Phishing: Rechtsprechung und Urteile

Wer nach Urteilen und Rechtsprechung zum Thema Phishing sucht, wird bei uns fündig. Wir zeigen auf, welche Urteile es gibt und wie die Rechtsprechung zu deuten ist.

Einleitung zum Thema Phishing

Ein Phishing Angriff kann für den Betroffenen zum blanken Horror werden. Das Entsetzen dürfte in der Regel groß sein, wenn beim Blick auf das eigene Bankkonto dieses auf einmal restlos geplündert ist, ohne dass man sich erklären kann, wie dies passieren konnte. Dabei wird die Gefahr, Opfer eines solchen Phishing-Angriffs zu werden, mit der wachsenden Bedeutung des Internets und des Online-Bankings immer größer. Heutzutage findet sich in nahezu jedem Haushalt ein Internet-Zugang, und über die Hälfte der Bevölkerung nutzt für die privaten Finanzgeschäfte Produkte des Online-Bankings. Bei dieser immensen Nutzung ist es leider nicht verwunderlich, dass Kriminelle sich diesen Umstand zur Nutze machen wollen, und insbesondere durch Phishing-Angriffe zu erheblichen Schädigungen in der Lage sind.

Der Begriff des Phishing ist ein Kunstwort, das sich an dem englischen Wort fishing anlehnt. Die Schreibweise mit Ph am Beginn entstammt dabei dem Hacker-Jargon, in dem dies oft der Fall ist. Phishing kann man sich vorstellen als das Angeln nach Passwörtern.

Ein Phishing-Angriff stellt somit den Versuch dar, über gefälschte Webseiten, E-Mails oder Kurznachrichten persönliche Daten eines Internet-Benutzers in Erfahrung zu bringen, um hiermit einen Identitätsdiebstahl vollziehen zu können. Im Fokus steht dabei, die erschlichenen Daten beispielsweise dafür zu nutzen, das Vermögen auf dem Konto des Betroffenen zu entziehen. Der Phishing-Angriff stellt hierbei eine Unterart des Social Engineering dar, welches die zwischenmenschliche Beeinflussungen beschreibt, die zum Ziel gesetzt hat, bei Personen ein bestimmtes Verhalten hervorzurufen, sie zum Beispiel zur Herausgabe vertraulicher Daten zu bewegen. Der Phishing-Angriff nutzt hierzu die Gutgläubigkeit des Opfers aus.

Bereits an anderer Stelle haben wir erklärt, was man tun kann, wenn man Opfer eines Phishing-Angriffes geworden ist (siehe https://www.recht-freundlich.de/phishing-online-banking/angriff-phishing-rechtlich-zivilrechtlich). Um noch weitere Aufklärungsarbeit zu leisten, sollen vorliegend einige relevante, neue Rechtsprechung und Urteile zum Phishing erläutert werden.

Beweislast nach Phishing-Attacke

Das Landgericht Oldenburg hat in einem Urteil vom 15.01.2016 (Az. 8 O 1454/15) über die Beweislast nach einer Phishing-Attacke entschieden. Dabei folgte das Gericht in seinem Urteil der Auffassung, dass eine Bank den Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking tragen muss. In seiner Rechtsprechung folgte das LG Oldenburg weiterhin der Auffassung, dass nicht der Kläger beweisen muss, dass er Opfer einer Phishing-Attacke geworden ist, sondern die Bank nachweisen muss, dass die Zahlungsvorgänge durch den Kläger autorisiert wurden.

Im dazugehörigen Sachverhalt ging es darum, dass der Kunde einer Bank seit 15 Jahren das von der beklagten Bank angebotene Online-Banking System genutzt hatte, wobei er in letzter Zeit vom mTan-Verfahren Gebrauch machte. Bei diesem Verfahren erhält der Kunde eine Tan-Nummer jeweils durch SMS an sein Mobiltelefon. Nur mit Eingabe dieser mTan kann sich der Kontoinhaber als berechtigt ausweisen, eine Überweisung zu tätigen.

Von den Konten des Kunden kam es sodann innerhalb von 5 Tagen zu 44 unberechtigten Überweisungen, wobei dem Kunden ein Schaden von insgesamt 11.000€ entstanden war. Der Kunde verlangte von der beklagten Bank daher Schadensersatz in Höhe dieses Schadens. Die Bank wollte diesem Begehren nicht nachkommen, da sie der Auffassung war, der Kläger habe grob fahrlässig gehandelt, womit eine Haftung der Bank nicht angesagt wäre. Der Kunde habe insbesondere Apps auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten und die für die Phishing-Attacke ursächlich sein könnten.

