Hilfe & Kontakt
Erste Hilfe in Rechtsfragen seit 2000.
13.825 Ratgeber, 2.440.685 Forenbeiträge, 276.457 Rechtsberatungen
664.879
Registrierte
Nutzer
Anwalt? Hier lang
Forum Wirtschaftsrecht

Online Banking TAN phishing

27. April 2006 Thema abonnieren
Antworten Neuer Beitrag Jetzt Anwalt dazuholen Jetzt Anwalt fragen
Frage vom 27. April 2006 | 18:34
 Von 
altacodo
Status:
Frischling (4 Beiträge, 2x hilfreich)
Online Banking TAN phishing

Hallo Leute,
ich hatte heute 27.04.06 beim holen der Kontoauszüge eine böse Überraschung erlebt. Es wurde gestern 26.04.06 ein Betrag von 1680EUR an ein Postbankkonto in Hamburg überwiesen ohne das ich oder meine Frau den Empfänger kennen. Nachdem ich heute morgen sofort bei der Bank nachgefragt habe, hat die Bank mir bestätigt, daß ich nicht der erste Fall sei und ich bei der Polizei Strafanzeige stellen soll. Das habe ich dann auch getan. Von der Polizei wurde mir aber sofort mitgeteilt, dass diese Kontoinhaber immer nur unwissende Strohmänner sind denen meisten keine Betrugsabsicht nachgewiesen werden kann. Diese Leute transferieren für einen kleinen Betrag das Geld weiter ins Ausland.
Soweit so schlecht.
Nachdem ich bei der Bank weiter nachgehakt habe wurde mir weitere Auskunft über den Hergang des Phishings gegeben.

Kurzer Ablauf:
Bereits am 13.März wurde von der Tätergruppe eine neue Domain mit dem Namen www.raiba-cham-roding.de eröffnet.
(Die Bank hat www.rb-cham-roding.de) Die Bank ist aber unter dem Name RAIBA (Raiffeisenbank) bekannt.

Da ich per Google am 17.März nach "RAIBA Online Banking" gesucht habe gelangte ich auf diese gefakte Seite. Die auch optisch genau der Homepage der Bank entsprach.

Nachdem ich dann die Kontonummer und PIN eingeben hatte erschien die Meldung, dass beim letzten Logout ein Fehler aufgetreten ist und der Online-Zugang gesperrt ist. Durch die Eingabe einer TAN wurde dieser dann angeblich wieder frei und ich konnte ohne Probleme mein Homebanking durchführen.

14 Tage später also bereits am 24.März wurde der Betrugsfall bei der Bank bemerkt und man hat die Seite über die Staatsanwaltschaft sperren lassen.

Jetzt eigentlich zu meiner Frage.

Wenn die Bank bereits vor über 4 Wochen über den Betrugsfall informiert war, hätten die Leute jetzt 4 Wochen Zeit gebabt Ihre Kunden über diesen Betrugsfall zu informieren und Sie auffordern müssen gezielt Ihre Kontoauszüge auf falsche ÜBerweisungen zu prüfen. Viele andere Betroffene hätten dann sicherlich schneller reagieren können. Ich hatte in diesem Fall auch nur Glück daß ich den Betrug sofort bemerkt habe. Wobei die Bank mir aber nicht sicher sagen kann ob die Überweisung wirklich gestoppt werden kann!!
Nach die Bank auch eine Statistik hat welche Leute in der betreffenden Zeit der gefakten Homepage online waren wäre auch eine gezielte Information der Kunden möglich gewesen.

Hat man als Homebanking - Kunde jetzt eigentlich Anspruch auf Schadensersatz gegenüber der Bank wenn diese Leute Ihrer Informationspflicht nicht nachgekommen sind??

Ich bedanke mich schon jetzt für Ihre Hilfe und empfehle jedem Homebanking - Kunden niemals eine TAN einzugeben ausser bei einer Überweisung.

Danke.



-- Editiert von altacodo am 27.04.2006 18:37:28

Notfall oder generelle Fragen?

Notfall oder generelle Fragen?

