McAdvo Anwaltssuche – Finden Sie einen Rechtsanwalt - Österreich
Für Anwälte:   Login · Registrieren · News einsenden
 
 
Martin Josef Haas
MJH Rechtsanwälte, Fachanwalt für Bankrecht und Kapitalmarktrecht
Fuggerstr. 14
86830 Schwabmünchen


» zum Anwaltsprofil

Phishing - Gefahr für Bankkunde? - Erst Recht für Bank!

Der Kunde verlangt die Rückbuchung bzw. den Ausgleich des Saldos. Der Fehler - so behauptet er - liegt also bei der Bank. Auch wenn die PIN und TAN des Kunden verwandt wurde und dies die Bank nachweisen kann, besteht nach der wohl herrschenden Rechtsmeinung nicht ein Anscheinsbeweis zu Gunsten der Bank, dass ein vom Kunden autorisierter Überweisungsvortrag vorlag

Folgende Fragestellungen hat kürzlich unsere Kanzlei erhalten und bearbeitet.

1.) Welche technischen Sicherheitsmaßnahmen sollte eine Sparkasse oder Bank gegen Phishing-Angriffe ergreifen?

a) Ausgangslage:

Es sind m. E. die aktuellsten aller möglichen Sicherheitsmaßnahmen zu beachten. Prävention ist unerlässlich, da eine unerfreuliche Rechtslage zu Lasten der Banken existiert.

Der objektive Tatbestand in einem Phishing Fall ist immer der gleiche. Das Konto des Kunden wurde mit einer Zahlung belastet, von der der Kunde selbst behauptet, diese nicht veranlasst zu haben. Er verlangt die Rückbuchung bzw. den Ausgleich des Saldos. Der Fehler - so behauptet er - liegt also bei der Bank. Auch wenn die PIN und TAN des Kunden verwandt wurde und dies die Bank nachweisen kann, besteht nach der wohl herrschenden Rechtsmeinung nicht ein Anscheinsbeweis zu Gunsten der Bank, dass ein vom Kunden autorisierter Überweisungsvortrag vorlag.

Vor Gericht wird die streitige Frage einer Haftung meist so beurteilt, dass die typischen Risikosphären der jeweiligen Vertragspartei beurteilt werden. Die Banken haben großes Interesse an der Nutzung des Online-Bankings, weil im Vergleich zur altmodischen „Schalter- bzw. Zahlungsanweisungspraxis“ ganz erhebliche Personalkosten eingespart werden. Auf der anderen Seite ist den Banken - die ja die Dienstleistung auch anbieten - die Anfälligkeit des Systems insgesamt bekannt.

b) aktive Suche nach betrügerischen Homepage

Damit müssen die Banken auch Sorge tragen, dass die angebotenen Systeme technisch auf dem jeweils neuesten Stand sind. Meines Erachtens sollte die Bank oder ihr Dachverband aktiv nach Phishing Betrügereien suchen. Letztendlich wird von den Hackern immer versucht, die Homepage der Bank zu fälschen bzw. dem Kunden vorzugeben, dass er auf einer Side seiner Bank „gelandet“ ist.

Unbestätigten Berichten zu Folge soll es Banken ermöglicht sein, es innerhalb von vier bis acht Stunden zu schaffen, zur Kenntnis gelangte Phishing Websites weltweit löschen zu lassen. Damit wäre ggf. eine Möglichkeit der Prävention gegeben, die Schadensfälle insgesamt vermeidet oder deren Anzahl jedenfalls vermindert. Als generisches Schutzprotokoll vor Phishing-Attacken wurde unter anderem das Protokoll IDN Char Collison–Detection (IdnCCD) entwickelt, welches bei der Ahndung nach gefälschten Homepage hilfreich sein sollte.

b) kein Einsatz des einfachen PIN / TAN Verfahrens:

Auch wenn ich bedauerlicher Weise keine Zeit mehr fand, mich mit IT Fachleuten in Bezug auf die technischen Fragestellungen auszutauschen, darf unter Bezugnahme auf die Rechtsprechungspraxis folgendes empfohlen werden. Das einfache PIN / TAN Verfahren sollte nicht verwandt werden, da es wohl nach allgemeiner Ansicht zu störanfällig ist.

