Pressemitteilung, 15.07.2008 - 10:55 Uhr
Perspektive Mittelstand
Phishers Fritz fischt frische Konten ab - Laut Amtsgericht Wiesloch haftet die Bank
(PM) , 15.07.2008 - Das Ausspähen von Kontozugangsdaten bildet inzwischen einen Brennpunkt in der Kriminalstatistik. Das Bundeskriminalamt (BKA) registrierte bereits 2006 eine Zunahme des Ausspähens von Daten um 26,4% im Vergleich zum Vorjahr. Schließlich war laut der Jahrespressekonferenz des BKA am 28.03.2008 für das Jahr 2007 ein nochmaliger Anstieg im Vergleich zu 2006 zu verzeichnen. Hintergrund ist, dass die Täter raffinierter geworden sind. Wer noch glaubt, Konten würden von Kriminellen allein dadurch leergeräumt, indem sie ihre Opfer per Spam-e-Mail in schlechtem Deutsch dazu auffordern, auf gefälschten Internetseiten Zugangsdaten einzugeben, der kennt die neusten Kniffe noch nicht. Inzwischen werden kleine Computerprogramme (Trojaner) heimlich auf dem Computer der Opfer installiert, die den Datenverkehr beim Online-Banking zwischen Kunde und Bank fortan überwachen und sich bei Bedarf dazwischenschalten. Wer gerne mit der EC- oder Kreditkarte Transaktionen tätigt, der muss nicht nur auf vorgebaute Kartenlesegeräte an Geldautomaten achten, sondern auch auf eingebaute Chips in den Bezahlsystemen an der Kasse (POS-Terminals) achtgeben. Dies ist faktisch nicht möglich, ohne das Zahl-Terminal aufzuschrauben. Dieses Ausspähen von Daten wird auch als Skimming bezeichnet, während sich für das Abräumen des Konto im Online-Banking das Kunstwort Phishing herausbildete. Hochkriminell sind außerdem die Fälle, bei denen sich die Täter in das Online-Depot eines anderen einloggen und bis zur Grenze des Verfügungsrahmens Order zum Kauf von Aktien tätigen. Nach einer Entscheidung des Amtsgerichtes Wiesloch können Geschädigte aufatmen. Demzufolge haftet die Bank gegenüber dem Bankkunden für den Schaden, wenn dieser sich mit dem Kenntnisstand eines durchschnittlichen Computernutzers mit einem Virenschutzprgramm und einer Firewall vor Schadenseintritt absicherte.Die Täter sind meist nicht greifbarDie Frage der Haftung von Bank oder Kunde stellt sich besonders dann, wenn nur einer dieser beiden Personen überhaupt als Haftungsträger in Betracht kommt? Das ist dann der Fall, wenn sich die Spur der Täter ins Ausland verliert und diese nicht greifbar sind. In der Praxis ist dies der Regelfall. Zwar gibt es zumindest beim Abräumen des Konto per Online-Banking meist noch einen sog. „Geldboten“, auf dessen Konto das Geld zunächst landete, bevor es mit Western Union anonym ins Ausland zu den Tätern transferiert wird. Doch dieser Geldbote lebt häufig unterhalb der Pfändungsfreigrenzen und kann allenfalls strafrechtlich belangt werden. Die erfolgreiche Vollstreckung eines zuvor erstrittenen Zivilurteils ist damit noch keineswegs gesichert.Für den Bankkunden sah es häufig schlecht ausBislang blieb der Bankkunde häufig auf dem Schaden sitzen, weil die Rechtsprechung ihm den „Anscheinsbeweis“ (lat. Prima facie-Beweis) entgegenhielt. Damit drückte man aus, es gäbe einen Erfahrungssatz, wonach der Bankkunde im Schadensfall häufig einen Fehler gemacht habe und man verlangte vom Bankkunden diesen Erfahrungssatz per Beweis zu erschüttern, was ihm häufig nicht gelang. Die kontoführend Bank wirft ihm im Laufe des Prozesses einfach vor, er habe sicherlich die PIN auf die EC-Karte notiert oder die TAN-Liste beim Online-Banking nicht geheim gehalten. Einen solchen Anscheinsbeweis mag es 1999 noch gegeben haben, als beispielsweise das Landgericht Frankfurt/Main entschied, dass das EC-Karten-System generell hinreichend sicher sei und deshalb davon ausgegangen werden müsse, dass der Kunde in fahrlässiger Weise seine PIN preisgegeben habe (Urt. v. 12.05.1999 – 2-01 S 336/98, WM 1999, 1930). Vor beinahe zehn Jahren waren die Fälle, bei denen die Kartendaten in POS-Terminals durch von außen nicht sichtbare Chips abgefangen wurden, mit denen die Täter anschließend gefälschte Karten fertigten, um vom Ausland aus Barabhebungen vorzunehmen, tatsächlich noch relativ selten. Das sieht heute ganz anders aus. Man muss nur bei einer Polizeidienststelle nachfragen, die im Bereich der IuK-Kriminalität tätig ist. Die weiß durchaus nicht nur ein Lied, sondern