Alle wichtigen Informationen aus rechtlicher Sicht zum Phishing!


Wir möchten im folgenden Beitrag auf alle rechtlichen Aspekte rund um das Thema Phishing eingehen und aufzeigen, was Personen, die zu Opfern geworden sind für rechtliche Möglichkeiten haben. Sollte Ihnen durch Phishing ein Schaden entstanden sein, oder Sie haben Fragen zu diesem Thema, können Sie sich gerne im Rahmen eines kostenfreien Erstgesprächs an uns wenden.

Was bedeutet „Phishing“?

Der Begriff Phishing (engl. für Angeln) umschreibt einen Betrug im Internet, bei dem versucht wird vertrauliche Daten von Internetnutzern zu entwenden. Opfer sollen durch eine Vielzahl gefälschter E-Mails auf manipulierte Webseiten gelockt werden, damit diese den Tätern dort vertrauliche Passwörter offenbaren. Das Hauptaugenmerk liegt dabei auf persönlichen Daten, sowie der entsprechenden Zugangsdaten der Bankkunden. Ist es den Betrügern erst einmal gelungen an diese Daten zu gelangen, greifen diese auf das Bankkonto des Betroffenen zu.

Wie gehen Täter vor?

Kriminelle versuchen an Daten über gefälschte Webseiten, E-Mails oder Kurznachrichten zu gelangen. Betroffene werden per E-Mail auf vermeintlich offizielle Internetseiten gelockt und sollen dort unter einem Vorwand ihre persönlichen Nutzerdaten und Kontoinformationen preisgeben. Durch das Nachahmen von vertrauenswürdigen Internetseiten soll bei den Betroffenen Vertrauen geschaffen werden, damit bei diesen kein Verdacht des Betruges erregt wird.

Betrüger gehen dabei immer raffinierter vor, um an Daten zu gelangen. Es werden gezielt Sicherheitslücken in so genannten „Server- und Client-Software“ ausgenutzt, sodass es immer schwieriger wird, die Maschen der Betrüger zu durchschauen. So besteht für Internetnutzer immer dann eine Gefahr, wenn diese aufgefordert werden persönliche Angaben zu machen.

Auch beschränken sich die Betrüger nicht auf das Imitieren von seriösen Seiten, es wird auch versucht durch so genannte „Maleware“ Computer von Betroffenen zu infizieren, um diese automatisch auf eine entsprechende Seite zu leiten. Dadurch sollen auch letzte Zweifel des Opfers beseitigt werden, da diese den Betrug bei diesem Vorgehen erst erkennen, wenn bereits ein Schaden entstanden ist.

Was für Schäden können durch Phishing-Angriffe entstehen?

Grundsätzlich geht es den Kriminellen bei Phishing-Angriffen um die Erlangung eines finanziellen Vorteils. Es wird gezielt versucht an Daten zu gelangen, um Opfern ein Schaden zuzufügen und sich durch diesen Schaden selber zu bereichern. Dabei stellen die gestohlenen Daten neben einem Vermögensschaden einen weiteren Schaden, nämlich einen Identitätsdiebstahl dar. Täter können diese Daten auf vielfältige Art und Weise nutzen, so können diese beispielsweise den Ruf des Opfers durch die erlangten Daten schädigen. Nutzen die Täter die erlangten Daten für weitere Straftaten, so kann dem Betroffenen dadurch ein Schaden entstehen, dass diese Taten aufgeklärt und rückgängig gemacht werden müssen.

Wie lässt sich Phishing erkennen?

Die betrügerischen Mails und Internetseiten sehen zwar zum Großteil täuschend echt aus, nichts desto trotz kann bei dem Beachten einiger Punkte, den Betrügern ein Strich durch die Rechnung gemacht werden.

Als ein Indiz für eine betrügerische E-Mail zählen die Grammatik und die Orthografie. Eine schlecht formulierte, mit Fehlern überzogene E-Mail ist für viele Internetnutzern nichts neues mehr.. In solchen Fällen ist es nicht sonderlich schwierig festzustellen, dass es sich um eine Phishing E-Mail handelt. Auch befinden sich die Betrüger oftmals im Ausland und bedienen sich Übersetzungsdiensten, bei denen es häufig zu Rechtsschreib- und Zeichensatzfehlern kommt.

