Internetrecht

Phishing – Was heißt das eigentlich und wie kann ich mich davor schützen?

Der Begriff Phishing bedeutet, dass Daten von Internetnutzern beispielsweise über gefälschte E-Mails, Webseiten oder SMS abgefangen werden. Das Ziel der Betrüger ist dabei die Kenntnis von persönlichen Daten, Zugangsdaten und Passwörtern zu erlangen und zu missbrauchen.

In diesem mehrteiligen Artikel möchte Sie die Kanzlei WBS über die Gefahren informieren und anhand einiger Beispielfälle verdeutlichen, wie sie sich schützen können.


Phishing bezeichnet eine Vorgehensweise, die von Betrügern genutzt wird um an für sie relevante Daten zu kommen. Angelehnt ist der Begriff an das englische „fishing“ (Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen bezeichnet Phishing also das Angeln nach Passwörtern oder anderen höchstprivaten Daten mit entsprechenden Ködern.

Meist handelt es sich dabei um sensible Informationen, wie bspw. die Zugangsdaten des Online-Banking-Accounts oder Kreditkarteninformationen. Die Betrüger nutzen eine Vielzahl an verschiedenen Möglichkeiten, um ihr Ziel zu erreichen. Vorwiegend ahmen sie seriöse Webseiten nach, in der der Nutzer vertrauensvoll seine Daten eingibt. Dabei sind die Betrüger teilweise so geschickt, dass selbst Experten keinen optischen Unterschied zur richtigen Seite erkennen können und die Phishing-Seite nur mittels näher gehender technischer Betrachtung als gefälscht entlarven können.

Gefakte E-Mails – so funktioniert die Masche der Betrüger

Besonders häufig kommt Phishing im Zusammenhang mit gefälschten E-Mails von Banken und anderen Zahlungsdiensten vor. So erhalten ahnungslose Nutzer eine E-Mail, in der die Phisher, also die verantwortlichen Betrüger, zur Eingabe von Bankdaten auffordern. Die E-Mail selbst sieht dabei einer offiziellen E-Mail des angeblichen Absenders zum Verwechseln ähnlich.

Als Begründung zur Eingabe der Bankdaten wird beispielsweise angegeben, die Bank hätte ihr System aktualisiert und benötigt zum Datenabgleich entsprechende Kundendaten inklusive der Log-In-Daten. Dafür soll der Kunde einfach auf den in der E-Mail angegebenen Link klicken, der zur vermeintlichen Website der Bank führt. Diese sieht dann zwar täuschend echt aus, ist es aber nicht.

Sofern der Kunde seine Daten dann in das von den Betrügern bereitgestellte Formular angibt und absendet, gelangen diese sofort in die kriminellen Hände der Hintermänner. Meist wird auf den Kunden zusätzlicher Druck ausgeübt indem darauf hingewiesen wird, dass das jeweilige Konto geschlossen wird, falls er den Anweisungen der E-Mail nicht folgt.

Konto leer nach Teilnahme an einem Datensicherheitstest

Die Kunden könnten aber auch direkter aufgefordert werden. Einer unserer Mandanten schilderte uns folgenden Fall. Im Mai 2013 bekam unser Mandant eine E-Mail von der Postbank mit der Bitte an einem Test zur Datensicherheit teilzunehmen. Da die E-Mail täuschend echt aussah, dachte er an nichts böses, klickte auf den entsprechenden Link und nahm an dem Test teil. In diesem Zusammenhag wurde ihm eine TAN-Nr. auf sein Handy übermittelt, die er dann eingab.

Unmittelbar im Anschluss loggte sich unser Mandant in das Online-Banking ein und stellte fest, dass ihm 4.500 € auf seinem Konto fehlten, die zugunsten eines Unbekannten abgebucht worden waren. Sein Online-Banking-Passwort hatte er während des angeblichen Datensicherheitstests zu keinem Zeitpunkt eingegeben.

Es ist zu vermuten, dass der Computer unseres Mandanten bereits vorher mit einem sogenannten Trojaner infiziert worden war. Als Trojanisches Pferd bezeichnet man ein Computerprogramm, welches gezielt oder zufällig auf fremde Computer eingeschleust wird. Sobald ein Nutzer eine mit einem Trojaner versehene Datei öffnet, installiert sich der Trojaner selbst auf dem Computer, ohne das Wissen oder die Zustimmung des Nutzers.

