|
Banken-win-win im Online-Banking...
Im Jahre 2012 lässt ein höchstrichterliches Urteil aufhorchen, in dem einem Bankkunden grobe Nach- bzw. Fahrlässigkeit attestiert wurde, weil er sich beim Internet-Banking auf der Bankenseite nicht genügend vor Mehrfachabfragen nach seiner PIN in Acht genommen hatte; die missbräuchlich durch Schadstoffsoftware “entlockte” Offenbarung der PIN ist “landläufig” als “Phishing” bekannt geworden. Die Folge war, dass er auf seinem Schaden sitzen blieb, weil er aus der Berichterstattung in den Medien hätte gewarnt sein müssen. Man sollte meinen, dem Kunden geschieht dies recht, wenn er beim Internet-Banking leichtgläubig Mehrfachabfragen beantwortet, obwohl er hätte Verdacht schöpfen müssen. Hätte er wirklich ? Wie aufmerksam muss eine Online-Banking-Kunde welche Berichterstattung im Auge behalten, um nicht grob fahrlässig zu handeln. Hat ihm dies wirklich “automatisch” klar zu sein ? Die Banken bieten die gefahrträchtige Quelle Internet-Banking an und verdienen mit einem Minimum an Zutun unglaubliche Beträge - bei einem von uns recherchierten Fall einer seriösen Sparkasse immerhin 33 Cent pro Buchungsvorgang.
Die klassische Phishing-Variante bestand ehemals darin, dass der Kunde über eine Email-Spam auf eine falsche Bankenseite gelockt wurde, wo ihm die Eingabe von PIN und ggf. TAN abverlangt worden ist. Heutzutage loggt sich der Kunde ordentlich auf der Bankenseite ein und kann von den Nachfolgern dieser Schadsoftware auf der Bankenseite “in die Irre geführt” und zur Angabe von sensiblen Daten verleitet werden. Gutachter haben herausgefunden, dass diverse Bankenseiten jahrelang Einfalltore für Schadsoftware so gross wie “Scheunentore” aufgewiesen haben, durch die sich Malware der bezeichneten Art relativ einfach hatte einnisten und die Kunden hinters Licht führen können. Dieser Umstand war sicherlich auch auf erhebliche Schwächen bestimmter Betriebssysteme und verwendeter Browser zurückzuführen. Dennoch wurden die Online-Banken, die freilich mehr Einfluss auf ihr System als der Kunde haben und automatisiert einen keineswegs geringfügigen Verdienst abgreifen nach unserer Auffassung viel zu wenig in ihre Verantwortung genommen.
Alleine die Tatsache, dass sehr viele Missbrauchsfälle - u.a. wohl auch durch den Einsatz des relativ problemlos im Netz verfügbaren Malware-Baukastens “Zeus” - aufgetreten sind, bei denen der Kunde “der Dumme” war, lässt erkennen, dass die Risikoverteilung zu Lasten des Kunden bedenklich ist. Der Rückschluss auf sehr viele verantwortlich Arglose liegt unserer Auffassung nach viel ferner, als die näher liegende Vermutung, dass die Zumutbarkeit für das Aufkommen eines Kundenverdachts überfordert wird. Auf der einen Seite wurden Altersheime “reihenweise” mit markigen Sprüchen in das Netz der Netze gelockt, auf der anderen Seite soll der Anwender das Risiko tragen, wenn er undefinierte Informationspflichten nicht wahrnimmt, von denen er regelmässig erst im Schadensfalle im Zusammenhang mit dem Hinweis auf seine Eigenverantwortung erfährt. Diese Einstellung führt weder zur Vertrauensförderung im Netz noch zu einer Verbreitung der Auffassung, dass das Netz wirklich für alle da ist. Wenn schon der Ruf nach dem Staat als unanständig empfunden wird - vergleichbare Gefahrenquellen hat schliesslich in früheren Zeiten ein deutscher Gesetzgeber nicht ohne massive Schutzmassnahmen für den Bürger zugelassen -, so müssen bewährte Gefährdungshaftungs- und Verkehrssicherungspflichengrundsätze dazu führen, dass der Gefahrenträger Bank am stärksten exponiert wird. Wie verzerrt die Situation ist, zeigt auch das einfache Beispiel der Einführung von TAN-Generatoren durch die Banken. Viele Banken haben diese Einrichtung ihren Kunden in Rechnung gestellt, obwohl der Generator grundsätzlich der Bankenenthaftung gedient hat. Wurde ohne Generator eine TAN von einem Schädling ohne weitere Verschuldensmomente beim Kunden “geknackt”, so war die Bankenhaftung klar; mit Generator wurde diese Möglichkeit deutlich eingeschränkt, allerdings mit der Massgabe, dass der Kunde jetzt freilich viel mehr Aufwand zu betreiben hat (“flimmerst Du noch oder buchst Du schon...”).
Schlussendlich bleibt die in der Rechtsprechung viel zu wenig beachtete Tatsache zu erwähnen, dass sich in EDV-Sachen die Auffassung eines heute überzeugten Gutachters morgen bereits um 180 Grad gedreht haben kann, weil eine bis dato für sicher erachtete Absicherung durch einen Hacker geknackt wurde. Dieser Umstand legt von Hause aus die Notwendigkeit nahe, zu Gunsten des Internet-Kunden stets einen “Freiraum” zu belassen. Der Verfasser dieser Zeilen kann sich noch sehr gut an die Zeit erinnern, als die Banken mit 3-stelligen PIN’s und einem weniger sicheren Übertragungsschlüssel gearbeitet haben. Zu jener Zeit bestand zunächst die herrschende Gutachterauffassung darin, dass Abhebungen im Zuge der angeblichen Entwendung einer Scheckkarte missbräuchlich bzw. grob fahrlässig gewesen sein müssten - also der Inhaber selbst das Geld abgehoben oder zumindest grob fahrlässig die 3-stellige PIN in der Nähe der Karte aufnotiert haben dürfte. Hierauf basierend wurden zahlreiche bedenkliche straf- und zivilrechtliche Urteile gefällt (Betrugsstrafverfahren und Schadensersatzanspruch gegen Bank), die trotz ihrer fehlerhaften Grundlagen wohl grossenteils bis heute nicht revidiert worden sind. Es stellte sich nämlich in der Folgezeit heraus, dass die Auffassung etlicher Gutachter, wonach die PIN nicht aus der entwendeten Scheckkarte selbst abgeleitet werden konnte, falsch gewesen ist. Der Gegenbeweis wurde u.a. von Prof. Pausch aus Darmstadt geführt, der sich übrigens wegen seiner später bestätigten Auffassung eine ganze Weile erheblichen Anfeindungen von Banken ausgesetzt sah...
|