In der Rechtsprechung - und diese „hinkt“ der technischen Entwicklung naturgemäß hinterher - wird zumindest der Einsatz von i-TAN, n-TAN Verfahren oder das Chipkartenleseverfahren (HBCI –Verfahren mit Chipkarte) erwähnt, wenn es um die Frage geht, wer verantwortlich für die rechtsgrundlose Buchung ist.

c) Extended Validation SSL-Zertifikate

In der Internet-Literatur wird zudem darauf hingewiesen , dass seit einiger Zeit immer mehr Kreditinstitute im Internetbanking Extended Validation SSL Zertifikate (EV-SSL-Zertifikate) nutzen, die ebenso eine höhere Sicherheit garantieren sollen: In der Adresszeile aktueller Browser (bspw. Internet Explorer, Mozilla Firefox etc.) wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist und besser vor Phishing-Versuchen schützen.

d) praktische Risikohinweise gegenüber dem Kunden

Hierbei sollten nicht nur die technischen Novationen ausgenutzt, sondern auch mit praktischen Risikohinweisen gegenüber den Bankkunden gearbeitet werden. Zwar kann durch einseitige Prävention nicht ein Vertragsabschluss mit dem Kunden herbeigeführt werden.

Da aber u. a . Sorgfaltspflichten des Kunden durch Hinweise der Bank konkretisiert werden können, ist eine ausführliche Unterrichtung des Kunden über die Gefahren des Phishing notwendig.

Es wird die zutreffende Meinung vertreten, dass lediglich die Kombination aus technischen Sicherungsmaßnahmen und einem Anwendertraining dazu führen kann, die Schäden durch Phishing oder Pharming gering zu halten.

So sind sämtliche möglichen Vorkehrungen zu treffen, um ein Phishing durch Angriffe auf den Kunden z.B. durch eine HTML-E-Mail - die mit Ihrem Verweistext die Originaladresse der Kundenbank anzeigt, während das unsichtbare Verweisziel auf die Adresse der gefälschten Webseite verweist (Link – Spoofing) - möglichst zu vermeiden.

Dies wird m.E. aber regelmäßig nur dann gelingen, wenn auch der Kunde neuste Filtersysteme beim Online Banking einsetzt. Empfehlenswert ist Einsatz eines sogenannten bayesschen Spamfilters . Mit diesem arbeiten wohl die gängigen Betriebssysteme schon ohnehin.

Alle Maßnahmen nützten aber nichts, falls der Kunde nicht sensibilisiert wird, um auf Merkmale gefälschter Homepage zu achten. Dabei sind die täuschend aussehenden Zielseiten häufig nur schwer erkennbar, was in der Zukunft sicherlich nicht einfacher wird. Im Fall sogenannter homografischer Angriffe sind die Adressen der Zielseiten zudem kaum als Fälschungen wahrzunehmen, soweit Buchstaben von Domains unseres Alphabets durch z.B. Kyrillische Buchstaben - die gleich aussehen - in der Betrüger URL ersetzt sind. Auf das insoweit wohl hilfreiche Schutzprotokoll IDN Char Collison–Detection (IdnCCD) hatte ich bereits hingewiesen.

Da ich selbst technisch nicht auf dem aktuellsten Stand bin, konnte ich in Bezug auf diese Frage nur auf die aus Urteilen bzw. im Internet kursierenden Hinweise zurückgreifen.

2) Welche formalen Regeln (z.B. AGB) gilt es zu beachten?

Der Kunde muss möglichst umfangreich über Regelungen in den AGB vertraglich gebunden werden. Einseitige Hinweise der Bank allein führen nicht zu Vertragspflichten, können diese aber konkretisieren, weshalb eine Kombination von beidem sachgerecht ist.

Die Bank muss den Kunden zum sorgfältigen Umgang mit den Kontodaten verpflichten. Insbesondere die Herausgabe an nichtautorisierte Dritte ist zu untersagen. In diesem Zusammenhang sollte auf die typischen Gefahren von Phishing Angriffen (auch in den AGB) hingewiesen werden.