Der Trojaner kann daraufhin Dateien auf dem Computer verwalten, neue erschaffen, installieren, löschen, umbenennen, anschauen oder sie verschicken. Theoretisch kann der Trojaner die komplette Kontrolle über jede Funktion des Computers übernehmen, er kann sogar das CD-Laufwerk öffnen und schließen oder die Webcam unbemerkt einschalten. Dabei laufen Trojaner meist im Hintergrund und verstecken ihre Anwesenheit vor dem Nutzer.

Durch den Trojaner hatten die Betrüger vollen Zugriff auf den Computer unseres Mandanten. Mittels eines so genannten Keyloggers – eine meist in den Trojaner integrierte Software, die alle Tastatureingaben protokolliert – kamen die Betrüger dann auch schnell in den Besitz der Online-Banking-PIN. Sobald der Phisher die PIN hat, kann er sich im Online-Banking des Betrugsopfers einloggen und dessen persönliche Daten auslesen, unter anderem Kontonummer, Bankleitzahl, Adresse sowie die hinterlegte Mobiltelefonnummer für das mTAN-Verfahren. Ihnen hat lediglich die zur Überweisung notwendige mTAN gefehlt, die sie von dem Nutzer dann unter dem falschen Vorwand eines Datensicherheits-Tests übermittelt bekamen.

mTan – Was ist das eigentlich?

Das TAN-Verfahren Mobile TAN (mTAN) oder smsTAN bezeichnet die Einbindung des Übertragungskanals SMS als Übertragungsweg der TAN-Nr. Dabei wird dem Online-Banking-Kunden nach Übersendung der ausgefüllten Überweisung im Internet seitens der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Der Auftrag muss anschließend mit dieser TAN bestätigt werden.

Durch den SMS-Versand der TAN gilt mTAN als sicherer als das vorher verwendete iTAN- oder das klassische TAN-Verfahren. Aufgrund der begrenzten Gültigkeitsdauer sowie der zur nochmaligen Überprüfung übermittelten Ziel-Kontonummer und des Überweisungsbetrags in der SMS soll das mTAN-Verfahren vor ungewollten Überweisungsumleitungen auf ein anderes Konto durch einen „man-in-the-middle“-Angriff schützen. Solch ein „man-in-the-middle“-Angriff bezeichnet das Ansetzen des Betrügers in der Kommunikation zwischen Kunde und Bank.

Einem Kunde, dessen Computer bspw. mit einem Trojaner infiziert ist, kann die Online-Banking Benutzeroberfläche in Echtzeit so manipuliert werden, dass der Zahlungsempfänger bei ausgehenden Überweisungen durch das Abfangen und Manipulieren des Informationsaustauschs zwischen Kunde und Bank durch den „Mann in der Mitte“ nach belieben geändert wird. Mit Hilfe des mTAN-Verfahrens, bei dem der Zahlungsempfänger innerhalb der SMS angezeigt wird, können aufmerksame Kunden diese Gefahr jedoch umgehen, indem sie überprüfen, ob der in der SMS übermittelte Zahlungsempfänger auch dem gewünschten Ziel entspricht.

Smartphones und mTAN – keine sichere Kombination

Problematisch wird es jedoch, wenn man das mTAN-Verfahren mit einem Smartphone benutzt. Smartphones funktionieren bekanntermaßen wie kleine Computer und sind daher ebenso anfällig für Schadprogramme, wie der heimische Computer selbst. Diese Erfahrung musste auch eine unserer Mandantin machen. Nachdem sie sich im April 2013 über den Firmenrechner in ihren Online-Banking-Account eingeloggt hat, erschien ein Fenster mit der Aufforderung, sich für das Online-Banking neu zu zertifizieren. Verlangt wurde ihre Handymarke, das Modell und ihre Handynummer. Daraufhin sollte sie eine SMS mit einem Link erhalten, unter dem sie das neue Zertifikat für ihr Mobiltelefon herunterladen und daraufhin installieren sollte.

