PHISHING: Der Kampf gegen die Passwort-Fischer

[Reducal]

Und jetzt ist auch mal die Sparda-Bank dran:

Derzeit sind Phishing-E-Mails im Umlauf, die anscheinend von der Sparda-Bank verschickt werden. In der E-Mail wird darauf hingewiesen, dass Ihre Bankkarte eingeschränkt ist. Es wird dort ein orangener Button angeboten, der auf eine Seite führt, die aussieht wie eine Seite aus dem SpardaNet-Banking. Sie werden aufgefordert, hier Ihre Daten einzugeben.

Diese E-Mails kommen nicht von Ihrer Sparda-Bank, diese Seite befindet sich nicht im SpardaNet-Banking-Portal!

• Klicken Sie nicht auf den Button.
• Machen Sie keinerlei Angaben in dem Formular auf der angezeigten Seite.
• Löschen Sie diese E-Mail aus Ihrem E-Mail-Postfach.

 

[Reducal]

BGH entscheidet über Datenklau beim Online-Banking, Phishing

Der Bundesgerichtshof in Karlsruhe verhandelt heute über Datenklau beim Online-Banking. Geklagt hatte ein Bankkunde, von dessen Konto 5000 Euro nach Griechenland überwiesen wurden. Nach seiner Darstellung hatte er zehn Transaktionsnummern auf einer vermutlich gefälschten Bank-Website eingegeben. Die Bank meint, der Kunde sei selbst schuld, wenn er auf eine solche Phishing-Attacke hereingefallen sei. Die Frage: Wer haftet, wenn ein Kunde möglicherweise einer gefälschten Website auf den Leim gegangen ist? Ob der BGH heute eine Entscheidung verkündet, steht noch nicht fest.

Man kann auf das Urteil gespannt sein.

Az.: XI ZR 96/11

Liebe Internetnutzer, so sieht Phishing aus: http://forum.computerbetrug.de/thre...-die-passwort-fischer.4316/page-18#post-53056

Bislang galt z. B. folgender Grundsatz:

Eine Bank muss ihrem Kunden den Betrag der aufgrund eines Phishing-Angriffs vom Konto des Kunden abgebucht wurde erstatten. Es liegt in diesen kein wirksamer Überweisungsauftrag seitens des Kunden vor. Das Fälschungsrisiko des Überweisungsauftrages trägt die Bank. Eine Rechtsscheinhaftung des Kunden scheidet aus, da solange er nicht weiß, dass er getäuscht wurde, keine Möglichkeit hat, den Missbrauch von PIN und TAN zu verhindern.

Bank muss Phishing-Opfern Geld erstatten - AG Wiesloch, Urteil vom 20.06.2008, Az.: 4 C 57/08

Zur Haftung der Bank für den Schaden des Phishing-Opfers - Soweit der Bankkunde seinen Computer im Rahmen des Online-Banking entsprechend "durchschnittlichen Sorgfaltsanforderungen" betreibt, haftet die Bank grundsätzlich gegenüber dem Bankkunden für durch das so genannte Phishing entstehende Schäden.

http://dejure.org/dienste/vernetzung/rechtsprechung?Text=4 C 57/08

Hier ein weiteres Urteil mit selbem Tenor: Landgericht Landshut, Urteil vom 14.07.2011, Az.: 24 O 1129/11

Der Kläger hat das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein. Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.
Das Landgericht Landshut hat der Klage stattgegeben und die Bank zur Rückzahlung verurteilt.

Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt.

 

[Hippo]

Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.

Wie blöd muß man sein 100 TANs ohne weiteren Grund einzugeben?
Der würde in die Reihe derer passen denen man bei der Microwelle extra erklären muß daß das Gerät nicht zum Trocknen von Kleintieren geeignet ist ...

