Heute stand es mal wieder in den
Zeitungen: Kreditkartenklau per E-Mail.
"Dabei werden massenweise Mails an E-Mail-Adressen verschickt. Absender ist vermeintlich die Firma Visa."
Man teilt den Kunden mit, ihre Karten seien gesperrt worden. Entsperren könne man, wenn man dem Link in der E-Mail folge und auf der sich dann öffnenden Internetseite seine Kreditkartendaten eingebe.
Es gibt immer noch zu viele Menschen, die das leichtgläubig tun. Die Kartendaten werden dann dazu genutzt, im Internet einzukaufen. Bei der nächsten Abrechnung werden dann die Augen groß - so wie die Beträge, die vom Konto abgebucht werden.
Immer wieder stellt sich dann die Frage, wer denn für den Schaden aufkommen muss: Die Bank? Der Kunde?
Das führt mich zu einem aktuell in der Kanzlei liegenden Fall:
Hier hatte mein Mandant eigentlich alles richtig gemacht: Sein PC verfügt über Virenschutz und Firewall, das Betriebssystem und der Browser sind auch up to date, das WLAN, über das er ins Internet geht, ist verschlüsselt. Und er fällt auch nicht auf komische E-Mails rein, die ihn dazu auffordern, einem (letztlich gefälschten) Link zu folgen.
Statt dessen nutzt er zum Besuch der Homepage seiner Bank einen schon vor langer Zeit abgespeicherten und immer wieder verwendeten Favoriten in seinem Browser. Hierüber gelangt er jedoch nicht zur virtuellen Filiale seiner Bank, sondern zu einer gefälschten Seite, die der echten Seite täuschend ähnlich ist.
Beim Einloggen erscheint dann die Meldung, dass die PIN überprüft werden müsse. Mein Mandant sollte dazu mehrere TANs eingeben - was er auch tat. Danach wurde er auf die echte Homepage seiner Bank geleitet und konnte sich dort ganz normal einloggen und seine Bankgeschäfte tätigen.
Er dachte sich so lange nichts dabei, bis ein paar Wochen später plötzlich ein höherer Betrag abgebucht wurde, den er sich nicht erklären konnte. Die Nachfrage auf der Bank ergab, dass er wohl Opfer eines Phishing-Angriffs geworden sei.
Sein Pech, sagt die Bank, und verweigert ihm die Rückzahlung des Betrags. Er hätte eben besser aufpassen sollen.
Das ist so wohl nicht ganz korrekt: Grundsätzlich haften die Banken nämlich für gefälschte Überweisungen, und zwar sogar unabhängig davon, ob sie die Fälschung erkennen konnten oder nicht. Die diesbezügliche Rechtsprechung stammt noch aus Zeiten, in denen es Onlinebanking nicht gab, sondern in denen Überweisungen per "Überweisungsträger" und mit echter Unterschrift abgewickelt wurden.
Zum aktuellen Problem des Phishing gibt es derzeit erst wenige Urteile. Interessant sind in diesem Zusammenhang die Entscheidungen des Amtsgerichts Wiesloch (
Urteil vom 20.6.2008 - Aktenzeichen: 4 C 57/08) und des Landgerichts Köln (
Urteil vom 5.12.2007 - Aktenzeichen: 9 S 195/07).
Beide Urteile beschäftigen sich zwar mit dem Verhältnis zwischen dem Bankkunden und dem Empfänger der Überweisung (dem so genannten "Finanzagent" - das ist derjenige, der sein Konto für die Überweisungen zur Verfügung stellt, das Geld dann abhebt und anschließend - in der Regel per Bar-Überweisung mit Western Union - an die eigentlichen Hintermänner irgendwo auf der Welt überweist). Doch in beiden Urteilen werden Aussagen dazu gemacht, wie vorsichtig ein Bankkunde sein muss, um nicht für die Überweisung haften zu müssen.
Nach Auffassung des Landgerichts Köln muss der "verständige, technisch durchschnittlich begabte Anwender"
- eine aktuelle Virensoftware und eine Firewall verwenden,
- regelmäßige Sicherheitsupdates einspielen für
- sein Betriebssystem und für
- die verwendete Software (das Gericht meint wohl den Internet-Browser)
- die Warnungen der Banken beachten
- PIN und TANs niemals per Telefon oder E-Mail herausgeben
- deutliche Hinweise auf gefälschte E-Mails und gefälschte Internetseiten seiner Bank erkennen (sprachliche Mängel, deutlich falsche Internet-Adresse, Adresse ohne "https://", kein Schlüsselsymbol in der Statuszeile)
Das geht schon ganz schön weit, wenn man bedenkt, dass teilweise sogar vertreten wird, ein Nutzer müsse nicht einmal über aktuellen Virenschutz verfügen.
Das Amtsgericht Wiesloch ist da schon wesentlich verbraucherfreundlicher und verlangt nur den Einsatz eines "den allgemeinen, am Verhalten eines durchschnittlichen PC-Benutzers orientierten Computers". Der Richter, der für meinen Geschmack zu häufig darauf hinweist, dass er bereits in seiner früheren Stellung als Staatsanwalt Kontakt zu Phishing-Fällen hatte, geht dabei davon aus, dass viele Computernutzer nur geringe technische Kenntnisse hätten. Die Bank habe wesentliche Vorteile durch Kunden, die ihre Geschäfte online erledigen. Sie hätte ihre Kunden vertraglich zur Nutzung von Antivirenprogrammen und sonstigen Schutzmaßnahmen verpflichten können. Da sie dies nicht getan habe (zumindest hatte die Bank das wohl nicht beweisen können), müsse sie auch für den Schaden haften.
Meine Einschätzung: Ich gehe davon aus, dass die Wahrheit irgendwo in der Mitte liegen wird.
Tatsächlich sind viele Mandanten, die bei mir in der Kanzlei sitzen, durch ihren Computer schlichtweg überfordert. Dass der PC nicht das selbe ist wie ein Fernseher, den man sich kauft und der dann läuft und läuft und läuft, sondern dass man sich um dieses Gerät kümmern muss, will vielen nicht einleuchten. Und so surfen sie mit offenen WLANs und ohne jeden Virenschutz durch die Lande - ein gefundenes Fressen für jeden Cyber-Kriminellen.
Die Banken tun also gut daran, ihre Kunden entsprechend aufzuklären (und das nicht nur in bunten Werbeblättchen oder auf der Homepage) und zu weiter gehenden Maßnahmen zu verpflichten. Ob diese Verpflichtung dahin gehen kann, den Kunden kostenpflichtigen Virenschutz aufzubürden und bei jeder Tasteneingabe in der Browserzeile nach einem Schloss und dem "https" Ausschau zu halten, wage ich zu bezweifeln. Ein bisschen Sensibilität im Umgang mit den eigenen (Bank)Daten jedoch dürfte nicht zu viel verlangt sein - wie übrigens überall im Internet...
Ach ja, mein Mandant: Wie die Sache ausgeht, ist noch nicht klar. Ich werde jedoch darüber berichten, wenn es dann so weit ist.
[Update 23.10.2009: Zum Thema auch eine Pressemeldung des BITKOM in Zusammenarbeit mit dem BKA:
Internet-Kriminelle weiten Aktivitäten aus - Tipps zur Vorbeugung für PC-Besitzer, hier insbesondere das
Infoblatt "Schutz vor Internet-Kriminalität" (pdf)]