Ein erfahrener Anwalt im Wirtschaftsrecht gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Ein erfahrener Anwalt im Wirtschaftsrecht gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Kostenlose Einschätzung starten Kostenlose Einschätzung starten
9 Antworten
Sortierung:
#1
Antwort vom 27. April 2006 | 21:49
 Von 
Ecky
Status:
Beginner (131 Beiträge, 32x hilfreich)

Hallo,

das ist wirklich ärgerlich,daß solche Betrüger gibt. Ich würde an deiner Stelle nix mehr per Online Banking die Überweisungen machen.
Was ich mich frage, wenn der Betrüger das Geld an einen Konto bei der Postbank überweist, da muss doch die Kripo irgendwie nachhaken können ,wen das Konto gehört?Hast du das Geld wieder gekriegt?
Normalerweise ist die Bank schon verpflichtet,die Kunden zu benachrichtigen.Aber den Schaden werden sie wahrscheinlich nix haften.

Gruß Ecky

1x Hilfreiche Antwort
#2
Antwort vom 28. April 2006 | 17:47
 Von 
luDa
Status:
Lehrling (1727 Beiträge, 343x hilfreich)

soweit ich weiss werden die schäden derzeit von den meisten banken übernommen, da man ja zumindest vortragen könnte die bank hätte die sache sicherer machen müssen (nummerierte tans wie zB bei der postbank).

ansonsten die adresse immer per hand eingeben oder über favoriten anlegen und aufrufen. jede art von link ist potentiel gefährlich und das kann dann auch bei scheinbaren überweisungsformularen der fall sein.

1x Hilfreiche Antwort
#3
Antwort vom 29. April 2006 | 23:38
 Von 
Vandal
Status:
Frischling (17 Beiträge, 4x hilfreich)

hallo altacodo,

wenn die Info stimmt, das die Bank das schon wusste, denke ich das sie in dem Fall haftbar gemacht werden kann.
Ansonsten hätte sie es ja einfach so hingenommen, das mal eben die Konten ihrer Kunden erleichter werden können.

"Das ist nun aber nur eine reine Gefühlssache."

Ich selber arbeite im IT_Bereich. All meinen Kunden rate ich vom Onlinebanking ab, da die Banken für den Sch... den sie verzapfen nicht zur Verantwortung gezogen werden können.

Erst wenn die Banken in der Lage sind, ihren Laden für solche Aktionen dicht zu machen, können sie die Schuld dem Kunden geben. Aber solange noch Tans einfach abgegriffen werden können, kann die Bank nicht sagen, es ist Schuld der User.
Die Bank kann nicht verlangen das sich jeder mit dem PC und dem Internet so auskennt, das er jede phishing Mail bemerkt.

Es muß dann eben eine Software entwickelt werden die das verhindert.
Eine der Möglichkeiten wäre ein Datenbankzugriff wie er mit der SW Lotus Notes erfolgt. In der SW ist ein Zugriff von aussen nicht möglich.
Aber das sind die Kunden den Banken nicht wert, leider!!!

Aber mit dem Thema phishing hat sich vor nicht allzu langer Zeit die Sendung Akte/06 beschäftigt. Vielleicht ist ein Blick auf deren Internetseite goldwert.

so long

1x Hilfreiche Antwort
#4
Antwort vom 2. Mai 2006 | 23:34
 Von 
altacodo
Status:
Frischling (4 Beiträge, 2x hilfreich)

Hallo Jungs,

vielen Dank für Eure Antworten. Es bestärkt mich in meiner Meinung, daß die Bank auf jeden Fall aktiv hätte werden müssen.
Auf erneutes Nachfragen bei der Bank wurde mir inoffiziell die Auskunft gegeben, daß die Vorstandschaft der RAIBA Cham die Veröffentlichung der TAN - Phishing Aktion verhindert hat und auch die Benachrichtung der in dieser Zeit online gewesenen Kunden abgeleht wurde.
Da ich ja bereits am Folgetag die Überweisung bemerkte, hatte ich wenigstens Erfolg mit der Stornierung der Überweisung. Ich habe somit wenigsten keinen finanziellen Schaden.
Aber jetzt wird die Sach zur sportlichen Herausforderung. Ich werden auf jeden Fall solange die Werbetrommel rühren bis ich mit dem Vorstand einen Termin bzgl. dieser Sache bekomme. Es sind auf jeden Fall bereits jetzt ca. 20 Kunden bekannt die ebenfalls von der Sache betroffen sind und davon hatte viele Leider Pech da Sie die Überweisung erst nach Tagen bemerkten.
Es wäre doch eine sehr leichte Aufgabe gewesen die Kunden die in dieser Zeit online waren schriftlich zu informieren. Dann hätte sicherlich jeder sein Konto täglich geprüft oder den Online Zugang sperren lassen.
Mich können diese Ignoranten auf jeden Fall nach dieser Aktíon k.......... und ich werde die Bank wechseln.

