Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
VG Wort Pixel
Angeln verboten

Haftung

Autoren: Wolf Hosbach und Peter Wolf • 23.10.2011 • ca. 3:05 Min

Inhalt
  1. Phishing Schutz - 19 Produkte im Vergleich
  2. VISA Phishing-Attacke
  3. Haftung

Wer haftet, Bank oder Kunde? Oft stellt sich die Frage, wer im Falle eins finanziellen Schadens bei einer Phishing-Attacke haftet: die Bank oder der Kunde? Insgesamt können Opfer eines Phishing-Angriffes durchaus Hoffnung haben, dass die Bank für den eingetretenen Schaden aufkommt. Der Bankkund...

Wer haftet, Bank oder Kunde?

Oft stellt sich die Frage, wer im Falle eins finanziellen Schadens bei einer Phishing-Attacke haftet: die Bank oder der Kunde? Insgesamt können Opfer eines Phishing-Angriffes durchaus Hoffnung haben, dass die Bank für den eingetretenen Schaden aufkommt. Der Bankkunde kann verlangen, dass Abbuchungen und Überweisungen, die ohne Rechtsgrundlage durchgeführt wurden, von der Bank wieder rückgängig gemacht werden.

Hier kann die Bank nur die Aufwendung für die Buchung einfordern. Die Bank kann der grundsätzlichen Haftung auf Erstattung des missbräuchlich verwendeten Betrages nur entkommen, wenn sie darlegen kann, dass der Kunde gegen seine Sorgfaltspflichten verstoßen hat. Das ist aber eine Ermessensentscheidung der Richter.

So hat beispielsweise das Amtsgericht Wiesloch entschieden, dass eine Bank für den Schaden haftet, der einem Online-Banking-Kunden durch einen Phishing-Angriff entsteht, wenn der Computer des Kunden durchschnittlichen Sorgfaltsanforderungen genügt. Von einem Kunden könne lediglich eine "irgendwie geartete Absicherung des Computers" erwartet werden.

Ratgeber: Grundausrüstung für Windows

Soweit keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart seien, reiche ein Antivirenprogramm aus. Das Gericht wies auch darauf hin, dass grundsätzlich die Bank das Fälschungsrisiko eines Überweisungsauftrags zu tragen habe. Ähnlich entschied kürzlich das Landgericht Landshut.

image.jpg
Für paralleles Testen (80 Instanzen gleichzeitig) sollte genügend Hardware-Power vorhanden sein.
© Hersteller/Archiv

So haben wir getestet

Unser Partner beim Test von Sicherheits-Software, das Innsbrucker Labor AV-Comparatives, hat die Prüfung der Anti-Phishing-Funktionen mit dem Internet Explorer 7 auf Windows XP 32bit durchgeführt, um Schutzmechanismen modernerer Betriebssysteme und Browser auszuschließen. Das Labor hat für den Test sein Framework für den Real-World Test adaptiert und virtualisiert.

Als Hardware kam eine Workstation mit 2 Intel-Xeon E5620 2,4 GHz und 96 GByte RAM zum Einsatz, auf der insgesamt 80 Instanzen liefen. Theoretisch wäre es so möglich, 20.000 URLs pro Tag zu testen. Die meiste Zeit nahmen jedoch das Crawling nach Phishing-URLs und die Auswertung in Kauf, da die Tester jede Nichterkennung nochmals händisch prüften.

Wert legten die Prüfer darauf, dass jede Webseite von jedem Produkt zeitgleich aufgerufen wurde, um den gleichen Update-Stand der Programme und die Erreichbarkeit der Seite sicherzustellen. Im August 2011 wurden 687 verschiedene Phishing-Seiten angesurft, um einen statistisch validen Wert zu erhalten.

Ratgeber: 99 Tricks zu Windows 7

Die Links stammen aus sechzig überall auf der Welt verteilten Honeypots und wurden wochenlang aus Spam- und Scam-Mails extrahiert. Dabei achteten die Tester darauf, dass die Seiten Eingabemasken enthalten und noch funktionsfähig und online waren.

Duplikate wurden aussortiert, sowohl auf IP-Ebene als auch gleiche Seiten auf verschiedenen Hosts. Nach dem Test prüfte das Labor jede Phishing-Seite nochmals manuell und übermittelte sie an die Hersteller, um die Gefahr für Anwender zu bannen.