Wird suggeriert,  es handle sich bei dem Absender um die eigene Haubank, die E-Mail aber wurde in Englisch verfasst, steckt auch hier oft der Versuch dahinter, an die Daten des Betroffenen zu gelangen. Sollte die eigene Bank in Deutschland ansässig sein, wird diese ihre Kunden wohl kaum auf einer anderen Sprache als auf Deutsch kontaktieren. So können Betroffene bei einer vermeintlichen E-Mail der eigenen Hausbank, die auf Englisch geschrieben ist, von einem Phishing-Angriff ausgehen. Dasselbe gilt auch dann, wenn es sich um ein deutsches Unternehmen handelt, denn auch dieses wird mit hoher Wahrscheinlichkeit auf Deutsch mit einem Kunden in Kontakt treten wollen.

Das Auffordern einer Eingabe von persönlichen Daten, wie einer PIN oder TAN kann ein weiterer Hinweis auf Phishing sein, da Banken dies für gewöhnlich nicht per Telefon oder per E-Mail abfragen.

Nicht nur die Aufforderung von persönlichen Daten, sondern auch die Aufforderung zur Öffnung einer Datei oder eines Links kann auf den Versuch von Phishing hinweisen. Beigefügte Dateien beinhalten, sofern es sich tatsächlich um eine Mail von Kriminellen handelt, oftmals Schadsoftware, die den eigenen Computer infizieren soll.

Wie kann man sich vor Phishing-Angriffen schützen?

Grundsätzlich ist bei E-Mails, deren Absender unbekannt ist oder die sich nicht genau zuordnen lassen stets Vorsicht geboten. Auch wenn sich nicht feststellen lässt, ob es sich tatsächlich um einen möglichen Phishing-Angriff handelt, sollten Empfänger bei Zweifeln nicht vorschnell den Aufforderungen in der E-Mail Folge leisten.

Sobald sich bei dem Empfänger Zweifel hinsichtlich der Seriosität der E-Mail Zweifel ergeben, sollte keinesfalls auf einen in der E-Mail beigefügten Link geklickt werden. Auch sollten keine beigefügten Anhänge geöffnet werden und auch das Antworten auf eine solche E-Mail sollte unterlassen werden.

Neben diesen grundlegenden Verhaltensweisen bei dem Erhalt einer unsicher erscheinenden E-Mail, ist die Nutzung eines Virenschutzes enorm wichtig. Solche Programme können erkennen, ob es sich eventuell um einen Phishing-Angriff handeln könnte.

Wie machen sich die Täter strafbar?

Durch den Versuch, den Empfänger zu einer Herausgabe persönlicher Daten und Passwörter zu bringen, kommen mehrere Straftatbestände in Betracht, die durch dieses Vorgehen erfüllt sein können. Um die Strafbarkeit beurteilen zu können ist es allerdings zunächst notwendig, zwischen der Datenbeschaffung und der anschließenden Verwendung der erlangten Daten zu unterscheiden.

Straftatbestände der Datenbeschaffung?

  • 202a StGB

Durch die Datenbeschaffung kommt zunächst der Straftatbestand des § 202a StGB in Betracht, der das Ausspähen von Daten unter Strafe stellt. Strafbar macht sich nach § 202a StGB derjenige, der sich oder einem anderen unbefugt Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. So stellt die Nutzung von einer PIN oder TAN regelmäßig einen Verstoß gegen §§ 202a StGB dar.

  • 240 StGB

Nicht selten drohen die Täter in Phishing-Mails mit einer vermeintlichen Sperrung des Kontos, sollte sich der Betroffene weigern seine Daten Preis zu geben. Liegt eine solche Drohung vor, kann der Straftatbestand der Nötigung gemäß § 240 StGB erfüllt sein.

  • 263 StGB

Die Rechtsprechung sieht zudem in dem Versenden der Phishing-Mails zur Erlangung von persönlichen Daten einen Betrug. Denn das Opfer wird erst durch die Täuschung der Täter dazu gebracht, vertrauliche Daten herauszugeben. Umstritten ist jedoch, ob Zugangsdaten ein Vermögenswert zugesprochen werden kann und ob die Preisgabe sich vermögensmindernd auswirkt. Durch die erlangten Zugangsdaten ist es den Tätern aber möglich auf das Vermögen des Opfers zuzugreifen. Der BGH sieht in der Preisgabe der Zugangsdaten eine konkrete Vermögensgefährdung, die das Opfer selbst herbeiführt und die unter wirtschaftlichen Gesichtspunkten einem Vermögensschaden gleichstehe.

