Die Bank trägt das Risiko von Pharming-Angriffen

Zum „Pharming“ – einer Variante des Phishings – ist eine erste wegweisende Entscheidung gefallen: Bankkunden, die Opfer eines „Pharming-Angriffs“ sind, trifft in der Regel kein Verschulden, das Risiko trägt die Bank. Kunden haften aber, wenn sie durch Unaufmerksamkeit ihre Konto-Zugangsdaten preisgeben.

Das entschied vor kurzem der Ombudsmann des Bundesverbandes der deutschen Volks- und Raiffeisenbanken. „Der Schlichtungsvorschlag ist sehr zu begrüßen“, sagt Prof. Dr. Georg Borges, Jurist an der RUB und Mitbegründer der fachübergreifenden „Arbeitsgruppe Identitätsschutz im Internet“ (a-i3). „Die Entscheidung zeigt, dass das Systemrisiko bei den Banken liegt. Zugleich verdeutlicht sie aber auch, dass der Kunde dann haftet, wenn er mit PIN und TAN nicht sorgfältig umgeht“, so Borges.

Wie Pharming funktioniert

Beim so genannten Pharming arbeiten Betrüger – anders als beim Phishing – nicht mit E-Mails, um die Bankkunden auf eine gefälschte Webseite locken. Die Kunden werden nach Eingabe der Internetadresse ihrer Bank unbemerkt auf eine täuschend ähnliche Seite geleitet und dort aufgefordert, Daten wie PIN und TAN einzugeben. Mittels der falschen Bank-Website lesen die Betrüger diese Daten ein und haben dann Zugriff auf das Konto.

„Unsinnige Aktion“

„Der Schlichtungsspruch des Ombudsmannes bedeutet, dass die Bank in diesen Fällen Überweisungsbeträge wieder den Kunden gutschreiben muss“, sagt Prof. Borges. „Etwas anderes gilt nach dieser Entscheidung, wenn der Kunde seine Zugangsdaten sorglos preisgibt, denn dann hat er den Schaden schuldhaft verursacht.“ Im konkreten Fall, über den der Ombudsmann entschied, hatte ein Kunde auf der gefälschten Webseite gleich vier Tansaktionsnummern (TAN) und seine PIN eingegeben, ohne eine Transaktion vorzunehmen. Einem Kunden müsse klar sein, dass keine Bank eine solch „unsinnige Aktion“ von ihm verlange, so der Ombudsmann. Durch die Diskussion in den Medien und die Hinweise der Banken müsse der Kunde genügend sensibilisiert sein.

a-i3: Risiken des Online-Banking

Unter anderem gegründet vom Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk (RUB) ist a-i3 eine fachübergreifende Arbeitsgruppe, die das Thema Risiken im Online-Banking – Phishing und Pharming – umfassend angeht. Sie macht sich den Schutz von Identitäten im Internet, insbesondere vor Missbrauch zur Aufgabe. Wissenschaftler erforschen und entwickeln Gegenmaßnahmen, zudem klären sie auch die Öffentlichkeit über Gefahren und Risiken auf.

Weitere Informationen

Prof. Dr. Georg Borges, Juristische Fakultät der RUB, Arbeitsgruppe Identitätsschutz im Internet (a-i3), Tel. 0234/32-26775, E-Mail: georg.borges@rub.de