Unsere Website verwendet Cookies, um Ihnen eine bestmögliche Funktionaliät zu gewährleisten. Auch unserer Werbepartner Google verwendet Cookies. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu. Ich stimme zu.
Vorab ganz kurz etwas zur funktionsweise des besagten sb-terminals einer bank.
man fügt die ec-karte in das terminal, bestätigt mit der pin (bis hier hin alles ganz normal) und jetzt kommt das neue und für mich unfassbare: nachdem man die pin 1 mal bestätigt hat, kommt die ec-karte aus dem terminal und man hat ab sofort uneingeschränkten zugriff über das giro und kann überweisungen/umbuchungen ohne erneutes abfragen der ec-karte/der pin tätigen.
man wird lediglich nach jeder transaktion gefragt, ob man eine neue transaktion vornehmen möchte, oder ob man "beenden" möchte.
vergisst man also auf "beenden" zu drüken und verlässt das terminal, so hat der nächste kunde uneingeschränkten zugriff über das konto eines anderen.
und genau das ist passiert. -der betroffene hat vergessen auf "beenden" zu drücken, nachdem er seine vorgänge erledigt hat und der nächste kunde hat das konto des betroffenen leergeräumt und auf sein eigenes überwiesen. (feststellung durch kontoauszüge)
ich persönlich bin kunde mehrerer banken und habe so eine funktionsweise von sb-terminals noch nie erlebt. meines erachtens verstößt das gegen jeglichen bankgrundsatz und gegen jegliche form von sicherem banking. üblich ist es doch sonst, dass die ec-karte für die gesamte dauer der aktionen im terminal sein muss und jede einzellne aktion mit der pin bestätigt werden muss, oder gibt es da andere kenntnisse/erfahrungen?
Als der betroffene nun sein problem festellte und dieses am schalter schilderte, reagierte man dort etwas unseriös. man sagte, dass es der fehler des betroffenen sei (da er nicht auf beenden gedrückt hat) und das von der sache so wäre, als würde man geld auf der straße verlieren. man wollte wegen dem datenschutz keine weiteren infos zum "geldabheber" herausgeben und gab nicht einmal den hinweis zur polizei zu gehen. im gegenteil: man sagte, dass man es aufgrund der "selbstverschuldung" nicht anzeigen könne und das geld einfach weg ist.
Der betroffene ging dann zur polizei und zeigte den vorfall an. diese sichert nun erstmal die beweise (videos, buchungsbelege etc.)
ich kann mir nicht vorstellen, dass dies der erste fall bei so einem system gewesen sein soll. denn vergessen ist doch menschlich. es könnte doch auch sein, dass man aus irgendwelchen gründen (übelkeit, ohnmacht etc.) das terminal nicht ordnungsgemäß beenden kann und dann kann doch nicht der nächste kunde zugriff darauf haben.
Was könnte man als betroffener in so einem fall tuen? Gibt es relevante Entscheidungen oder Leitsätze zum Sachverhalt?
langer Text, deswegen Bitte um Verständnis für lange Antwort.
Wir reden hier über die Bedienerführung bei SB-Terminals. Hier steht die Bank in einem Dilemma. Es gibt keine optimale Benutzerführung, die den Kunden wirksam gegen eigene Fehler schützt.
Zunächst die Frage, ob die PIN einmalig am Anfang oder bei jeder Transaktion eingegeben werden muss.
Auf jeden Fall ist die einmalige Eingabe bequemer. Wenn ich einen Sammelauftrag per Formular an die Bank gebe unterschreibe ich auch nur den Sammler, nicht jeden Einzelauftrag.
Auch halte ich das mehrfache Eingeben der PIN für nicht zwingend sicherer. Jeder Eingabevorgang erhöht das Risiko des Ausspähens.
Dann die Frage, ob die Karte nach Autorisierung oder nach Abschluss aller Transaktionen ausgeworfen wird.
Wird die Karte erst am Ende ausgeworfen, so besteht ein erhebliches Risiko, dass der Kunde (der seine Transaktionen ja abgeschlossen hat) die Karte im Automaten vergisst und Dritte diese entnehmen.
Für Geldautomaten (GAA) ist die Reihenfolge der Schritte (im Anhang zur ec-Geldautomatenvereinbarung der Bankenverbände, Ziffer 2.1.2) einheitlich geregelt. Hier wird (aus dem geschilderten Grund) immer erst die Karte und dann das Geld ausgegeben. Da der Kunde nicht geht, bevor er sein Geld hat (deshalb ist er ja zum GAA gekommen) und das Geld nicht bekommt, solange er die Karte nicht entnommen hat, ist dieser Weg der sicherste. (Bei der Gelegenheit bemerkt: Sehen die Kunden, die ihr Geld dennoch im Automaten vergessen, regelmäßig anders).