  • 263a StGB

In Frage kann auch ein Computerbetrug gemäß § 263a StGB kommen. Vor allem, wenn Täter versuchen durch Malware und durch Trojaner an Daten von Betroffenen zu gelangen.  So handelt es sich bei dem Einrichten von Internetseiten und dem Versand von Phishing-Mails um eine Vorbereitungshandlung im Zusammenhang mit Computerprogrammen, um einen Computerbetrug zu begehen. Eine solche Vorbereitungshandlung wird nach § 263a Abs. 3 StGB unter Strafe gestellt. Da es sich bei Computerprogrammen um lauffähige Applikationen handelt, erfüllen E-Mails dieses Tatbestandsmerkmal jedoch nicht. Auch eine Internetseite kann nicht als ein Computerprogramm eingestuft werden.

  • 267 StGB

Sobald es zu einer Fälschung von Daten kommt, kann der Straftatbestand der Urkundenfälschung gemäß § 267 StGB vorliegen. Zwar versuchen Täter durch das Erstellen einer Phishing-Mail im Rechtsverkehr zu täuschen, es handelt sich dabei jedoch nicht um eine verkörperte Gedankenerklärung, sodass der Tatbestand der Urkundenfälschung nicht erfüllt ist.

  • 269 StGB

Dagegen ist aber eine Strafbarkeit wegen der Fälschung beweiserheblicher Daten denkbar. Zu unterscheiden ist bei einer möglichen Strafbarkeit nach § 269 StGB zwischen der Phishing-Mail und der Phishing-Website.

Hinsichtlich des Verschickens einer Phishing-Mail bestehen zwei verschiedene Ansichten. Nach einer Ansicht macht sich derjenige, der eine Phishing Mail verschickt nach § 269 StGB strafbar. Nach dieser Meinung liege eine rechtlich relevante und zum Beweis im Rechtsverkehr bestimmte Gedankenerklärung läge vor, denn der Absender erwecke den Eindruck, dass er den Empfänger zu einer vertragsgemäßen Mitwirkung auffordere. Denn der Täter versucht bei dem Empfänger der Mail den Eindruck zu erwecken, es handle sich bei dem Absender um die eigene Bank. Die andere Ansicht zweifelt bereits daran, ob es sich bei einer Phishing-Mail überhaupt um eine rechtserhebliche Erklärung handeln kann, die beweiserhebliche Daten enthält.

Der Vorwand, mit dem in einer Phishing-Mail die Herausgabe von Daten und Passwörtern verlangt wird, stellt jedoch sehr wohl eine für ein Rechtsverfahren geeignete Materie dar, weshalb es sich um beweiserhebliche Daten handelt. Aus diesem Grund machen sich Täter, die dem Empfänger vorspiegeln es handle sich bei dem Absender um die eigene Bank, die die Daten benötige wegen Fälschung beweiserheblicher Daten gemäß § 269 StGB strafbar.

Auch bei einer gefälschten Internetseite handelt es sich um eine unechte Datenurkunde, die eine beweiserhebliche Aufforderung enthält. Zwar verwendet der Täter bei der erstellten Internetseite seine eigene also die richtige IP-Adresse, jedoch reicht es aus, wenn für den Empfänger in ausreichendem Maße eine falsche Herkunft vorgespiegelt wird. Dies ist bei den Phishing-Websites unzweifelhaft der Fall, da diese ja gerade den Anschein einer seriösen und echten Seite erwecken sollen. Es handelt sich also auch bei dem Erstellen von Phishing-Websites um eine Fälschung von beweiserheblichen Daten.

  • 14 II MarkenG

Täter versuchen durch die Nutzung des Corporate Designs eines Unternehmens die Opfer von der Echtheit der Phishing-Mail oder Phishing-Website zu überzeugen. Durch die Verwendung von eingetragenen Kennzeichen oder der geschäftlichen Bezeichnung, wie dem Namen der Bank oder eines Unternehmens, die markenrechtlich oder urheberrechtlich geschützt sind, machen sich die Täter nach §§ 143, 143a MarkenG und §§ 106 ff. UrhG strafbar.

Straftatbestände der Datenverwendung?

Neben der Datenbeschaffung, bestehen auch eine Reihe möglicher Straftatbestände bei der Nutzung der gephishten Daten. Zwar ist eine Vielzahl von möglichen Verwendungen der erlangten Daten möglich, von bedeutung sind dabei  vornehmlich die, die gegen das Vermögen der Opfer gerichtet sind.

  • 202a StGB

So kann auch bei der Verwendung von den erlangten Daten, nämlich bei einer Nutzung von PIN und TAN ein Verstoß gegen § 202a StGB vorliegen. Hiernach macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft.

