Veröffentlicht von:
Onlinebanking unsicher
- 1 Minuten Lesezeit
Trojaner Xenomorph soll automatisch Bankkonten leerräumen können
Die IT-Sicherheitsfirma THREAT FABRIC hat eine Weiterentwicklung des Trojaners Xenomorph entdeckt, der ganz selbständig die Login-Daten für das Onlinebanking sammeln, Kontostände abfragen und Zahlungen mit TANs durchführen können soll, ohne dass dazu noch irgendeine Handlung eines Menschen erforderlich ist.
Android-Geräte werden durch das Hochladen von Apps infiziert
Xenomorph soll sich mit infizierten Apps auf Android-Geräte einschleichen. Dort schlummert er solange, bis eine TAN-App oder eine andere Authentifizierungs-App gestartet wird. Besonders schlimm wird es, wenn auf einem Gerät sowohl eine Banking-App als auch eine Authentifizierungs-App, wie z.B. die TAN2go-App von der DKB, S-pushTAN der Sparkassen, VR SecureGo von den Volks- und Raiffeisenbanken oder BestSign von der Postbank installiert sind, denn dann soll Xenomorph mittels der Banking-App Zahlungs-aufträge erteilen und diese auch gleich mit einer TAN freigeben können. Es ist daher nicht verwunderlich, dass sich bei mir immer mehr geschädigte Bankkunden melden, die sich nicht erklären können, wie ihre Konten leergeräumt wurden.
Rechtlich sieht es folgendermaßen aus:
Hat ein Trojaner ein Konto geplündert, muss die Bank die Abbuchungen nach § 675u BGB rückgängig machen, weil die Zahlungen nicht von dem Bankkunden in Auftrag gegeben wurden. Behauptet die Bank, dass der Kunde die Zahlungen in Auftrag gegeben habe, muss sie durch Vorlage der gesetzlich vorgeschriebenen Aufzeichnungen beweisen, dass eine Authentifizierung erfolgt ist, der Zahlungsvorgang ordnungsgemäß aufgezeichnet worden ist und es keine Störung gab. Außerdem muss sie nach dem Urteil des Bundesgerichtshofes vom 26.01.2016 – XI ZR 91/14 – durch Sachverständigen-gutachten belegen, dass das Authentifizierungs-Verfahren sicher ist. Falls es tatsächlich zutreffen sollte, dass Xenomorph TANs selber generieren kann, ist das von der Bank verwendete System nicht sicher und sie muss die Abbuchungen rückgängig machen. Ansonsten käme es darauf an, ob der Bankkunde grob fahrlässig gegen seine Pflicht, die Login-Daten und die TANs geheim zu halten, verstoßen hat.
Artikel teilen: