Rund 60 Prozent aller Bankgeschäfte in Deutschland werden über das Internet getätigt, so eine Studie der US-Beratungsagentur Bain & Company. Die Banken selbst schwören auf die Sicherheit ihrer Portale - doch ist Online-Banking wirklich sicher? Der Frage widmen sich zwei Rechtsexperten von der Universität des Saarlandes. "Absolute Sicherheit gibt es nicht", so Christoph Sorge, Professor für Rechtsinformatik, "wenn man sich aber sorgfältig verhält, sind Zwischenfälle selten." Das unterstreicht Georg Borges, Inhaber des Lehrstuhls für Bürgerliches Recht, Rechtstheorie und Rechtsinformatik: "Die Risiken sind überschaubar."

Wie es dennoch immer wieder zu Betrugsfällen kommt, erklärt Christoph Sorge: "Das Opfer fängt sich in der Regel irgendwoher Schadsoftware ein, danach haben die Angreifer die volle Kontrolle über das System." Um Überweisungen tätigen zu können, müssen sie dann nur noch an die Transaktionsnummern (TAN) gelangen, mit denen der Kunde seine Bankgeschäfte authentifizieren muss. Die Experten empfehlen das ChipTAN-Verfahren, bei dem ein spezieller TAN-Generator zum Einsatz kommt. Dabei handelt es sich um ein nur wenige Euro teures Zusatzgerät, in das die EC-Karte gesteckt wird und das die TAN generiert. Der Kunde muss die Nummer dann nur noch in seinem Bankingportal eingeben. "Die Installation von Schadsoftware auf dem Generator ist für die Angreifer sehr schwierig", begründet Sorge den hohen Sicherheitsstandard der kleinen Geräte.

Wer den Schaden übernimmt, wenn das Kind allen Schutzmaßnahmen zum Trotz in den Brunnen gefallen ist, erläutert Georg Borges. "Grundsätzlich ist natürlich der Täter verantwortlich und schuldet den Schadensersatz." Allerdings sei der Täter fast immer unbekannt, weswegen meist die Bank den Schaden tragen müsse. "Wenn das Geld auf meinem Konto weg ist, ist das zunächst nicht mein Problem, sondern das der Bank." Diese trage das Risiko für gefälschte Zahlungsvorgänge und müsse den Schaden erstatten.

"So einfach ist es aber auch nicht", schränkt Borges ein. So könne die Bank bei Pflichtverletzungen des Kunden Schadensersatz verlangen. Dieser sei für den Schaden sogar voll haftbar zu machen, wenn er grob fahrlässig mit seinen sogenannten Authentifizierungsmedien, also etwa mit seiner EC-Karte oder seinen TANs, umgegangen ist. Auch sei der Kunde zur "Abwehr von Täuschungsversuchen" verpflichtet, so Borges. Entscheidend ist dabei, dass das Wissen um bestehende Gefahren vorausgesetzt wird. Wer also eine offensichtlich gefälschte Mail anklickt und dort mehrere TANs eingibt, mache sich voll haftbar. Das gleiche gelte für Personen, die ihre EC-Karte oder ihre Zugangsdaten an Dritte weitergeben. Wenn dem Opfer keine solche grobe Fahrlässigkeit nachzuweisen ist, trage die Bank den Schaden. Allerdings kann sie dem Kunden dennoch 150 Euro für kleinere Pflichtverletzungen in Rechnung stellen, ebenso beim Verlust der EC-Karte.

Weitere Informationen zum Thema Online-Banking sowie aktuelle Sicherheitshinweise bietet das Internetportal der von Georg Borges gegründeten Arbeitsgruppe Identitätsschutz im Internet (a-i3.org). Opfer finden dort zudem eine Beratungshotline. Viele Infos zum Online-Banking stellt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter bsi-fuer-buerger.de zur Verfügung.

Zum Thema:

Auf einen BlickIn einer Vortragsreihe beschäftigen sich Christoph Sorge und Georg Borges mit Rechtsfragen im Internet. Die nächste der insgesamt zehn Veranstaltungen mit dem Thema "Google und der Datenschutz" findet am 10. Juni ab 18 Uhr an der Universität des Saarlandes, Gebäude B 4.1, Raum 0.22, statt. np