Hallo liebe Leute vom Fach,

neulich bei einem Vortrag kam mal wieder das Gerücht hoch, daß beim Einsatz von HBCI (im Gegensatz zu Pin/Tan o.ä.) zum ersten Mal manche Banken eine "Umkehrung der Beweislast" oder "Haftungsumkehr" in Bezug auf Fehler beim Onlinebanking übernehmen würden. D.h., im Falle von fehlerhafter Autorisierung bei Onlinebanking-Aufträgen müsste die Bank dem Kunden ein Fehlverhalten nachweisen, anstatt daß der Kunde sein korrektes Verhalten nachweisen müsste.

Kennt jemand tatsächlich eine Bank, bei der das bei HBCI der Fall ist?

Falls es das also tatsächlich gibt: An welcher Stelle in den AGB o.ä. spiegelt sich das wieder? Als Vortragender konnte ich auf so eine Frage nur vage Vermutungen äußern, ebenso wie ich die beigetragene Aussage in http://www.linuxwiki.de/HBCI entsprechend weichgespült habe: "Bei HBCI übernehmen einige (wenige) Banken die Beweispflicht. Das würde heißen: Wenn beim Homebanking etwas schiefläuft, haftet erst einmal die Bank, außer sie kann explizit beweisen, dass es der Fehler des Benutzers war."

Weiß jemand genaueres? Vielen Dank im Voraus,

cstim

Nachtrag: http://finanzen.focus.msn.de/D/DA/DAC/DAC26/dac26.htm, http://www.zdf.de/ZDFde/inhalt/22/0,1872,2017270,00.html
und http://www.usus.org/timo/ddp/sicherheit/banking.shtml sind einige Artikel aus dem Jahre 2000/2001, die sagen:

"In Deutschland gibt es nach Informationen des Bundesverbands Deutscher Banken zur Zeit nur zwei Banken, die diesen Weg gegangen sind: die Netbank (http://www.netbank.de) und die BfG Bank (http://www.bfg.de). Bei diesen Unternehmen gilt das Prinzip, dass der Kunde unschuldig an eventuellen Fehlern ist, es sei denn die Bank kann das Gegenteil beweisen."

Aber wie sieht das nun im Jahre 2005 aus?

Hallo cstim,

die umkehr der Beweiskraft ist relativ einfach und für den Kunden völlig uninteressant! Durch HBCI ist der Kunde anhand seines persönlichen Legitimationsmediums eindeutig identifizierbar. Im Hintergrundsystem wird sicher jede Bank mitloggen, welche Benutzerkennung mit welchem Schlüssel den Auftrag eingereicht hat. Sollte die zu dem Kunden gehören und er streitet ab, dass er den Auftrag eingereicht hat, dürfte er seiner Sorgfaltspflicht im Umgang mit dem Sicherheitsmedium nicht nachgekommen sein (und das er das tut, hat er unterschrieben!)

Das besondere an HBCI ist ja u.a. , dass eine eindeutige Authentifizierung beider Partner (auch der Bank -> Phishing) gewährleistet ist!

Die Umkehr der Beweislast sehe ich daher eher als Werbegag.

Gruß

Holger

Wie steht es dann aber mit dem PIN/TAN-Verfahren ueber HBCI?
Bei der Chipkarte und Schluesseldateien geht es ja ziemlich sicher zu, aber bei PIN/TAN sind doch inzwischen Szenarien bekannt, wo der Kunde ungewollt in Schwierigkeiten gelangen kann...

Und oft weist sich die Bank nicht aus: Manche Banken verwenden selbst-signierte Zertifikate, die sich jeder ausstellen kann...


Gruss
Martin