Betrüger schützen.

Wer haftet für den Schaden?

Zunächst einmal die Bank. Juristisch gesehen bewirkt die ausführende Bank Zahlungsaufträge grundsätzlich zunächst aus ihrem eigenen Vermögen. Dafür entsteht ihr ein Anspruch auf Aufwendungsersatz gegen den Auftraggeber der Überweisung. Sollte der Kontoinhaber allerdings die Überweisung gar nicht selbst in Auftrag gegeben haben, liegt eine sogenannte „Geschäftsführung ohne Auftrag“ vor. Das hat zur Folge, dass der Kontoinhaber seine Genehmigung verweigern kann und die Bank ihren Anspruch auf Aufwendungsersatz verliert. Dementsprechend sollten die Kunden sich sofort an ihre Bank wenden und mitteilen, dass die Überweisung durch Dritte durchgeführt wurde.

Stellt sich jedoch heraus, dass der Kunde fahrlässig gehandelt hat und somit den Schaden mitverursacht hat, kann die Bank Schadensersatzansprüche geltend machen. Bei grober Fahrlässigkeit sogar den ganzen Schaden. Online-Banking-Nutzer sind nämlich verpflichtet, ihre Rechner mittels aktuellem Virenschutz zu sichern. Darüber hinaus ist der Bankkunde verpflichtet, Updates sicherheitsrelevanter Programme, etwa des Betriebssystems oder des Internetbrowsers, vorzunehmen. Die Allgemeinen Geschäftsbedingungen einer Bank verpflichten den Kunden außerdem dazu, seine Authentisierungsmedien (PIN und TAN) geheim zu halten, insbesondere diese nicht an Dritte weiterzugeben. Gegen diese Pflicht verstößt ein Kunde jedoch auch, wenn er diese Daten in der irrigen Annahme, er kommuniziere mit der Bank, an den Angreifer weitergibt.

Hier haben sich die Betrüger zunächst mit einer Software in den Computer des Bankkunden eingehackt. Es wird im konkreten Fall darauf ankommen, inwieweit der Kunde hier fahrlässig gehandelt hat und das Hacken seiner Daten ermöglicht hat.

Wie können Kunden sich schützen?

Generell gilt: Keine Bank bittet ihre Kunden am Telefon oder per E-Mail um die Verifizierung der eigenen Zugangsdaten. Ein aktueller Virenscanner schützt vor Trojanern. Zudem sollten Passwörter vor dem Zugriff Dritter geschützt werden.

Was sollten Kunden jetzt tun?

Betroffene Kunden sollten sich umgehend mit ihrer Bank in Verbindung setzen und zum Ausdruck bringen, dass die Überweisung nicht genehmigt wird. Auch nicht unmittelbar betroffene Telekom-Kunden sollten vorsichtshalber ihre Virenscanner aktualisieren und ihre Passwörter ändern. Im Streitfall sollte ein Anwalt zurate gezogen werden, der im Detail mit der Bank ausfechten kann, ob tatsächlich ein Fall der groben Fahrlässigkeit vorlag, wie die Banken gerne in solchen Fällen behaupten. Bei grober Fahrlässigkeit kann die Bank Schadensersatz in Höhe der ganzen entwendeten Summe verlangen.

Wie häufig kommen solche Fälle vor?

Häufiger als man denkt. Betrüger hacken sich in Datenbanken ein oder auf die Computer privater Internetnutzer. Das Geschäft mit den Online-Daten boomt. Die Betrüger finden immer wieder neue Wege, vermeintlich sichere Verfahren, wie das m-Tan-Verfahren, zu umgehen. Jeder Anwender, der Online-Banking betreibt, sollte sich intensiv mit dem Thema Phishing auseinandersetzen.

Welche Strafe droht den Tätern?

Den Tätern drohen in der Regel hohe Strafen. Der § 202a des Strafgesetzbuchs sieht allein für das Ausspähen der Daten bis zu drei Jahren Freiheitsstrafe vor. Der Betrug wird mit bis zu fünf Jahren Freiheitsstrafe oder einer Geldstrafe geahndet.