Wie von ihr verlangt, folgte unsere Mandantin den vermeintlich von der Bank stammenden Anweisungen und installierte das entsprechende Zertifikat auf ihrem Handy. Danach verschwand das vorher angezeigte Fenster und unsere Mandantin konnte nach einem erneuten Login keine Veränderung feststellen. Zwei Tage später erhielt sie einen Anruf der Postbank, dass das Dispolimit fast erreicht ist, über den genauen Saldo könne sie aber telefonisch nicht informiert werden. Sie erstattete sofort Anzeige und erfuhr daraufhin in einer Filiale ihrer Bank, dass ihr Tagesgeldkonto leer und der Dispo komplett ausgeschöpft ist. In 5.000 – 14.000 € Schritten wurden insgesamt rund 92.000 € auf fremde Konten überwiesen. Erfreulicherweise konnte die Kanzlei WBS nach Kontakt mit der Bank noch im selben Monat eine Rückbuchung des vollen Betrags erreichen.

Es ist anzunehmen, dass der von unserer Mandantin verwendete Firmenrechner mit einem Trojaner infiziert war, der es dem Betrüger ermöglichte, die Aufforderung zur Zertifizierung einzubinden. Mit der Installation des Zertifikats auf ihrem Mobiltelefon installierte sich unsere Mandantin in Wirklichkeit eine Schadsoftware, mit der die eingehenden SMS unmittelbar an den Betrüger weitergeleitet und auf ihrem Handy nicht angezeigt wurden.

So war es dem Betrüger möglich, mittels der durch den Trojaner bekannten Online-Banking-Zugangsdaten und des mit Schadsoftware kompromittierten und für das mTAN-Verfahren aktivierte Smartphone beliebige Überweisungen auszuführen. Dieser Fall zeigt, dass das mTAN-Verfahren am besten nur mit einem alten Mobiltelefon verwendet werden sollte, welches weder fähig ist, Drittprogramme zu installieren, noch generell auf das Internet zugreifen kann. Nur so kann sich ein mTAN-Nutzer vor dem Abfangen der mTAN-SMS durch Betrüger schützen.

Auch bei der Aufforderung, eine unberechtigte Gutschrift zurück zu überweisen, kann es sich um Phishing handeln

Wie bereits erläutert, ist es Betrügern möglich, die Online-Banking-Benutzeroberfläche eines mit einem Trojaner infizierten Computers in Echtzeit zu manipulieren und jegliche Inhalte nahtlos in die vermeintlich vertrauenswürdige Oberfläche der Bank einzubinden. So geschehen im April 2013. Unser Mandant loggte sich wie üblich mit seinen Zugangsdaten im Online-Banking-Portal ein, um den Kontostand und die Kontobewegungen zu überprüfen.

Dabei entdeckte er im Onlinepostfach innerhalb seines Accounts eine Nachricht mit dem Absender „Sparkasse KölnBonn“. Laut dieser Nachricht war der Online-Banking-Account unseres Mandanten gesperrt, da es versehentlich zu einer Fehlbuchung in Höhe von rund 8.500 € zugunsten unseres Mandanten gekommen sei. Es gäbe zwei Möglichkeiten, weiter zu verfahren, sofern ein Anspruch auf den überwiesenen Betrag besteht, solle man sich mit dem jeweiligen Kundenbetreuer in Verbindung setzen, ansonsten soll der Betrag umgehend zurück überweisen werden, dann werde der Account wieder freigegeben. Unser Mandant klickte daraufhin auf den unter der Nachricht angebrachten Button „weiter“, wodurch er zur Umsatzanzeige weitergeleitet wurde.

In dieser Anzeige war der erwähnte Betrag dem Konto unseres Mandanten als gutgeschrieben ausgewiesen worden. Nach Überprüfung des Zahlungseingangs stellte unser Mandant fest, dass er keinen Anspruch darauf hat. Er betätigte daraufhin die Schaltfläche „Retour“. In dem sich öffnenden Fenster waren bereits alle Daten für die Rücküberweisung eingetragen, woraufhin unser Mandant den Bestätigungsbutton betätigte, eine TAN per SMS anforderte und eingab, sodass die Buchung ausgeführt wurde. Anschließend führte unser Mandant weitere Überweisungen durch, die wie gewöhnlich abliefen.

Zwei Tage später erhielt unser Mandant Kontoauszüge, auf denen die Abbuchung ausgewiesen war, jedoch die vorherige Gutschrift fehlte. Nach Rücksprache mit einem Sachbearbeiter erhielt unser Mandant die Information, dass solche Retourenüberweisungen unüblich seien und eine Rückbuchung des Geldes nicht mehr möglich sei, da das Geld bereits gebucht war. Nach Überprüfung des Computers auf Viren wurde ein Trojaner mit dem Namen Bublik.B entdeckt, der allem Anschein nach für die falschen Meldungen innerhalb der Banking-Oberfläche verantwortlich war.