Für SB-Terminals kenne ich keine Vereinbarung über eine einheitliche Benutzerführung. Diese kann die Bank (sachgerecht) selbst festlegen.
Jedoch würde ich der Bank keinen Vorwurf machen, wenn diese sich analog der Bedienerführung GAA verhält.
Natürlich sind Kunden vergesslich. Aus diesem Grund sollte es bei jedem Automaten eine Zeitschaltung geben, die nach X Sekunden Karte, Geld und Auszüge einzieht sowie den offenen Vorgang abbricht und den Kunden abmeldet.
Ich gehe davon aus dass auch die betreffende Bank eine solche Zeitschaltung hat. Wenn nicht, wäre hier ein Ansatz für Schadensersatzansprüche gegeben.
Wie lang diese Frist sein muss, ist nicht geregelt. Auch das zitierte GAA-Abkommen enthält keine feste Frist. Auch hier steht die Bank im Dilema. Wählt sie die Zeit zu kurz, reklamieren Kunden, die etwas langsamer sind, wählt sie die Zeit zu lang, so entsteht ein Risiko.
Wenn ich mir meine Schwiegermutter vorstelle, wie lange diese für das Eintippen einer Überweisung braucht, sind, denke ich, einige Minuten notwendig und angemessen.
Im Gegensatz zu GAA ist das Mißbrauchsrisiko bei SB-Terminals gering. Da der Dritte, der nach dem Kunden an das Terminal gelangt, seine eigene Bankverbindung eingeben muss, um Geld zu ergaunern, ist der Täter ja bekannt.
Da Verbrecher ungerne Visitenkarten hinterlassen, dürfte die Zahl der Mißbrauchsfälle sehr gering sein. Ich kenne jedenfalls kein Urteil bezüglich solcher Fälle.
Der Hinweis des Bankmitarbeiters auf Datenschutz ist in der Tat Quatsch. Natürlich hat der Kontoinhaber das Recht zu erfahren, wer sein Geld erhalten hat. Nennt man "Nachforschungsauftrag".
Vielen dank für deine schnelle antwort.
In meinen Augen ist ein SB-Terminal nichts anderes als eine Art öffenlicher, vernetzter Rechner/Computer für Kunden. Ich würde es also mit dem üblichen Online-Banking von einem Zentralen Standort vergleichen.
Deshalb meine Frage: Gibt es gewisse Richtlinien/Vereinbarungen für das Online-Banking?
Beim Online-Banking mit meinen Konten (von unterschiedlichen Banken) muss jede einzelne Aktion mit einem TAN bestätigt werden. Das ist ganz sicher auch eine feste Bestimmung, denn ich kenne niemanden bei dem das nicht so gehandhabt wird.
Ebenso kenn ich sonst keine weitere Bank, bei der das Handling am SB-Terminal ohne Pinbestätigung pro Aktion durchgeführt werden kann.
Ich denke, die Bank muss in erster Linie sich selbst absichern und nicht auf Kundenwünsche, die die Sicherheit des Kunden gefährden, eingehen.
Normalerweise wird die Verbindung zum Konto mit Ausgabe der Karte beendet und bleibt nicht als Dauerleitung bestehen. Ist dies nicht so, ergibt sich eine riesige Sicherheitslücke. (dann könnt ich meine Karte mit Pin gleich auf dem Terminal liegen lassen)
Man kann die Ãœberweisungen eines SB-Terminals auch nicht mit einem Sammelauftragsformular vergleichen, was unterschrieben werden muss.
Die Überweisungen am Terminal sind definitiv Einzelüberweisungen und haben nichts mit einem Sammelauftrag gemeinsam. Deswegen sollten sie meiner Meinung nach (genau wie beim Online-Banking) auch einzeln bestätigt werden.
Eine Zeitschaltung ist natürlich (genau wie beim Online-Banking) vorhanden. Jedoch nützt diese reichlich wenig, wenn 2 SB-Terminals für einen gesamten Landkreis vorhanden sind. Man kann sich also vorstellen wie gut diese ausgelastet werden. Und das Gerät erkennt nun mal nicht ob nach 20sec Pause noch der richtige User davor steht oder nicht.
Man sieht also ganz klar, dass dieses System alles andere als sicher ist.
Es gibt doch bestimmt einen Grundsatz nach dem man dieses anfechten kann, denn alle anderen Banken nutzen ja andere Abwicklungen.
