Der Bundesgerichtshof hatte mit dem Urteil vom 24.4.2012 (XI ZR 96/11) über einen Fall zu entscheiden, bei dem ein Bankkunde Opfer eines Pharming-Angriffes wurde
Vorliegend ist der Bankkunde im Rahmen des Online-Bankings aufgefordert worden, gleichzeitig 10 Tan-Nummern einzugeben (iTAN-Verfahren). Der Kunde folgte dieser Aufforderung, obgleich das Kreditinstitut in der Mitte der Log-In-Seite den folgenden Hinweis darstellte:
„Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im Net-Banking auffordern!“
In der Folge wurden € 5.000 von dem Konto des Kunden auf ein griechisches Konto überwiesen. Der Kunde forderte nunmehr von der Bank die Zahlung dieses (verlorenen) Geldbetrages.
Amtsgericht, Landgericht und nun auch der BGH wiesen die Klage allerdings ab. Der Anspruch auf Auszahlung des Betrages sei erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe aufrechnen konnte. Die Richter stellten damit fest, dass der Kunde durch die Eingabe der 10 Tan-Nummern die im Verkehr erforderliche Sorgfalt außer Acht gelassen habe und sich damit schadensersatzpflichtig gemacht hat.Links:Verlag Dr. Otto-Schmidt
Wichtig für den IT-Unternehmer:
Das iTAN-Verfahren bietet bereits eine relativ hohe Sicherheit beim Online-Banking, sofern der Nutzer verantwortlich mit den Daten umgeht. Sicherer ist aber noch das SMS-Tan-Verfahren, welches viele Banken mittlerweile anbieten. Dabei wird die notwendige Tan per SMS an ein ausgewähltes Mobilfunkgerät versandt, und zwar erst nach Anforderung durch den Kunden.
Weitere Informationen zum Thema