Die Bank sollte in ihren AGB den Kunden anhalten, selbst ausschließlich aktuelle Software und Virenschutzprogramme einschließlich einer Firewall zu verwenden.

Unbedingt sollte in Allgemeinen Geschäftsbedingungen der Bank der Kunde verpflichtet werden, seinen Rechner technisch aufzurüsten, wenn das Gerät durch Zeitablauf zur Verarbeitung ausdrücklich vereinbarter Sicherheitsmaßnahmen nicht mehr in der Lage ist. Hierbei könnte u.U. in Abstimmung mit einem IT Fachmann die Nutzung bestimmter Betriebsysteme vorausgesetzt werden.
Die AGB der Banken sollten wiederholt aktualisiert werden, da sich die Art der Phishing Angriffe schnell und in verschiedenartigster Weise ändert, ebenso die Sicherungs-erfordernisse im Netz sich ständig ändern.

Ferner ist in den AGB festzuhalten, dass für den Fall, das der Kunde von einem Phishing Opfer erfährt, gehalten ist, unverzüglich (sofort) sein Kreditinstitut zu verständigen.

Auch in diesem Zusammenhang ist zu empfehlen, die Phishing Angriffe zu typisieren und zwar sowohl in den AGB als auch in einem begleitenden Anschreiben an den Kunden.

3) In welchen Fällen haften Banken, in welchen die Kunden?

Das ist nicht einfach zu sagen. Es gibt noch keine obergerichtliche Rechtsprechung. Allerdings einige richtungsweisende Entscheidungen. Letztendlich entscheidet nicht zuletzt die im Einzelfall bestehende konkrete Darlegungs- und Beweislast, die jede Partei zu erfüllen hat. Ist die eine oder andere Partei gut oder schlecht anwaltlich vertreten, kann sie verlieren oder gewinnen. Entscheidungsgrundlage für ein Urteil ist der Sachvortrag der Parteien in dem Verfahren sowie die rechtliche Argumentation. Das ist manchmal etwas anderes als die Wirklichkeit, in der Juristerei auch Verfahrenswahrheit genannt.

Die Bank beruft sich darauf, dass Sie einen Überweisungsvorgang veranlassten, der durch den Kunden durch Verwendung von PIN und TAN ermöglicht wurde. Diese habe er selbst verwandt oder aber der Kunde habe die Daten an Dritte herausgegeben bzw. keine erforderlichen Maßnahmen gegen den Diebstahl der Daten getroffen. Dies alles muss die Bank beweisen.

Das Vorliegen eines Anscheinsbeweises zu Ihren Gunsten der Bank ist in der Rechtsprechung und Literatur umstritten.

Der Kunde will nicht haften, weil er - von einem Phishing Angriff getäuscht - selbst nichts gemerkt hat und auch nichts merken konnte, bis dann letztendlich entweder der Schaden durch ihn oder durch die Bank festgestellt wurde. Er ist der Ansicht, alles richtig gemacht zu haben und die Bank müsse haften, da das von ihr verwandte System zu wenig sicher sei und so den Computerbetrug ermöglicht habe. Er klagte auf Gutschrift des abgebuchten Betrages, da er einen Überweisungsauftrag nicht erteilt hatte. Er muss somit „nur“ beweisen, dass der Überweisungsauftrag von einem unautorisierten Dritten kam und ihn keine Pflichtwidrigkeit traf, den Hackerangriff ermöglicht zu haben.

a) Die Bank hat grundsätzlich für die Sicherheit des Systems einzustehen und muss dem Kunden Sorgfaltspflichtverletzungen nachweisen.

So entscheidet häufig die Ausstattung des Systems des Kunden oder des von der Bank verwendeten Systems einschließlich der geltenden Vertragsbedingungen über die Haftungsfrage.

In einer von den Gerichten m. E. vielbeachteten Entscheidung des AG Wiesloch wurde z.B. die Bank zur Schadensersatzleistung verurteilt, da noch ein veraltetes TAN Verfahren verwandt wurde und der Kunde den Einsatz aktueller Software und Virenschutzprogramme nachweisen konnte. Auch wenn der Scan des Computers des Bankkunden zu dem Ergebnis kam, dass die dort aufgefundenen Viren einen Zugriff auf den Computer durch Phishing Angriffe ermöglichten, hatte das Gericht erhebliche Zweifel daran, dass bei Verwendung des im konkreten Fall angewendeten „einfachen PIN / TAN Verfahrens“ ohne zusätzliche Absicherung durch das i-TAN Verfahren oder andere Sicherheitsmechanismen ein Anscheinsbeweis zu Gunsten der Bank anzunehmen ist, der sie nicht haften lässt.

Da in zahlreichen Fällen von Online–Betrügereien die Daten etwa durch sog. Pharming an die Täter gelangen, kann der Kunde jedenfalls nicht erkennen, dass er auf eine andere Homepage umgeleitet wird. Eine Pflichtverletzung des Kunden kann nicht unterstellt werden.

Nach sachverständiger Beratung und Bewertung in der einschlägigen Literatur, dass das Ausspähen von Passworten mittels sog. Trojanischer Pferde eine „durchaus reelle Gefahr“ darstelle und das einfache PIN / TAN Verfahren besonders störanfällig ist, wurde der Klage des Kunden stattgegeben.

Die Sorgfaltsanforderungen an die Absicherung eines Computers erfüllt nach Ansicht des AG Wiesloch eine irgendwie geartete Absicherung des Computers durch den Bankkunden, von dem keine speziellen IT Kenntnisse erwartet werden können.

Insgesamt ist demnach dem Grundsatz Rechnung zu tragen, dass das Kreditinstitut
grundsätzlich das Risiko des Missbrauches der Sicherungsmedien trägt und dieses nicht
umfassend auf den Kunden abwälzen kann.

Weiter ist nach der zutreffenden Ansicht des AG Wiesloch zu beachten, dass der Durchschnittsmensch leichtfertig im Internet handelt. Die unternehmerische Entscheidung der Bank, diesen Personen das Onlinebanking zur Verfügung zu stellen, wirke sich auf die anzuwendenden Sorgfaltsanforderungen aus.

Dabei wird ein Verschulden des Kunden im Regelfall nicht angenommen, wenn der Kunde selbst den Phishing Angriff nicht, oder nur schwer erkennen konnte.
So auch in dem vom AG Wiesloch entschiedenen Fall, in welchem das Phishing-Opfer über eine vorgetäuschte Webside der Bank meinte eine Überweisung tätigen zu können, aber nach Eingabe der TAN dann ein scheinbarer Systemabsturz generiert wurde. Lediglich der Verlust der TAN auf diese Weise musste durch den Kunden nach Meinung des Gerichts nicht umgehend an seine Bank weitergeleitet werden.

Das Gericht entschied somit, dass ein Verschulden durch das Unterbleiben einer sofortigen Meldung des Vorfalls gegenüber der Bank nicht gegeben ist. Für den Bankkunden hatte es durch den „Systemabsturz“ eine nachvollziehbare Erklärung für den Vorgang geben.

Demnach haftet die Bank und ein Mitverschulden des Kunden war nicht anzunehmen.

b) Haftung des Kunden, falls veraltete Software eingesetzt oder/und sonstige Pflichtwidrigkeiten nachweisbar sind.

Das Landgericht Köln soll nach Ansichten - die im Internet vertreten werden - wichtige Grundsätze für die Haftung des Kontoinhabers aufgestellt haben. Nach dieser Rechtsprechung soll von einem verständigen, technisch durchschnittlich begabten Anwender verlangt werden können,

-dass er eine regelmäßig aktualisierte Virenschutzsoftware und eine Firewall verwendet,
-die Warnungen der Banken und Medien zu beachten.
-niemals seine PIN- und TAN-Nummern auf telefonische Anforderung oder Anforderung per E-Mail

herauszugeben. Schließlich könnten Pflichtverletzungen des Kunden vorliegen - falls gefälschte Homepage sprachliche Mängel aufweisen, oder erkennbar gefälschte Internetadressen von den Hackern verwandt wurden (wie z.B.: Internetadressen ohne https://. Oder fehlendem Schlüsselsymbol in der Statusleiste, dass eine geschützte Internet-Verbindung signalisiert). In diesen Fällen habe der Kunde seine Sorgfaltspflichten missachtet, falls er in dieser Art und Weise die Kontodaten den Hackern anvertraute.

In diesen Fällen wird dann ein Verschulden des Kontoinhabers oder aber ein Mitverschulden angenommen. Fraglich ist aber, ob diese Argumente in einem Rechtstreit des Bankkunden, von dessen Konto die Anweisung erfolgte zu Anwendung kommen können. Dies auch, weil fraglich ist, ob die Bank überhaupt in der Lage ist diese Einwendungen unter den jeweils gebotenen Beweisantritt zu erheben.

Der Fall, welcher von dem Landgericht Köln entschieden wurde, behandelte eine Regressforderung der Bankkunden gegenüber dem von der Anweisung Begünstigten, der das Geld wiederum an Dritte weiterleitete. Das aufgrund der unautorisierten Abbuchung vom Konto des Klägers erhalten und dann weitergeleitet hatte. Dieses Geld hatte der Beklagte dann via Western Union nach Russland verschickt und sich somit der Geldwäsche strafbar gemacht. Die Rechtsfrage, ob auch dem Kläger, der Opfer eines Phishing Angriffs gewesen war und den Hackern seine Kontodaten preis gab ein Mitverschulden traf, wurde verneint.

Damit ist die Entscheidung zu Gunsten der Banken gerade nicht uneingeschränkt zu Gunsten von Banken zu verwerten, die sich in Gerichtsverfahren gegen ihren Kunden wehren müssen, der eine Korrektur des Saldos verlangt.

c) Anzuwendender Sorgfaltsmaßstab weder der Banken noch der Kunden höchstrichterlich geklärt.

Der jeweilige Sorgfaltsmaßstab ist u. E. gerichtlich noch nicht geklärt, was das „richtige Verhalten“ beider Parteien zur Vermeidung von Hackerangriffen angeht. Die Anwendung der im Verkehr erforderlichen Sorgfalt kann somit seitens der Gerichte - ohne dass ein BGH Grundsatzurteil existiert - individuell anders begründet werden, wie die gegenläufigen Argumentationen in den Urteilen des AG Wiesloch bzw. der Entscheidung des LG Köln belegen.
Auch nach Ansicht des LG Köln kann von einer Privatperson nicht die Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme oder spezialisierter und meist für den professionellen Einsatz gedachter Programme zum Schutz gegen bestimmte Schadsoftware verlangt werden. Ebenso muss der Bankkunde nicht die Standard-Sicherheitseinstellungen seines Betriebssystems und seiner Programme selbst verändern oder ohne Administratorrechte arbeiten. Die Zertifikate der Web-Anbieter muss der Kunde nach Ansicht des Kölner Gerichts ebenfalls nicht überprüfen. Auch das Erkennen subtiler Abweichungen in der Internetadresse würde die Sorgfaltsanforderungen überspannen.
Allerdings wird eine „freiwillige“ Bekanntgabe der Kontodaten am Telefon oder im Fall wirklich billigster Täuschungsversuche zu Lasten des Kunden, nicht aber zu Lasten der Bank gehen. Insbesondere, wenn der Kunde auch vergisst die Bank über derartig zweifelhafte Versuche an seine Daten zu gelangen, die jeder Dritte für fraglich halten würde nicht unterrichtet.
Es gibt aber unklare Konstellationen womit selbst wenn das Gericht zunächst Klagen des geschädigten Bankkunden abweist oder im Berufungsverfahren die beiderseitigen Sorgfaltspflichten von Bank und Kunde kritisch beurteilt werden jedenfalls Vergleiche zu Lasten der Bank und zu Gunsten des Kunden i.H.v. jedenfalls 50 % der unautorisierten Abbuchung von der Bank dem Kunden zu erstatten sind.
d) den Banken steht eine Regressforderung gegenüber den durch die Überweisung begünstigten Empfänger des Geldes zu
Die Bank kann versuchen Ihren Schaden mit der Geltendmachung von Bereicherungsansprüchen gegenüber dem Geldempfänger der nicht autorisierten Anweisung zu kompensieren. Die Erfolgsaussichten hierfür halten wir für groß. Dies belegt die Rechtsprechung wie das Urteil des LG Köln, aber auch z.B. eine Entscheidung wie das Urteil des LG Bad Kreuznach. Dieses hat in seinem Urteil vom 30. Jan. 2008 (Az. 2 O 331/07) entschieden, dass eine Bank aufgrund einer Phishing-Attake vom Phishing-Täter wegen ungerechtfertigter Bereicherung ihr Geld zurückfordern kann, selbst wenn dieser es an einen Dritten unter Einbehalt einer Provision durchgereicht hat. Fraglich ist aber immer, ob es sich hier um einen solventen Anspruchsgegner handelt. Nicht selten wird das Geld von diesen Mittelsmännern nämlich an angeblich heiratswillige Damen aus Russland überwiesen, die dies Mittelsmänner über online Partner- bzw. Heiratsvermittlungen im Internet kennen gelernt hatten und welche die Nachricht erhielten, dass Geld für Ihre Auslandsreise zum Freier von „Freunden in Deutschland“ zur Verfügung gestellt und an den Freier angewiesen wurde, damit er es via Western Union nach Petersburg weiterleitet.
Aber selbst in einem solchen Fall gibt es unterschiedliche Rechtsprechung. Das LG Kreuznach und LG Köln verurteilt, das Amtsgerichts Köpenick hatte in seiner Entscheidung vom 02.09.2008, AZ: - 9 C 72/08 die Regressforderung einer Bankkundin gegenüber dem Mittler des Geldes aufgrund dessen Gutgläubigkeit zurückgewiesen. Diese Entscheidung hatte dann das LG Berlin im Berufungsverfahren AZ – 56 S 75/08 bestätigt.

4.) Wie schnell ändern sich die Tricks der Gauner?

Die Tricks sind vielfältig und dürften sich ständig ändern. Die Rechtsprechung und Problematiken die vorliegend behandelt werden gehören aus Sicht derjenigen die an Trojanern basteln oder neue Varianten des „Phisching“ wie das „Pharming“ oder „Vishing“ erfunden haben, bereits der Vergangenheit an. Da für die Spezialisten unter den Hackern „das Geld auf der Straße“ liegt, haben diese eine extrem hohe Motivation immer besser zu „trixen“ und zu täuschen.
Die künftigen Entwicklungen können nicht vorausgesagt werden. Es bedarf der ständigen Kontrolle des Internets. Jede Bank tut das Richtige wenn Sie Spezialisten zur aktiven Bekämpfung von Phishing Angriffen aktiv einsetzt.
5.) Fazit:
Die Banken und Sparkassen sollten nur die allerneuste Technik, die sichersten Verfahren einsetzten, aber auch eine tatsächliche aktive Prävention gegen Phishing Angriffe betreiben. Dies um die eigenen Schäden möglichst gering zu halten.
Welche Kosten hier vertretbar sind sollte unter Berücksichtigung der bisher entstandenen wirtschaftlichen Schäden abgewogen werden.
Den Kunden in den AGB zu binden und durch wiederholte Anschreiben auf die typischen Gefahren des Phishing hinzuweisen oder darauf zu vertrauen, ist der richtige Weg möglichst umfangreich juristisch argumentieren zu können, falls es zum Rechtstreit mit dem geschädigten Kunden kommt.
Dass die Rechtsprechung sich zu Gunsten der Banken entwickelt könnte für die Bank im Zweifel der unwirtschaftlichere Weg sein.
Zwar werden die Sorgfaltspflichten des Kunden auch unseres Erachtens immer mehr eine Rolle spielen. Die, sollten die typischen Phishing Angriffe auf Konten von Kunden in der Gegenwart und Zukunft anhalten und hierüber berichtet werden. Ob dies aber eine generelle Tendenz ist, die dazu führt, dass Banken künftig weniger haften müssen wir ernsthaft bezweifeln.

Martin J. Haas, Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht
 
«  zurück