Leider verweigert die Bank die Rückzahlung des Betrags mit Hinweis auf die bei der Anmeldung zum Online-Banking akzeptierten Sicherheitshinweise, in denen ausdrücklich auf solche Banking-Trojaner hingewiesen wird. Gegen die dem Mandanten obliegenden Sorgfaltspflichten wurde nach Ansicht der Bank in besonders erheblicher Weise verstoßen. Die Kontobelastung sei daher ausschließlich auf grob fahrlässiges Verhalten zurückzuführen. Aufgrund des hohen Kostenrisikos bei einer gerichtlichen Auseinandersetzung mit der Bank möchte unser Mandant nicht klagen, das Geld ist somit höchstwahrscheinlich verloren.

Ähnlich ging es einer anderen Mandantin, sie loggte sich im Mai 2013 mit ihren Zugangsdaten im Online-Banking-Portal ihrer Bank ein um dort wie üblich Überweisungen zu tätigen. Nach dem Login wurde usnerer Mandantin ein Hinweisfenster angezeigt, dass eine Sicherheitsüberprüfung ihres Kontos erforderlich wäre. Hierzu müsse sie lediglich eine Sicherheitsüberweisung tätigen, welche allerdings nicht ihrem Konto belastet würde. Unsere Mandantin ging zu diesem Zeitpunkt von der Echtheit des Hinweises aus, zumal er in der gewohnten Online-Banking-Oberfläche angezeigt wurde.

Sie forderte daher, wie bei Überweisungen üblich, eine entsprechende mTAN auf ihr Mobiltelefon an. Kurz darauf erhielt sie die angeforderte mTAN-SMS mit allen die Überweisung betroffenen Informationen. Als Höhe waren 5.000€ angegeben. Sie gab daraufhin die TAN in das Formular ein und bestätigte die Überweisung. Unmittelbar darauf kontrollierte unsere Mandantin ihre Kontobewegungen wobei die angebliche Sicherheitsüberweisung ihr, wie angekündigt, nicht angezeigt wurde. Daher ging unsere Mandantin zunächst von der erfolgreichen Sicherheitsüberprüfung aus und tätigte wie geplant ihre sonstigen Überweisungen.

Erst spät am Abend erfuhr unsere Mandantin, dass es sich bei der angeblichen Sicherheitsüberprüfung wohl nicht um eine Nachricht ihrer Bank, sondern um einen sogenannten Pharming-Angriff gehandelt hat. Daraufhin wandte sie sich sofort telefonisch an ihre Bank und bat um Rückbuchung der Überweisung. Glücklicherweise konnte die Überweisung seitens der Bank noch zurückgeholt werden, so dass der Mandantin kein weiterer Schaden entstanden ist.

Pharming durch Manipulation der Host-Datei

Der Begriff „Pharming“ bezeichnet eine Weiterentwicklung des klassischen Phishings. Bei dieser Betrugsmethode werden die DNS-Anfragen von Webbrowsern durch Trojaner manipuliert um den Benutzer auf gefälschte Webseiten umzuleiten.

Eine Überprüfung des Computers unserer Mandantin ergab, dass sich auf dem PC der Trojaner Bublik.L befunden hat. Dieser Trojaner manipuliert die sogenannte „Host“-Datei, die in einfachen Worten dafür zuständig ist, eine Internetadresse wie bspw. www.google.de in die entsprechende IP-Adresse, auf die der Server hört, umzuwandeln. Mittlerweile sind dafür sogenannte DNS-Server im Internet zuständig und die Host-Datei wird kaum noch gebraucht. Dennoch ist sie beim Aufrufen einer Website die erste Anlaufstelle ihres Computers, um die gewünschte Website in die entsprechende IP-Adresse umzuwandeln. Erst wenn kein passender Eintrag in der Host-Datei zu finden ist, werden DNS-Server befragt.

