Online-Banking ist neben Internet-Auktionen vermutlich die häufigste Art der Internet-Nutzung - und eine der riskantesten. Eindeutige Regeln, wer für Phishing und ähnliche Angriffe rechtlich einzustehen hat, gibt es nicht. Dennoch trägt im Streitfall die Bank die Beweislast, ob sie effektive Maßnahmen zum Schutz vor Phishing-Attacken ergriffen hat und ob sie ihre Kunden vor riskantem Verhalten gewarnt hat.
Wer gängige Warnungen beachtet, seine PINs und TANs nicht per E-Mail verschickt oder in Webformulare eingibt, Links nicht leichtfertig anklickt und auch bei Unregelmäßigkeiten im Online-Banking sofort reagiert, dem kann man rechtlich kaum einen Strick daraus drehen, dass er sich durch raffinierte kriminelle Angriffe hat täuschen lassen. Wenn beim Pharming durch Würmer oder Trojaner Host-Dateien manipuliert oder durch Keylogging Passwörter und TANs ausgespäht werden, müssen selbst erfahrene Online-Nutzer passen. Erst recht gilt dies bei aktiven Angriffen, zum Beispiel bei der gleichzeitigen Einmischung eines Dritten in die Transaktionsverbindungen zwischen Kunden und Bank, den so genannten Man-in-the-middle-Angriffen.
"Ist ein Schaden durch einen Phishing- oder ähnlichen Angriff entstanden, trägt meist die Bank das Risiko. Den Kunden kann man nur dann in die Verantwortung nehmen, wenn er klare Hinweise und Auffälligkeiten außer Acht gelassen hat", erläutert iX-Redakteurin Ute Roos. "Fahrlässig hingegen handeln Bankkunden, wenn sie offensichtliche Angriffe auf ihre Zugangsdaten nicht sofort der Bank anzeigen."