Die Webroot Internet Security Complete 7 glänzte im Test mit der höchsten Erkennungsrate von 98,6 Prozent, blockte aber gleichzeitig 12 legitime Bankseiten darunter eine niederländische und eine schwedische.

image.jpg
Die Webseite der ING DiBa in den Niederlanden wurde von Webroot fälschlicherweise geblockt.
© Hersteller/Archiv

Fehlalarmtest

Für den Fehlalarmtest wurden etwa 1.000 Bankseiten aus aller Welt aufgerufen. Die meisten Hersteller haben hier keine Fehlalarme, die Suite von K7 hat eine Bank aus Malaysia geblockt, Webroot gleich zwölf aus aller Welt (s.o.)

Eine hohe Erkennungsrate bei den getesteten Security Suiten ist wichtig, das darf jedoch nicht dazu führen, dass saubere Webseiten geblockt werden. Die Ursachen hierfür liegen entweder in zu aggressiven Filtereinstellungen oder zu langsamer Wartung der Blacklists.

Kaufberatung: Die beste Sicherheits-Suite

Vor allem für den unbedarften E-Banking-Anwender wirkt es bedrohlich, wenn beim Online-Banking die Homepage der eigenen Bank als Bedrohung gesperrt ist. Vor allem bei den aktuellen Bankenkrisen wird er sich fragen, ob die Bank in die Pleite geschlittert ist. Außerdem stumpfen Anwender schon bei wenigen Fehlalarmen recht schnell gegen echte Warnmeldungen ab.

Phishing-Seiten haben ein recht kurzes Leben und nisten sich oft auf regulären Webseiten ein. Hier darf aber nicht die komplette Seite geblockt werden, sondern die Filterung sollte sich auf das Verzeichnis mit der gefälschten Seite beschränken.

Wenn eine Fremdseite zum Hosten missbraucht wird, kann man von einem Mitverschulden des Webseitenbetreibers oder Providers ausgehen. Nur wenn sich Sicherheitslücken auf der Site finden, können die Betrüger auch ihre Inhalte einschleusen.

Wenn der bösartige Code jedoch von der Seite gelöscht wurde, sollten die Anti-Viren-Hersteller diese so schnell wie möglich wieder freischalten. Oft werden auch ganze Serverfarmen zum Hosten verwendet; hier blockt die Security-Software oft die gesamte IP-Range.

1 2 3
Nächste passende Artikel
Mozilla Cookies
Privatsphäre im Web Firefox macht vollständigen Cookie-Schutz zum Standard
Handwerkerin mit einem Tablet in einer Werkstatt
Praxisreport "Mittelstand @ IT-Sicherheit" Cyberangriffe: Kein ausreichender Schutz im Mittelstand
Laptop mit dem Windows 11 Logo auf dem Bildschirm
Mehr Sicherheit Windows 11: Neue Funktion mit Phishing-Schutz geplant
Flüssiger Displayschutz
Handy-Displays vor Kratzer schützen Flüssiger Display-Schutz für Handys im Test
Vault 7 Wikileaks
Vault 7 Wikileaks-Enthüllungen: Schutz vor CIAs Großangriff auf das Smart Home
Shutterstock Teaserbild
So geht's Windows: Schutz vor Trojanern und anderen Eindringlingen
Apps und Tipps für Antivirus, Antidiebstahl: Wir verraten, wie Sie Ihr Smartphone oder Tablet sichern können.
Bester Viren-Schutz 12 Anti-Virus-Software im Test
image.jpg
Personal Computing Die richtige Firewall zum Schutz Ihres PCs
Mehr zum Thema
PC mit Familie teilen
Benutzerkonten, History löschen & Co. PC mit Familie oder Kollegen teilen - 12 Tipps
Der vergangene Patch Day hat Office 2013 lahmgelegt.
Patch Day legt Office 2013 lahm Juni-Updates von Microsoft sorgen für Office-Probleme
PC-Sicherheit mit OpenVAS überprüfen
Sicher surfen und arbeiten OpenVAS-Selbsttest für Ihre PC-Sicherheit - so geht's
Suche einrichten in Outlook 2010
Exchange in der Cloud Hosted-Exchange statt eigenem Mail-Server
Weiter zur Startseite