Phishing-Angriff – was tun?


Einführung in das Phänomen Phishing

Das Internet als Komfort- und Gefahrenzone

Steigt durch die mit dem Internet aufkommenden Verbesserungen und Vereinfachungen zwar der Komfort im täglichen Leben immens und ist das Internet heutzutage nicht mehr aus der Gesellschaft wegzudenken, darf nicht die damit einhergehende Gefahr vernachlässigt werden, die mit der Nutzung des Internets einhergeht.

Die Gefahr hat sich dabei im Laufe der Zeit gewandelt. Waren früher meist Viren im Umlauf, welche auf die ein oder andere Weise destruktiv vorgingen, sind für kriminelles Vorgehen heute andere Anreize vorhanden. Hierbei geht es zu großen Teilen um die personenbezogenen Daten einer Person, welche oft auch sensibel sind. Das Phishing setzt hier ebenfalls an. Ziel ist es, solche Daten von einer Person zu erlangen, mit denen auf das Vermögen des Opfers zugegriffen werden kann. Hier liegt der Fokus auf einer finanziellen Schädigung des Opfers sowie einer finanziellen Bereicherung der Täter.

Was ist ein Phishing-Angriff?

Der Begriff des Phishing ist ein Kunstwort, das sich an dem englischen Wort fishing anlehnt. Die Schreibweise mit Ph am Beginn entstammt dabei dem Hacker-Jargon, in dem dies oft der Fall ist. Phishing kann man sich vorstellen als das Angeln nach Passwörtern.

Ein Phishing-Angriff stellt somit den Versuch dar, über gefälschte Webseiten, E-Mails oder Kurznachrichten persönliche Daten eines Internet-Benutzers in Erfahrung zu bringen, um hiermit einen Identitätsdiebstahl vollziehen zu können. Im Fokus steht dabei, die erschlichenen Daten beispielsweise dafür zu nutzen, das Vermögen auf dem Konto des Betroffenen zu entziehen. Der Phishing-Angriff stellt hierbei eine Unterart des Social Engineering dar, welches die zwischenmenschliche Beeinflussungen beschreibt, die zum Ziel gesetzt hat, bei Personen ein bestimmtes Verhalten hervorzurufen, sie zum Beispiel zur Herausgabe vertraulicher Daten zu bewegen. Der Phishing-Angriff nutzt hierzu die Gutgläubigkeit des Opfers aus.

Die Vorgehensweise der Initiatoren bei einem Phishing-Angriff

Die Vorgehensweise eines Phishing-Angriffes ist sehr perfide, da wie bereits dargestellt die Gutgläubigkeit des Opfers ausgenutzt werden soll. Hierzu werden in der Regel E-Mails mit einer dem Opfer bekannten und/oder seriös erscheinenden Absenderadresse versendet, sodass das Opfer in den meisten Fällen keinerlei Misstrauen entwickelt. In der Mail werden die Betroffenen dann auf dem ein oder anderen Wege dazu aufgefordert, wichtige Informationen auf einer verlinkten Website oder per Antwort auf die Mail zu übermitteln. Diese Informationen können Passwörtern, ID-Kennungen, PIN-Nummern oder TAN-Kombinationen sein. Um die Gutgläubigkeit des Opfers zu erlangen ist es dabei typisch, sowohl in der Mail als auch auf (verlinkten) Websites eine vertrauenswürdige Institution nachzuahmen. Dabei wird ein hoher Aufwand betrieben, um das Erscheinungsbild möglichst exakt nachzuempfinden, indem beispielsweise das Corporate Design der nachgeahmten Institution übernommen wird. Oft werden daher offizielle Firmenlogos, Schriftarten oder Layouts verwendet, die in der offiziellen Nachricht der Stelle ebenfalls genutzt werden und somit die Zweifel darüber zerstreuen sollen, dass es sich bei der Mail eben um eine Fälschung halten kann. Der Adressat wird regelmäßig dazu aufgefordert, die oben genannten Informationen in bestimmte Felder einzutragen. Anders, als es das Erscheinungsbild dann vermuten lässt, werden diese Informationen an den Initiator des Phishing-Angriffes geleitet. In der Folge kann es dann dazu kommen, dass die erlangten Daten dazu missbraucht werden, dem Opfer das Vermögen zu entziehen. Mit den erschlichenen Informationen kann der Initiator des Phishing-Angriffs nämlich die Identität seines Opfers übernehmen und in dessen Namen Handlungen ausführen.

