Internet-Law

Onlinerecht und Bürgerrechte 2.0

6.4.16

Haftung beim Phishing

Das AG Frankfurt am Main hat mit Urteil vom 24.03.2016 (Az.: 32 C 3377/15 (72)) eine Klage einer Bankkundin gegen die Postbank abgewiesen, in einem Verfahren, dem eine betrügerische Überweisung mittels Phishing zugrunde lag. Die Kundin hatte auf eine relativ professionell aussehende Phishing-E-Mail hin ihre Zugangsdaten zum Telefonbanking übermittelt und dadurch unbekannten Betrügern ermöglicht, von ihrem Girokonto EUR 4.900,- zu überweisen.

Das Gericht geht in diesem Fall von einer grob fahrlässigen Verletzung der Pflichten eines Bankkunden nach § 675l S. 1 BGB aus. Danach müssen sog. Zahlungsauthentifizierungsinstrumente vor unbefugtem Zugriff geschützt werden.

Das Amtsgericht führt hierzu aus, dass es einem durchschnittlichen und regelmäßigen Verwender des Online-Bankings – Telefonbanking hatte die Klägerin nicht genutzt – bekannt sein muss, dass Kriminelle im Internet versuchen, durch Versendung von Phishing-Mails an sensible Daten zu gelangen. Der Klägerin hätte nach Ansicht des Gerichts bekannt sein müssen, dass die Medien seit Jahren regelmäßig über Phishing-Attacken berichten.

In rechtlicher Hinsicht ist entscheidend, dass das Gericht von einer sog. groben Fahrlässigkeit ausgegangen ist und auch ausgehen musste, weil eine einfache Fahrlässigkeit nicht ausgereicht hätte und in diesem Fall das Missbrauchsrisiko vielmehr bei der Bank gelegen hätte.

Ob bei einer einigermaßen professionell aussehenden Phishing-Mail tatsächlich ein Fall grober Fahrlässigkeit angenommen werden kann, also die Außerachtlassung derjenigen Sorgfalt, die sich praktisch jedem aufdrängen muss, ist höchstrichterlich nicht geklärt und aus meiner Sicht diskutabel.

posted by Stadler at 09:09  

13.10.15

Juristisch falsche Berichterstattung des NDR zum Thema Identitätsdiebstahl

Ein Bericht des NDR, wonach Kriminelle im Netz gestohlene Identitäten missbrauchen und u.a. Onlineshops unter falschem Namen eröffnen, hat für einigen Wirbel gesorgt. Leider ist der Bericht des NDR alarmistisch und auch juristisch falsch. Es wird nämlich u.a. die Behauptung aufgestellt:

Die Betrüger nutzen seine Identität und seine Daten, um mutmaßlich gefälschte Marken-Brillen zum Sonderpreis zu verkaufen. Das Problem: Der selbstständige Tätowierer ist damit juristisch für diesen Online-Shop verantwortlich – und das kann teuer werden. Wenn der Brillen-Hersteller die Seite mit der gefälschten Ware entdeckt und anzeigt, haftet der Neubrandenburger persönlich.

Das ist in rechtlicher Hinsicht unzutreffend. Jederman haftet grundsätzlich nur für sein eigenes Verhalten und nicht dafür, dass sich jemand einer falschen Identität bemächtigt. Das ergibt sich für Rechtsgeschäfte bereits aus der Regelung des § 164 BGB. Etwas anderes kann aber beispielsweise dann gelten, wenn der vermeintliche Geschäftsherr weiß, dass ein Dritter unter seinem Namen handelt und dies duldet. Entgegen der Darstellung des NDR ist man juristisch für einen Onlineshop, den ein Dritter unter falschem Namen eröffnet hat, aber grundsätzlich nicht verantwortlich.

Für den Betroffenen kann ein solcher Identitätsdiebstahl dennoch unangenehm sein, denn sein vermeintlicher Vertragspartner wird im Zweifel versuchen, ihn in Anspruch zu nehmen. Wer also Kenntnis davon erlangt, dass seine Identität von anderen im Netz missbraucht wird, sollte keinesfalls untätig bleiben, sondern Strafanzeige gegen unbekannt erstatten und soweit möglich auch öffentlich und/oder gegenüber vermeintlichen Vertragspartner klarstellen, dass seine Identität missbraucht wurde und er die fraglichen Verträge nicht abgeschlossen hat, sondern ein unbekannter Betrüger. Sofern ein Portal wie eBay dazischengeschaltet ist, sollte man eBay über den Vorgang umfassend informieren und um Sperrung des betreffenden Accounts ersuchen.

posted by Stadler at 11:29  

3.9.14

Bank haftet nicht bei manipulierter Überweisung im Online-Banking beim Smart-TAN-plus Verfahren

Das Landgericht Darmstadt geht in einem neuen Urteil vom 28.08.2014 (Az.: 28 O 36/14) davon aus, dass dem Bankkunden eine manipulierte Autorisierung im Online-Banking bei Nutzung des Smart-TAN-plus Verfahrens nach Rechtsscheinsgrundsätzen zuzurechnen ist und er deshalb gegen die Bank keinen Anspruch auf Rückzahlung besitzt.

