Derzeit läuft vor dem Europäischen Gerichtshof (EuGH) ein Verfahren eines Phishing-Opfers aus Polen gegen eine polnische Bank. Der Generalanwalt des EuGH empfiehlt in seiner Stellungnahme eine Entschädigungspflicht von Banken bei Phishing, falls nicht autorisierte Transaktionen erfolgt sind – auch bei Fahrlässigkeit des Kunden – allerdings nur unter besonderen Prämissen.
Die latente Phishing-Gefahr beim Banking
Für Online-Banking lauert ständig die Gefahr, Opfer von Phishing-Angriffen zu werden. Häufiger liest man, dass Nutzer auf einen Phishing-Angriff hereingefallen sind und ihre Zugangsdaten zum Online-Banking herausgegeben haben. Im Anschluss sollen dann Konten leer geräumt worden sein.
Bei solchen Fällen stelle ich mir beim Lesen der Berichte immer die Frage: "Wie soll das gehen?". Auch wenn ein Phisher Zugriff auf meine Online-Banking-Konten bekäme, könnte er maximal auf die bereits stattgefundenen Transaktionen zugreifen – in einigen Fällen sogar nur für drei Monate. Alles andere erfordert ein manuelle Freigabe per Transaktion durch mich. Dazu ist aber beispielsweise eine Autorisierung mittels TAN, erzeugt über einen TAN-Generator, erforderlich.
Ein Phishing-Fall aus Polen
Vor dem Bezirksgericht in Koszalin, Polen, ist der Rechtsstreit eines Kunden gegen die Bank PKO BP S.A. anhängig. Der Kunde hatte einen Artikel auf einer Auktionsplattform zum Verkauf angeboten und wurde dann Phishing-Opfer. Der Kunde bekam einen Phishing-Link von einem Betrüger zugeschickt. Dieser führt zu einer Phishing-Seite, die der Login-Oberfläche der Bank ähnelte.
Der Bankkunde fiel darauf herein und gab seine Zugangsdaten für das Online-Banking ein. Im Anschluss konnte der Betrüger diese Daten zum Anstoßen einer Transaktion nutzen, und überwies einen Betrag vom Konto des Opfers zu einem anderen Zielkonto.
Das Opfer meldete die Transaktion zwar am nächsten Tag der Bank und erstattete auch Anzeige bei polnischen Polizei. Wie in so vielen Fällen konnte(n) der (oder die) Betrüger nicht identifiziert werden.
Der Fall landet vor Gericht und vor dem EuGH
Die Bank weigerte sich, dem Kunden den ohne Autorisierung abgebuchten Betrag zu erstatten. Die Bank berief sich bei der Verweigerung der Erstattung auf Fahrlässigkeit des Kunden. Daraufhin verklagte der Kunde die Bank vor dem Bezirksgericht in Koszalin.
Das Bezirksgericht in Koszalin legte den Fall dem Europäischen Gerichtshof zur Entscheidung vor. Das polnische Gericht will vom EuGH wissen, ob die Bank als Zahlungsdienstleister nach EU-Recht verpflichtet ist, eine nicht vom Bankkunden autorisierte Transaktion unverzüglich zu erstatten, selbst wenn die Bank der Ansicht ist, dass der Kunde grob fahrlässig gehandelt hat, oder ob die Bank diese Erstattung wegen Fahrlässigkeit verweigern kann.
Laut dieser Pressemitteilung (via) hat Athanasios Rantos, Generalanwalt des Gerichtshofs der Europäischen Union (EuGH), eine formelle Stellungnahme mit einer Empfehlung an das Gericht abgegeben. Athanasios Rantos empfiehlt eine Entschädigungspflicht für Banken gegenüber Phishing-Opfern auch bei Fahrlässigkeit (durch Weitergabe von Zugangsdaten), sofern nicht autorisierte Transaktionen erfolgt sind.
Der Generalanwalt des Gerichtshofs vertritt die Auffassung, dass das EU-Recht von der Bank verlangt, zunächst den Betrag der nicht autorisierten Transaktion unverzüglich zurückzuerstatten. Ausnahme ist, dass die Bank den begründeten Verdacht auf Betrug hat, den sie der zuständigen nationalen Behörde schriftlich mitteilen muss.
Eine andere Ausnahme von diesem Grundsatz der sofortigen Rückerstattung ist nicht vorgesehen, und der EU-Gesetzgeber hat den Mitgliedstaaten in dieser Hinsicht keinen Ermessensspielraum gelassen.
Diese Rückerstattung ist jedoch nicht endgültig. Stellt die Bank anschließend fest, dass der Kunde vorsätzlich oder grob fahrlässig eine der Verpflichtungen, insbesondere in Bezug auf personalisierte Sicherheitsdaten, nicht erfüllt hat, kann sie vom Kunden verlangen, die entsprechenden Verluste zu tragen. Weigert sich der Kunde, den Betrag der nicht autorisierten Transaktion zu erstatten, ist es Sache der Bank, rechtliche Schritte gegen diese Person einzuleiten, um die Zahlung zu erwirken.
Nach Ansicht des Generalanwalts "ist ein solcher Ansatz durch den Wortlaut der einschlägigen europäischen Rechtsvorschriften, den vom nationalen Gericht ermittelten Kontext der einschlägigen Bestimmungen und die Notwendigkeit gerechtfertigt, ein hohes Schutzniveau für Verbraucher, die Zahlungsdienste nutzen, zu gewährleisten, was eines der mit diesen Rechtsvorschriften verfolgten Ziele ist."
Die Empfehlung des Generalanwalts ist noch kein Urteil des EuGH. Dessen Richter halten sich aber in der Regel an die Empfehlung des Generalanwalts.
Die Implikationen eines Urteils
Wer jetzt hofft, dass jegliches Phishing beim Banking als Kunde folgenlos bleibt, dürfte enttäuscht werden. Denn obige Empfehlung enthält gleich mehrere Einschränkungen: Das greift nur, wenn lediglich die Zugangsdaten eingegeben, aber keine Transaktionen genehmigt wurden. Das ist nämlich der springende Punkt: Banken müssen den Kunden in die Lage versetzen, Transaktionen über Autorisierungen korrekt abzusichern.
Und Fälle von Vorsatz oder grober Fahrlässigkeit (z.B. Eingabe von TANs zur Autorisierung der Transaktion) sind ausgeschlossen. Die Empfehlung und ein Urteil bietet also weiterhin Stoff für weitere Verfahren. Aber die Richtung könnte zu einer verbesserten Absicherung von Transaktionen beim Online-Banking führen.
Die Absicherung über SMS-TAN ist von Gerichten in Deutschland ja bereits als nicht mehr ausreichend angesehen worden, da solche SMS-TANs durch SIM-Swapping abgefischt werden können. Ein eventuelles EuGH-Urteil könnte aber für Banken, die beim Online-Banking über Apps sowohl Transaktionen als auch die Autorisierung abwickeln, das Risiko einer Haftung spürbar erhöhen.
Kapert eine Malware das Gerät und kann die Autorisierung durch Eingabe eines abgegriffenen PIN selbst vornehmen, dürfte es für die Bank mit dem Nachweis der groben Fahrlässigkeit eng werden. Weist ein Gutachter nach, dass der Kunde diese Autorisierung nicht durch PIN-Eingabe genehmigt hat, wäre die Bank meiner Schlussfolgerung nach wiederum in der Haftung. Wird zwar etwas verzwickt, solange der Kunde nachweisen muss, dass er eine Transaktion nicht autorisiert hat. Ein Urteil könnte imho aber für ein Stück mehr Sicherheit sorgen und allzu windige Online-Banking App-Lösungen vom Markt fegen.
MVP: 2013 – 2016
Das wird lustig werden, mal sehen wie lange es brauch bis jemand auf die Idee kommt das Geld selber verschwinden zu lassen und es dann von der Bank wieder haben will.
Es muß auf alle Fälle eine Abgrenzung geben zwischen Fällen, die offensichtlicher Betrug sind und denen, bei denen man es schwerer erkennt und darauf hereinfällt.
Es gab ja früher bei den EC-Karten auch ein Spektrum zwischen "PIN mit Edding auf die Karte geschrieben" und "PIN nachweislich nicht bekannt, da der Briefumschlag noch ungeöffnet vorlag".
Die kann man nicht über einen Kamm scheren.
Ist das letzten Endes nicht völlig egal, denn wer zahlt den Aufwand für diese dann nötigen Einzelfallunterscheidungen oder auch eine pauschalisierte Haftungsabsicherung der Banken?
Na wer wohl? die Kunden, oder glaubst du ernsthaft das diese Kosten nicht umgelegt werden?
Ist mir doch bekannt – war ja eher als rhetorische Frage an @Fritz für die Verdeutlichung gerichtet! 😉
Ich meinte nicht die Abgrenzung ob der Kunde es hätte erkennen können oder nicht, sondern ob der Kunde das selbst manipuliert hat und nur behauptet betrogen worden zu sein um sich das Gelb von der Bank "zurück"-zuholen
Gibt es eigentlich eine Statistik, wie oft Bank-Kunden per Phishing oder Trojaner betrogen werden? Und wie kulant Banken mit dem Problem umgehen? Mein Eindruck ist, dass dieses Thema "tot-geschwiegen" wird, vielleicht auch "um die Bevölkerung nicht zu verunsichern".
Hmm…
Ich glaub' viel eher, dass das wohl nicht so idealistisch bedingt sondern mehr auf rein lobbyistischem Interesse beruht.
Und statistische Erhebungen werden wahrscheinlich auch maximal Tendenzen aufzeigen können, denn viele solcher Fälle werden auch gar nicht registriert, weil durch die Opfer entweder gar nicht bemerkt oder auch nicht "angezeigt", aber ob diese Tendenzen dann wirklich relevant zuzuordnen sind bleibt doch eher fraglich.
Hat die Bank wirklich eine Überweisung ohne eine durch den Kunden erteilte Autorisierung durchgeführt? Ich mag mir das irgendwie nicht vorstellen. Denn dann wäre sie doch in der Tat rückerstattungspflichtig.
Sollte sie eine Autorisierung vorweisen können, wäre es interessant, wie die erzeugt wurde und wo die hergekommen ist. Das würde dann ggf. das verwendete Sicherheitsverfahren in Frage stellen
Irgend eine Information fehlt da meiner Meinung nach, sonst sehe ich keinen Grund, warum der Fall am EuGH verhandelt wird.
***********************************
Dieser führt zu einer Phishing-Seite, die der Login-Oberfläche der Bank ähnelte.
Der Bankkunde fiel darauf herein und gab seine Zugangsdaten für das Online-Banking ein. Im Anschluss konnte der Betrüger diese Daten zum Anstoßen einer Transaktion nutzen, und überwies einen Betrag vom Konto des Opfers zu einem anderen Zielkonto.
****************************************
Der Kunde gab seine Bankdaten auf ne Phishing Seite ein, worauf die Gauner dies nutzen um abzubuchen! Die Buchung war also sehr wohl authorisiert!
Wenn PW PIN/TAN stimmen kann die Bank ja nicht wissen das das nicht der Kunde ist!
Du musst halt schon aufpassen wo du deine Daten eingibst!
Wenn der EuGH der Vorgabe folgt bedeutet das letztendlich das die Allgemeinheit für die Dummheit Einzelner blechen muss, den die Bank wird sowas auf die Preise umlegen!
Ich gehe da nicht mit – wie im Text oben beschrieben, hat die Bank eine Mitwirkungspflicht, die Transaktion autorisieren zu lassen. Es gibt ja auch Finanzagenten, die Zugriff auf Bankkonten haben. Die können aber keine Transaktionen durchführen. Der "Berichterstatter" schaut darüber hinaus auf EU-Recht – mal abwarten, was die Richter am EuGH daraus machen.
Ich sitze gerade am Thema NFC-Leser – und da kommt mir ein spannender Gedanke – weiß nicht, ob technisch was dagegen spricht. Mein Handy kann per NFC und App den Personalausweis, die eGK-Karte für eRezepte etc., lesen. Aber mir ist keine Banking-App bekannt, wo ich meine Debit-Karte (EC-Karte) zur Autorisierung einer Transaktion an mein Smartphone halten könnte. Das wäre ja mutmaßlich ein zweiter Faktor zur Autorisierung einer Transaktion.
Ja, das habe ich mich auch schon gefragt. Das "Neueste", Online-Banking mit zwei App's auf EINEM Handy + zweimal Fingerabdruck scannen, soll sicher sein, ist aber m.E. schlecht kommuniziert. Nach Fido 2 gibt es zwei Varianten: Private Key nur auf dem Gerät oder mit Back-up. Was völlig fehlt ist eine Studie wie gut die Fingerabdruck-Leser funktionieren.
"[…] hat die Bank eine Mitwirkungspflicht, die Transaktion autorisieren zu lassen."
Tut sie doch mit Abfrage der von entweder ihr oder aber der übergeordnet standarisiert zertifiziert zugelassenen Verifizierungsmethoden, oder?
Was soll sie noch leisten?
Jede Erhöhung von Verlustrisiko für die Bankinstitute wird unweigerlich auf die Kund…äh, Konsumenten umgelegt werden.
Das gehörte wesentlich kritischer, insbesondere von sog. Leitmedien, unter die Lupe genommen bzw. auch informativer kommuniziert. 🤨
Und sorry, bzgl. des "spannenden" Gedankens – genau diese für den Nutzer bequemlichkeitsausgerichtete von Eigenverantwortlichkeit wegführenden Methoden mit sicherlich anderen von den "Erfindern/Umsetzern" intendierten Profitideen erdacht, ermöglichen doch grad' erst die weiteren Korrumpierungsmöglichkeiten, gell?!
Ich seh' das tendenziell eher mit Besorgnis. 🤷♂️
nur das EC Karten mittlerweile auch mehr und mehr virtualisiert werden, somit gibt es demnächst nichts mehr zum dran halten.
Login-Daten != Autorisierung einer Transaktion.
Sollte eine TAN zum Login notwendig sein, ist sie NUR für das Login gültig. Für eine Überweisung bedarf es einer zusätzlichen Autorisierung.
Natürlich kann man nach dem ergaunerten Login eine Überweisung in Auftrag geben, diese muss aber durch eine irgendwie geartete Sicherheitsabfrage geprüft und durch den Kontoinhaber bestätigt werden.
Gibt's doch üblicherweise auch – bspw. mein Online-Banking erfordert immer separat authorisierende Code-Eingaben (bei mir mittels Smart-TANphoto-Generator) und selbst die Bargeld-Auszahlung am Automaten erfordert mittlerweile auch eine nochmals separierte Authorisierung per PIN-Eingabe! 🤷♂️
Stammtischquatsch – Login ungleich Autorisierunf einer Transaktion!
Man muss doch unterscheiden zwischen PIN = „Persönliche Identifikations-Nummer", also das was man zum Einloggen braucht, und TAN = „Transaktionsnummer", mit der man eine ganz bestimmte Aktion bestätigt. Die PIN bleibt immer gleich und kann geklaut werden – aber genau deswegen hat man doch die TAN eingeführt: Die soll nur für eine bestimmte Transaktion gelten und hängt sowohl vom Zahlungsbetrag als auch von der Kontonummer des Empfängers ab. Mit einer abgefischten TAN dürfte sich also gar keine fremde Überweisung durchführen lassen. Es sei denn, das ganze Verfahren wäre bloß vorgetäuschter Hokuspokus und nicht besser als die frühere gedruckte Liste, auf der zig TANs standen, von denen man jede beliebige für alles verwenden durfte.
Aber schon klar: Wenn die Banken zahlen müssen, fließt das in ihre Preiskalkulation mit ein. Dann werden die Gebühren höher und/oder das Onilne-Banking noch umständlicher. – Man muss nur mal die Bewertungen der Banking-Apps anschauen, wie oft es Probleme mit nicht erkannten Fingerabdrücken oder gescheiterter Hardware-Freischaltung gibt.
Nein, hinter der Webseite wird erst mal ein "bösartiger" Login durchgeführt, den der Kontoinhabermittels angefragter und durchgereichter TAN freigibt. Gleich darauf wird eine "bösartige" Transaktion angestoßen, und für diese wird eine weitere TAN angefordert. Das kann ggf. ganz trivial durch "der Login hat nicht geklappt, bitte noch mal freigeben" beim uninspirierten Kunden angefragt werden. Man muss dann nur aufs Display schauen, ob man WIRKLICH einen neuen Login freigibt, das steht ja dort sogar im Klartext, wenn nicht ein Trojaner das üebrschreibt. Aber ich vermute mal, es gibt einfach sehr viele Leute, die viel zu viel mit anderen superwichtigen Dingen beschäftigt sind, um Sachen, bei denen es ums eigene Geld geht, einfach mal so zu lesen… Und pffftt… weg ist das Geld!
Wenn ich online auf der Website meiner Bank zwei Überweisungen fertige und die erste absende, werde ich am Handy aufgefordert die Transaktion via SecureApp zu verifizieren.
Sende ich gleich drauf die zweite Überweisung ab, geht die einfach durch. Da kommt keine Abfrage via Handy und SecureApp.
Gleiches passiert am PC, wenn ich das mit meiner Banking Software mache und auch am Handy mit der Banking App.
Ich halte es für möglich, dass bei dem vorliegenden Fall etwas ähnliches passiert ist. Der 'Tunnel', die Verbindung, die Freigabe, was auch immer, war noch offen – die Website auf der der Kunde war gehörte ja dem Betrüger, war zumindest unter seiner Kontrolle – und der Betrüger konnte diese Freigabe für seine Zwecke misbrauchen. Er stösst einfach eine zweite Zahlung an, die geht ohne Rückfrage durch und der Schaden ist angerichtet.