Aber gut wieder ein bißchen über die RAIBA abgelästert. Werde euch auf jeden Fall über den Stand der Dinge informieren.

;) =see you..

1x Hilfreiche Antwort
#5
Antwort vom 3. Mai 2006 | 17:31
 Von 
luDa
Status:
Lehrling (1727 Beiträge, 343x hilfreich)

lassen sie den sportlichen ehrgeiz weg, sie haben ihr geld und die bank hat auch kein interesse an pishing aktionen so dass diesbezüglich der bank zumindest kein vorwurf gemacht werden kann. wenn sie möchten regen sie doch die einführung von nummierierten in einem brief an die geschäftsführung an.

im übrigen sind inzwischen fast alle bekannten banken opfer von pishing geworden und natürlich versuchen alle den ball flach zu halten. im hinblick auf andere opfer wird die bank vermutlich in der haftung hängen bleiben und damit sollte die sache dann auch gut sein....

1x Hilfreiche Antwort
#6
Antwort vom 3. Mai 2006 | 22:29
 Von 
Mareike123
Status:
Unparteiischer (9585 Beiträge, 1711x hilfreich)

Eine der Möglichkeiten wäre ein Datenbankzugriff wie er mit der SW Lotus Notes erfolgt. In der SW ist ein Zugriff von aussen nicht möglich.

Genau bis zur ersten gefundenen Sicherheitslücke...

Übrigens ist mit Notes so einiges nicht möglich, u.a. auch der störungsfreie Empfang von normalen Emails. Das nur mal so nebenbei. ;)

1x Hilfreiche Antwort
#7
Antwort vom 3. Mai 2006 | 22:51
 Von 
Vandal
Status:
Frischling (17 Beiträge, 4x hilfreich)

liebe Mareike,

Lotus Notes ist auch im Ursprung kein Mailprogramm gewesen, sondern eher ein Datenbankanwendung im Sinne von Access!
Das es immer wieder zu Problemen kommt mit dem Empfang von Mails, liegt oft an den selbstgestrickten Templates der einzelnen Firmen die LN verwenden.
Wenn von der technischen Seite her alles ok ist, sitzt das Problem meist vor dem PC ;-)!

Nur ist LN eben auch sicherer was den Zugriff anbelangt, als die Sicherheitskrücken die von den Banken verwendet werden.

Mal abgesehen davon das die Banken immer noch der Meinung sind, das jeder User auch ein PC-Fachmann ist, und dann mit ihrer Sicherheit schludert. Weil Sicherheit auch eine Frage der Kosten ist.

Zudem stellt sich für mich schon die Frage, das die Banken ein Problem wie phishing nicht unter Kontrolle bekommen und auch nicht den Eindruck hinterlassen, das unter Kontrolle bekommen zu wollen, sondern die Last immer auf den Anwender schieben.

Eine all zu böse Zunge könnte nun behaupten, das die Banken an der Sache vielleicht mit verdienen??? Aber das wäre nun wirklich eine reine Spekulation, oder?

so long

1x Hilfreiche Antwort
#8
Antwort vom 5. Mai 2006 | 07:31
 Von 
altacodo
Status:
Frischling (4 Beiträge, 2x hilfreich)

Hallo Leute,

ich hoffe, dass sich die Ganze Sache nicht zu einer "Lotus Notes" - Diskussion ausweitet.
Werde mich deshalb mehr an den Beitrag von luDa halten und das Ganze mit weniger Emotionen betrachten.
Das die Banken (egal welche) das Thema "TAN phising" wie in diesen Fällen lieber ohne große Öffentlichkeitsarbeit angehen ist anscheinend auch eine wirtschaftliche Angelegenheit. Es kommt zum einen billiger ein paar tausend Euro in die Hand zu nehmen und die Kunden im schlimmsten Fall selber zu entschädigen als mit einer groß angelegten Warnkampagne die Online - Kunden nervös zu machen und den damit verbundenen Verwaltungsaufwand zu bewältigen, zum anderen erspart man sich auch einen entsprechenden Image - Schaden, der nicht wirklich in EURO's dargestellt werden kann.
Trotzdem hätte mir die Bank im persönlichen Gespräch bereits am ersten Tag erklären können, dass ich als Kunde definitiv nicht auf dem Schaden sitzen bleiben werde ... egal ob man eine Überweisung noch stornieren kann oder nicht. Das hätte mir einige Emotionen dazu erspart.
In der Summe habe ich wieder etwas dazu gelernt.

Als Zusammenfassung zu dem Thema lassen sich folgende wichtige Punkte festhalten:

1. Die Web-Adresse der Bank als Favorit anlegen oder direkt eingeben.
2. TAN's werden grundsätzlich nur abgefragt wenn ich im Online-System bereits auf persönliche Daten zugreifen kann, und wenn nur der Name des Kontoinhabers oben im Fenster eingeblendet ist!!
3. Das gemeine PIN/TAN Verfahren ist und bleibt eine große Sicherheitslücke
4. Als guter Ansatz ist das neue mTAN - Verfahren zu bewerten. Dabei wird die TAN erst bei der Überweisung angefordert und auf das Handy des Kontoinhabers gesendet. Somit bräuchte ein Angreifer auf jeden Fall zusätzlich das Handy des Kontoinhabers.
5. Ideal wäre ein fest installierter Chip-Kartenleser mit Chipkarte zum Online - Banking.
6. Sollte man den Verdacht haben, dass man auch eine TAN dummerweise in eine gefakte Seite eingetragen hat, dann ändert einfach die PIN eures Online - Zugangs und die ganze Sache ist wieder im Lot.

Das soll es von meiner Seite zu diesem Thema gewesen sein. Werde mich auf jeden Fall mit dem Banker und dem Sicherheitsbeauftragen der Bank zu einem gemültichen Essen treffen und das leidige Thema damit abschliessen.

Bedanke mich bei allen die hier einen Kommentar abgegeben haben und wünsch euch eine "TAN phishing"-freie Zeit.

Gruß ;)

1x Hilfreiche Antwort
#9
Antwort vom 5. Mai 2006 | 17:10
 Von 
luDa
Status:
Lehrling (1727 Beiträge, 343x hilfreich)

selbstverständlich 'verdienen' die banken am pishing mit - zumindest wenn man es als verdienst ansieht lieber ein paar euro entschädigung zu zahlen als noch teurer die sicherheit zu erhöhen.

ich denke altacodo hat es schon ziemlich auf den punkt gebracht was die möglichkeiten des nutzers angeht. zu punkt 6 liese sich höchstens noch anfügen, dass man die entsprechende tan möglichst umgehend mit einer überweisung an ehefrau o.ä. verbraucht. im übrigen bieten viele banken die möglichkeit an für online banking ein überweisunglimit zu setzen nimmt man es in kauf zur not mal eine überweisung zweitegteilt oder altertümlich ausführen zu müssen kann man auch hier noch ein bisschen schutz für den fall des falles schaffen.

1x Hilfreiche Antwort

Und jetzt?

Für jeden die richtige Beratung, immer gleich gut.
Schon 267.973 Beratungen
Anwalt online fragen
Ab 30
Rechtssichere Antwort in durchschnittlich 2 Stunden
108.309 Bewertungen
  • Keine Terminabsprache
  • Antwort vom Anwalt
  • Rückfragen möglich
  • Serviceorientierter Support
Jetzt Frage stellen
Anwalt vor Ort
Persönlichen Anwalt kontaktieren. In der Nähe oder bundesweit.
  • Kompetenz und serviceoriente Anwaltsuche
  • mit Empfehlung
  • Direkt beauftragen oder unverbindlich anfragen
Jetzt Anwalt suchen
Alle Preise inkl. MwSt. zzgl. 5€ Einstellgebühr pro Frage.
Nach oben
Antworten Neuer Beitrag Jetzt Anwalt dazuholen

Jetzt Anwalt dazuholen.

Für 60€ beurteilt einer unserer Partneranwälte diese Sache.

  • Antwort vom Anwalt
  • Innerhalb 24 Stunden
  • Nicht zufrieden? Geld zurück!
  • Top Bewertungen
Ja, jetzt Anwalt dazuholen
Ähnliche Themen