Das LG Oldenburg folgte dem Klägerbegehren und legte in seiner Rechtsprechung die Beweislast der Bank auf. Diese hat nachzuweisen, dass die streitgegenständlichen Zahlungsvorgängen vom Kläger autorisiert worden sind. Der Kunde müsse somit grade nicht beweisen, dass er Opfer einer Phishing-Attacke wurde. Für den Beweis der Bank soll es dabei auch nicht ausreichen, die Zahlungsvorgänge elektronisch aufzuzeichnen. Die Überweisung mit dem Nutzernamen, der PIN und sodann der mTan stellen ebenfalls keinen geeigneten Beweis dar.

Schadensersatzansprüche: Rechtsprechung durch LG Essen und OLG Hamm

Das OLG Hamm hat in Folge eines Urteils des LG Essen (Urteil vom 04.12.2014 – Az. 6 O 339/14) einen Hinweisbeschluss am 16.03.2015 erlassen (Az. I-31 U 31/15). In seiner Rechtsprechung urteilte das OLG Hamm, dass eine Bank vom für das Online-Banking freigeschalteten Zahler Schadensersatz aus § 675v II Nr. 1 BGB verlangen kann, wenn dieser gem. eines in der E-Mail eines Dritten vorgetragenen Verlangens seine Kontodaten oder PIN auf einer Internetseite nennt, zu der er über einen Link aus der E-Mail gelangte. Weiterhin urteilte das OLG Hamm, dass dem Erstattungsanspruch des Zahlers aus § 675v S. 2 BGB wegen eines nicht autorisierten Zahlungsvorgangs der Einwand unzulässiger Rechtsausübung entgegen steht, wenn der Zahler zum Schadensersatz aus § 675v II BGB verpflichtet ist.

Im dazugehörigen Sachverhalt klagte ein Kunde gegen seine Bank. Der Kunde nutzte sowohl die Möglichkeit des Online-Bankings als auch des Telefon-Bankings seines Kreditinstituts. Er bekam in der Folge eine E-Mail, die vermeintlich von seiner Bank versendet worden war und in der unter der Überschrift „Ihr Postbank-Konto wurde vorübergehend eingeschränkt“ folgende Ausführungen folgten:

„Auf Ihrem Postbank Konto wurde ein versuchter Fremdzugriff entdeckt. Dieser konnte durch unser sensibles Sicherheitssystem erfolgreich gestoppt werden. Deshalb haben wir Ihr Konto vorübergehend eingeschränkt. Um die Limitierung aufzuheben, müssen wir Sie bitten, sich zu identifizieren. Dazu folgen Sie dem untenstehenden Link . Vielen Dank für Ihre Mithilfe … Die Verifizierung muss bis zum 31.03.2014 durchgeführt werden, ansonsten wird Ihr Konto dauerhaft gesperrt. …“.

Hierdurch aufgewühlt, klickte der Kunde auf den mitgesendeten Link und füllte alle Punkte der sich öffnenden Maske vollständig aus. Dabei gab er nicht nur seien Kontoverbindungsdaten an, sondern unter anderem auch die PIN seines Telefon-Bankings. Dabei war es dem Kunden nicht bewusst, dass sowohl die E-Mail als auch die Webseite nicht durch seine Bank, sondern durch unbekannte Täter versandt bzw. eingerichtet und verwaltet worden war.

In der Folge wurde vom Girokonto des Kunden eine Überweisung in Höhe von 7.200 € an eine Konto einer österreichischen Bank zugunsten eines dem Kunden unbekannten Dritten ausgeführt. Der Dritte hob das Geld noch am gleichen Tag ab. Die konkrete Überweisung nach Österreich hatte der Kunde jedoch nicht in Auftrag gegeben. Ein unbekannter Täter hatte sich unter Zuhilfenahme der Telefon-PIN des Kunden telefonisch bei dem Kreditinstitut des Kunden gemeldet, sich als dieser ausgegeben und die Überweisung veranlasst. Da er auf sämtliche Sicherheitsabfragen des Mitarbeiters der Bank antworten konnte, ging die Überweisung problemlos durch.

Der Kunde verlangte sodann das Geld von der Bank zurück. Diesem Verlangen kam die Bank jedoch nicht nach. Zwar behauptet der Kunde, er habe zu keinem Zeitpunkt Zweifel daran gehegt, dass die E-Mail von seiner Bank versendet worden sei und ebenso sei die von ihm ausgefüllte Maske als Original erschienen, weswegen er der Auffassung ist, angesichts des Layouts von E-Mail und Webseite habe er von der Originalität ausgehen dürfen. Die Bank ist jedoch der Auffassung, er habe hierdurch seine Verpflichtung, seine PIN sowie TAN vor unbefugtem Zugriff zu schützen und hierfür Vorkehrungen zu treffen, nicht erfüllt.