Das moderne Phishing: Malware und Trojaner

Heutzutage wird das Phishing jedoch in erster Linie auf eine weitere Art betrieben. Die Initiatoren von Phishing-Angriffen klinken sich hierfür vor allem mit Hilfe von Malware, wie es Trojanische Pferde sind, in den Kommunikationsweg zwischen Bankkunde und Bank und können auf diese Weise Daten die erforderlichen Daten erlangen. Ein solches trojanisches Pferd bezeichnet dabei eine Kombination von vordergründig nützlichen Programmen mit versteckten, bösartigen Teilen wie Spyware oder einem Hinterzugang. Bei dem modernen Phishing gelangen die gesendeten Daten hierdurch oft gar nicht erst bis zur Institution, für welche die Daten ursprünglich gedacht waren. Auch hier kann der Initiator des Phishing-Angriffs mit den erschlichenen Informationen die Identität des Opfers übernehmen und in dessen Namen Handlungen ausführen.

Mit Hilfe des modernen Phishings können sodann sogar Daten erlangt werden, die durch vergleichsweise neue Systeme wie das i-TAN-Verfahren geschützt erscheinen. Das Schadenspotenzial der Phishing-Angriffe ist damit enorm.

Schadensausmaß der Phishing-Angriffe

Die Phishing-Angriffe zielen zwar in erster Linie auf die Erlangung von finanziellen Vorteilen bzw. der finanziellen Schädigung des Betroffenen, jedoch werden in erster Linie personenbezogene Daten erschlichen und damit ein Identitätsdiebstahl durchgeführt. Neben den intendierten Vermögensschäden sind daher auch Rufschädigung denkbar, beispielsweise wenn mit der gestohlenen Identität gestohlene oder gar nicht vorhandene Waren unter fremdem Namen auf Auktionsplattformen oder in Online-Anzeigen verkauft werden. Dem Betroffenen können auch Schäden dadurch entstehen, dass der Vorfall aufgeklärt und rückgängig gemacht werden muss.

Über die rein finanzielle Höhe der Schäden gibt es keine konkreten Aussagen, sondern nur Schätzungen. Der in den USA geschätzte Schaden liegt dabei zwischen mehreren hundert Millionen Dollar und Milliarden-Beträgen. In Deutschland schätzte das Nachrichtenmagazin Focus den im Jahre 2005 entstandenen Schaden auf 4,5 Millionen Euro. Experten der IT-Sicherheit fanden heraus, dass es allein in den USA im Jahr 2011 etwa 280.000 Phishing-Angriffe gab, wobei die Zahl der Angriffe in den letzten Jahren stetig und immens gestiegen ist, teilweise in nur einem Jahr um 37 Prozent. Diese Experten gaben an, dass die Angreifer bei jedem Angriff durchschnittlich ca. 4.500 Dollar erbeuten, was einem jährlichen Schaden von 1,26 Milliarden Dollar entspräche.

Auch ohne offizielle Zahlen kann anhand der Schätzungen festgestellt werden, dass die reine Anzahl der Phishing-Angriffe immens und das jeweils erbeutete Vermögen erhebliches Ausmaß hatte. Die wirtschaftliche, gesellschaftliche und juristische Bedeutung des Phishing kann daher nicht unterschätzt werden.

