Konto gehackt – die Bank ist nie schuld
Eine Basler Ärztin wird Opfer von E-Banking-Gaunern. Falsch gemacht hat sie nichts. Ihre Bank lässt sie trotzdem auf dem Schaden von 28'000 Franken sitzen.
Veröffentlicht am 27. September 2019 - 14:59 Uhr
Als im November 2018 die Polizei anrief, musste sich Daniel Sturzenegger erst mal setzen. «Der Polizist fragte, ob ich jemandem kürzlich gegen 100'000 Franken auf ein Konto in Lenzburg überwiesen habe.» Hatte er nicht. Daniel Sturzenegger und seine Frau Ladina waren Opfer von E-Banking-Betrügern geworden.
Ladina Sturzenegger ist Augenärztin mit eigener Praxis in Liestal. Bei der Basellandschaftlichen Kantonalbank (BLKB) hat sie ein Konto, auf das Patienten Rechnungsbeträge einzahlen. Sie selber macht nur hin und wieder Überweisungen daraus an eine andere Bank.
Vom BLKB-Konto wurden nun innerhalb weniger Tage hohe Beträge nach Lenzburg AG transferiert. Dort hob eine Frau das Geld tranchenweise ab und schickte es per Frachtbrief nach Russland. Sie war ein «money mule», ein Geldesel. Nach ihrem zweiten Besuch schaltete die Bank in Lenzburg die Polizei ein. Rund 28'000 Franken waren aber schon weg. Die Frau wurde inzwischen wegen Geldwäscherei verurteilt.
Sturzeneggers, die seit Jahren Online-Banking nutzen, liessen das gehackte BLKB-Konto sofort sperren. Wie die Betrüger es geschafft haben, in den Account zu gelangen und Geld zu transferieren, ist ungeklärt. Überweisungen sind nur möglich, wenn man eine Transaktionsnummer (TAN) eingibt. Bei der BLKB wird sie per SMS aufs Handy der Kunden geschickt.
Ladina Sturzenegger hat in jenen Tagen keine solche SMS erhalten. Das bestätigt eine Analyse, die eine Spezialfirma im Auftrag der Bank durchführte.
Der Computer der Sturzeneggers wurde ebenfalls durchgecheckt. Es gab Hinweise, dass versucht worden war, den bekannten E-Banking-Trojaner verseuchten Mailanhang, der versehentlich geöffnet wurde. Eindeutige Beweise fehlen.
Für die Bank ist trotzdem klar: Ihr Fehler war es nicht. Sie deckt den Schaden deshalb weder ganz noch teilweise. Für Risiken, die ausserhalb ihres Einflussbereichs liegen, übernimmt sie keine Haftung. So steht es in den allgemeinen Geschäftsbedingungen. «Wir können trotz aller Sicherheitsmassnahmen keine Verantwortung für das Endgerät unserer Kunden übernehmen», heisst es bei der BLKB.
Will heissen: Wenn der Computer eines Kunden angegriffen wird, ist dieser selber schuld. Bei der Stiftung für Konsumentenschutz stösst diese sogenannte Sphärenhaftung auf wenig Gegenliebe. «Das Schadensrisiko wird komplett auf die Kunden überwälzt, auch wenn sie Opfer eines Betrugs wurden», sagt die Juristin Cécile Thomi. «Wir lehnen das ganz klar ab.»
Mit ihrem Haftungsausschluss ist die Baselbieter Kantonalbank nicht allein. Er ist Standard, die allgemeinen Geschäftsbestimmungen aller Banken ähneln sich hier. Für Kontoinhaber bedeutet das: Entweder sie verzichten auf E-Banking – oder sie müssen das Risiko in Kauf nehmen. Nur: Wie gross das Risiko wirklich ist, weiss niemand genau.
Über Schadenfälle schweigen die Banken sich aus. Die BLKB bestätigt lediglich, was allgemein bekannt ist: dass es «bei zahlreichen Banken» immer wieder zu Angriffen kommt und man auf der Website Tipps gibt, wie sich Kunden vor Phishing schützen können.
Ladina Sturzenegger wäre nur schon froh gewesen, wenn der Bank die ungewöhnlichen Transaktionen aufgefallen wären. Daniel Sturzenegger hat die Konsequenz für sich gezogen und nun auf seinem Handy Push-Benachrichtigungen aktiviert: Jede Transaktion wird ihm nun sofort angezeigt. «Ich kann allen nur raten, das auch zu tun.»
Die Idee mit dem Push-Alarm hilft gegen herkömmliche Angriffe. Sie erfolgen meist über Mailanhänge oder Links in einer Mail, die im Hintergrund einen Trojaner auf dem PC installieren, sobald man sie anklickt. Beim nächsten Log-in ins E-Banking werden die Daten ausgelesen, und es wird ein Fenster eingeblendet, das zu einem Update auf dem Smartphone oder zur Eingabe der Telefonnummer auffordert. Falls man der Anweisung folgt, wird auch auf dem Handy ein Schadprogramm aktiv, das heimliche Transaktionen möglich macht. Immerhin können diese dann Push-Benachrichtigungen auslösen.
Modernere Angriffe sind aber raffinierter. Es reicht, auf einer verseuchten Website zu surfen, die sich optisch nicht vom Original unterscheidet. Beim ersten Klick installiert sich im Hintergrund ein neuer Internetbrowser, der den alten ersetzt. Der neue Browser liest alles mit, was man im Internet macht – auch Log-in-Daten fürs E-Banking.
Das mit dem Konto verknüpfte Smartphone zu finden und zu infizieren, sei dann ein Kinderspiel, sagt IT-Security-Experte Reto E. Koenig von der Berner Fachhochschule. «Viele Smartphones sind zum Beispiel mit einem Google-Account verknüpft und lassen sich direkt anpeilen, wenn man mal im System drin ist.»
Bei einer solchen Man-in-the-Browser-Attacke können Betrüger nicht nur Geld transferieren, sondern das auch verschleiern und etwa einen falschen Kontostand anzeigen. «Betroffene merken unter Umständen erst, dass etwas nicht stimmt, wenn der Anruf von der Bank kommt, es sei kein Geld mehr da.»
«Selbst wer vorsichtig unterwegs ist und sich gegen Malware schützt, ist nicht gegen solche Angriffe gefeit.»
Reto E. Koenig, IT-Security-Experte
Sich via SMS zu authentisieren gilt schon seit Längerem als unsicher. Denn die Kurznachrichten sind unverschlüsselt und können relativ einfach auf andere Nummern umgeleitet werden.
Aber auch neuere Systeme, bei denen man mit einer Smartphone-App ein Mosaik auf dem Computerbildschirm einliest und dann die TAN angezeigt erhält, sind laut Koenig nicht sicher. «Das System lässt sich manipulieren, sodass bei einer Transaktion genau das angezeigt wird, was der Kunde erwartet. Heimlich werden jedoch ganz andere Beträge an ganz andere Orte verschoben.» Studierende von Koenig haben das in einer Studie nachgewiesen.
Die sicherste Variante für E-Banking ist laut Reto E. Koenig ein separates Gerät, das nur diesen Zweck erfüllt und Transaktion sowie TAN auf dem Display anzeigt. Die Banken bewegten sich aber leider in die falsche Richtung, hin zum Handy. «Sie stellen Kunden so vor eine erwiesenermassen unmögliche Aufgabe. Selbst wer vorsichtig unterwegs ist und sich gegen Malware schützt, ist nicht gegen solche Angriffe gefeit.»
Bisher zeigten sich viele Banken in Schadensfällen kulant, sofern die Geschädigten den Angriff nachweisen konnten. Warum die Basellandschaftliche Kantonalbank das bei Daniel und Ladina Sturzenegger anders handhabt, ist unklar. «Wir analysieren den Einzelfall und entscheiden aufgrund des aktuellen Sachverhalts, insbesondere auch unter Berücksichtigung der individuellen Sorgfaltspflichten», lässt die Bank verlauten.
Für Cécile Thomi vom Konsumentenschutz ist fraglich, ob die Geschäftsbedingungen der Banken rechtlich haltbar sind. «Das Gesetz gegen unlauteren Wettbewerb verbietet eine zu einseitige Risikoverteilung zuungunsten der Kunden.» Doch solange niemand dagegen klagt, wird E-Banking bleiben, was es ist: ein Risiko.
Wenn Hacker es auf jemanden abgesehen haben, ist man nahezu machtlos. Doch gerade beim E-Banking oder Mobile-Banking kann man einige Punkte bezüglich Sicherheit beachten, damit Betrüger keine offenen Türen einrennen können. Mehr dazu für Beobachter-Mitglieder in der Checkliste «Sicherheit im E-Banking».
7 Kommentare
Ich finde es schlimm, wenn man die wichtigsten Vorsichtsmasnahmen einhält und keine Transaktion auslöste, Schlussendlich nicht recht bekommt. Für was taugen dann die Antiviren und Internetsecurity Programme. Gibt es keinen guten automatischen Schutz vor Trojanern ? Ein separates Gerät nur für e-banking ist nicht praktisch. Reicht zur Sicherheit auch ein neues Nutzerprofil ?
Jetzt wo die einfachen PC / Laptops so billig sind, habe ich mir einen separaten Laptop NUR für das eBanking zugetan (war eigentlich der alte obsolete Laptop, neu aufgesezt). Für‘s eBanking noch allemal gut genug. Gibt mir Peace of Mind
[Quote]"Überweisungen sind nur möglich, wenn man eine Transaktionsnummer (TAN) eingibt. Bei der BLKB wird sie per SMS aufs Handy der Kunden geschickt.
Ladina Sturzenegger hat in jenen Tagen keine solche SMS erhalten. Das bestätigt eine Analyse, die eine Spezialfirma im Auftrag der Bank durchführte."[/Quote]
Die Bank dürfte KEINE Überweisungen annehmen, ohne 2-Faktor-Authentifizierung (nebst Anmeldung mit Benutzer-ID und Passwort, noch zB die mTAN / SMS auf das Handy des Kunden). Diese hat ja gemäss diesem Artikel so nicht statt gefunden.
[Quote]"Für die Bank ist trotzdem klar: Ihr Fehler war es nicht."[/Quote]
Natürlich: Die sind für NICHTS verantwortlich. Auch nicht für an der Börse verzockter Milliarden, nicht für das einfügen toxischer Papiere in sonst solide Fonds, nicht für Kosten der exorbitanten Boni bei guter und schlechter Geschäftsführung, nicht für......
Wir lernen zwei Dinge:
1) Die Banken trauen Ihrer eigenen, billigen Technologie nicht. Daher wird das Risiko am besten auf den Kunden überwälzt.
2) Wer sich auf einen solchen e-banking Vertrag einlässt, ist selbst schuld. Oder möchten Sie sich auf die Kulanz einer Bank verlassen?
Leider verpassen es die Behörden entsprechend zu informieren oder eine konsumentenfreundliche juristische Regelung – wie sie es in anderen Ländern gibt - durchzusetzen.
Bis sich was ändert - und das kann im Bankenland Schweiz dauern - eher Hände weg.
Noch nicht lange ist es her, hat hat man gehörig gewettert, da jemand Geld über die Neo-Bank Revolut verloren hat. Es hat sich dabei im ein IT-Verantwortlicher gehandelt. Im Laufe der Zeit wurde dann auch bekannt, dass er tatsächlich auf eine Phishing-SMS geantwortet hat. Volles Eigenverschulden, durch Kulanz wurde der Schaden übernommen. Hängengeblieben ist die Frage, ob Neo-Banken sicher genug seinen. Das hier ist ein gutes Beispiel, dass es in etwas Hans was Heiri ist und dass die herkömmlichen Banken nicht wirklich Verantwortung übernehmen. Da kann man also getrost wechseln....