Phishing bei Smart-TAN-plus: Urteil zur Haftung

Das Landgericht Darmstaft hat am 28. August 2014 in einem Urteil die Klage eines Bankkunden auf Schadensersatz wegen einer gefälschten Überweisung abgewiesen. Das Landgericht betrachtet das Verfahren Smart-TAN-Plus damit als manipulationssicher. Damit werden es auch andere Geschädigte schwer haben, Ansprüche gegen ihre Banken geltend zu machen, wenn das Verfahren benutzt wurde.

Das Verfahren unterscheidet sich grundsätzlich nicht von anderen Chip-TAN-Verfahren. Bei diesen wird die Transaktionsnummer (TAN) für eine Online-Überweisung nicht per SMS an das Handy des Nutzers geschickt, oder aus einer zuvor erhaltenen TAN-Liste abgefragt, sondern für jede einzelne Online-Überweisung neu berechnet. Dazu dient ein kleines Gerät, welches die Bank dem Kunden für das Online-Banking zur Verfügung stellt. In dieses wird die EC-Karte des Kunden eingesteckt und mittels optischen Sensoren die Überweisungsdaten, also Empfänger und Höhe der Überweisung, übertragen (sog. Flickering). Der Kunde kontrolliert die Daten über das eigene Display des Geräts und muss diese bestätigen. Dann erst wird die TAN erzeugt und auf dem Gerät angezeit. Gibt der Kunde diese auf der Online-Banking-Seite ein, wird die Überweisung legitimiert.

Auch im nun entschiedenen Fall nutzte der Kläger dieses Verfahren. Dabei wurde er offenbar Opfer eines sog. "Man-In-The-Middle-Angriffs", bei dem ein Dritter sich mittels eines Trojaners in die Verbindung zwischen Kunde und Bank-Server einklinkt und die ausgetauschten Daten manipuliert. Der Kläger behauptete, dass er die Daten kontrolliert habe, bevor er die TAN eingab. Dem schenkte das Landgericht, dem beauftragten Gutachter folgend, keinen Glauben. Dieser bescheinigte dem Smart-TAN-plus-Verfahren eine hohe Sicherheit und erklärte eine Manipulation des Geräts für nicht vorstellbar. Das Landgericht kam daher zu dem Schluss, dass der Kläger die Daten fahrlässig nicht richtig kontrolliert habe, und rechnete ihm die Überweisung über die Grundsätze der Rechtsscheinhaftung zu.

Auch das Vorbringen des Klägers, dass er bei der Kontrolle der Online-Banking Seite keine sprachlichen oder orthografischen Fehler gefunden habe führte nicht zu einem anderen Ergebnis. Ebensowenig sah das Gericht in der Tatsache einen unterschied, dass die Notfallnummer der Bank in dem Zeitpunkt, da der Kläger den Betrug der Bank melden wollte, nicht erreichbar war.

Weiterhin stellte das Gericht wiederholend fest, dass Banken keine generelle Pflicht zur Überwachung von Zahlungsvorgängen hätten. Daran änderten auch aus dem Rahmen der üblichen Vergügungen fallende Auslandsüberweisungen nichts.

Links zum Thema:

Schreibe einen Kommentar