Einen Phishing-Angriff erkennen

Der größte Schutz dagegen, einem Phishing-Angriff zum Opfer zu fallen, ist das vorgelagerte Erkennen, dass ein solcher bevorsteht. Es ist daher wichtig zu wissen, woran man das Phishing überhaupt erkennen kann, da das Phishing als Teil des Social Engineering ja grade darauf baut, dass Misstrauen des potentiellen Opfers zu vermeiden.

Nahezu jeder wird dabei schon einmal schlecht formulierte Phishing-E-Mails erhalten haben. Diese sind trotz der technischen Möglichkeiten auch hetzutage noch im Umlauf und theoretisch am leichtesten zu erkennen. Diese verzichten beispielsweise auf konkrete Anreden und nutzen eher Floskeln wie „Liebe Kunden“ oder „Sehr geehrte Damen und Herren“. Ein seriöser Anbieter, bei dem Sie tatsächlich Kunde sind, wird Sie jedoch auch im Mail-Verkehr regelmäßig mit ihrem korrekten und konkreten Namen ansprechen. Hieraus kann grade aufgrund des technischen Fortschritts zwar nicht gefolgert werden, dass bei korrekter Anrede in einer Mail diese auch seriös ist, jedoch ist bei mängelbehafteten Einleitungen oft schon ein erster Verdacht gegeben, dass die Mail einen Phishing-Angriff darstellen kann. Diese schlecht formulierten E-Mails sind oft auch sprachlich mangelhaft. Oft sind die beispielsweise nicht in deutscher Sprache verfasst, sondern greifen auf Englisch zurück. Grade wenn der angebliche Absender ein deutsches Unternehmen ist, ist größte Obacht zu geben, denn warum sollte ein deutsches Unternehmen in einer fremden Sprache mit Ihnen kommunizieren wollen? Doch selbst wenn die Mail in der Heimatsprache verfasst ist, sind diese oft brüchige Texte, welche unzureichend mit Hilfe von Übersetzungsprogrammen von einer fremden Sprache ins Deutsche übersetzt worden sind. Finden Sie also mehrere Tippfehler, unlogische Sätze oder nicht übersetzte Wörter im Text wieder, sollten spätestens die Alarmglocken schrillen. Kein seriöser Anbieter würde eine solche Mail versenden.

Gibt es auf der einen Seite solche eher stümperhaften Versuche, an Ihre Daten und nachgelagert Ihr Geld zu gelangen, sind eine Vielzahl der Initiatoren der Phishing-Angriffe jedoch professionell unterwegs und gestalten so auch die versendeten Mails. Diese sind deutlich schwerer zu erkennen und damit auch deutlich gefährlicher für den Adressaten. Hier stimmen nämlich oft nicht nur Anrede, Grammatik und Rechtschreibung sowie die gewählte Sprache an sich, sondern es wird sich sogar des Corporate Design des nachgeahmten Unternehmens bedient. Auf den ersten Blick erscheint die Mail daher tatsächlich vom seriösen Anbieter selbst zu kommen. Doch auch bei solchen Mails ist stets Obacht geboten. Zunächst sollten Sie prüfen, ob Sie tatsächlich Kunde des Unternehmens sind, das die Mail angeblich versendet hat. Sollte dies nicht der Fall sein, hat das Unternehmen grundsätzlich keinen Grund, mit Ihnen außer zu Werbezwecken in Kontakt zu treten. Doch selbst wenn Sie Kunde sind, sollten Sie nicht vorschnell alles befolgen, was in der Mail gefordert wird. Fragen Sie sich zuerst, ob der Anbieter Sie in der Vergangenheit schon einmal kontaktiert hat, denn ist dies nicht der Fall, ist die Wahrscheinlichkeit, dass er es nun doch tut, sehr gering. Ein Phishing-Angriff ist deutlich wahrscheinlicher. Ebenfalls nützlich kann es sein, die verlinkte Seite nicht anzuklicken, sondern lediglich zu überprüfen, wo diese Verlinkung tatsächlich hinführt. Sie können dies feststellen, indem Sie das Verlinkungsziel per Rechtsklick mit der Maus kopieren und dann in ein Text-Dokument einfügen oder mit dem Cursor länger über dem Link schweben. Auf diese Weise wird die tatsächliche Zieladresse angezeigt und Sie können überprüfen, ob die Verlinkung tatsächlich dahin führt, wohin sie vorgibt.