Dann stimmt aber etwas mit dem System der Bank nicht.
Die Bank hat JEDE Transaktion einzeln zu verifizieren, auch wenn man 2 Transaktionen nur Sekunden nacheinander tätigt.
Ja, bei Banken eigentlich schon schon. "Eigentlich" ist so ein tolles Wort…
Hast Du ein Tagesgeld, kann es schon sein, dass nur auf das Referenzkonto überwiesen werden kann, dann entfällt eine TAN-Eingabe schon gerne mal bei der einen oder anderen Bank. Bei der Opel-Bank, die kein Giro-Konto vertreibt, muss man sich für das Tagesgeldkonto nur einmal Legitimieren, danach gibt man auch beim Einloggen nur noch Login&Passwort, aber keine TAN mehr an. Kann jetzt aber nicht sagen, ob ein Zertifikat beim Rechner abgelegt wird, gefühlt aber eher nein.
Nur so eine Idee: Bei Paypal falle ich gerne immer wieder darauf rein, das Kästchen für "diesen Rechner merken und nie niemals nicht mehr nachfragen" wegzuklicken (was mich immer eine Schleife extra kostet, das wieder in Paypal selbst nachträglich zu löschen).
Könnte ja auch einer mal so nachbauen und sich damit seinen eigenen Rechner dahinter "freigeben"?
Da läuft doch irgendetwas bei der Bank falsch.
Eine Transaktion ohne Autorisierung sollte nie gehen.
Standard bei meiner Bank:
Login geht mit normalen Zugangsdaten, aber jeden Logins muss man zusätzlich durch eine per TAN-Generator erzeugten PIN autorisieren.
Und alle Transaktionen muss man mit einer durch den TAN-Generator erzeugten TAN autorisieren.
Selbst wenn jemand meine Zugangsdaten hätte: Er hätte keinen Zugang zu meinem TAN-Generator (und der reicht noch nicht, man braucht auch die Bankkarte) und käme gar nicht in meinen Bankaccount rein.
Ich braucht also 4 Dinge:
1. Accountname
2. Passwort
3. TAN-Generator
4. Bankkarte
Erst wenn ich alle 4 Sachen habe, komme ich in meinen Bankaccount rein.
Hmm…
"Login geht mit normalen Zugangsdaten, aber jeden Logins muss man zusätzlich durch eine per TAN-Generator erzeugten PIN autorisieren."
Das ist aber – zumind. noch – 'ne optionale Sache, weil eben nicht überall zwingend verpflichtend 2FA/MFA als (EU-)Standard (gesetzlich) vorgeschrieben ist.
Na ja, und die anderen drei benötigten Dinge kann man sich durchaus auch beschaffen – da ist leider absolut NICHTS kompromittierungsresitent! 🤷♂️
Die kann man sich nicht über Phishing beschaffen.
Einfach irgeneinen TAN-Generator zu nutzen funktioniert nicht, weil der nicht mit der Bank synchronisiert ist.
Er würde zwar TANs erzeugen, aber die wären falsch und würden von der Bank abgewiesen.
Man braucht also physischen Zugang zum richtigen TAN-Generator und zur Bankkarte.
Der TAN-Generator kann auch von außen nicht beeinflusst werden, da er als Schnittstelle nur einen optischen Leser, einn Kartenleser, ein Display und eine Tastatur hat.
Von außen kann man also nicht drauf zugreifen.
Beim TAN-Generator bin ich bei Dir, bei der Karte nicht – sowas kann dupliziert werden.
Und eigtl. hatte ich ja auch was anderes geschrieben, um meinen Punkt zu verdeutlichen.
2FA ist bei meiner Bank Standard mit Freigabe über Generator oder Bank-Sicherheits-App (nicht Banking -App)
Banking nur am PC und Freigabe nur über Generator oder Bank-Sicherheits-App (nicht Banking -App).
Keine Zahlungen über Smartphone!
Zahlung im Laden nur mit Karte und Pin, wenn keine Pin Abbruch und Ware bleibt liegen. (anderer Laden)
Funkfunktion der Karte abgeschaltet.
Um wie viel Geld ging es in dem Fall? Meine Bank erlaubt die Überweisung von Kleinbeträgen (ich meine bis unter 30€) oftmals (aber nicht immer – da scheint es eine Risikoabschätzung zu geben) auch ohne zweiten Faktor.