Das LG Essen verneinte in seiner Rechtsprechung zunächst diesen Anspruch auf Rückzahlung der 7.200€ und ging davon aus, dass einem durchschnittlichen Verwender der Telefon- und Online-Banking-Funktionen einer Bank bekannt sein muss, dass im Internet Kriminelle versuchen, mittels der Versendung von E-Mails an sensible Daten Dritter zu gelangen. Daher muss des Weiteren bekannt sein, dass keine Bank jemals mittels E-Mail oder überhaupt außerhalb eines Transaktionsvorgangs sensible Daten von den Kunden abfragt, noch dazu mehrere persönliche und Kontodaten während eines einzigen Eingabevorgangs. Auch werden bei Nutzung des Online-Bankings keinerlei Daten abgefragt, die ausschließlich der Nutzung des Telefon-Bankings dienen. Dieser Auffassung ist das OLG Hamm als Berufungsgericht ebenfalls gefolgt. Einem etwaigen Anspruch des Klägers aus § 675u Satz 1 BGB stünde zumindest der Einwand der unzulässigen Rechtsausübung aus § 242 BGB entgegen, weil die Bank ihrerseits gegen den Kläger ein Anspruch aus §§ 675v Abs. 2 S. 1 Nr. 1 BGB in Höhe der Klageforderung zusteht. Der Kunde konnte so also nicht an sein Geld gelangen.

Weitere Urteile zur groben Fahrlässigkeit

Auch andere Gerichte mussten sich in der Vergangenheit in Urteilen mit dieser Thematik auseinandersetzen.

Das LG Berlin hat in einem Urteil vom 8.11.2011 (Az. 21 O 80/11) über die grob fahrlässige Verletzung der Kundenpflichten bei Phishing entschieden. Die Richter urteilten hier, dass wenn ein Bankkunde ca. 40 TAN in einer Maske eingibt, die nicht von der Bank stammt und somit kein Sicherheitszertifikat aufweist, grob fahrlässig handelt, wenn die Maske seinem Konto schon deshalb nicht zuzuordnen ist, weil noch nicht einmal der Kontostand angegeben ist. Auch in diesem Fall wollte ein Kunde Geld zurück haben, welches von Dritten unbefugt von seinem Konto überwiesen worden war. Hierbei ging es um einen Betrag von 5.500€. Das LG Berlin gab in seinem Urteil jedoch der Bank recht und entschied, dass der Kunde nicht schlichtweg 40 TAN-Nummern preisgeben darf, wenn nicht ersichtlich ist, dass die Maske tatsächlich von der Bank stammt. Der Kunde handelte im vorliegenden Fall also grob fahrlässig, womit ein Anspruch des Kunden gegen die Bank nicht mehr geltend gemacht werden konnte. Der Schaden für den Kunden wurde somit nicht von der Bank ausgeglichen und musste dies rechtlich gesehen auch nicht.

Einen sehr ähnlichen Fall hatte das AG Krefeld bereits in einem Urteil vom 6.7.2012 (Az. 7 C 605/11) zu judizieren. In diesem Urteil entschied das Gericht, dass das Eingeben diverser TANs auf Anfrage im Internet eine Verletzung der Pflichten des Kontoinhabers aus dem Girovertrag dar stellt. Diese Pflichtverletzung ist wegen der auch durch die Medien in den letzten Jahren bekannt gewordenen Fälle unbefugten Datenzugriffs grob fahrlässig. Es sei allgemein bekannt, dass zur Durchführung eines Zahlungsvorgangs nicht mehr als eine TAN abgefragt wird. Außerdem habe das Kreditinstitut keine Verpflichtung zur stetigen Überwachung des Abhebeverhaltens ihrer Kunden. Im zugehörigen Fall bekam eine Kundin die Mitteilung, ihr Konto sei gesperrt worden und sie müsse verschiedene TAN eingeben, um die Sperre aufzuheben. Zwar wurde die Kundin stutzig und versuchte, einen Mitarbeiter ihrer Bank telefonisch zu erreichen, aufgrund Zeitdrucks gab sie dieses Vorhaben jedoch vor Kontaktaufnahme wieder auf und gab stattdessen mehrere TAN in die Maske zur „Entsperrung“ ein. In der Folge tätigte sie selbst noch mehrere Überweisungen, welche alle erfolgreich verliefen.

