Die Kreditkarte des ADAC ist u.a. beliebt, weil sie Nachlässe beim Tanken bietet. Auf der anderen Seite ist sie immer wieder von Kreditkartenbetrugsfällen betroffen. Die Karte wird aktuell durch die Solaris SE herausgegeben, die im September 2024 die Landesbank Berlin (LBB) als Zahlungsdienstleister der Kreditkarte abgelöst hat. Dabei wurde die für das Online-Banking benötigte TAN mittels SMS als sogenannte mTAN bzw. smsTAN an den Kunden übermittelt.
Sicherungsverfahren zur Kundenlegitimation
1. Beim smsTAN-Verfahren, das auch mTAN genannt wird, sendet die Bank eine Transaktionsnummer per SMS auf das Smartphone des Kunden, der damit sich für eine Überweisung legitimiert. Dabei handelt es sich um ein zusätzliches Sicherungsverfahren, das Online-Betrug verhindert, wenn Kriminelle an das Passwort des Kunden gelangt sind.
Andererseits können die vorgenannten SMS mit gewissem technischen Vorwissen abgefangen werden. Daher haben zwischenzeitlich die meisten Banken auf andere Transaktionsverfahren umgestellt.
2. Hierbei ist vor allem das PushTAN-Verfahren zu nennen. Hierfür sind ein Smartphone oder Tablet und eine entsprechende PushTAN-App, die auf dem Smartphone installiert werden muss, notwendig. Nach Anmeldung des Verfahrens bei ihrer Bank erhalten die Kunden den Zugangscode für die Nutzung der App. Die Freigabe einer Überweisung erfolgt dann direkt in der PushTAN-App, entweder durch Gesichtserkennung, Fingerabdruck, Freigabeklick oder Passwort. Zur Erhöhung der Sicherheit können zwei unterschiedliche Geräte für das Banking und die TAN-Generierung eingesetzt werden.
3. Alternativ kann meist auch das sogenannte ChipTAN-Verfahren mit zwei unabhängigen Geräten eingesetzt werden. Mit dem bei der Bank erhältlich ChipTAN-Generator werden aus dem Flicker-Code die Transaktionsdaten ausgelesen. Da der Generator selbst nicht mit dem Internet verbunden ist, kann er aus der Ferne auch nicht angegriffen werden. Die für die einzelne Überweisung einzeln generierten TANs können von Unbefugten nicht verwendet werden, weil sie dynamisch an die jeweilige Überweisung gebunden sind.
4. Beim sogenannten PhotoTAN-Verfahren kommen ebenfalls zwei getrennte Geräte zum Einsatz. Hier wird die Grafik am Bildschirm mit einer entsprechenden App für die PhotoTAN ausgelesen. Der enthaltene Code wird in eine TAN umgewandelt, mit der die Transaktion freigegeben werden kann. Hier besteht eine Sicherheitslücke, wenn die App auf dem zu verwendeten Smartphone nicht regelmäßig aktualisiert wird.
5. Schließlich gibt es noch das ChipTAN-USB-Verfahren, bei dem die Auftragsdaten mit dem ChipTAN-USB-Leser bestätigt werden, wobei hier die Schwachstelle bei einer möglichen Schadsoftware auf dem Kundenendgerät liegt.
Meist legen die Banken selbst fest, welche Verfahren sie ihren Kunden anbieten, wobei sich das PushTAN-Verfahren für Smartphones immer weiter verbreitet.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass der Einsatz von externen TAN-Generatoren immer noch am sichersten ist, da dieser vom Internet getrennt ist und ausschließlich für das Online-Banking benutzt wird (www.bsi.bund.de/de/themen/verbraucherinnen/und/verbraucher/informationen-und-empfehlungen/online-banking-online-shopping-und-mobil-bezahlen/online-banking/smstan/sms-tan_nod.html).
Zusammenfassend ist jedenfalls vom Online-Banking NUR über ein Smartphone abzuraten.
Unzureichendes Beschwerdemanagement betroffener Banken
Trotz der bekannten technischen Schwächen haben bis in die jüngste Vergangenheit bzw. immer noch die Advanzia, Solaris (ADAC-Kreditkarte) und sogar die DKB im Rahmen der Miles&More Kreditkarte mit smsTANs gearbeitet.
Geschädigte von Kreditkartenbetrug und Phishing berichten über einen schwer erreichbaren Kundenservice und eine unzureichende Bearbeitung ihrer Beschwerden. Typischerweise bemerken Geschädigte derartige Vorfälle ohnehin erst mit einigen Tagen Verzögerung oder erst nach Erhalt der nächsten Kontoauszüge, oder wenn plötzlich das Überziehungslimit unerklärlich gerissen ist.
Solche üblichen Verspätungen genügen jedoch nicht dafür, dass die Bank dem Kunden fahrlässiges Verhalten bei nicht autorisierten Verfügungen nach § 675 u S. 2 BGB vorwerfen kann.
Ansprüche wurden bereits gegen die DKB, Postbank, Solaris SE, comdirect Bank und verschiedene Sparkassen und Genossenschaftsbanken erfolgreich geltend gemacht.
Keine grobe Fahrlässigkeit
Es muss betont werden, dass die Rechtsprechung zur (nicht bestehenden) groben Fahrlässigkeit von Phishing-Opfern eine Einzelfallrechtsprechung ist.
Zugunsten geschädigter Bankkunden hat beispielsweise das Landgericht Köln am 20.11.2023 – 22 O 43/23, geurteilt, weil der Kunde darauf vertrauen durfte, dass der vorgebliche Bankmitarbeiter, der unter der fälschlicherweise angezeigten Telefonnummer der Bank anrief (sogenanntes Call-ID-Spoofing), tatsächlich ein Mitarbeiter seiner Bank war (nicht rechtskräftig).
Das Oberlandesgericht Celle bestätigte ein Urteil des Landgerichts Stade (Az. 3 U 64/23), bei dem der Betrüger nach einem Phishing-Angriff eine neue Telefonnummer hinterlegt hat, das Überweisungslimit auf € 25.000,00 erhöht hat und dann € 24.890,00 auf ein fremdes Konto bei der N26-Bank überwiesen hat. In diesem Fall hatte die Bankkundin nach der Urteilsbegründung in der Gesamtschau nicht grob fahrlässig gehandelt, weil sie weder die PIN, noch den Net-Key oder eine TAN zur Autorisierung einer Überweisung mitgeteilt habe.
Das Landgericht Zweibrücken verurteilte eine Volks- und Raiffeisenbank am 23.01.2023 – 2 O 130/22 bei Zugrundelegung von Mitverschulden, da sie keine hinreichende Systemsicherheit gewährleistet habe.
Das Landgericht Aachen hat geschädigten Kunden die Hälfte ihres Schadens ersetzt, nachdem sie von einem falschen Bankmitarbeiter angerufen und dazu veranlasst worden sind, ihre Daten auf einer Website einzugeben, deren Link er über eine WhatsApp-Nachricht bekommen hatte. Zu beachten ist, dass in diesem Gerichtsfall der Bankkunde seine Sparkasse zuvor über Probleme bei der Einrichtung des neuen Sicherheitsverfahrens unterrichtet hatte und die Bankmitarbeiterin nur einem Termin mit ihm vereinbart hat, jedoch nicht sein Konto gesperrt hat (LG Aachen vom 06.02.2024 – 10 O 53/23).
Fachanwaltliche Vertretung
Rechtsanwalt Michael Staudenmayer, Fachanwalt für Bank- und Kapitalmarktrecht, hat bereits gegenüber zahlreichen Banken und Sparkassen die ihren Kunden entstandenen Schäden erfolgreich durchgesetzt.
Für rechtschutzversicherte Mandanten wird in der Regel kostenfrei eine Deckungszusage bei der Rechtsschutzversicherung eingeholt.
Diese Information gibt den Stand zum Zeitpunkt ihrer Veröffentlichung wieder.
Rechtsanwalt Michael Staudenmayer
FACHANWALTS- und STEUERKANZLEI STAUDENMAYER
Möhringer Landstraße 11
D - 70563 Stuttgart-Vaihingen
Tel.: +4971178269330
Fax: +4971178269331
E-mail: info@ra-staudenmayer.de
#online-banking#adac-kreditkarte#kreditkartenbetrug#missbrauch#phishing #schadensersatz#grobefahrlässigkeit#smstan#pushtan#chiptan#phototan#bsi#fachanwaltfürbankundkapitalmarktrecht#