 

[Reducal]

Hier noch einmal etwas detaillierter: http://www.bankundkapitalmarkt.de/urteilsvorschau/2157-bgh-xi-zr-9611.html

BGH XI ZR 96/11
Verhandlungstermin: 24. April 2012
BGH XI ZR 96/11
AG Düsseldorf - Urteil vom 6. April 2010 - 36 C 13469/09
LG Düsseldorf - Urteil vom 19. Januar 2011 - 23 S 163/10

Der Kläger nimmt die beklagte Bank auf Rückgängigmachung einer im elektronischen Zahlungsverkehr erfolgten Belastungsbuchung in Anspruch.
Der Kläger unterhält bei der Beklagten ein Girokonto und nahm seit dem Jahr 2001 am Online-Banking teil. Die Beklagte verwendet für entsprechende Überweisungsaufträge das sogenannte iTAN-Verfahren. Dieses ist dadurch gekennzeichnet, dass der Nutzer nach Eingabe seiner Persönlichen Identifikationsnummer (PIN) aufgefordert wird, eine durch eine Positionsnummer bestimmte (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher übermittelten TAN-Liste einzugeben.
Am 26. Januar 2009 wurde vom Girokonto des Klägers im Online-Banking ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Die Belastungsbuchung erfolgte nach Eingabe der PIN des Klägers und unter Verwendung einer korrekten TAN. Am gleichen Tag wurde auch vom Konto eines anderen Kunden der Beklagten ein Betrag von 7.000 € auf das Auslandskonto überwiesen, was dieser Kunde um 20.15 Uhr zur Anzeige brachte. Der Kläger erstattete seinerseits am 29. Januar 2009 Strafanzeige bei der Polizei. Er führte dazu aus, er habe einmal im Oktober 2008 das Online-Banking der Beklagten nutzen wollen, dabei aber den Hinweis bekommen, dass er zunächst 10 TAN eingeben müsse. Die geforderten TAN habe er in dafür vorgesehene Felder eingetragen und anschließend wieder Zugriff auf das Online-Banking erhalten. Das Ermittlungsverfahren wurde eingestellt, nachdem ein nach Griechenland gerichtetes Rechtshilfeersuchen der Staatsanwaltschaft nicht zur Ermittlung des Zielkontoinhabers geführt hatte.
Die Beklagte lehnt die Rückgängigmachung der Buchung ab, weil die Verwendung der richtigen Zugangsdaten dafür spreche, dass der Kläger die Auslandsüberweisung entweder selbst veranlasst oder durch die Offenlegung von 10 TAN jedenfalls schuldhaft ermöglicht habe. Insbesondere habe er gegen Nr. 8 ihrer Sonderbedingungen für die konto-depotbezogene Nutzung des Online-Banking verstoßen. Dort heißt es auszugsweise:
"Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten:
…
-Bei Eingabe der PIN und Tan ist sicherzustellen, dass Dritte diese nicht ausspähen können.
-Die technische Verbindung zum Online-Banking-Angebot des Kreditinstituts ist nur über die vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle herzustellen.
-Außerhalb der vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle dürfen Anfragen, insbesondere nach vertraulichen Daten wie Geheimzahl, PIN oder TAN nicht beantwortet werden."
Die Beklagte warnte seit dem 10. September 2008 auch auf der Log-In-Seite des Online-Bankings vor Missbrauchsgefahren. Bis zum 28. Juli 2009 befand sich dort in der Mitte der Seite unter anderem der Hinweis: "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails im Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben!"
Der Kläger verlangt von der Beklagten den Ausgleich der Belastungsbuchung, da es ihre Aufgabe sei, für einen störungsfreien Ablauf des Online-Banking zu sorgen und ihre Kunden vor betrügerischen Transaktionen zu schützen. Das Amtsgericht hat die Klage abgewiesen. Die Berufung des Beklagten ist erfolglos geblieben. Zur Begründung hat das Berufungsgericht unter anderem ausgeführt: Es könne dahinstehen, ob der Kläger den Überweisungsauftrag selbst erteilt habe und ob dafür ein Anscheinsbeweis spreche. Auch wenn das nicht der Fall sei, könne er von der Beklagten keine Rückzahlung verlangen, weil diese wirksam mit einem Schadensersatzanspruch in gleicher Höhe aufgerechnet habe. Der Kläger habe seine vertraglichen Pflichten verletzt, indem er entgegen Ziffer 8 der Sonderbedingungen der Beklagten einem Dritten durch die Eingabe von 10 TAN fahrlässig Kenntnis von diesen verschafft habe. Dem Kläger habe sich die missbräuchliche Abfrage der TAN auch dann aufdrängen müssen, wenn auf dem Bildschirm die übliche Maske für das Online-Banking zu sehen gewesen sei und sich insofern keine Auffälligkeiten ergeben hätten. Es sei im Herbst 2008 schon durch Warnungen in den Medien allgemein bekannt gewesen, dass die Anfrage mehrerer TAN auf einen Missbrauch hindeute. Hinzu komme der unmissverständliche Warnhinweis der Beklagten auf der Log-In-Seite an hervorgehobener Stelle. Auch ein Mitverschulden sei der Beklagten nicht anzulasten. Das von ihr verwendete iTAN-Verfahren habe jedenfalls im Jahr 2008 dem Stand der Technik entsprochen. Eine Auslandsüberweisung über 5000 € sei im Massengeschäft des bargeldlosen Zahlungsverkehrs auch nicht ungewöhnlich genug, um Zweifel an der Richtigkeit des Zahlungsvorgangs zu hegen. Von der gleichgelagerten Abbuchung über 7000 € vom Konto eines anderen Kunden habe die Beklagte vor Ausführung der zu Lasten des Klägers gehenden Überweisung keine Kenntnis erlangt.
Mit der vom Berufungsgericht zugelassenen Revision verfolgt der Kläger sein Klagebegehren weiter. Im Rahmen der Revision wird sich der Senat insbesondere mit der Frage zu befassen haben, welche rechtlichen Maßstäbe für die Sorgfaltsanforderungen beim Online-Banking auf Seiten der Bank und ihrer Kunden zur Vermeidung von Missbrauch durch Dritte gelten.

Und hier das Urteil:

Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen. Die Klage ist unbegründet.

Mitteilung der Pressestelle
Nr. 50/2012

Bundesgerichtshof zu Pharming-Angriffen
im Online-Banking

Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht.
Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch.
Der Kläger unterhält bei der Beklagten ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:
"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"
Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:
"Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."
Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte.
Die Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen.
Die Klage ist unbegründet. Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.
Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.
Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.

Urteil vom 24. April 2012 - XI ZR 96/11

Amtsgericht Düsseldorf - Urteil vom 6. April 2010 - 36 C 13469/09
Landgericht Düsseldorf - Urteil vom 19. Januar 2011 - 23 S 163/10

Karlsruhe, den 24. April 2012

Pressestelle des Bundesgerichtshofs
76125 Karlsruhe

Nachtrag:

Das Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht. Die Richter ließen nun offen, ob der Umgang des Klägers mit den Konto-Zugangsdaten auch als grobe Fahrlässigkeit bewertet werden kann. Rechtsexperten gehen davon allerdings aus.

 

[Reducal]

Der Kläger, Rentner A. B., war übrigens Kunde einer Sparda-Bank. Wie ahnungslos viele Interessierte des Onlinebanking sind, zeigt z. B. dieser Kommentar bei der ARD-Website:

Wenn eine BANK (!) so ignorant ist und Sicherheitsluecken hat, die es Hackern erlauben, Formulare zur Eingabe von 10 TAN-Nummern in den Onlinebanking-Prozess einzuschleusen (!!!), dann liegt ja wohl die Verantwortung GANZ KLAR BEI DER BANK.

Leute wie dieser Kommentator glauben wirklich daran, dass die Website mit der TAN-Eingabe eine im System der Bank lag aber:

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist.

Vom Trojaner am Rechner des Opfers, geschweige denn von Loadern weiß der Schwätzer anscheinend nichts.

Der Fall selbst ist meiner Meinung nach recht absurd. Der Kläger hat doch sicher die Kosten der Verfahrens zu tragen. Ich bin sogar der Auffassung, dass der Rentner zumindest diese Kosten sich bei seinem Anwalt holen sollte. Hätte der Anwalt auch für seinen Mandanten gegen einen Autohersteller geklagt, wenn ein Autodieb mit einem funktionierenden Nachschlüssel die Kiste auf nimmer Wiedersehen ins Ausland kutschiert hat?