In meinen Augen ist ein SB-Terminal nichts anderes als eine Art öffenlicher, vernetzter Rechner/Computer für Kunden. Ich würde es also mit dem üblichen Online-Banking von einem Zentralen Standort vergleichen.
Es gibt einen ganz entscheidenden Unterschied zwischen Online-Banking und den SB-Terminals. Während das Terminal Teil der sicheren Bankenumgebung ist erfolgt das Online-Banking auf der unsicheren Kundenumgebung. Z.B. erfolgt die Verschlüsselung der PIN im SB-Terminal ab Tastatur. Beim Kundenrechner könnte eine Programm die Tastenanschläge mitschneiden.
Aus diesem Grund sind die Sicherheitsanforderungen an ein SB-Terminal andere als an Homebanking-System.
cschinke hat folgendes geschrieben::
Beim Online-Banking mit meinen Konten (von unterschiedlichen Banken) muss jede einzelne Aktion mit einem TAN bestätigt werden.
Nicht zwingend. Im Ausland ist es durchaus üblich, dass eine Autorisierung mit PIN (also ohne TAN) für eine Überweisung ausreicht. Auch besteht das chipkartenbasierte System HBCI, bei dem keine TAN Anwendung finden.
Aber dies ist ein gutes Beispiel, warum für SB-Terminal und Online-Banking unterschiedliche Sicherheitsnotwendigkeiten bestehen.
In Internet ist es möglich (z.B. durch eine "man in the middle" Attacke) das reine PIN-Verfahren auszutricksen. Daher ist es aus Sicherheitsgründen üblich mit PIN/TAN zu arbeiten. In der sicheren Umgebung des SB-Terminals ist dies nicht möglich --> kein Bedarf an einer TAN.
Oder, um es anders zu formulieren. Die Sicherheit des Internetbankings würde nicht steigen, wenn zu jeder Transaktion erneut die PIN eingegeben werden müsste. Also fordert das dort niemand.
cschinke hat folgendes geschrieben::
Deshalb meine Frage: Gibt es gewisse Richtlinien/Vereinbarungen für das Online-Banking?
Es gibt standardisierte Verfahren (z.B. das HBCI-Verfahren), es gibt auch Standards der IT-Sicherheit (z.B. ISO 27001 oder die IT-Grundschutz-Normen des BSI (http://www.bsi.de/)). Es ist aber nicht verboten, propietäre Lösungen im Internetbanking einzusetzen. Ob ein Verfahren sicher ist, würde im Zweifel vor Gericht ein vereidigter Sachverständiger beurteilen müssen.
cschinke hat folgendes geschrieben::
Normalerweise wird die Verbindung zum Konto mit Ausgabe der Karte beendet und bleibt nicht als Dauerleitung bestehen.
"Normal" ist aber leider keine rechtliche Kategorie...
cschinke hat folgendes geschrieben::
...dann könnt ich meine Karte mit Pin gleich auf dem Terminal liegen lassen
Besser nicht. Hierfür gibt es Gerichtsurteile. Aber keine guten für die Kunden.
cschinke hat folgendes geschrieben::
Und das Gerät erkennt nun mal nicht ob nach 20sec Pause noch der richtige User davor steht oder nicht.
Man sieht also ganz klar, dass dieses System alles andere als sicher ist.
Hundertprozentige Sicherheit gibt es bei technischen Lösungen nie. Wobei Computersicherheitsfachleute immer wieder anmerken, dass das Hauptrisiko zwischen Rückenlehne und Tastatur zu finden ist.
cschinke hat folgendes geschrieben::
Es gibt doch bestimmt einen Grundsatz nach dem man dieses anfechten kann, denn alle anderen Banken nutzen ja andere Abwicklungen.
Die Bank ist zunächst einmal in der Beweislast. Sie muss beweisen, das der Kunde einen Auftrag erteilt hat. Dies wird nicht gelingen, da es ja unstrittig nicht der Fall ist.
Also: Die Bank anschreiben und ein Storno der Belastung fordern, da kein Auftrag erteilt wurde.
Dann wird die Bank argumentieren, dass der Kunde grob fahrlässig gehandelt hat, indem er den Eingabedialog nicht beendet sondern für Dritte offen gelassen hat. Auch hier liegt die Beweislast bei der Bank.
Grobe Fahrlässigkeit ist nun aber ein unbestimmter Rechtsbegriff, bei dem man nirgendwo nachlesen kann, wie ein Richter entscheiden würde (zumindest, wenn es wie hier keine Vergleichsurteile gibt).