viele Lieder von solchen Fällen zu singen, wie schon die Kriminalstatistik belegt. Die seit Monaten bekannte Tatsache, dass die Schadensfälle inzwischen anders als früher verlaufen, wurde von so mancher Gerichtsentscheidung ausgeblendet, indem man auf die veraltete Konstellation des „Anscheinsbeweises“ zurückgriff.Das Amtsgericht Wiesloch sieht die Haftung bei der BankAnders entschied nun das Amtsgericht Wiesloch in einem noch nicht rechtskräftigen Urteil vom 04.07.2008 (Az. 4 C 57/08). Das Gericht hatte der kontoführenden Bank mit allem Recht das Phishing-Risiko auferlegt, weil der Kunde die Sorgfaltspflichten eines „durchschnittlichen PC-Benutzers“ eingehalten habe. Im Streitfall waren von dem Familiencomputer eines kaufmännischen Angestellten ohne dessen Wissen circa 5.000 Euro abgeräumt und auf ein anderes Konto überwiesen worden. Der Empfänger, der als Geldbote fungierte, hob das Geld in bar ab und ließ das Geld – entsprechend der üblichen Masche – per Western Union den Tätern im russische Sankt Petersburg anonym zukommen. Dort verlor sich die Spur der Täter.Auf dem Computer des Bankkunden war ein Antivirenprogramm installiert, das zudem Angriffe durch eine Firewall abwehrte. Der zur Entscheidung berufene Richter wusste wie solche Fälle verlaufen, denn er hatte zuvor als Staatsanwalt ähnliche Fälle verfolgt und er entschied, dass die Bank nicht das gesamte Risiko auf seine Kontoinhaber abwälzen könne. Diese Entscheidung hat mit Recht in der Presse für Aufsehen gesorgt. Auch wenn hier nur ein „Amtsgericht“ entschieden hatte, an dessen Entscheidung andere Gerichte oder gar die Obergerichte nicht gebunden sind, deutet es doch den offenkundig notwendigen Wandel in der Rechtsprechung an. Einen Anscheinsbeweis, wonach der Kunde fahrlässig mit seinen Zugangsdaten umgegangen ist, kann es nur dort geben, wo die Banksysteme zumindest so sicher sind, dass der Missbrauch durch Dritte nur bei einem fahrlässigen Umgang des Kunden mit seinen Daten denkbar erscheint. Das ist in Zeiten von Trojanern, Chips in POS-Terminals und von den vor Geldautoamten vorgebauten Auslesegeräten offenkundig nicht (mehr) der Fall.Was bedeutet diese Entscheidung?Erfolglos muss die Inanspruchnahme der Bank im Schadensfall deshalb nicht sein; sie ist allenfalls einzelfallabhängig. Auf Seiten der anwaltlichen Beratung sollte eine sehr genaue Kenntnisse von den Handlungsmöglichkeiten und vom Stand der Rechtsprechung vorhanden sein. Auch besitzt die kontoführende Bank, die fast immer über die Information verfügt, wohin das Geld vom abgeräumten Konto floss, durchaus eine rechtliche Handhabe, sich selbst an einem bloßen „Strohmann“ schadlos zu halten. Das Landgericht und das Oberlandesgericht der Freien und Hansestadt Hamburg haben einer Bank übereinstimmend einen Anspruch gegen denjenigen zugebilligt, auf dessen Konto ein Geldbetrag im Rahmen einer illegalen Geldtransaktion zugeflossen war, welches der derart Begünstigte wiederum an Dritte ausgekehrt hatte (LG Hamburg, Urt. v. 18.05.2006 – 334 O 10/06; OLG Hamburg, Beschl. v. 02.08.2006 – 1 U 75/06).Ulrich Schulte am Hülse, RechtsanwaltZum Thema außerdem:Abfischen von Kontozugangsdaten (Phishing)Datendiebstahl bei EC-Karten: SkimmingWie werden Kontozugangsdaten in den USA ausgespäht?Trends und Entwicklungen beim Phishing--------Kontakt:Rechtsanwalt Ulrich Schulte am HülseUhlandstraße 173-17410719 BerlinTelefon: (030) 71520670Telefax: (030) 71520678e-Mail: schulte@schultelawInternet: www.schultelaw.de Wir unterstützen Sie gerne bei Ihrer Recherche.Bildmaterial: Frau Antje König (Bürovorsteherin), e-Mail: antje.koenig@dr-schulte.deUnser Büro ist mit einem Team von fünf Rechtsanwälten wirtschaftsberatend tätig und deckt ein breites Spektrum wirtschaftsrechtlicher Themenstellungen ab. Der Verfasser arbeitet ausschließlich im Bereich des Internetrechtes und des Immaterialgüterrechtes (Wettbewerbsrecht, Urheberrecht, Marken, Patente, Gebrauchsmuster, Sorten, Design und Namensrecht). Interdisziplinär kooperieren die Rechtsanwälte mit Steuerberatern. Die Kanzlei verfügt über zwei Büros in Berlin sowie Büros in Frankfurt am Main und Dresden. Ergänzende Absenderangaben mit allen Kanzleistandorten finden Sie im Impressum auf unserer Internetseite.