Die in die Maske eingegebenen TAN wurden dabei von Phishing-Angreifern abgeschöpft, sodass in der Folge knapp 5.000€ abgehoben worden sind. Diesen Betrag verlangte die Kundin von ihrer Bank ersetzt. Die Bank wiederum erhob den Gegenvorwurf, das Verhalten der Kundin sei grob fahrlässig gewesen. Dieser Auffassung kam das Gericht nach. So müsse eine Bank insgesamt die Kontobewegungen ihrer Kunden nicht ständig überwachen und nachfragen, ob alle Überweisungen richtig seien. Außerdem sei das Verhalten der Kundin grob fahrlässig gewesen. Ein Ersatz des Schadens durch die Bank konnte somit nicht gefordert werden.

Strafrechtliches Urteil: Strafbarkeit des „Finanzagenten”

Der BGH hat in seiner Rechtsprechung ein Urteil zur Strafbarkeit des Finanzagenten beim Computerbetrug durch Phishing gefällt (Beschluss vom 23.4.2013 – Az. 2 ARs 91/13, 2 AR 56/13). Dabei urteilte der BGH, dass derjenige, der auf Grund vertraglicher Vereinbarung auf seinem Konto eingehende Geldbeträge abhebt und über ein Transfersystem an eine ihm unbekannte Person im Ausland weiterleitet, sich der leichtfertigen Geldwäsche schuldig macht. Tatort soll dabei alleine der Ort sein, an dem der Beschuldigte gehandelt hat. Im genannten Urteil musste der BGH auch Entscheidungen über das anwendbare Recht machen. So stellten die Richter fest, dass bei einer Schädigung eines deutschen Staatsbürgers deutsches Strafrecht anwendbar ist, selbst wenn die Tat im Ausland begangen wurde. Schlussendlich stellten die Richter auch fest, fass eine solche Tat auch in Spanien mit Strafe bewehrt ist, was aufgrund des Begehungsortes der Tat relevant war.

Im dazugehörigen Sachverhalt hatte die Staatsanwaltschaft Offenburg gegen einen spanischen Staatsangehörigen ein Ermittlungsverfahren wegen des Verdachts der leichtfertigen Geldwäsche geführt. Unter missbräuchlicher Verwendung der Zugangsdaten des Onlinebankings vom Konto eines Geschädigten soll ein mittlerer vierstelliger Betrag abgebucht und auf ein vom Beschuldigten geführtes Konto überwiesen worden sein. Dabei räumte der Beschuldigte bei einer Rechtshilfevernehmung ein, dass er über das Internet einen Arbeitsvertrag als „Versicherungsvertreter” abgeschlossen habe, in dessen Ausführung er zur Weiterleitung von auf seinem Konto eingehenden Geldbeträgen bestimmt worden sei. Die bei ihm eingehenden Geldbeträge habe er von seinem Konto abgehoben und über ein Transfersystem an eine ihm unbekannte Person im Ausland weitergeleitet.

Aufgrund der verschiedenen Orte und der Staatsbürgerschaft musste der BGH zunächst klären, das Recht welchen Landes Anwendung finden soll. Sie stellten fest, dass zwar auch in Spanien diese Tat unter Strafe steht, allerdings bei Schädigung eines Deutschen das deutsche Strafrecht Anwendung findet. Dies gilt erst Recht, da der Tatort immer dort ist, wo der Beschuldigte gehandelt hat. Weiterhin stellten sie fest, dass derjenige, der auf Grund vertraglicher Vereinbarung auf seinem Konto eingehende Geldbeträge abhebt und über ein Transfersystem an eine ihm unbekannte Person im Ausland weiterleitet, sich der leichtfertigen Geldwäsche schuldig macht.

Zusammenfassung zu Phishing Urteile und Rechtsprechung

Phishing-Angriffe sind sehr unangenehm und meist mit hohen Schäden verbunden. Oft überweisen die Täter mittlere vierstellige bis zu fünfstellige Beträge. Für die Rückforderung dieses Schadens von der Bank kommt es dabei jeweils auf das Vorverhalten des Kunden an. Handelte dieser grob fahrlässig, ist die Rückforderung zumindest der kompletten Schadenssumme wohl kaum noch möglich. Strafbar ist das Betreiben von Phishing-Angriffen sowie die Stellung als Mittelsmann als weiterleitender Teil der Überweisungen jedoch in jedem Fall. Hier kommt es eher auf die sorgfältige Arbeit der Ermittlungsbehörden an, sodass die Täter geschnappt werden können.

Sollten Sie einmal Opfer eines Phishing-Angriffes geworden sein und wollen Sie Anzeige erstatten oder Geld von ihrer Bank zurück fordern, so zögern Sie nicht. Wir stehen Ihnen mit Rat, Tat und einer Menge Erfahrung zur Seite!

 
1 Star2 Stars3 Stars4 Stars5 Stars 8 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*