Interview mit dem prozessführenden Rechtsanwalt

Übersicht

• Inwiefern ist das Kammergerichtes-Urteil wegweisend?
• Warum gibt es kaum Gerichtsurteile der Obergerichte?
• Ist die Entscheidung des Kammergerichtes richtig?
• Warum ist das iTAN-Verfahren unsicher?
• Wie funktioniert das Abgreifen von Daten beim iTAN-Verfahren?
• Wie kommt die Schadsoftware auf den Computer des Bankkunden?
• Wie wird beim iTAN-Verfahren das Konto leergeräumt?
• Was hat das Kammergericht zur Haftung beim iTAN-Verfahren gesagt?
• Wurde ein besonders unsicheres System durch ein angreifbares ersetzt?
• Welche Alternative gibt es zum iTAN-Verfahren?
• Warum wird iTAN nicht einfach abgeschafft?
• Gibt es das iTAN-Verfahren eigentlich im Ausland?

ilex: Rechtsanwalt Dr. Schulte am Hülse, Sie haben für einen Bankkunden ein Urteil erwirkt, wonach die Bank 70% des Schadens zu erstatten hat, nachdem Straftäter 14.500 € von dem Konto der Bankkundin leergeräumt haben. Wie bewerten Sie das Urteil?

Dr. Schulte am Hülse: Das Gericht hat eine Verpflichtung der Banken ausgesprochen, Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren, Bankzugangsdaten abzugreifen. Das ist aus meiner Sicht richtig und in Form eines Gerichtsurteils wegweisend.

ilex: Inwiefern?

Dr. Schulte am Hülse: Das Online-Banking-Systeme sicher sein müssen, sollte an sich eine Selbstverständlichkeit sein. Allerdings hatte bislang noch kein Obergericht einer Bank explizit eine Mithaftung auferlegt, wenn eine Bank ein unsicheres und veraltetes Online-Banking-System anbietet. Es gibt lediglich eine Entscheidung des Landgerichtes Nürnberg-Fürth (Urt. v. 28.04.2008, 10 O 11391/07), in der einmal die Frage im Rahmen eines obiter dictum angesprochen wurde, ob Banken im Jahre 2005 nicht verpflichtet gewesen wären, das ältere PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen. Diese Frage wurde aber letztendlich in dem konkreten Streitfall nicht entschieden. Vom Bundesgerichtshof gibt es gegenwärtig noch keine Entscheidung zu diesen konkreten Haftungsfragen beim Online-Banking. Lediglich in der Literatur wurde bislang vertreten, aufgrund der Unsicherheit des PIN/TAN-Verfahrens müssten die Banken verbesserte Verfahren einführen.

ilex: Warum gibt es kaum Gerichtsurteile der Obergerichte?

Dr. Schulte am Hülse: Einerseits ist die Thematik des Abgreifens von Bankzugangsdaten zumindest mit Hilfe einer Schadsoftware eine noch vergleichsweise junge Thematik. Sie existiert noch nicht allzulange und es handelt sich insofern um den Bankraub des 21. Jahrhunderts, bei dem sich die Täter die Finger nicht mehr allzu schmutzig machen müssen. Bis ein Fall dann beim Bundesgerichtshof landet, dauert es jedoch einige Jahre. Andererseits führt ilex Rechtsanwälte zwar eine Reihe von Prozessen in diesem Bereich. Häufig werden unsere Mandanten nach der Rechtshängigkeit der Klage aber klaglos gestellt, indem die Banken nach der Lektüre unserer Klageschriften schlichtweg regulieren.

ilex: Wann haftet die Bank für Schäden aufgrund von unsicheren Systemen?

Dr. Schulte am Hülse: Das Kammergericht sieht eine Sorgfaltspflichtverletzung der Bank als gegeben an, wenn die Bank ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter den Sicherheitsstandards von neueren Systemen zurückbleibt. Im konkreten Fall waren diese Voraussetzungen zum Glück gegeben. Allerdings ist mein Eindruck, dass sich das Kammergericht offenbar unsicher war. Jedenfalls taucht im Urteilstext 8x die Formulierung „nach Auffassung des Senates“ auf.

ilex: Ist die Entscheidung richtig?

Dr. Schulte am Hülse: Im Ergebnis des konkreten Streitfalles ja. Die Begründung überzeugt mich jedoch nur teilweise. Meines Erachtens ist allein die Frage entscheidend, ob ein bestimmtes Online-Banking-System a) durch Täter geknackt werden kann und insofern unsicher ist und b) nicht mehr dem jeweiligen Stand der Technik entspricht und es insofern bessere Alternativen gibt. Bejaht man beide Fragen, wird man aus meiner Sicht auch die Haftung der Bank bejahen müssen. Die Anforderungen an die Sicherheit der technischen Systeme sind in § 9 des Bundesdatenschutzgesetzes ohnehin allgemein geregelt. Auch im Bereich des Produkthaftungsrechtes sind solche Anforderungen Standard, denn wer ein Produkt in den Verkehr bringt, muss auch für die Sicherheit sorgen. Nicht entscheidend kann es deshalb sein, ob die Mehrzahl der Kreditinstitute ein unsicheres System bereits abgeschafft hat oder nicht. Selbst wenn alle Banken unsichere Systeme verwenden würden, ändert dies nichts an der Unsicherheit des Systems. Und genau hier nähern wir uns der Gretchenfrage: derzeit sind nämlich die Mehrzahl der Online-Banking-Systeme latent unsicher.

ilex: Wie bitte?

Dr. Schulte am Hülse: Derzeit sind die Mehrzahl der Online-Banking-Systeme latent unsicher. In Deutschland ist nach wie vor das sogenannte indizierte TAN-Verfahren (iTAN) sehr weit verbreitet. Das kann ein Krimineller mit nur wenigen Programmierkenntnissen überwinden.

ilex: Wie funktioniert das?

Dr. Schulte am Hülse: Die Täter müssen auf dem Computer eines Bankkunden lediglich eine Schadsoftware/ Malware installieren (sog. trojanisches Pferd). Jetzt sitzt der Bankkunde in der Falle. Spätestens wenn der Bankkunde das nächste Mal Online-Banking betreibt, ist es durch einen sog. Man-in-the-Middle-Angriff möglich, eine nichtautorisierte Überweisung auf ein fremdes Konto zu veranlassen.

ilex: Wie kommt die Schadsoftware auf den Computer des Bankkunden?

Dr. Schulte am Hülse: Die Schadsoftware kann im Anhang einer Spam-Mail enthalten sein. Ebenso kam man sich diese aber auch beim Besuch einer Internetseite holen, da jetzt eine Datenverbindung vom eigenen Computer zu der infizierten Internetseite besteht und hierüber Daten versendet werden können. Internetseiten können selbst dann infiziert sein, wenn der Anbieter der Internetseite davon nichts weiß.

ilex: Und wie wird jetzt beim iTAN-Verfahren das Konto leergeräumt?

Dr. Schulte am Hülse: Das Merkmal des iTAN-Verfahrens besteht darin, dass die Bank zur Legitimation einer zuvor eingetippten Überweisung eine konkrete TAN aus der TAN-Liste vom Bankkunden erfahren möchte, die nur für diese eine Transaktion gültig ist und danach als verbraucht gilt. Genau daran knüpfen die Täter an, denn sie schalten sich über die Schadsoftware exakt in die Datenverbindung zwischen Kunde und Bank. Deshalb spricht man auch von einem „Man-in-the-Middle-Angriff“ (oder der „dritte Mann“). Dies funktioniert wie folgt: Der Bankkunde loggt sich in das Online-Banking ein und tippt einen Überweisungsauftrag über 50 € an X ein und sendet die Daten an seine Bank. Noch bevor das Datenpäckchen per SSL verschlüsselt durch das Internet gesendet wird, fängt das trojanische Pferd diese Daten ab und verändert die Daten in eine Überweisung in Höhe von 5.000 € an Y. Nur dieser manipulierte Überweisungsauftrag wird verschlüsselt an die kontoführende Bank gesendet. Die Bank verlangt vom Bankkunden als Rückfrage zur Authentifizierung: „Bitte bestätigen Sie die Überweisung in Höhe von 5.000 € an Y mit der iTAN Nr. 37“. Nachdem die Rückfrage am Computer des Bankkunden angekommen ist und entschlüsselt wurde, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, fängt die Schadsoftware die Daten erneut ab, verändert sie und zeigt dem Bankkunden am Bildschirm als Rückfrage lediglich an: „Bitte bestätigen Sie die Überweisung in Höhe von 50 € an X mit der iTAN Nr. 37“. Sobald der Kunde seine unverbrauchte iTAN Nr. 37 eingegeben hat, gibt der Trojaner diese an die Bank für die vom Bankkunden nicht gewollte Überweisung an Y weiter. Die Bank überweist nun 5.000 € an Y. Wenn der Trojaner professionell programmiert wurde, überprüft er vor dem Angriff den Verfügungsrahmen des Bankkunde und zeigt dem Bankkunden nach dem Angriff noch einige Tage lang in der Kontoübersicht eine tatsächlich nicht existente Überweisung in Höhe von 50 € an X an.

ilex: Was hat das Kammergericht zur Haftung beim iTAN-Verfahren gesagt?

Dr. Schulte am Hülse: Gar nichts, da es in diesem Streitfall nicht um das iTAN-Verfahren, sondern um das noch ältere PIN/ TAN-Verfahren ohne indizierte Transaktionsnummern ging. Der Schadensfall fand im Herbst 2008 statt und bereits vor 2007 hatten die meisten Banken in Deutschland das ältere PIN/ TAN-Verfahren aufgegeben und führten das iTAN Verfahren ein. Lediglich die hier beklagte Bank nutzte das völlig veraltete PIN/ TAN-Verfahren noch im Jahre 2008. Das Kammergericht betrachtet das iTAN Verfahren als eine Verbesserung und sieht die Haftung der beklagten Bank zu 70% als gegeben an, weil die Bank das veraltete PIN/ TAN-Verfahren nicht abgeschafft und das damals neuere iTAN Verfahren nicht eingeführt hatte.

ilex: Tatsächlich wurde nach Ihren Ausführungen nur ein extrem unsicheres System durch ein immer noch angreifbares System ersetzt.

Dr. Schulte am Hülse: Ja, aber mit einer Einschränkung. Tatsächlich hat die Einführung des iTAN-Verfahrens vor vielen Jahren dafür gesorgt, dass die Fallzahlen des Abgreifens von Kontozugangsdaten (sog. Phishing) laut der Statistik des Bundeskriminalamtes tatsächlich kurzzeitig etwas zurückgegangen sind. Wir wissen zwar nicht 100% gesichert, ob das Zurückgehen der Fallzahlen tatsächlich auf die Einführung des iTAN-Verfahrens zurückzuführen ist. Möglicherweise waren die Bankkunden für die Problematik schon etwas mehr sensibilisiert. Zumindest wird man aber sagen können, dass die Einführung des iTAN-Verfahrens danals die Hürden für die Täter ein kleines bisschen höher geschraubt hat. Aber inzwischen haben die Täter natürlich dazugelernt, die ja sehr professionell und arbeitsteilig vorgehen. Heute ist es deshalb überhaupt kein Problem mehr das iTAN-Verfahren zu knacken und seit 2009 nehmen auch die Fallzahlen wieder deutlich zu.

ilex: Welche Alternative gibt es zum iTAN-Verfahren?

Dr. Schulte am Hülse: Eines vorweg: 100% Sicherheit gibt es beim Online-Banking nicht; selbst dann nicht, wenn Sie ein Virenschutzprogramm nutzen. Wenn Sie die Restrisiken jedoch Inkauf nehmen, sollten Sie wenigstens HBCI Banking nutzen. Dafür benötigen Sie eine Chipkarte und ein entsprechendes Karten-Lesergerät. Achten Sie darauf, dass das Karten-Lesergerät aus der sog. 3. Generation stammt, d. h. es sollte unbedingt so sein, dass auf dem Kartenlesegerät die freizugebende Überweisung nochmals gesondert angezeigt wird, damit Sie diese nochmals prüfen können. Es ist geradezu abenteuerlich, dass nicht alle Banken diese Geräte der 3. Generation bereits anbieten und ihre Kunden teilweise noch mit den unsicheren alten Kartenlesegeräten abspeisen; zumal auch das HBCI-Banking verschiedentlich bereits Angriffen ausgesetzt war.

ilex: Warum wird das iTAN-Verfahren nicht einfach abgeschafft, wenn es so leicht zu überwinden ist?

Dr. Schulte am Hülse: Fragen Sie die Banken. Ich vermute, dass die Schäden schlichtweg in Kauf genommen werden. Online-Banking hilft den Banken im Vergleich zu den früheren Überweisungsformularen Kosten einzusparen. Der Wettbewerbsdruck durch Direktbanken ist schließlich auch da. Einige Banken argumentieren, dass ein Zahlungssystem vom Kunden nur dann akzeptiert werden würde, wenn es leicht zu bedienen sei. Beim HBCI-Banking sei der Aufwand schlichtweg zu hoch, weil der Kunde ein zusätzliches Kartenlesegerät an seinen Computer installieren muss und eine Chipkarte benötigt.

ilex: Gibt es das iTAN-Verfahren eigentlich im Ausland?

Dr. Schulte am Hülse: Nein in der Regel nicht. Das iTAN-Verfahren ist eine deutsche Besonderheit und im Hinblick auf die Sicherheit, wie wir heute wissen, eine Fehlentwicklung. Im Ausland werden Überweisungen im Online-Banking in der Regel mit sogenannten „Token“ legitimiert. Auch bei dem „Token“-System gelingt es den Tätern jedoch, Kontozugangsdaten abzugreifen.

ilex: Herzlichen Dank für das Gespräch!