Das Internet für Bankgeschäfte zu nutzen ist heute Standard. Trotzdem geht über 12 Prozent der Schweizer Bevölkerung aus Furcht vor mangelnder Sicherheit immer noch lieber zum Bankschalter, wie Professor Andreas Dietrich von der Hochschule Luzern feststellt.

Diese Sorgen sind durchaus berechtigt, denn Phishing (betrügerische Internetseiten oder Mails, mit denen versucht wird an persönliche Daten zu gelangen) im Bankenbereich wird auch künftig häufig sein. «Unterdessen sind die Angreifer professioneller aufgestellt, es wird immer schwieriger, betrügerische Mails Erpresser-Mail «Wir kennen dein Passwort» zu erkennen, die perfekt gelayoutet und sprachlich korrekt daherkommen. Und Schadsoftware kann man sich auch unwissentlich einhandeln, nicht nur durch fahrlässige Klicks wie zum Beispiel auf Mailanhänge», erklärt Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung Melani.

Wie oft ihre Kunden Opfer von Cyberangriffen werden, möchte Postfinance nicht sagen. Im Rahmen ihrer Digitalstrategie will sie aber möglichst viele Nutzer vom analogen Bankgeschäft ins Web umleiten. «Wir forcieren die digitale Transformation aber nicht zum Selbstzweck», erklärt Johannes Möri, Mediensprecher von Postfinance. «Auch Firmen ausserhalb des Banking-Bereiches bieten unterdessen zum Beispiel digitale Lösungen im Zahlungsverkehr an. Wenn wir als Postfinance unsere starke Position verteidigen wollen, müssen wir bei der Digitalisierung mithalten.»

Um besorgte Kunden zu beruhigen, verspricht die Bank, ab sofort finanzielle Schäden im Onlinebanking, die aus «technischen Angriffen» entstehen, mit bis zu 100'000 Franken pro Fall zu decken. 

Konkret sind Postfinance-Kunden neu gegen Schäden durch Phishing Phishing Immer raffiniertere Betrugsversuche und Malware (schädliche Computerprogramme wie z. B. Viren und Trojaner) explizit geschützt, dies steht so in den neuen Teilnahmebedingungen für E-Finance. Allerdings gilt diese Garantie nach wie vor nicht für Schadenfälle, die «auf grobe Fahrlässigkeit des Kunden zurückzuführen sind». 

Als grobfahrlässig würde beispielsweise gelten, wenn ein Kunde zum wiederholten Mal Opfer von Cyberattacken geworden ist, weil er nach dem ersten Fall die empfohlenen Vorsichtsmassnahmen, wie das Installieren eines Virenschutzprogramms, ignoriert hat. Oder sich im öffentlichen Raum ins E-Banking einloggt und sich ohne Abmeldung vom Computer entfernt, erklärt Möri. Der Kunde habe eine gewisse Sorgfaltspflicht. In Wiederholungsfällen würde das Leistungsversprechen deshalb trotz neuem Passus im Kleingedruckten nicht immer greifen.

Der Betrag von 100'000 Franken pro Fall sei so gewählt, dass er die grosse Mehrheit der Schadenfälle decken würde. Würde der Schaden diese Limite übersteigen, müsste man wiederum den Einzelfall prüfen. 

Wie Postfinance in ihrer Pressemitteilung schreibt, führt sie als erste Schweizer Bank eine solche Regelung ein. Bisher wurde jeweils im Einzelfall entschieden, man sei meist kulant gewesen. Anfragen des Beobachters zeigen, dass dies der üblichen Handhabung solcher Schäden entspricht.

«Cyber-Attacken auf Kunden-Rechner fallen sehr unterschiedlich aus. Wir analysieren jeden Fall individuell und suchen gemeinsam mit betroffenen Kunden nach einer zufriedenstellenden Lösung. Dieses Vorgehen hat sich bewährt», heisst es bei der Raiffeisenbank. Auch die Credit Suisse handelt nach Einzelfall und plant keine Änderung der aktuellen Praxis. 

Die Initiative der Postfinance wird vielerorts begrüsst, zum Beispiel bei Coop Rechtsschutz. Die Rechtsschutzversicherung betreut rund 30 bis 50 Anfragen pro Jahr im Bereich Cybersecurity bei E-Banking. Gestritten wird dabei primär in Fällen, in denen sich der berüchtigte Banken-Trojaner «Retefe» bei Kunden eingenistet hat.

Ioannis Martinis, Spezialist für Recht im digitalen Raum bei Coop Rechtsschutz, sagt: «Wir sind aus juristischer Sicht froh, wenn jemand sich klar zu einer Vorgehensweise bekennt und etwas Konkretes unternimmt, um Rechtssicherheit zu schaffen.» Denn man merke deutlich, dass Banken nicht mehr so tolerant seien wie noch vor ein paar Jahren. Sie würden mehr Eigenverantwortung vom Kunden erwarten, dies sei jedoch in der Realität angesichts der Professionalität der Betrüger schwierig.