Das Landgericht wählt allerdings eine aus meiner Sicht umständliche und nicht notwendige Begründung über die Grundsätze der Rechtsscheinshaftung.

Der entscheidende Aspekt bei der Benutzung eines TAN-Generators mit dem sog. Smart-TAN-Plus Verfahren besteht nämlich daran, dass die am Bildschirm angezeigte Überweisungsmaske zwar durch eine Man-In-The-Middle-Attacke manipuliert sein kann. Allerdings werden auf dem Display des TAN-Generator selbst in diesem Fall  die korrekten Überweisungsdaten angezeigt. Da die Überweisung anschließend mit einer korrekten TAN ausgeführt wird, nachdem am TAN-Generator die korrekten Daten des Zahlungsempfängers und der Überweisungsbetrag angezeigt wurden, handelt es sich deshalb um eine autorisierte Überweisung des Bankkunden, für die man entgegen der Ansicht des Landgerichts Darmstadt auch nicht auf Rechtsscheinsgrundsätze zurückgreifen muss. Vielmehr erteilt der Bankkunde durch die aktive Freigabe mit einer korrekt erzeugten TAN der Bank eine wirksame Anweisung. Er hätte an dieser Stelle, die noch nicht ausgeführte Überweisung jederzeit auch abbrechen können. Diese Willenserklärung des Kunden ist allenfalls anfechtbar, gegenüber der Bank aber nur unter den Voraussetzungen des § 123 Abs. 2 BGB.

Die Sicherheitsaspekte dieses Verfahrens sind bei Wikipedia anschaulich erläutert.

Das Urteil des Landgerichts ist im Ergebnis zutreffend, überzeugt in seiner Begründung aber nur teilweise.

Ergänzung:
Die Überweisung wird nicht am TAN-Generator ausgeführt, wie es in der ersten Fassung hieß.

posted by Stadler at 18:02  

15.9.11

Haftung der Bank beim Phishing

Das Landgericht Landshut hat mit Urteil vom 14. Juli 2011 (Az.: 24 O 1129/11) einen äußerst interessanten Fall zum sog. Phishing entschieden.

Der Kläger hat  das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.

Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.

Das Landgericht Landshut hat der Klage stattgegegeben und die Bank zur Rückzahlung verurteilt.

Das Gericht stellt zunächst dar, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen hat. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat. Diese Argumentation ist zutreffend und juristisch nicht zu beanstanden.

Die entscheidene Frage lautet allerdings, ob dem Kläger ein Sorgfaltsverstoß vorzuwerfen war, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet, mit der Konsequenz, dass der Kunde letztlich auf dem Schaden sitzen bleibt und nicht die Bank.

Eine solche Sorgfaltsverletzung hat das Landgericht verneint. Das Gericht wendet die Vorschrift des § 675v Abs. 2 BGB an, die die Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments regelt. Danach haftet der Zahler nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.

Der Kläger hat sicherlich fahrlässig gehandelt, was allerdings für eine Haftung nicht ausreichend ist. Die entscheidene Frage war also, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht verneint hat.

Die Ansicht des Landgerichts, dass auch das Befolgen der Aufforderung, alle 100 TAN-Nummern einzugeben, keine grobe Fahrlässigkeit begründet, halte ich allerdings für diskutabel.

Wenn man von einem durchschnittlichen Online-Banking-Kunden ausgeht, dann muss man m.E. das Bewusstsein unterstellen, dass eine Bank niemals 100 TANs am Stück abfragen wird. Dass man dem Kläger hier zusätzlich zugute hält, dass er aus Osteuropa kommt und nur über eingeschränkte Kenntnisse der deutschen Sprache verfügt, halte ich für fragwürdig. Es dürfen und müssen zwar bei der Fahrlässigkeit auch subjektive Aspekte berücksichtigt werden. Andererseits wird man bei jemandem, der sich bewusst für das Online-Banking entscheidet, auch ein Mindestmaß an Verständnis unterstellen dürfen.

Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt. Es ist aber anzunehmen, dass die Bank Berufung eingelegt hat.

Das Urteil zeigt in jedem Fall sehr deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings und auch im Bereich der EC-Karten-Zahlung vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit. Wann eine solche grobe Fahrlässigkeit tatsächlich vorliegt, ist allerdings immer eine Frage des Einzelfalls und häufig auch umstritten, wie der geschilderte Fall zeigt.

posted by Stadler at 10:39  

26.8.11

Das BKA und die Hysterie

Daran, dass der Präsident des Bundeskriminalamts Jörg Ziercke selten sachlich argumentiert, aber dennoch von Teilen der Politik Ernst genommen wird, habe ich mich gewöhnt, ebenso wie an den Umstand, dass Ziercke Bürgerrechtlern Hysterie vorwirft, während er gleichzeitig Ängste schürt.

Dass er flankierend eine gezielte Irreführung betreibt, muss aber immer und immer wieder deutlich angesprochen werden.  Ziercke behauptet nach einem Bericht von Heise-Online zum wiederholten Male, dass man schwerste Straftaten im Internet mit klassischen polizeilichen Ermittlungsmethoden nicht mehr aufklären könne, weshalb es bei schweren Straftaten wie Kinderpornografie oder im Kampf gegen den internationalen Terrorismus möglich sein müsse, auf Verbindungsdaten mindestens sechs Monate zurückzugreifen.

Diese Aussagen sind gleich in mehrfacher hinsicht falsch und stehen z.T. auch in Widerspruch zu eigenen Veröffentlichungen des BKA. Wenn man auf die Polizeiliche Kriminalstatistik – auf deren begrenzte Tauglichkeit ich mehrfach hingewiesen habe – zurückgreift, dann zeigt sich, dass die Aufklärungsquote bei Internetstraftaten nach wie vor über dem Durchschnitt liegt. Davon, dass Internetstraftaten nicht mehr aufklärbar seien, kann also gar keine Rede sein. Außerdem ist selbst das BKA der Ansicht, dass ein Zusammenhang zwischen Aufklärungsquoten und Vorratsdatenspeicherung nicht nachweisbar ist. Auf der Website des BKA kann man hierzu folgendes lesen:

Aufklärungsquoten der PKS können also weder als Argument für noch gegen Mindestspeicherfristen herangezogen werden

Vielleicht sollte Herr Ziercke einfach die Veröffentlichungen seines eigenen Hauses aufmerksamer verfolgen.

Wenn man mit Beamten des BKA spricht – ich hatte im letzten Jahr Gelegenheit dazu – ist im Zusammenhang mit Internkriminalität primär von der Bekämpfung von Betrugsstraftaten die Rede. Das ist auch nicht weiter verwunderlich, denn nach der PKS sind mehr als 80 % der Internetdelikte Betrugsfälle. Davon spricht Ziercke allerdings nicht.

Wenn der BKA-Präsident redlich argumentieren würde, so müsste er sagen, dass man mit der Vorratsdatenspeicherung die Hoffnung verbindet, zusätzlich eine gewisse – allerdings eher geringe – Anzahl von Betrugsdelikten aufzuklären. Stattdessen polemisiert er und redet ständig von schwersten Straftaten und von Terrorismus. Denn nur wenn es drastisch genug ist, kann man die Bevölkerung von der Notwendigkeit einer Vorratsdatenspeicherung überzeugen. Denn wer wird es schon für sinnvoll und angemessen halten, die Telekommunikationsverbindungsdaten sämtlicher Bürger für 6 Monate auf Vorrat zu speichern, wenn damit allenfalls – und selbst dies ist ungewiss – eine Handvoll Betrugsdelikte zusätzlich aufgeklärt werden können. Genau diese Diskussion wäre aber zu führen.

posted by Stadler at 10:42  

16.12.09

Dämliche Phishing-Mail

Aus einer in überzeugendem Deutsch gehaltenen Phishing-Mail, die ich vorher bekommen habe:

„Sie werden angewiesen, um die t-online.de E-Mail-Konto anmelden, um zu überprüfen, ob Ihr Konto noch gültig ist und senden Ihnen umgehend die Folowing:

Login-Name: …………………………….( Pflicht)
Passwort: ………………………………( Pflicht)
Geburtsdatum ……………………………( Optional)
Bundesland: ………………………………..( Optional)

Alles, was Sie tun müssen, ist Klicken Sie auf Antworten und geben Sie die oben genannten Informationen, Ihr Konto wird nicht unterbrochen werden und wird auch weiterhin wie gewohnt.“

Es gibt vermutlich selbst bei solchen Mails noch Leute, die brav ihre Daten hinschicken.

posted by Stadler at 14:38