Maßnahmen zum Schutz vor Phishing-Angriffen

Um einem Phishing-Angriff bestmöglich zu entgehen, gibt es bestimmte Regeln, die jeder Nutzer im Internet befolgen sollte. Hierzu gehören drei Grundregeln im Umgang mit E-Mails, die sie nicht zweifelsfrei zuordnen können:

  • Klicken Sie auf keinen Link
  • Öffnen Sie keine Anhänge
  • Antworten Sie nicht auf solche Mails

Abseits dieser Grundregeln gibt es jedoch weitere Empfehlungen im Umgang mit dem Computer und dem Internet. So ist es äußerst empfehlenswert, ein Virenschutzprogramm installiert zu haben und alle Programme – besonders den Internetbrowser und das Mailprogramm – sowie das Betriebssystem auf dem neusten Stand zu halten. Eine Firewall kann ebenfalls helfen.

Wollen Sie im Online-Banking tätig werden, sollten sie die Website ihrer Bank immer manuell ansteuern und nicht auf vorgegebene Links klicken, deren Ziel sie nicht zurückverfolge können. Wenn Sie persönliche Daten im Internet preisgeben, sollten Sie dabei immer so sparsam wie möglich sein. Je mehr Daten Sie von sich preisgeben, desto höher ist die Gefahr, dass diese Personen in die Hände fallen, die keinen Zugang zu Ihren Daten haben sollen.

Wichtig ist es ebenfalls, sich gewahr zu machen, dass Ihre Bank niemals die Angabe Ihrer PIN, TAN oder anderer persönlicher Daten zu Kontrollzwecken per Mail verlangen wird. Nutzen Sie beide Angaben nur für die Kontobewegungen auf der von Ihnen angesurften Webseite. Zeigen Sie im Übrigen immer ein notwendiges Maß an Misstrauen.

Das Internet wird dabei als digitale Welt nie komplett sicher sein, ebenso wenig, wie es die analoge Welt ist. Daher ist immer Obacht zu geben und ein gesundes Misstrauen an den tag zu legen.

Reingefallen auf Phishing – Was tun?

phishing was tunBei aller Vorsicht und Beachtung sämtlicher Grundregeln kann es trotzdem vorkommen, dass man auf einen Phishing-Angriff reinfällt. Ist das Geld erstmal vom Konto verschwunden, wird man allzu schnell in Panik geraten. Jedoch ist es bei aller Schwierigkeit wichtig, Ruhe zu bewahren und wichtige Schritte zu beachten, um einen weitergehenden Schaden zu vermeiden. Daher sollten sie unverzüglich die betroffenen Konten und Karten bei Ihrer Bank sperren lassen. Zusätzlich sollten sie Ihr Antivirenprogramm aktualisieren und Ihren Computer nach Trojanern überprüfen lassen.

Ändern Sie danach Passwörter und Sicherheitsfragen.

Ob Sie das Geld von der Bank zurück erlangen können oder wer Ihnen den Schaden ersetzt, ist eine juristische Frage, mit der wir uns im Folgenden auseinander setzen werden.

Die juristische Dimension des Phishings

Das Phishing ist auch aus rechtlicher Sicht höchst relevant. Dabei ist zum einen das Strafrecht ins Auge zu fassen, für den Betroffenen eines Phishing-Angriffes ist regelmäßig die Zivilrechtliche Seite jedoch interessanter. Hier geht es nämlich darum, ob man das Geld von der Bank wiederbekommen kann, denn den Täter des Phishing-Angriffes wird man regelmäßig nicht auffinden können.