Genau das kann jedoch zum Problem werden. Denn Trojaner manipulieren eben diese Host-Datei mit beliebigen Einträgen, sodass der Nutzer trotz Aufrufen der korrekten Website, falsch weitergeleitet wird und bei einer täuschend echt aussehenden, jedoch gefälschten Website landen. So wurde auch unsere Mandantin trotz des Aufrufs der Website www.sparkasse-koelnbonn.de nicht auf die echte Website weitergeleitet, sondern auf eine von den Betrügern gefälschte Kopie.

Begleitet wird ein solcher Eintrag in der Host-Datei meist durch weitere Einträge, die eine Aktualisierung der Antivirenprogramme unterbinden. Sobald nämlich falsche oder ungültige IP-Adressen in der Host-Datei als Weiterleitung zu den Servern des Herstellers des Antivirenprogramms angegeben sind, verhindern diese Einträge das automatische oder manuelle Aktualisieren der Software. Ein anfangs nicht erkannter Trojaner kann so verhindern, später erkannt zu werden.

Anonyme Warenlieferung über fremde DHL-Packstationen

Es reicht jedoch leider nicht, lediglich beim Online-Banking aufmerksam zu sein um kein Phishing-Opfer zu werden. Natürlich sind die Betrüger auch an den Zugangsdaten zu anderen Zahlungsdiensten, wie bspw. Paypal interessiert. Aber auch mit den Zugangsdaten einer DHL-Packstation kann sehr viel Schaden angerichtet werden.

Aktuell tauchen raffiniert gemachte betrügerische E-Mails auf, die angeblich vom Kundenservice des Paketdienstes stammen. Darin werden die Empfänger aufgefordert, ihr Packstation-Konto zu verifizieren. Die angegebenen Gründe variieren, mal sei es zu mehrfachem unberechtigtem Zugriff auf das DHL-Packstation-Konto gekommen, mal habe der Kunde das Konto zu selten benutzt. Eine Gemeinsamkeit haben aber alle der gefälschten E-Mails: Ähnlich wie beim Online-Banking wird der DHL-Kunde aufgefordert, seine Zugangsdaten, inklusive Kundennummer, PIN und Internet-Kennwort auf einer verlinkten Internetseite einzugeben. Diese täuschend echte Seite stammt allerdings nicht von der DHL sondern von den Betrügern, das heißt alle eingegebenen sensiblen Informationen landen umgehend in kriminellen Händen.

Die Motive der Betrüger variieren. Manche Nutzer der Packstation nutzen auch andere Angebote der DHL unter den gleichen Zugangsdaten. Eventuell hinterlegte Bank- oder Kreditkartendaten werden daraufhin von den Hintermännern gestohlen. Außerdem wird die Packstation nach erfolgreichem Zugangsdatenklau häufig von Warenbetrügern als Lieferadresse benutzt, um anonym unter fremden Namen Waren entgegenzunehmen. In der Regel sind diese Waren mit geklauten Kredit- oder Kontodaten bezahlt, sodass der eigentliche Inhaber des Packstation-Accounts schnell mit Rechnungen, Mahnungen oder gar einer Anzeige konfrontiert wird.

Rechtslage

Viele Online-Banking-Kunden werden sich nun fragen, wie sieht eigentlich die Rechtslage aus? Wann haftet der Kunde für einen durch Phishing entstandenen Schaden und wann die Bank? Im Folgenden möchte die Kanzlei WBS einen kurzen, rechtlichen und möglichst auch für Rechtslaien verständlichen Überblick geben.

Juristisch gesehen bewirkt die ausführende Bank Zahlungsaufträge grundsätzlich zunächst aus ihrem eigenen Vermögen. Dafür entsteht ihr ein Anspruch auf Aufwendungsersatz gemäß § 675c Abs. 1, 670 BGB gegen den Auftraggeber der Überweisung. Sollte der Kontoinhaber allerdings – wie im Falle des oben erläuterten „Pharmings“ – die Überweisung gar nicht selbst in Auftrag gegeben haben, liegt eine sogenannte „Geschäftsführung ohne Auftrag“ vor. Das hat zur Folge, dass der Kontoinhaber gem. § 684 Satz 2 BGB seine Genehmigung verweigern kann und die Bank ihren Anspruch auf Aufwendungsersatz verliert.

Im Rahmen der Umsetzung der Zahlungsdiensterichtlinie 2007 wurde dies auch noch einmal spezialgesetzlich in § 675u BGB geregelt, in dem ausdrücklich ausgeführt wird, dass ein Zahlungsdienstleister gegen den Zahlungsdienstnutzer keinen Anspruch auf Aufwendungsersatz für nicht von dme Kunden autorisierte Zahlungen hat. Sollte die Bank bereits Belastungsbuchungen zu Ungunsten des Kunden getätigt haben, können diese aufgrund des fehlenden Rechtsgrundes gem. § 812 Abs. 1 Satz 1 Alt. 2 herausverlangt werden. Ein Primäranspruch steht der Bank somit nicht zu.

Schadensersatz wegen Pflichtverletzung möglich

In Frage kommen jedoch Sekundäransprüche der Bank, insbesondere Schadensersatzansprüche. In den meisten Fällen richten sich Trojanerangriffe nämlich nicht gegen die gut gesicherten IT-Systeme der Banken, sondern gegen die oft sehr viel schlechter, oder sogar gar nicht gesicherten Computer der Bankkunden. Deshalb verpflichten die Banken ihre Kunden üblicherweise innerhalb ihrer Online-Banking-Bedingungen zur Einhaltung eines Mindestmaßes an Sorgfalt, um Schäden zu verhindern.

Gefakte Website lassen sich meist nur noch schwer entlarven

Mit Urteil vom 24. April 2012 hat der BGH entschieden, dass ein Kunde, der zehn TAN-Nummern auf einer gefälschten Website eingibt, fahrlässig gegen seine Sorgfaltspflichten verstoßen hatte. Online-Banking-Nutzer sind nämlich verpflichtet, ihre Rechner mittels aktuellem Virenschutz zu sichern. Darüber hinaus ist der Bankkunde verpflichtet, Updates sicherheitsrelevanter Programme, etwa des Betriebssystems oder des Internetbrowsers, vorzunehmen.

Die Allgemeinen Geschäftsbedingungen einer Bank verpflichten den Kunden außerdem dazu, seine Authentisierungsmedien (PIN und TAN) geheim zu halten, insbesondere diese nicht an Dritte weiterzugeben. Gegen diese Pflicht verstößt ein Kunde jedoch auch, wenn er diese Daten in der irrigen Annahme, er kommuniziere mit der Bank, an den Angreifer weitergibt. Dies ist regelmäßig bei den bereits erläuterten Phishing-Methoden der Betrüger der Fall. Eine relevante fahrlässige Verletzung liegt jedoch nur dann vor, wenn der Kunde hierbei die im Verkehr erforderliche Sorgfalt nicht beachtet. In seinem Urteil weist der BGH ausdrücklich darauf hin, dass das nur dann der Fall ist, wenn es dem Kunden zuzumuten war, seinen Irrtum zu vermeiden.

Früher waren gefälschte Webseiten und E-Mails schnell anhand designtechnischer, orthographischer oder grammatikalischer Fehler erkennbar. Mittlerweile sind die Fälschungen allerdings nahezu perfekt und es lässt sich nur noch schwer zwischen gefälschter und echter Website differenzieren. Aus technischer Sicht ist es jedoch nach wie vor möglich eine gefälschte Website zu identifizieren, indem die URL analysiert und nach dem zusätzlichen „s“ in „https://“ Ausschau hält.

Dieses „s“ weißt auf eine verschlüsselte SSL-Verbindung hin, reicht jedoch alleine nicht als sicherer Hinweis aus. Erst wenn man auch das entsprechende Sicherheitszertifikat überprüft hat, kann man sich sicher sein, ob die angewählte Seite auch die ist, für die sie sich ausgibt. Solch ein technisches Know-How ist dem Kunden nach herrschender Meinung und Rechtsprechung des BGH jedoch nicht zuzumuten.

Kunden müssen sonstige Verdachtsmomente erkennen

Anknüpfungspunkt für die Haftung des Kunden ist stattdessen oft die Pflicht, sonstige Verdachtsmomente zu erkennen. Bei klassischen Phishing-Angriffen per E-Mail liegt der Verdachtsmoment darin, dass eine Bank ihre Kunden niemals per E-Mail anschreiben und auffordern würde, über einen Link die Bank-Website aufzurufen und höchstsensible Daten – im BGH Fall gar direkt 10 TAN-Nummern – einzugeben. Diesen Umstand zu erkennen, richtig zu deuten und vor allem nicht den Link zu nutzen ist dem Kunden nach einheiliger Auffassung zuzumuten.

Sofern ein Kunde einer solchen Aufforderung folgt, liegt eine schuldhafte Pflichtverletzung des Kunden vor. Falls diese Pflichtverletzung dem Kunden eindeutig nachgewiesen werden kann, kommen Schadensersatzansprüche seitens der Bank in Frage. Wenn es sich nun auch noch um eine sogenannte „grobe Fahrlässigkeit“ gehandelt hat, kann der Anspruch des Kunden auf Rückbuchung folgend mit der Gegenforderung der Bank in voller Höhe aufgerechnet wird. Das Ergebnis ist für den Kunden wenig zufriedenstellend – das Geld bleibt weg.

Social Engineering Trojaner

Im Vergleich zu den Phishing-Mails und Trojanern mit dem Ziel, TAN-Nummern in Erfahrung zu bringen um daraufhin vom Kontoinhaber ungewollt und unbemerkt Überweisungen in Auftrag zu geben, sieht die Rechtslage bei sogenannten Social Engineering Trojanern anders aus. Im Kern geht es beim Social Engineering darum, durch zwischenmenschliche Beeinflussung bei der Zielperson ein bestimmtes Verhalten hervorzurufen.

Ein Beispiel für den Einsatz eines Social Engineering Trojaners ist der bereits von uns erläuterte Fall, in dem ein Mandant innerhalb seiner Online-Banking-Oberfläche mittels gefälschter Mitteilung darauf hingewiesen wurde, dass es zu einer Fehlbuchung kam und sein Konto erst entsperrt werden könne, wenn er die Rücküberweisung der angeblichen Fehlbuchung in Auftrag gegeben hat. Der Kunde geht verständlicherweise – aufgrund der offiziell wirkenden, in korrektem Deutsch verfassten Mittelung und mit seiner Bank als Absender – von der Echtheit der Meldung aus und initiiert willentlich die Rücküberweisung. Zwar wirkt diese Konstellation auf den ersten Blick wie eine Weiterentwicklung des bekannten Phishings, sie kann juristisch gesehen jedoch einen anderen Tatbestand darstellen.

Ein Erstattungsanspruch des Kunden aus §675u BGB könnte bei einer vom Kunden autorisierten Zahlung nicht möglich sein

Aus technischer Sicht hat der Überweisende in diesem Fall zwar tatsächlich und bewusst eine Überweisung getätigt, ob im Einzelfall auch juristisch gesehen eine eigentätige und bewusste Überweisung vorlag, kann aber durchaus strittig sein. Betroffene Kunden sollten sich daher unbedingt an einen kompetenten, rechtlichen Beistand wenden um den Einzelfall bewerten zu lassen.

Falls eine vom Kunden autorisierte Zahlung nach §675u angenommen wird, könnte er sich somit nicht, wie oben dargestellt, auf eine „Geschäftsführung ohne Auftrag“ beziehen und seine Genehmigung verweigern. Der oben bereits erwähnte § 675u BGB könnte aufgrund der tatsächlich vom Kunden autorisierten Zahlung nicht angewendet werden, mit der Folge, dass der Anspruch auf Aufwendungsersatz nach §670 BGB seitens der Bank nicht entfallen würde. Eine bereits getätigte Belastungsbuchung der Bank könnte daher nicht zurückverlangt werden, denn die Bank hätte aufgrund der vom Kunden autorisierten Überweisung einen entsprechenden Rechtsgrund, diese auszuführen.

Kann der Geschädigte anfechten?

Für das Betrugsopfer stellt sich folgend die Frage der Anfechtbarkeit. In Frage kommt eine Anfechtung wegen arglistiger Täuschung nach § 123 BGB. Da es sich bei dem Schädiger um einen Dritten handelt, ist die Anfechtung gegenüber der Bank nur nach §123 Abs. 2 BGB zulässig. Dafür müsste der Geschädigte nachweisen, dass die Bank die Täuschung kannte oder kennen musste, was angesichts des elektronischen Massenzahlungsverkehrs abwegig ist. Eine Anfechtung wegen arglistiger Täuschung entfällt somit.

Eine Anfechtung wegen Irrtums nach §119 BGB scheidet ebenfalls aus. Der Geschädigte war sich nämlich bei Abgabe der Willenserklärung, also beim Abschicken der Überweisung nicht im Irrtum über deren Inhalt. Ihm war klar, dass ein bestimmter Betrag an den Empfänger überwiesen werden soll und wollte dies auch. Er unterlag lediglich einem rechtlich unbeachtlichen Motivirrtum, der Zahlungsempfänger habe einen Anspruch auf seine Zahlung.

Es bleibt ein möglicher Schadensanspruch des Zahlers gegen seine Bank um den entstandenen Schaden zu kompensieren. Dabei müsste der Geschädigte jedoch eine Pflichtverletzung der Bank beweisen können. Zu berücksichtigen ist aber, dass die Schadsoftware in aller Regel nicht das System der Bank, sondern lediglich den Computer des Geschädigten befallen hat und somit vollständig im Machtbereich des Geschädigten verblieben ist. Gemäß der Online-Banking-Bedingungen ist ein Kunde jedoch selbst für den Schutz seines Systems verantwortlich und hat somit in aller Regel keinen Schadensersatzanspruch gegenüber der Bank.

Fazit

Während in Phishing-Fällen meist die Bank haftet, da ihr der Nachweis der groben Fahrlässigkeit nur in eindeutigen Fällen gelingt, haftet beim Rücküberweisungstrojaner häufig der Kunde. Viele Banken sind allerdings bereit, ohne Anerkennung einer Rechtspflicht, den Schaden auf Kulanz zu erstatten.

Bevor es so weit kommt, sollte man sich aber folgenden grundlegenden Ratschlag zu Herzen nehmen: Den besten Schutz vor Phishing bietet schlicht die Beachtung der inzwischen wohl von allen Banken ausgegebenen goldenen Regel: „Geben Sie niemals auf telefonische Anfrage (Ausnahme: Telefon-Banking) oder auf eine E-Mail PIN oder TAN heraus!“.

Selbst wenn die entsprechende Aufforderung noch so seriös wirkt, im Zweifel sollte man lieber einmal mehr nachfragen als einmal zu wenig. Falls sie bereits Opfer eines Online-Banking-Betrugs geworden sind, sollten Sie nicht zögern, einen Rechtsbeistand einzuschalten. Unserer Erfahrung nach ist die Hoffnung auf eine Rückzahlung nur in den seltensten Fällen verloren. Die Kanzlei WBS steht Ihnen unter der angegeben Telefonnummer gerne zur Verfügung.

Zur Veranschaulichung finden Sie hier noch einige Phishing Beispiele:

Phishing-Beispiele

Mehr Infos auch hier:

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (2)

Kommentar schreiben | Trackback URL

  1. […] Viele detaillierte Fallbeispiele für aktuelle Phishing-Fälle aus der Kanzlei finden Sie hier vor: https://www.wbs-law.de/internetrecht/phishing-was-heisst-das-eigentlich-und-wie-kann-ich-mich-davor-s… […]

  2. Maren Kobs sagt:

    Habe gerade diese mail bekommen – ist für Ihre Sammlung 🙂

    ***************************************************************************

    Hallo **** ****

    da unser System mit einer hohen Nutzerumfrage überlastet ist, sind wir dazu gezwungen, inaktive Nutzer automatisch auszusortieren.

    Seit dem 01.05.2015 müssen alle Nutzer Ihre Daten abgleichen, damit eine Inaktivität Ihrerseits aussteht.

    Mit dieser Email bitten wir Sie, alle Nutzerinformationen abzugleichen.

    Kommen Sie dieser Nachricht binnen 3 Tagen nicht nach, wird Ihr Nutzerkonto fristlos aus unserem System entfernt.

    Bitte führen Sie Ihren Datenabgleich baldmöglichst aus.

    Achtung: Eine Reaktivierung Ihres Amazon.de Kontos ist in diesem Fall nichtmehr möglich!

    Zum Sicherheitsverfahren!

    Mit freundlichen Grüßen

    Ihr Amazon.de Kundenservice

    Mit Ihrer Anmeldung erklären Sie sich mit Unseren AGB unserer
    Datenschutzerklärung sowie den Bestimmungen zu Cookies & Internet
    Werbung einverstanden.

    ******************************************************
    Der darin befindliche link führt zu dieser Adresse

    http://zahlungssicherheit-aktualisieren.ru/de/master_user/

    Vielen Dank

    Hochachtungsvoll
    M.Kobs

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×