Es geschah an einem ganz normalen Arbeitstag: Edwin Braxmeier, selbständiger Unternehmer aus Zürich, loggte sich - wie schon so oft - in das Online-Banking der Sparkasse Schwyz ein, um dort auf einem seiner Firmenkonten Zahlungen in Auftrag zu geben.
Nur diesmal war er nicht allein, wie sich zeigen sollte: Als er drei Tage später die Belastungsanzeige der Bank erhielt, fiel ihm ein Zahlungsauftrag über 6872 Euro und 61 Cents auf: «Diese Zahlung erfolgte an eine Person im Ausland, die mir völlig unbekannt war, und zu der ich auch keine Geschäftsbeziehungen pflege», stellt Braxmeier klar.
Am Telefon erklärte ihm die Sparkasse Schwyz, dass die Täter wohl mit einem Computervirus sein Online-Konto gehackt und eine Zahlung nach Spanien in Auftrag gegeben hätten: Auf ein Konto der Caixabank in Madrid, lautend auf eine Frau Rosa Genesis Reyes Cortez.
Die Sparkasse Schwyz versuchte zwar, den Betrag zurückzufordern, doch war das Konto zu diesem Zeitpunkt bereits saldiert – das Geld von Edwin Braxmeier endgültig weg.
«Was mich sehr enttäuscht und auch wütend macht ist der Umstand, dass die Bank kein Entgegenkommen signalisiert. Im Gegenteil: Sie gibt mir die Schuld an der Sache», empört sich der Unternehmer.
Unfaire AGB‘s
In der 200jährigen Geschichte der Bank sei es noch nie zu einem solchen Zwischenfall gekommen, schreibt die Sparkasse Schwyz an Kassensturz und betont: «Da die Infektion mit Malware auf dem Computer des Kunden seinen Ursprung hat, liegt der Vorfall ausserhalb des Einflussbereiches der Sparkasse Schwyz.» Mit Verweis auf ihre Allgemeinen Geschäfts-Bedingungen schliesst die Bank jegliche Haftung aus.
«Kassensturz» lässt das Kleingedruckte im E-Banking-Vertrag von Sara Stalder durchlesen. Für die Geschäftsführerin von der Stiftung für Konsumentenschutz ist der Fall klar: «Das ist ein Klassiker bei den AGB‘s der Banken: Im Kleingedruckten heisst es oft an mehreren Orten, dass die Haftung ausgeschlossen wird», sagt Sara Stalder.
Am 1. Juli müssen Banken handeln
Sie weist darauf hin, dass solche Bestimmungen nicht nur unfair, sondern ab dem 1. Juli 2012 wohl auch nicht mehr zulässig seien: Dank einer Verschärfung in der Verordnung gegen Unlauteren Wettbewerb (UWG) dürfen Unternehmen im Kleingedruckten ihre Kunden nicht mehr unverhältnismässig benachteiligen.
«Ab dem 1. April müssen die Bestimmungen in den AGB’s ausgewogen, das heisst, die Risiken müssen gerecht auf die Vertragsparteien verteilt sein», erklärt die oberste Konsumentenschützerin
Stalder kündigt an, dass die Stiftung für Konsumentenschutz Unternehmen mit unfairen AGB-Bestimmungen einklagen wird. Dann sei es Sache der Richter zu entscheiden.
Vermeintliche Sicherheit
Dass es den Banken schon heute nicht ganz wohl bei der Sache ist, zeigt die Tatsache, dass sie sich in den meisten Fällen kulant zeigen bei Kundenverlusten, insbesondere in Betrugsfällen im Online-Banking.
Umso verärgerter ist Bankkunde Edwin Braxmeier: Seine Bank will für den Schaden nicht aufkommen, obschon er die Sorgfalts-Bestimmungen im Kleingedruckten immer eingehalten hat, wie er sagt: Er bewahre die Codes für das Online-Banking in einem Tresor auf und auch seinen Computer habe er mit der üblichen Sicherheitssoftware ausgerüstet.
«Wir sind bei einem renommierten Hersteller von Antiviren-Programmen abonniert, und haben auch noch Online-Konten bei anderen Banken – bisher ohne je ein Probleme damit gehabt zu haben», so Edwin Braxmeier.
«Torpig»-Trojaner
Trotzdem konnte sich auf seinem Computer ein Trojaner einnisten: Laut Polizeibericht handelt es sich dabei um den Trojaner Namens Torpig. Man habe diesen Trojaner schon seit längerem im Auge, sagt Pascal Lamia, Leiter der Melde und Analysesstelle für Informationssicherung beim Bund.
«Torpig ist eine Schadsoftware, die sich gegen E-Banking-Kunden richtet. Hacker und Antivirenhersteller liefern sich ein Kopf-an Kopf-Rennen», erklärt der Informatik-Experte vom Bund. Im Fall Braxmeier sei wohl der Antiveren-Hersteller auf diese Version von Torpig noch nicht vorbereitet gewesen und habe deshalb das Virus nicht erkannt.
Die Sparkasse Schwyz legt Wert auf den Hinweis, dass sie seit einigen Monaten für Ihre E-Banking-Kunden eine zusätzliche Sicherheit anbietet in Form einer Transaktions-Signatur.
Das heisst, dass die elektronischen Zahlungsaufträge vom Kunden neu einzeln bestätigt werden müssen. Kunden könnten sich dazu auf der Hompage informieren.
«Ich gehe davon aus, dass die Bank mich aktiv über eine solche Möglichkeit informiert, nicht nur auf ihrer Homepage. Ich wusste nichts davon», entgegnet Edwin Braxmeier und hat sein Konto bei der Sparkasse Schwyz inzwischen gekündigt.
«Kassensturz» liess Troyaner programmieren
«Kassensturz» zeigte schon im Mai 2011 in Zusammenarbeit mit der ETH Zürich: Ist erst einmal ein Troyaner auf dem Computer installiert, sind auch einige E-Banking-Systeme von Schweizer Finanzinstituten leicht geknackt:
