Deutlich gehäuft treten in jüngerer Zeit Fälle von Mobile-Banking-Betrug auf. Dies liegt zum einen an der steigenden Nutzung von Mobile-Banking, zum anderen an der nach wie vor nur relativen Sicherheit der verwendeten Systeme. Außerdem wird zugunsten der Bedienerfreundlichkeit oft auf Sicherheitsmaßnahmen verzichtet.
Folgend Fälle finden sich immer wieder: Ein Bankkunde erhält auf seinem Handy einen Anruf, als Anrufer wird die Hausbank angezeigt. Der Anrufer gibt an, dass er sich im Rahmen einer Sicherheitsüberprüfung Kontonummer und Kartennummer bestätigen lassen müsse. In der Folge werden Konten der Betroffenen um teilweise hohe Beträge erleichtert.
Zugriff von Betrügern auf den Online-Banking-Account durch „die Hintertür“
Allein mit Kenntnis von Namen, Geburtsdatum, Kontonummer und Kartennummer kann im Einzelfall die Möglichkeit bestehen, gewissermaßen durch die Hintertür, d.h. unter Umgehung von Anmeldename und PIN, Zugriff auf den Onlinebanking-Account zu erlangen. Dort ist es dann im Einzelfall möglich etwa die hinterlegten Adressen eines Bankkunden und dessen Telefonnummer abzuändern oder eine weiteres Mobiltelefon für das Mobilbanking zu registrieren, ohne dass der Kunde hiervon erfährt.
Änderung der Daten und Neuregistrierung
Mit einem neu registierten Mobilgerät kann die Zurücksetzung der Daten, etwa der pushTAN-App eines Kontoinhabers und deren Neueinrichtung beantragt werden. Die funktioniert insbesondere in den Fällen, in denen Kreditinstitute den Registrierungslink per SMS versenden.
Kriminelle nutzen unsichere Übertragungswege systematisch aus
Eine solche Vorgehensweise zeigt einen der markanten Schwachpunkte beim Mobile-Banking: den Übertragungsweg. Über SS7-Protokolle vermitteln Provider Anrufe, SMS und Daten von einem Netz in das nächste. Ursprünglich hatten nur staatlich kontrollierte Telefonanbieter Zugang zu diesem Netzwerk. Inzwischen können sich Unternehmen den Zugang erkaufen. Zugänge werden von „Überwachungsakteuren“ wie Strafverfolgern, aber eben auch Kriminellen systematisch (aus-)genutzt. Sicherheitslücken finden sich demnach in 3G-, 4G- und 5G-Netzwerken. Mit Zugang ist es möglich, Handynutzer zu orten, SMS mitzulesen, SMS – etwa zwischen Banken und Kunden – umzuleiten, Rufnummern umzuleiten oder Telefone zu blockieren. Aus diesem Grunde wurde das smsTAN- bzw. mTAN-Verfahren, bei dem die TAN per SMS an den Nutzer übermittelt wurde, eingestellt.
pushTAN: Die Nutzung von zwei unterschiedlichen Geräten macht die Übertragung sicherer
In der Folge hat sich u.a. das sog. pushTAN-Verfahren verbreitet. Zur Nutzung dieses Verfahrens sind ein Smartphone oder Tablet und die entsprechende pushTAN-App notwendig. Nach Anmeldung des Verfahrens bei der Bank erhalten Kunden den Zugangscode für die App. Wenn die Transaktionsdaten im Browser oder der Banking-App eingegeben wurden, werden sie zur Kontrolle noch einmal in der pushTAN-App angezeigt. Je nach Bank erfolgt die Freigabe direkt in der pushTAN-App, dann per biometrischen Merkmalen (Face-ID), Freigabeklick oder Passwort. Dieses TAN-Verfahren gilt als relativ sicher, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. Unsere bisherige Praxiserfahrung zeigt, dass nur wenige Banken darauf bestehen, dass ihre Kunden die sichere Variante nutzen und zwei unterschiedliche Geräte verwenden.
Kreditinstitute weisen nicht immer auf die hohe Sensibilität der Kundendaten hin
Ein weiteres Einfallstor für Betrugsversuche ist der Umstand, dass die Kenntnis und Eingabe der PIN und des Anmeldenamens bei Banken und Sparkassen nicht immer erforderlich ist, um Zugang zu dem Onlinekonto zu erhalten. Bei manchen Kreditinstituten kann in der Abfragemaske angegeben werden, diese vergessen zu haben. Bei der dann folgenden Sicherheitsabfrage genügt u.U. schon die Angabe des Namens und des Geburtstags des Kontoinhabers sowie seiner Konto- und Kartennummer. Auf die hohe Sensibilität dieser Daten wird von den Kreditinstituten nicht immer explizit in ihren Nutzungsbedingungen für das Onlinebanking hingewiesen.
Dieser Umstand wird von Kreditkartenbetrügern beim sog. Phishing ausgenutzt. Die Betrüger nehmen per E-Mail, Messenger-Nachrichten oder auch direktem Anruf beim Kunden als vermeintlicher Bankmitarbeiter Kontakt auf und fordern unter einem Vorwand (beispielsweise Gesetzesänderung, Änderung der Sicherheitstechnik oder Unstimmigkeiten bei Giro- oder Kundenkonto) dazu auf, Name, Geburtstag, Kontonummer und Kartennummer zu bestätigen. Da von den Betrügern nur vermeintlich allgemeine Daten erbeten werden und nicht die sicherheitsrelevanten Merkmale PIN und TAN, wird diesen häufig professionellen Kontaktaufnahmen Vertrauen geschenkt und die Daten bestätigt.
Kontoinhaber hat Anspruch auf Wiedergutschrift nicht autorisierter Zahlungsvorgänge
Grundsätzlich gilt: Der Kontoinhaber hat gegen das kontoführende Institut einen Anspruch auf Wiedergutschrift nicht autorisierter Zahlungsvorgänge binnen Tagesfrist (§ 675u S. 2 BGB).
Verschiedentlich verweigern Kreditinstitute die Erstattung mit dem Einwand, der Kontoinhaber habe grob fahrlässig die nicht autorisierten Zahlungen verursacht. Hier gilt zweierlei: Wenn die Bank dem Kontoinhaber grobe Fahrlässigkeit vorwirft, muss sie diese auch beweisen. Wenn sie das nicht zweifelsfrei kann, bleibt es bei der Erstattungspflicht der Bank (§ 675v Abs. 3).
Zudem gilt: Wenn die Bank selbst ein manipulationsanfälliges, d.h. nicht sicher ausgestaltetes Zahlungssystem verwendet, muss sie dem Kontoinhaber die Zahlungen selbst dann erstatten, wenn dieser sich im Einzelfall grob fahrlässig verhalten hätte.
Cyberversicherungen gegen Risiken im Zusammenhang mit der Internetnutzung
Losgelöst vom hiesigen Fall können sich Erstattungsansprüche auf vertraglicher Basis ergeben. So besteht die Möglichkeit, sog. „Cyberversicherungen“ gegen Risiken im Zusammenhang mit der Internetnutzung abzuschließen. Diese sollen dann greifen, wenn die Bank die Erstattung verweigert.
Wie erhöht man die Sicherheit im Online-Banking?
Geben Sie auf keinen Fall Ihre PIN/TAN/Kartennummer für das Banking-Konto an Dritte weiter und speichern Sie diese nicht auf ihren Endgeräten. Nutzen Sie für die TAN-Generierung und das Banking verschiedene Endgeräte. Halten Sie Ihr mobiles Gerät hinsichtlich des Betriebssystems etc. auf dem aktuellen Stand. Installieren Sie die entsprechende Software (Banking App) nur von Ihrer Bank oder Ihrem bekannten App-Store.
Verwenden Sie stets die aktuellste Version der Banking-App und installieren Sie Softwareupdates, sobald sie verfügbar sind. Nutzen Sie keine öffentlichen Netzwerke bzw. öffentliche WLAN-Hotspots beim Mobile-Banking. Aktivieren Sie Bluetooth, NFC (Near-field-communication) und WLAN nur bei konkretem Gebrauch. Sichern Sie Ihre Banking-App mit einem komplexen Passwort. Nutzen Sie die starke Kundenauthentifizierung.
Schließen Sie die Banking-App bei Beenden des Bankings nach Benutzung nicht einfach, sondern melden Sie sich über den Button „Logout“ oder „Abmelden“ ab. Nutzen Sie die Sperrfunktion ihrer mobilen Endgeräte um bei Verlust, Diebstahl o.ä. den unbefugten Zugang zu verhindern.
Lassen Sie bei Verlust des mobilen Gerätes unverzüglich Ihre SIM-Karte und alle Zugänge zu Ihren hinterlegten Bankkonten sperren. Überprüfen Sie regelmäßig Ihre Kontobewegungen und informieren Sie Ihre Bank bei Unregelmäßigkeiten.
SACHSTAND
Im konkreten Fall hat das betroffene Kreditinstitut die Wiedergutschrift der unbefugten Abbuchungen gegenüber dem Kunden verweigert.
Das Landgericht wird über den Anspruch des Darlehensnehmers gegen das Kreditinstitut auf Wiedergutschrift zu verhandeln haben.