Argumente für grobe Fahrlässigkeit wären:
- die klare Benutzerführung, die (bis auf diesen Kunden) alle anderen Kunden dahin geleitet hat, sich abzumelden
- die Lebenserfahrung, dass ein derartiger Vorgang beendet werden muss
- die vielfache Nutzung dieser Benutzerführung (incl. Abmeldung) durch den Kunden, ohne dass es zu Störungen kam
- die Tatsache, dass es noch nie zu Fällen dieser Art kam
Argumente gegen grobe Fahrlässigkeit wären:
- die unklare/kürzlich geänderte/unübliche Benutzerführung
- die unerwartet lange Dauer bis zur automatischen Abmeldung
Ach karsten.... Du kannst einem ja Mut machen....
Aber trotzdem vielen, vielen Dank für Deine Schilderung der Sachlage.
Mal angenommen die Bank wäre bereit einen Stornoauftrag auszuführen, der Täter hat das Geld aber längst abgehoben, sein Kontostand tendiert gegen Null und er hat keinen Dispo-Kredit.
Wäre es für die Bank zulässig den Täter im Bereich der roten Zahlen zu belasten?
Und was kann die Polizei bzw. im Ernstfall ein Staatsanwalt in diesem Fall erreichen? Der Täter hat ja ganz klar vorsätzlich eine Straftat begangen. Das kann man ja nachweisen, denn er hat erstens: eine Überweisung auf sein Konto getätigt (dieses macht mit Anmeldung unter dem eigenen Konto wenig Sinn) und zweitens waren es zwei Überweisungen. Die erste zur Probe, mit einem relativ geringfügigem Betrag und die Zweite dann bewusst mit einem übermäßig hohem Betrag. Man kann hier also in meinen Augen nicht mehr von Fahrlässigkeit sprechen.
Wie könnte dieser Sachverhalt denn enden bzw. wie würdest du (rein fiktiv gesehen) als Betroffener in so einem Fall handeln?
Sorry, wenn ich nicht das Lied "Die Bank ist schuld, die Bank zahlt gern" anstimme. Aber: Ich bitte, meine Beiträge nicht im Sinne von "der Fall ist hoffnungslos" zu verstehen.
Letztlich würde es hier darum gehen, einen Richter davon zu überzeugen, dass die Bank nicht nachweisen kann, dass der Kunde nicht grob fahrlässig gehandelt hat. Ist zumindest nicht undenkbar.
cschinke hat folgendes geschrieben::
Mal angenommen die Bank wäre bereit einen Stornoauftrag auszuführen, der Täter hat das Geld aber längst abgehoben, sein Kontostand tendiert gegen Null und er hat keinen Dispo-Kredit.
Wäre es für die Bank zulässig den Täter im Bereich der roten Zahlen zu belasten?
Wenn das Konto bei der gleichen Bank geführt wird: Ja.
Wird das Konto bei eienr anderen Bank geführt : Nein
Nur: Auch im ersten Fall wird die Bank dies nicht freiwillig machen. Denn dann müsste sie das Geld vom Täter zurückbekommen....
cschinke hat folgendes geschrieben::
Und was kann die Polizei bzw. im Ernstfall ein Staatsanwalt in diesem Fall erreichen? Der Täter hat ja ganz klar vorsätzlich eine Straftat begangen. Das kann man ja nachweisen, denn er hat erstens: eine Überweisung auf sein Konto getätigt (dieses macht mit Anmeldung unter dem eigenen Konto wenig Sinn) und zweitens waren es zwei Überweisungen. Die erste zur Probe, mit einem relativ geringfügigem Betrag und die Zweite dann bewusst mit einem übermäßig hohem Betrag. Man kann hier also in meinen Augen nicht mehr von Fahrlässigkeit sprechen.
Wir sind hier nicht bei CSI. Selbst wenn ein Strafrichter den Täter wegen Computerbetrug (STGB §263a) verurteilen würde: Der Kunde bekäme sein Geld dadurch nicht zurück.
Um sein Geld vom Täter zu bekommen, muss man ihn in Deutschland selbst verklagen. Die Anspruchsgrundlage ist mit BGB §812 (ungerechtfertigte Bereicherung) auch sonnenklar. Nur: Was hilt einem ein Titel, wenn der Schuldner nichts hat...
Ich würde in diesem Fall mit klaren Beweisen auf jeden Fall eine strafrechtliche Anzeige machen.
Sie können keine Beiträge in dieses Forum schreiben. Sie können auf Beiträge in diesem Forum nicht antworten. Sie können Ihre Beiträge in diesem Forum nicht bearbeiten. Sie können Ihre Beiträge in diesem Forum nicht löschen. Sie können an Umfragen in diesem Forum nicht mitmachen.
Suchen