  • 303a StGB

Benutzen die Täter eine TAN, die lediglich einmal verwendet werden kann, machen sie diese damit unbrauchbar, weshalb eine Strafbarkeit nach § 303a StGB in der Tatvariante des “Unbrauchbarmachens” in Betracht kommt. Fraglich ist hier jedoch, ob es sich um ein „Unbrauchbar machen“ handeln kann, wenn es zu einer bestimmungsgemäßen Benutzung eines Zugangscodes kommt. Da es sich bei der Variante des § 303a StGB sozusagen um das elektronische Gegenstück des § 303 StGB „Beschädigen“ handelt und ein solches bei einer bestimmungsgemäßen Benutzung ausscheidet, handelt es sich auch bei der Benutzung einer TAN, die nach der einmaligen Nutzung verfällt, nicht um ein Unbrauchbarmachen im Sinne des § 303a StGB.

Welche Zivilrechtlichen Ansprüche bestehen?

Neben dem Aspekt der strafrechtlichen Verfolgung der Täter, bestehen für Opfer von Phishing-Angriffen auch zivilrechtliche Möglichkeiten gegen Täter vorzugehen. Im Mittelpunkt einer zivilrechtlichen Betrachtungsweise stehen bei dem Phishing die getätigten Zahlungsvorgänge im Mittelpunkt. Das BGB soll in diesem Zusammenhang die Schadensersatzansprüche der Kunden gegen die Betrüger und gegebenenfalls auch die Ansprüche gegen die eigene Bank regeln. Denn natürlich haben die Täter keinen Anspruch auf das entwendete Geld, sodass den Opfern von Phishing-Angriffen grundsätzlich auch ein Schadensersatzanspruch zusteht. Doch ist die Geltendmachung zivilrechtlicher Ansprüche bei Phishing-Angriffen in der Praxis äußerst schwierig, da Täter nur selten ausfindig gemacht werden können.

Welche Voraussetzungen für einen Schadensersatzanspruch müssen vorliegen?

Da es sich bei dem Phishing rechtlich gesehen um eine von dem Kunden nicht autorisierte Überweisung handelt, muss zunächst die Voraussetzung vorliegen, dass es sich eben auch um eine solche nicht autorisierte Zahlung handelt.

Nach §675j BGB bedarf es der Einwilligung oder der Genehmigung des Bankkunden, um eine Zahlung zu autorisieren. Liegt aber eine solche Einwilligung oder Genehmigung nicht vor, wie dies bei dem Phishing regelmäßig der Fall ist, handelt es sich um keine autorisierte Zahlung und es ergeben sich für das Opfer zivilrechtliche Ansprüche.

Bestehen Ansprüche gegen die Bank?

Da in der Praxis die Täter von Phishing-Angriffen eher selten ausfindig gemacht werden können, beschränken sich die Möglichkeiten eines Schadensersatzes für die Opfer zumeist gegen die Bank. Doch wann genau kann sich ein Opfer eines Phishing-Angriffs an die eigene Bank wenden und welche Voraussetzung muss erfüllt sein, um von der Bank den entstandenen Schaden ersetzt bekommen zu lassen?

Welche Ansprüche ein Bankkunde gegen die eigene Bank im Falle eines nicht autorisierten Zahlungsvorgangs hat regelt der § 675u BGB. In diesem heißt es, dass der Zahlungsdienstleister verpflichtet ist, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Der Bankkunde hat also grundsätzlich einen Anspruch auf einen Schadensersatz von der Bank.

Was passiert, wenn den Bankkunden eine Mitschuld trifft?

Neben Ansprüchen, die das Phishing-Opfer gegen die Bank hat, können auch der Bank Schadensersatzansprüche gegen den Bankkunden zustehen. So hat der Bankkunde beispielsweise bei einem vertragswidrigen Verhalten für den entstandenen Schaden selbst zu haften. Denn in einem solchen Fall würde es sich um eine Pflichtverletzung gem. § 280 BGB handeln.

Was sind die Gründe für eine Haftung des Bankkunden?

Neben etwaigen Schadensersatzansprüchen, die der Bank gegen den Kunden bei einer Mitschuld zustehen, sieht § 675v BGB eine Reihe von Fällen vor, in denen der Kunde für den entstandenen Schaden haften muss.

So hat der Kunde für den entstandenen Schaden selber zu haften, wenn dieser den Schaden erst durch eine betrügerische Absicht ermöglicht hat.

Der Kunde haftet in Fällen, in denen der Schaden durch eine vorsätzliche oder grob fahrlässige Verletzung der gesetzlichen Sorgfaltspflichten gemäß § 675l BGB entstanden ist.

Haften muss der Kunde ebenfalls selber, wenn dieser den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

Setzt eine Haftung Fahrlässigkeit voraus?

Gefordert wird jedoch durch § 675v Abs. 2 BGB, dass die Haftung des Bankkunden gegenüber der Bank stets davon abhängt, ob dieser die Daten grob fahrlässig herausgegeben hat. Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde, also dann, wenn schon ganz naheliegende Überlegungen nicht angestellt wurden und das nicht beachtet wurde, was im gegebenen Fall jedem einleuchten musste.

Entscheidend ist also, ob das Opfer des Phishing-Angriffes grob fahrlässig gehandelt hat. So besteht neben dem Anspruch auf Rückzahlung der überwiesenen Summe, die nicht vom Kontoinhaber angewiesen wurde, auch ein Anspruch der Bank gegen den Kunden, wenn dieser den Schaden vorsätzlich oder grob fahrlässig herbeigeführt hat. Bestehen beiderseitige Ansprüche, kann die Bank ihren Anspruch gegen den des Kunden aufrechnen. Kommt es zu einer Aufrechnung besteht der Schaden des Kunden auch weiterhin, wenn nicht ein anderer Anspruchsgegner ausfindig gemacht werden kann.

Was muss der Kunde beweisen?

Bankkunden, die zu  Opfern eines Phishing-Angriffs geworden sind, müssen sich mit einem Erstattungsanspruch an die Bank wenden und haben für diesen auch die Darlegungs- und Beweislast zu tragen. Doch wie kann der Bankkunde beweisen, dass er die Zahlung nicht autorisiert hat?

Da dies kaum möglich ist, obliegt die Darlegungs- und Beweislast hinsichtlich der Autorisierung der Zahlung der Bank. Geregelt wird dies in § 675w Satz 1 BGB. Dort heißt es „Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde.“

Was muss die Bank nachweisen?

Gemäß § 675w Satz 1 BGB muss die Bank beweisen, dass es sich um eine autorisierte Zahlung handelt. Sie hat also darzulegen, dass der entsprechende Zahlungsvorgang mit einer Authentifizierung erfolgt ist. Eine Bank muss also beweisen, dass der in Frage gestellte Zahlungsauftrag tatsächlich vom Kunden stammt. Nachgewiesen wird dies unter anderem mit technischen Aufzeichnungen oder aber auch durch Zeugenaussagen von Bankmitarbeitern.

Welcher Nachweis ist für einen Beweis ausreichend?

Wann genau ein Nachweis, den die Bank vorzubringen hat ausreichend ist, um zu beweisen, dass es sich um eine autorisierte Zahlung handelt bestimmt § 675w Satz 3 BGB, in dem es heißt:

„Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

  1. den Zahlungsvorgang autorisiert,
  2. in betrügerischer Absicht gehandelt,
  3. eine oder mehrere Pflichten gemäß § 675l verletzt oder
  4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.“

Nach § 675w BGB reicht also der Nachweis, dass die Bank keinen Fehler gemacht hat nicht aus, um von einem Beweis für das Vorliegen einer Autorisierung zu sprechen.

Reicht für eine Entscheidung vor Gericht ein Anscheinsbeweis?

In der Praxis wird in Fällen, in denen es um Schäden infolge von Phishing-Angriffen geht, häufig der so genannte Anscheinsbeweis von Gerichten herangezogen. Bei dem Anscheinsbeweis handelt es sich um eine Methode der mittelbaren Beweisführung. Die Entscheidungsfindung stützt sich auf Erfahrungssätze und Schlüsse von bewiesenen auf zu beweisende Tatsachen. Auf den Anscheinsbeweis, der zwar gesetzlich nicht geregelt ist, wird jedoch im Gesetz vereinzelt  Bezug genommen. Wesentliche Merkmale des Anscheinsbeweises ist die Grundlage von aktuellen Erkenntnissen, die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens und dessen ordnungsgemäße Anwendung und fehlerfreie Funktion.

Nimmt das Gericht aufgrund eines Anscheinsbeweises eine Autorisierung durch den Kunden an, so kann dieser sich dagegen jedoch zur Wehr setzen und darf diesen erschüttern. Zu einer Entkräftung eines Anscheinsbeweises muss der Kunde ebenfalls Umstände darlegen, die er entweder beweisen kann oder aber die ebenfalls ernsthaft in Betracht kommen.

 

1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular


Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen