Die Haftungsfrage bei Phishing-Attacken

© Archiv

Eine Bankkundin wollte per Online-Banking Geld überweisen. Nachdem sie ihre PIN eingegeben hatte, erschien die Meldung, die Anmeldung sei fehlgeschlagen. Sie sollte zum Login weitere vier TANs eingeben und tat dies. Von ihrem Konto wurden 14.500 Euro an einen Unbekannten überwiesen. Nachdem die Bank den Betrag nicht zurückerstattete, klagte sie.

Nach Meinung der Bank sei ihr Computer nicht mit einem aktuellen Virenschutz ausgerüstet gewesen, welcher die Phishing-Attacke verhindert hätte. Aus Sicht der Klägerin war ihr von den Tätern mittels einer täuschend echt nachgeahmten Internetseite vorgespiegelt worden, sie befände sich auf der Bankseite. Zu guter Letzt gewann die Kundin die Klage zum größten Teil vor dem Kammergericht Berlin (Az.: 26 U 159/09).

Stolperstein Anscheinsbeweis

Hatte wie in diesem Fall der Täter alle Zugangsdaten des Kunden, erscheint die Zahlung vorerst autorisiert. Daher spricht der erste Anschein dafür, der Kunde habe fahrlässig gehandelt, der so genannte Anscheinsbeweis zu Gunsten der Bank, es sei denn, der Kunde erschüttert den Anschein durch Tatsachen.

Immer mehr Gerichte lehnen diesen ab und fordern von der Bank, dem Kunden ein Verschulden konkret nachzuweisen, etwa das LG Mannheim (AZ: 1 S 189/07). Gegen Pharming oder DNS-Spoofing böten Firewall und Virenschutz keinen ausreichenden Schutz. Auch das Kammergericht Berlin meinte im eingangs geschilderten Fall, es muss nicht sein, dass die Kundin fahrlässig gehandelt habe. Die Kundin konnte zudem beweisen, dass Sie den PC gegen Viren abgesichert hatte.

© Hersteller/Archiv

Dennoch nahm das Gericht ein leicht fahrlässiges Verhalten der Kundin an, denn sie habe ihre Pflicht zur Geheimhaltung der TANs verletzt und spätestens bei der vierfachen TANAufforderung stutzig werden müssen. In der Regel sei eine TAN für einen Auftrag gedacht und nicht für das Login. Damals galt die neue Regelung in § 675 v BGB noch nicht, dass man erst ab grober Fahrlässigkeit hafte, die am 31.10.2009 in Kraft trat.

Das Kammergericht warf jedoch darüber hinaus auch der Bank mangelnde Sorgfalt vor, da diese noch das unsichere TAN-System verwendet habe und das sichere iTAN-Verfahren schon existierte.

Wann haftet die Bank?

Banken können nach den neuen Haftungsregeln in den AGB vorsehen, dass der Kunde selbst bei leichter Fahrlässigkeit einen Eigenanteil des Schadens bis 150 Euro trägt, wenn jemand Zugangsdaten unberechtigt nutzt, § 675v BGB. Kann die Bank beweisen, dass der Nutzer vorsätzlich oder grob fahrlässig gehandelt hat, haftet dieser auch darüber hinaus.

Sobald der Nutzer das Konto gesperrt hat, ist er nicht mehr für danach eintretende Schäden verantwortlich. Der Anspruch erlischt, wenn Sie unrechtmäßige Abbuchungen nicht spätestens 13 Monate nach Abbuchung melden. Im Zweifel wenden Sie sich aber immer an einen Anwalt oder Verbraucherzentrale.

Pflichten des Bankkunden

Die Bankhaftung reduziert sich, wenn der Kunde Sorgfaltspflichten vorsätzlich oder grob fahrlässig verletzt. Das Landgericht Köln (Az.: 9 S 195/07) legt für die Sorgfaltspflicht bei Privatkunden den Maßstab eines "verständigen, technisch durchschnittlich begabten Anwenders" an. Dieser müsse einen aktuellen Virenschutz und eine Firewall verwenden und regelmäßig Sicherheits-Updates einspielen. Der Kunde dürfe PIN und TAN niemals telefonisch oder per E-Mail herausgeben.

Er könne gefälschte E-Mails erkennen, etwa an sprachlichen Mängeln oder einer deutlich falschen Internetadresse. Programme gegen Schad-Software oder die Überprüfung der Sicherheitszertifikate gingen zu weit. Das Amtsgericht Wiesloch meint: Viele pflegten einen sehr sorglosen Umgang mit den Gefahren des Internets. PCs und Internetdienste seien immer benutzerfreundlicher ausgestaltet und Online-Banking-Nutzer müssten ein kaum ernstzunehmendes Fachwissen besitzen, um diese Dienste zu nutzen.

Es sei die unternehmerische Entscheidung der Bank, diesen Personen das Online-Banking zu ermöglichen. Das Kreditinstitut trage daher grundsätzlich das Risiko des Missbrauches und könne dies nicht umfassend auf den Kunden abwälzen.

Sicherheitstipps

Installieren Sie ein Virenschutzprogramm und eine Firewall und aktualisieren Sie diese täglich. Geben Sie nie auf anderen Seiten als der Ihrer Bank Ihre PIN oder TANs für Ihr Konto ein und nie mehrere TANs hintereinander pro Auftrag. Tragen Sie Zugangsdaten nicht mit sich herum, nur verschlüsselt auf PC oder Mobilgerät. Sie haften als Bankkunde sonst in voller Höhe.

Bei jedem Missbrauchsverdacht informieren Sie Ihre Bank unverzüglich. Limitieren Sie den Verfügungsrahmen für die Überweisungen per Online-Banking und kontrollieren Sie Ihre Konten wenigstens wöchentlich. Es empfiehlt sich, Bankgeschäfte über eine spezielle Bank-Software statt über die Website abzuwickeln.

Hohe Sorgfaltspflichten der Bank

Achten Sie darauf, dass Banken aktuelle Verfahren anbieten, wie das mTAN-, Chip-TAN- oder HBCI-Verfahren mit Chipkarte. Beim mTAN-Verfahren erhalten Sie die TAN per SMS. Bei Chip-TAN wird mit einem optischen Lesegerät für Ihre Bankkarte eine TAN generiert, die nur wenige Minuten gültig ist. HBCI gilt derzeit als das sicherste Verfahren. Das Amtsgericht Wiesloch meint, eine Bank müsse weniger sichere Verfahren aus dem Angebot streichen, um sicherzustellen, dass Kunden nur noch die sicheren nutzen, andernfalls hafte sie für etwaige Schäden.

Erste Hilfe: Was tun, wenn Geld abgebucht wurde?

• Melden Sie jeden Verdacht unverzüglich der Bank. Die Sperrnotrufnummer: 116 116. Ändern Sie Ihre PIN sofort.
• Erstatten Sie Strafanzeige und sichern Sie Beweise.
• Informieren Sie die Verbraucherzentrale.
• Widerrufen Sie unberechtigte Lastschriften oder Kreditkartenbuchungen unverzüglich gegenüber der Bank.

Risiken bei Zahlung mit Kreditkarte oder Lastschrift

Bei einer missbräuchlichen Kreditkartenzahlung sind Sie gut geschützt, wenn Sie nicht fahrlässig gehandelt haben und darauf achten, dass Sie Daten nur verschlüsselt übertragen. Zusatzdienste wie "Verified by VISA" oder "MastercardSecureCode" erhöhen die Sicherheit. Bucht jemand per Lastschrift von Ihrem Konto unberechtigterweise etwas ab, können Sie dies bis zu sechs Wochen nach Rechnungsschluss gegenüber der Bank ohne jeden Grund widerrufen bzw. bei der neuen SEPA-Lastschrift acht Wochen ab Abbuchungsdatum in bestimmten Fällen.

Gewisse Sicherheitslücken verbleiben immer im Leben. Aber das Online-Banking schützt immerhin vor einem bewaffneten Raubüberfall in der Bankfiliale.

Was gilt bei Bezahldiensten wie PayPal?

PayPal wirbt mit Sicherheit. Andererseits hört man von eingefrorenen Händlerkonten, nicht nachvollziehbaren Abbuchungen oder Sicherheitslücken. Viele Phishing-Mails betreffen PayPal. Wurde ein Betrag unberechtigterweise vom PayPal-Konto abgebucht, melden Sie dies unverzüglich PayPal und rufen Sie die Kreditkartenzahlung oder Lastschrift wenn möglich gegenüber Ihrer Bank zurück. Der Nachteil der PayPal-Zahlung: Neben der Bank ist eine weitere Partei beteiligt.

Bei einer unberechtigten Abbuchung eines Händlers vom Konto könnten Sie den Betrag direkt bei der Bank zurückbuchen. Zahlen Sie über PayPal und wollen eine Rückbuchung einleiten, prüft PayPal erstmal den Fall. Grundsätzlich sollten Sie alle Bezahldienste skeptisch prüfen und vorher die AGB und nicht nur die Werbung lesen.

Bei Bezahldiensten, die Ihre Bankdaten direkt abfragen, kann es sein, dass Ihnen dies in einem Missbrauchsfall, wenn also Trojaner etc. dazu kommen, das Genick bricht. Ihre Bank könnte Ihnen vorwerfen, Sie hätten Ihre Sorgfaltspflicht verletzt, indem Sie Dritten Ihre PIN anvertrauen. Tipp: Bevorzugen Sie die direkte Zahlung per Kreditkarte oder das deutsche Lastschriftverfahren mit Einzugsermächtigung.