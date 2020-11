Wolfsburg

Seit 1986 sind der Wolfsburger und seine Frau Kunden bei einem genossenschaftlichen Geldinstitut und schon seit den 90-er Jahren nutzt der Ehemann Möglichkeiten des Online-Bankings. Jetzt aber hat er das Vertrauen in die Technik und in die Bank gleichermaßen verloren. Grund ist der Betrug durch Unbekannte, die das Konto leer räumten, und die Reaktion der Volksbank Braunschweig-Wolfsburg.

21 000 Euro konnte ein Bankmitarbeiter zwar zurückholen, aber 82 000 Euro wurden ins Ausland transferiert und sind futsch. Das Problem ist die Schuldfrage. Die Versicherung zahlt laut Pressesprecher Daniel Dormeyer nur für Schäden, die von der Bank selbst verursacht wurden. Das sei aber hier nicht der Fall. Weder beim Bankpersonal noch beim Rechenzentrum habe es eine Panne gegeben.

Bei ihnen liege aber auch keine Schuld für den Verlust in dieser Höhe, versichern die Kunden. Der Ehemann erläutert, er habe sogar noch eine zweite Sicherung eingebaut und festgelegt, dass pro Tag maximal 5000 Euro abgehoben werden dürfen – egal ob mit dem Programm „SecureGo“ per Handy oder persönlich am Automaten der Bank. Normalerweise sei auf ihrem Girokonto auch gar nicht so viel Geld, erzählen die Geschädigten. „Größere Beträge haben wir in Fonds abgesichert.“ Aber das Wolfsburger Ehepaar hatte gerade geerbt und wollte mit dem Geld Handwerker-Rechnungen begleichen sowie einen VW-Bus kaufen.

Welche Sicherung hat versagt?

Wie kann es sein, dass nicht nur 10 000 sondern mehr als 100 000 Euro in die Hände der Unbekannten gelangten? „Wir gehen davon aus, dass zwei kriminelle Handlungen vorliegen, die nicht in unseren Verantwortungsbereich fallen“, erläutert der Volksbank-Sprecher. Zum einen müssten sich die Unbekannten Zugang zum Online-Account des Kunden verschafft haben, um dort den VR-NetKey und die persönliche PIN mit TAN zu bekommen – wahrscheinlich per Phishing, also durch den Datenklau über eine gefälschte Webseite, E-Mail oder Kurznachricht.

Zum anderen müssten die gleichen Personen Zugang zur Post, vielleicht sogar zum Briefkasten der Kunden gehabt haben, um an den Freischaltcode zu gelangen, der ordnungsgemäß verschickt worden sei. „Damit hatten die Täter die Zugangsdaten und konnten mit Hilfe der App auch Transaktionsnummern generieren“, mutmaßt Dormeyer. Jedenfalls sei eine Autorisierung mit Eingabe einer gültigen PIN und TAN erfolgt.

Daniel Dormeyer, Sprecher der Volksbank BraWo, ist überzeugt davon, dass das Online-Banking-System auf dem neuesten Stand der Technik und damit unknackbar ist. Quelle: privat

Die Volksbank verweist darauf, dass beim SecureGo-Verfahren regelmäßig funktionale Updates sowie Sicherheitsupdates durchgeführt würden. Zudem biete ein VR-ComputerCheck den Kunden die Möglichkeit, ihren Computer, das Tablet oder das Smartphone auf bekannte Sicherheitsprobleme hin überprüfen zu lassen.

So funktioniert SecureGo Wie funktioniert das Online-Banking-Verfahren SecureGo bei der Volksbank Braunschweig-Wolfsburg, das der Banksprecher als „unknackbar“ bezeichnet? Transaktionen können prinzipiell nur mit Kenntnis des VR-NetKeys, der persönlichen PIN und einer gültigen TAN durchgeführt werden. Alle Überweisungen und Änderungen müssen mit einer neuen TAN autorisiert werden. Die TAN werden ausschließlich mit der persönlichen Girocard und einem Kartenleser oder der VR-SecureGo App auf dem Smartphone des Kunden erzeugt. Dabei ist es wichtig, die PIN stets geheim zu halten, auf seinen TAN-Generator aufzupassen und diese geheimen Zugangsdaten niemals auf Verlangen am Telefon oder in E-Mails weiterzugeben. Wichtig auch: Im Online-Banking selbst wird immer die Zeit der letzten Anmeldung angezeigt. Wenn ein Nutzer seine Sicherheitsmedien verliert oder merkt, dass seine PIN ausgespäht wurde oder andere ungewöhnliche Änderungen an seinem Konto feststellt, so sollte er das sofort seiner Bank anzeigen, die die nötigen Schritte veranlassen wird.

„Sollte bei der weiteren Klärung eine Möglichkeit zur Regulierung durch die Versicherung bestehen, werden wir dies natürlich aktiv unterstützen“, versichert die Volksbank. Durch das schnelle Handeln des Mitarbeiters, der die Transaktion am nächsten Morgen bemerkt, das Konto gesperrt und den Kunden informiert habe, hätte zudem ein großer Teil des Schadens schon verhindert werden können.

Beweislast liegt laut Anwalt bei der Bank

„Diese Aussage finde ich angesichts der Schadenssumme mutig“, kommentiert Thomas Feil, Anwalt des Ehepaars. „Wir haben schon Klage eingereicht.“ Knackpunkt sei, dass niemand erklären könne, wie die Täter an die Daten gekommen seien. Dass sich die Kunden grob fahrlässig verhalten hätten, müsse die Bank beweisen. Denn: „Das allgemeine Risiko des Online-Bankings muss die Bank tragen.“ Er verweist dazu auf einen Beschluss des Oberlandesgerichts Schleswig-Holstein aus dem Jahr 2018 in einem vergleichbaren Streitfall.

Thomas Feil ist Fachanwalt für IT-Recht. Pro Jahr vertritt er laut eigener Schätzung bundesweit etwa 30 bis 50 Mandant*innen bei Fällen im Bereich Online-Banking. Quelle: privat

Zudem hätte die Bank den Kunden nach Entdeckung der unautorisierten Zahlungen den Betrag umgehend erstatten und gegebenenfalls anschließend eine Rückzahlung einfordern müssen – falls ein Fehlverhalten bewiesen werden könnte.

Ein Verhandlungstermin steht noch nicht fest.

Von Andrea Müller-Kudelka