Ein K-Geld-Leser aus Baden AG eröffnete bei der Aargauischen Kantonalbank ein Konto. Das machte er per Telefon. Bei dieser Gelegenheit fragte ihn der Berater beiläufig, ob er künftig per E-Mail mit der Bank verkehren wolle. Weil der Kunde einverstanden war, erhielt er umgehend ein Papier zum Unterschreiben.
Doch der Kunde hat die vorgeschlagene Vereinbarung nicht unterzeichnet. Denn sie bringt ihm nur Nachteile. In der «Vorbemerkung» des Infoblatts heisst es, ungeschützte E-Mails über öffentliche Netze könnten von Dritten abgefangen und abgeändert werden. In der Praxis heisst das:
Hacker können die Kontrolle über den E-Mail-Verkehr übernehmen, ohne dass die Beteiligten das merken. So können sie per E-Mail Geldüberweisungen auf eigene Konten im Ausland veranlassen. Das geschieht immer wieder (siehe «Saldo» 7/2017).
Piraten können dem E-Mail-Verkehr zwischen Kunde und Bank wichtige Informationen zur Kontobeziehung entnehmen. Diese Angaben nutzen sie, um per Brief Geldüberweisungen auf eigene Konten in Auftrag zu geben. «Solche betrügerischen Briefe erhalten wir immer wieder», bestätigt Marc Weber von der VZ Depotbank in Zürich.
Hätte der Kunde der Aargauischen Kantonalbank das Papier unterschrieben, wäre ein Schaden nach einer Hackerattacke an ihm hängengeblieben. Der Grund: Gemäss der Vereinbarung schliesst die Aargauische Kantonalbank «jegliche Haftung für Schäden infolge rechtswidriger Eingriffe von Dritten aus».
Dieser Haftungsausschluss ist keine Spezialität dieser Bank. Auch die übrigen Banken haben solche Klauseln in den Verträgen. Banken haften in diesen Fällen nur, wenn man ihnen grobfahrlässiges Verhalten vorwerfen kann. Und die Durchsetzung des Anspruchs ist praktisch nur auf dem Gerichtsweg möglich («Saldo» 7/2017).
Die E-Mail-Vereinbarung der Aargauischen Kantonalbank ist noch aus einem anderen Grund problematisch: Sie enthält den Passus, wonach E-Mails der Bank als zugestellt gelten, wenn sie «in der Mailbox» des Kunden eingetroffen sind. Das ist für die Bank sehr bequem. Denn so kann sie zum Beispiel eine Gebührenänderung per E-Mail mitteilen und anschliessend im Streitfall behaupten, der Kunde sei darüber informiert worden. Auch wenn er das E-Mail – aus welchen Gründen auch immer – nicht gelesen hat oder wenn es in seinem Spam-Ordner gelandet war.
Die Aargauische Kantonalbank sagt dazu: «Rechtlich relevante Erklärungen der Bank erfolgen grundsätzlich schriftlich. Gebührenänderungen kommunizieren wir nicht per E-Mail.»
Tipp: Am besten kommunizieren Sie mit der Bank überhaupt nicht per E-Mail (siehe Kasten rechts). Und unterschreiben Sie keine Vereinbarung, in der die Bank jegliche Haftung ablehnt.
Der «Microsoft-Mitarbeiter»: Dein Freund und Gangster
Diese Masche ist verbreitet: Ein Berner erhielt einen Anruf von einem angeblichen Microsoft-Supporter. Sein Computer sei angegriffen und mit Viren verseucht worden. Der Mann vertraute dem Anrufer und gewährte ihm via Internet mehrere Male Zugang zu seinem Computer, um das Problem beheben zu lassen. Dies geschah mit der Fernwartungssoftware Teamviewer. Damit lassen sich Computer aus der Ferne steuern.
Allerlei Lügengeschichten des Anrufers machten den Mann so vertrauensselig, dass er sich sogar bei Postfinance einloggte, während der Fremde direkten Zugang zu seinem Computer hatte und alles mitbekam. So gelang es den Gangstern während den Teamsitzungen, ab dem Konto des Opfers Zahlungsanweisungen an fremde Empfänger via Western Union auszulösen, ohne dass der Mann das bemerkte. Gemäss den Kontoauszügen hiessen die Empfänger der Gelder Kujtim Xhaferllari, Hagi Jawara und Sirikorn Namkaew.
Sein Schaden beträgt rund 4700 Franken. Davon hat Postfinance 1350 Franken aus Kulanz übernommen.
E-Mail-Verkehr mit der Bank: Das müssen Sie wissen
- Normaler, ungeschützter E-Mail-Verkehr mit der Bank ist sehr riskant. Solche E-Mails kann man vergleichen mit Postkarten, die jedermann lesen kann. Geschickte Hacker können ungeschützten E-Mail-Verkehr missbräuchlich manipulieren.
- Zahlungsanweisungen, Wertschriftenkäufe oder Börsenaufträge keinesfalls über normale E-Mails machen. Solche Aufträge gehören strikt in den Rahmen des E-Bankings. Falls Sie Bankgeschäfte nicht per Internet machen können oder wollen, sollten Sie solche Aufträge per Telefon oder schriftlich per Post geben.
- Falls Sie trotzdem per E-Mail mit der Bank verkehren wollen: Machen Sie möglichst keine konkreten Angaben zu Zahlungsinformationen, Konten und anderen persönlichen Umständen. Und löschen Sie den «Rattenschwanz» der bisherigen E-Mails, der ständig wächst.
- Falls Sie regelmässig per E-Mail mit der Bank verkehren wollen, sollten sie den «Secure E-Mail»-Kanal nutzen. Viele Banken bieten diese Verschlüsselungsmöglichkeit an. Sie ist zwar umständlich, schützt aber einigermassen zuverlässig vor fremden Zugriffen. Die Luzerner Kantonalbank zum Beispiel bietet diese Möglichkeit seit 2009 an. Allerdings will sie nicht sagen, wie viele Kunden davon Gebrauch machen.
- Wer E-Banking macht, hat in diesem geschützten Bereich in der Regel ebenfalls die Möglichkeit, der Bank Mitteilungen zukommen zu lassen.
- Fallen Sie nicht auf Phishing-Attacken herein. «Phishing» ist ein englisches Kunstwort, das aus «password» und «fishing» zusammengesetzt ist. Gemeint sind E-Mails von unbekannten Absendern, die Sie auffordern, sich mit Ihren Sicherheitsmerkmalen auf einer Website einzuloggen, die der Original-Website täuschend ähnelt. Dazu geben sie fadenscheinige Gründe an, z. B. dass eine Aktualisierung der Nutzerdaten nötig sei. So gelangen die Angreifer zu Login-Daten und Passwörtern.
- Wichtig: Banken und Kreditkartenfirmen fragen Sie nie per E-Mail, Telefon oder auf anderen Kanälen nach PINs, Kontodaten oder Passwörtern.
- Gehen Sie auch nie auf angebliche Microsoft-Mitarbeiter ein, die sich telefonisch melden und bei Virenproblemen helfen wollen (siehe Oben).
- Lesen Sie zu diesem Thema die Sicherheitshinweise auf der Website Ihrer Bank. Wichtige Infos dazu finden Sie auch auf www.melani.admin.ch. Das ist die «Melde- und Analysestelle Informationssicherung» des Bundes.
- Wie aktuelle Phishing-Attacken daherkommen, sehen Sie auf www.kgeld.ch ] Service ] Warnlisten ] «Aktuelle Fälle von Phishing».
