Gibt es eine Sicherheitslücke beim Online-Banking der DKB?

In letzter Zeit haben sich bei mir mehrere Kunden der DKB Deutsche Kreditbank AG gemeldet, deren Girokonten mittels der neuen Visa Debitkarte geplündert worden sind.

Sie berichten z.B. davon, dass sie etwas bei eBay oder anderen Verkaufsplattformen angeboten haben und von vermeintlichen Kaufinteressenten aufgefordert worden sind, für die Zahlung des Kaufpreises die Daten ihrer Visa Debitkarte, also die Kartennummer, die Laufzeit der Karte sowie die Prüfziffer mitzuteilen. Anschließend haben die Täter die Debitkarte für Google Pay oder Apple Pay freigeschaltet und damit im Internet eingekauft.

Sofern die Käufe offline mit der Karte bezahlt worden sind, fragt sich, wie die Täter die Karte für Google oder Apple Pay freischalten konnten. Wahrscheinlich besteht hier eine Sicherheitslücke, weil es möglich ist, die Karte im Apple Wallet durch eine bloße sms freizuschalten. In diesem Fall bestehen für die Kunden gute Chancen, von der Bank Wiedergutschrift der abgebuchten Beträge verlangen zu können, weil es sich bei den Angaben auf der Kreditkarte nicht um geheimhaltungsbedürftige Sicherungsmerkmale, wie z.B. PINs und TANs handelt.

Falls die Käufe dagegen online bezahlt worden sind, fragt sich, woher die Täter die dafür auch noch erforderlichen Login-Daten für das Online-Banking haben, denn bei Online-Zahlungen wird beim Bezahlvorgang eine Verbindung zum Online-Banking hergestellt. Die Login-Daten sind daher entweder durch ein Datenleck bei der DKB verloren gegangen oder die Kunden haben diese vorher irgendwann auf einer gefälschten Bankingseite eingegeben. In diesem Fall können die Kunden von der Bank Wiedergutschrift der Abbuchungen verlangen, wenn sie nicht grob fahrlässig den Benutzernamen oder die PIN oder TANs preisgegeben haben. Ob eine grobe Fahrlässigkeit vorliegt, hängt von den Umständen des Einzelfalles ab. Nicht der Kunde, sondern die Bank muss beweisen, dass der Kunde grob fahrlässig gehandelt hat. Der BGH hat hierzu zutreffend festgestellt, dass alleine der Umstand, dass der Benutzername, die PIN und eine TAN verwendet worden sind, keine Vermutung dafür bietet, dass dem Bankkunden grobe Fahrlässigkeit vorzuwerfen ist.

Übrigens sind von solchen Vorfällen nicht nur Kunden der DKB betroffen, sondern insbesondere auch Kunden der Postbank und der Sparkassen.