Strafrechtliche Seite

Bei der Beurteilung der strafrechtlichen Aspekte des Phishings ist zu differenzieren zwischen dem Versenden der E-Mails mit der daran anschließenden Datenerlangung, der Erstellung einer gefälschten Website und die Nutzung der erlangten Daten.

Der BGH sieht im Versenden der Phishing-Mails und der Erlangung der Daten einen Betrug. Mit dem Phishing-Angriff wird das Opfer getäuscht und zur Herausgabe der Daten veranlasst. Mit den Daten kann dann auf das Vermögen des Opfers zugegriffen werden. Zwar muss noch eine weitere Handlung durch den Kriminellen erfolgen, jedoch sieht der BGH dies als eine „konkrete Vermögensgefährdung“ an, die für einen Betrug reichen soll. Da jedoch ein Schaden noch gar nicht eingetreten ist, muss der Eintritt des endgültigen Vermögensverlustes nahe liegen bzw. hinreichend wahrscheinlich sein, damit die Strafbarkeit nicht zu früh ansetzt.

Eine Strafbarkeit wegen Urkundenfälschung nach § 267 StGB scheidet jedoch aus, da es sich bei einer E-Mail nicht um eine verkörperte Gedankenerklärung handelt, wie es für den Begriff der Urkunde nötig ist. Jedoch kann eine Fälschung beweiserheblicher Daten nach § 269 StGB vorliegen. Die Nutzung des Corporate Designs eines Unternehmens in der Phishing-Mail könnte weiterhin einen Verstoß gegen § 143 des Markengesetzes darstellen. Jedoch soll die Verwendung der Marke nur den Anschein erwecken, dass die Mail vom Unternehmen selbst versendet wurde. Da es nicht um den geschäftlichen Verkehr geht, wie von § 14 II MarkenG gefordert, scheidet die Strafbarkeit nach § 143 MarkenG ebenfalls aus. Jedoch stellt die Erlangung der Daten durch den Phishing-Angriff einen Verstoß gegen §§ 44, 43 II Bundesdatenschutzgesetz (BDSG) dar, welche ebenfalls eine Strafnorm ist.

Die Erstellung der gefälschten Website kann als Urkundenfälschung gesehen werden, was jedoch noch nicht obergerichtlich geklärt ist.

Strafrechtlich relevant ist auch die Nutzung der gephishten Daten. Dem Täter sind mit den Daten unzählige Verwendungen möglich, wobei jedoch am relevantesten diejenigen sein werden, welche auf das Vermögen gerichtet sind. Die Nutzung von PIN und TAN wird dabei regelmäßig einen Verstoß gegen § 202a StGB darstellen. Hiernach macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Die Voraussetzungen hierfür werden meist vorliegen. Ebenfalls vorliegen kann regelmäßig ein Computerbetrug nach § 263a StGB. Dies gilt auch für das moderne Phishing, in denen das Phishing durch Malware und vor allem Trojanische Pferde ausgeführt wird.

Im Hinblick auf das erlangte Geld wird die Person, die das Geld erlangt, regelmäßig auch den Straftatbestand der Geldwäsche nach § 261 StGB erfüllen.

Zivilrechtliche Seite

Für das Opfer des Phishing-Angriffs wird meist besonders wichtig sein, wie er das verlorene Geld zurück bekommt. Hierfür ist in erster Linie das Zivilrecht wichtig.

Dabei ist es grundsätzlich klar, dass der Täter des Phishing-Angriffes dem Opfer das Geld zu ersetzen hätte. Problematisch ist insoweit aber, dass man die eigentlichen Täter des Phishing-Angriffes meist nicht in Erfahrung bringen wird, sodass der Regress bei diesen in der Realität in den meisten Fällen schlichtweg nicht möglich ist. In den Fokus rückt daher das Verhältnis zwischen Kontoinhaber und betreffender Bank.

Ansprüche gegen Bank

Regelmäßig werden sich das Opfer und die Bank darüber streiten, ob und in welcher Höhe das Geld an das Opfer zurück zu zahlen ist. Daher ist fraglich, unter welchen Umständen sich das Opfer an die Bank bezüglich der Rückzahlung wenden kann.

Veraltete Sicherheitssysteme

Das LG Nürnberg-Fürth hat hierhin gehend schon 2008 die Frage aufgeworfen, ob eine Bank bereits im Jahr 2005 verpflichtet gewesen wären, das PIN/TAN-Verfahren durch das modernere und sicherere iTAN-Verfahren abzulösen (LG Nürnberg-Fürth, Urteil vom 28. April 2008 – Aktenzeichen 10 O 11391/07). Geklärt wurde diese Frage jedoch nicht, da sie für den Ausgang des Verfahrens im konkreten Fall nicht streitentscheidend war.

Einige Jahre später, nämlich 2010, entschied jedoch das KG Berlin (dies ist das OLG des Bundeslandes Berlin), dass Banken zur Bereithaltung sicherer Systeme verpflichtet sind (KG Berlin, Urteil vom 29. November 2010 – Aktenzeichen 26 U 159/09). Sie müssten dafür sorgen, dass ihre Systeme dem Stand der Technik entsprechen, welche den Straftätern es möglichst schwer machen, relevante Bankzugangsdaten zu erlangen. Das Versäumnis der Implementierung solcher Systeme sah das Gericht als Sorgfaltspflichtverletzung der Bank als gegeben an, wenn die Bank ein veraltetes System verwendet, das die meisten anderen Banken nicht mehr nutzen und welches hinter den Sicherheitsstandards von neueren Systemen zurückbleibt. In diesen Fällen kann aufgrund der Sorgfaltspflichtverletzung von der Bank das Geld zurück gefordert werden.

Weitere zivilrechtliche Ansprüche gegen die Bank

Doch wie ist die Lage, wenn ein Phishing-Angriff trotz größter Sicherheitsvorkehrungen durch die Bank erfolgreich verlaufen ist und ein Kunde sein Konto leergeräumt vorfindet? Kann er auch dann gegen die Bank vorgehen und sein Geld zurück fordern?

Die Basis der juristischen Auseinandersetzung sieht dabei so aus: Der Initiator des Phishing-Angriffs nimmt eine Überweisung vor, die vom Opfer nicht gewollt und dementsprechend auch nicht “veranlasst” ist. Der Kontoinhabers gibt in dieser Sache keine „Anweisung“ an die Bank, dass die Überweisung getätigt werden soll. Grundsätzlich ist in solchen Fällen der Schaden von der ausführenden Bank zu ersetzen, sodass das Opfer also einen Anspruch gegen seine Bank auf Rückzahlung der überwiesenen Summe hat.

Dabei sind jedoch etwaige Ansprüche der Bank zu beachten, welche diese ihrerseits gegen das Phishing-Opfer geltend machen kann. Dies ist beispielsweise der Fall, wenn sich das Opfer selbst vertragswidrig verhalten hat. Dann liegt seitens des Kontoinhabers nämlich die Verletzung einer Pflicht aus § 280 BGB vor. Ist der Schaden aufgrund der Pflichtverletzung entstanden, hat die Bank gegen den Kontoinhaber einen Schadensersatzanspruch, der die volle oder zumindest anteilige Höhe der überwiesenen Summe und damit des entstandenen Schadens aufweist. Die Bank wird in solchen Fällen gegen den Anspruch des Kontoinhabers „aufrechnen“, sodass die Ansprüche miteinander verrechnet werden. In den meisten Fällen wird dann kein Geld fließen, der Kontoinhaber wäre bei eigener Pflichtverletzung ohne einen finanziellen Ausgleich des Schadens gestellt. Nach der alten Rechtslage gab es für solche Fälle keine speziellen Regelungen Das Verhalten des Kontoinhabers sorgte damit schon dann für einen Gegenanspruch der Bank, wenn das Opfer bei der Preisgabe der Daten infolge des Phishing-Angriffes fahrlässig im Sinne von § 276 BGB gehandelt hat, wobei Fahrlässigkeit als das Außer acht lassen der im Geschäftsverkehr gebotenen Sorgfalt verstanden wird. Zu dieser Rechtslage gab es sogar Urteile des BGH, welche dann einen Genanspruch der Bank annahmen, wenn die Bank darauf hingewiesen hatte, niemals TAN- oder PIN-Nummern herauszugeben, der Kontoinhaber dies jedoch trotzdem tat.Dem BGH genügte ein solches Verhalten schon, um die einfache Fahrlässigkeit nach § 276 BGB anzunehmen, sodass das Opfer des Phishing-Angriffes im Ergebnis kein Geld von der Bank zurückbekommen konnte. Auch andere Gerichte haben die Weitergabe von jedenfalls mehreren TANs als Fahrlässigkeit anerkannt (LG Köln – Aktenzeichen 9 S 195/07; LG Berlin – Aktenzeichen 37 O 4/09). Ebenfalls als fahrlässig und damit den Kontoinhaber im Endeffekt ohne Ausgleich des Vermögensschadens stehenlassend wurde das Versäumen von System-Updates seitens des Kontoinhabers oder die Nutzung veralteter Antiviren-Programme angesehen (LG Nürnberg-Fürth – Aktenzeichen 10 O 11391/07; LG Köln – Aktenzeichen 9 S 195/07).

Der Gesetzgeber hat in dieser Frage jedoch auf die Härten für die Kontoinhaber reagiert und das Gesetz Ende 2009 für diese Fragen angepasst. In § 675v Abs. 2 BGB ist nunmehr festgelegt, dass der Kontoinhaber der Bank gegenüber nur haftet, wenn er bei der Herausgabe der Daten grob fahrlässig gehandelt hat. Grobe Fahrlässigkeit liegt dabei dann vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde, also dann, wenn schon ganz naheliegende Überlegungen nicht angestellt wurden und das nicht beachtet wurde, was im gegebenen Fall jedem einleuchten musste. Hierzu hat das OLG München ein richtungsweisendes Urteil gefällt. Während die Vorinstanz, das Landgericht Landshut, der Meinung war, dass der Kontoinhaber kein grobfahrlässiges Verhalten zum Vorwurf gemacht werden kann, wenn er ganze 100 (!) TAN-Nummern, also seine gesamte TAN-Liste, auf einer Website preisgegeben hat, war das OLG München hierzu anderer Meinung. Es wies in dem Urteil vor allen Dingen darauf hin, dass der Kontoinhaber bereits seit mehreren Jahren das Online-Banking nutzte und daher auf einige Erfahrung im Umgang mit diesem zurückgreifen konnte. Er hätte daher Verdacht schöpfen müssen, wenn er aufgefordert wird, seine gesamte Tan-Liste auf einer Website anzugeben. Er hätte vielmehr bei der Bank anfragen müssen, ob dieser krass vom normalen Vorgehen abweichende Szenario tatsächlich von der Bank selbst verursacht wurde. Der Kontoinhaber hatte jedoch keine Rücksprache gehalten, sondern schlichtweg trotz Zweifeln an der Richtigkeit seine gesamte TAN-Liste eingegeben. Zumindest in solch deutlichen Fällen wird ein Gericht auch in Zukunft gar nicht anders können, als eine grobe Fahrlässigkeit des Kontoinhabers anzunehmen, sodass die Bank gegen den Kontoinhaber einen Gegenanspruch auf § 675v BGB hat, mit dem sie gegen den Anspruch des Klägers aus § 675u BGB aufrechnen kann. Der Kontoinhaber wird in diesen Fällen auf seinem Schaden sitzen bleiben, wenn er keine andere verantwortliche Person – also den Initiator des Phishing-Angriffes selbst – ausfindig machen kann.

Nach der neuen Rechtslage kommt es also in erster Linie darauf an, ob das Opfer des Phishing-Angriffes grob fahrlässig gehandelt hat. Zwar hat der Kontoinhaber gegen die Bank einen Anspruch aus § 675u BGB auf Rückzahlung der überwiesenen Summe, die nicht vom Kontoinhaber angewiesen wurde. Liegt jedoch eine Verletzung der im Verkehr erforderlichen Sorgfalt in einem besonders schweren Maße vor, hat die Bank gegen den Kontoinhaber einen Anspruch aus § 675v BGB, mit dem sie gegen den Anspruch des Kontoinhabers aufrechnen kann. In diesen Fällen wird der Kontoinhaber höchstwahrscheinlich auf seinem Schaden sitzen bleiben, wenn er keine andere verantwortliche Person findet.

Sonstige Ansprüche

Da die Initiatoren eines Phishing-Angriffes in adenmeisten Fällen nicht ausfindig zu machen sind und bei grob fahrlässigem Verhalten das Geld von der Bank nicht zurück bekommen werden wird, sind weitere Ansprüche des Kontoinhabers von Bedeutung. Das LG Köln hat in einem Urteil hierzu (LG Köln – Aktenzeichen 9 S 195/07) festgestellt, dass ein Anspruch gegen den “Finanzagenten” auf Rückzahlung bestehen kann. Der Finanzagent ist dabei eine angeblich gutgläubige Person, die für die Weiterleitung des erschlichenen Geldes an den Initiator des Phishing-Angriffes sein Konto zur Verfügung stellen. Der Finanzagent soll laut LG Köln der Geldwäsche schuldig sein und somit aus zivilrechtlicher Sicht einem Anspruch des Phishing-Opfers aus §§ 823 Abs. 2 BGB i. V. m. § 261 Abs. 2, 5 StGB ausgesetzt sein.

Zusammenfassung

  • Rechtsanwalt Beratung Kanzlei Hannover

    Ihr Ansprechpartner
    Rechtsanwalt Thomas Feil

    Phishing-Angriffe bedienen sich des Social Engineerings und bauen auf das fehlende Misstrauen des Kontoinhabers

  • Mit Hilfe eines Identitätsdiebstahls werden Informationen erschlichen, um an das Konto des Phishing-Angriffs zu gelangen
  • Phishing ist auch aus strafrechtlicher Sicht relevant, jedoch wird das Opfer nur aus dem Zivilrecht Geld zurückbekommen können
  • Nach der neuen Rechtslage kommt es in erster Linie darauf an, ob das Opfer des Phishing-Angriffes grob fahrlässig gehandelt hat.
  • Der Kontoinhaber hat grundsätzlich gegen die Bank einen Anspruch aus 675u BGB auf Rückzahlung der überwiesenen Summe, die nicht vom Kontoinhaber angewiesen wurde.
  • Liegt eine Verletzung der im Verkehr erforderlichen Sorgfalt in einem besonders schweren Maße vor, hat die Bank gegen den Kontoinhaber einen Anspruch aus 675v BGB, mit dem sie gegen den Anspruch des Kontoinhabers aufrechnen kann.
  • In diesen Fällen wird der Kontoinhaber auf seinem Schaden sitzen bleiben, es sei denn, er kann eine andere verantwortliche Person ausfindig machen
  • Die Initiatoren des Phishing-Angriffes werden meist nicht ausfindig zu machen sein, sodass allenfalls beim Finanzagenten Regress genommen werden kann
1 Star2 Stars3 Stars4 Stars5 Stars 17 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular