Mag. Katharina Braun -

Wer haftet bei Hackerattacken und Datenklau?

Online – Banking. Es gilt als weitgehend sicher, Risken gibt es trotzdem. Und längst nicht immer greift die Haftung der Bank.

Das Internet hat uns nicht nur Vorteile beschert, sondern auch eine neue Form der Kriminalität: Cybercrime. Dabei geht es um viel Geld, laut dem Norton- Sicherheitsbericht war der Schaden durch Hackerangriffe im Vorjahr höher als der Umsatz im weltweiten Drogenhandel. In Österreich hat sich die Zahl der Attacken seit 2009 verzwanzigfacht – mit einer hohen Dunkelziffer: Viele Unternehmen scheuen aus Angst vor Imageverlust eine Anzeige, zumal es schwierig ist, Täter in der Anonymität des Web auszuforschen.

Die Problematik betrifft auch Nutzer von Telebanking- Unternehmen wie Privatpersonen. Dabei gilt das Zahlen via Web generell als kein großes Risiko. Es sei “grundsätzlich als sicher einzustufen“, meint etwa Heinz Templ, auf IT- Recht spezialisierter Rechtsanwalt bei Lansky, Ganzger und Partner. Er verweist auf ausgeklügelte Authentifizierungsmaßnahmen bei der Anmeldung zum Konto und ausgereifte Verschlüsselungen der betreffenden Websiten:

„ Zumindest auf dem europäischen Markt werden hohe Summen in die Sicherheitssysteme der Portale gesteckt.“ Aber wer trägt den Schaden, wenn dennoch ein Hackerangriff gelingt und Geld auf einem anderen Konto landet als gewollt? Laut Zahlungsdienstegesetz (ZaDIG) haftet bei missbräuchlicher Verwendung von Zahlungsinstrumenten grundsätzlich die Bank. Die Bank muss in solchen Fällen das belastete Konto wieder ausgleichen. „ Den Nutzer trifft aber die Verpflichtung, eine missbräuchliche Verwendung des Onlinezugangs sofort dem Zahlungsdienstleister anzuzeigen“, erklärt der Wiener Rechtsanwalt Clemens Lintschinger.

„ Besondere Sorgfaltspflichten des Nutzers können sich auch aus den Allgemeinen Geschäftsbedingungen des Bankinstituts ergeben.“ Laut VKI- Expertin Julia Jungwirth haftet die Bank aber nur dann nicht, wenn der Kunde seine Sorgfaltspflichten vorsätzlich oder grob fahrlässig verletzt hat, etwa durch nachlässige Aufbewahrung seiner TAN (Transaktionsnummern). „Die Sorgfaltsanforderungen dürfen nicht überspannt werden.“ Und: Für Schäden durch höhere Gewalt müsse die Bank und nicht der Kunde aufkommen.

Phishing: Bank haftet nicht

Rechtsanwalt Clemens Gärner rät grundsätzlich immer dann zur Vorsicht, wenn im Internet die Aufforderung erscheint, eine TAN einzugeben. Um sicherzustellen, dass man wirklich auf der Website der Bank ist, sei es sinnvoll, deren Web – Adresse manuell einzugeben oder im Browser als Favoriten einzurichten und nur diese zu nutzen.

„In letzter Zeit haben sich Fälle gehäuft, in denen Anwender mit einem täuschen echt aussehenden E – Mail auf eine gefälschte Website gelockt wurden, um dort Kontodaten und Passwörter einzugeben („Pishing“). In einem solchen Fall haftet die Bank nicht, der Schaden bleibt vollständig beim Online – Banking- Nutzer.“ Vor leichtfertiger Preisgabe von Daten warnt auch das Bundeskriminalamt: Kein seriöses Unternehmen oder Bankinstitut fordere per E – Mail zur Eingabe von Passwörtern oder Ähnlichem auf. Sichere Websiten erkennt man an den Buchstaben „ https“ in der Adresszeile und einem Schloss – oder Schlüssel- Symbol im Internet-Browser. Hat sich der Betreiber einer unabhängigen Prüfung unterzogen, ist das durch eine grün unterlegte Adresszeile oder ein ebensolches Zertifikatszeichen ersichtlich.

Empfohlen wird außerdem, nicht dasselbe Passwort für mehrere Dienste – etwa E – Mail, Konto, Online- Shops und Communities zu verwenden. Es sollte mindestens acht Zeichen lang sein und aus einer zufälligen Reihe von Groß – und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Könnte ein Passwort in falsche Hände geraten sein, sollte man es sofort ändern, und das dem Homepage – Betreiber melden.

Sicherer als die Verwendung von herkömmlichen TAN ist übrigens das ITAN- Verfahren, bei dem die Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim TAN – Verfahren: Hier wird die TAN dem Kunden aufs handy geschickt und ist nur kurzzeitig gültig. Weitere Absicherungsmöglichkeiten sind eTAN und HBCI, dabei nutzt der Kunde einen TAN – Generator oder ein Kartenlesegerät. Am besten, man informiert sich bei der Bank über die bestehenden Möglichkeiten und wählt das jeweils modernste verfügbare Verfahren:

Autor: Mag. Katharina Braun, veröffentlicht in „die Presse“ am 25.5.2012