IT-Recht aktuell

Konto leergeräumt? Ihre Rechte als Opfer einer Phishing-oder Pharming-Attacke

 

1. Phishing- was ist das eigentlich?

Unter „Phishing“ versteht man den Versuch über gefälschte E-Mails, SMS oder Internetseiten Bankdaten eines Bankkunden für Online-Banking zu erlangen.

 

2. Pharming- was ist das?

„Pharming“ ist im Grunde die Weiterentwicklung des Phishings. Beim Pharming handelt es sich um eine Betrugsmethode, die auf der Manipulation der DNS-Anfrage von Webbrowsern beruht und dazu dient den Nutzer unbemerkt auf eine andere Internetseite weiterzuleiten.

3. Welche Rechte stehen mir als Opfer einer Phishing- oder Pharming-Attacke zu?

Cyber-Attacken im Onlinebanking- Bereich  werden immer raffinierter. Das Vorgehen der Täter ist dabei in der Regel ähnlich und auch angeblich sichere Onlinebanking Verfahren wie das Chip-TAN Verfahren können manipuliert werden.

Exkurs: Chip-TAN Verfahren

Beim sog. Chip-TAN Verfahren erhält der Bankkunde einen sog. TAN-Generator, der die jeweils zu verwendende TAN unter Verwendung der EC-Karte individuell und einmalig generieren soll. Dabei gibt es unterschiedlich Verfahren. In der Regel füllt der Bankkunde das Überweisungsformular online aus und sendet dieses an die Bank. Anschließend erscheint auf dem Bildschirm ein Schwarz-Weiß-Code (sog. Flickercode). Der TAN-Generator wird nun mit der entsprechenden EC-Karte des Kunden versehen. Die meisten TAN-Generatoren sind dann in der Lage durch das Scannen des Bildschirms die Daten aus dem Flickercode automatisiert auszulesen. Im Display des Generators erscheinen Zielkontonummer sowie Überweisungsbetrag. Nach Bestätigung durch den Bankkunden erhält dieser eine individuelle TAN, mit der die  Überweisung schließlich vollendet wird.

In meiner Kanzlei häufen sich derzeit Betrugsfälle unter Verwendung eines derartigen TAN-Generators.

Beginn des Betrugs ist in der Regel die Infizierung des Rechners mit Malware oder Trojanern. Beim Login im Onlinebanking Bereich wird dem Kunden schließlich eine gefälschte Bankseite angezeigt. Der Kunde wird aufgefordert eine Testüberweisung zu tätigen. Da die Internetseite nicht von der echten Bankseite zu unterscheiden ist, folgen viele Personen diesem Aufruf- zumal tatsächlich beim ersten Einsatz des Generators Daten synchronisiert werden müssen- und generieren für die angebliche Testüberweisung eine TAN mittels TAN-Generators.  Häufig achten Kunden nicht auf die Angabe im Display des TAN-Generators und bestätigen so die Überweisung, häufig stimmen die Daten im Display auch mit den Daten in dem „Test“- Überweisungsformular überein. Die Überweisung wird schließlich bestätigt, die TAN generiert und anschließend verwendet.  Da auch Online-Kontostände manipuliert werden, ist es dem Kunden meistens nicht möglich die Attacke sofort zu entdecken, da keinerlei Abbuchungen in der Umsatzanzeige angezeigt werden.

Möglich sind allerdings auch Betrugsvarianten, bei denen auch die Angabe im Display des Generators nicht die tatsächliche Überweisung widerspiegelt. So zeigen die meisten Generatoren wegen ihrer Größe bei Sammelüberweisungen nur die Anzahl der Überweisungen und den Gesamtbetrag, nicht aber die Zielkontonummer an. Diese Darstellung kann ebenfalls relativ leicht für Manipulationen ausgenutzt werden, da der Kunde gerade nicht die Zielkontonummer sieht.

Ist das Konto erst einmal leergeräumt, stellt sich die Frage, wer für den entstandenen Schaden aufkommt.

 

4. Welche Rechte stehen mir als Opfer einer derartigen Attacke zu?

Durch Gesetz vom 29.07.2009 (BGBl. I S. 2355) wurde mit Wirkung zum 31.10.2009 die Zahlungsdiensterichtlinie umgesetzt und u.a. § 675 u BGB eingefügt.

Gemäß § 675 u Satz 2 BGB hat die Bank, die eine unautorisierte Zahlung vornimmt, dem Kunden den Betrag zu erstatten, in dessen Höhe das Konto des Kunden zu Unrecht belastet wurde.

 

a) Wann ist eine Zahlung „autorisiert“?

Bei unautorisierten Zahlungen besteht also ein Zahlungsanspruch gegen die Bank. Klingt einfach, ist es aber nicht, denn in der Praxis wird zunächst ausgiebig darüber gestritten, ob es sich um eine „unautorisierten“ Zahlung handelt, wenn der Kunde beispielsweise durch Täuschung dazu veranlasst wird unter Verwendung eines TAN-Generator die angebliche Test-Überweisung durchzuführen (sog. Social Engineering).

Gemäß § 675 w Satz 1 BGB ist eine Authentifizierung (=im Sinne einer Identifizierung zu verstehen) grundsätzlich  erfolgt, wenn die Bank die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Dies bedeutet, die Authentifizierung des Kunden gilt als erfolgt, wenn ein Verfahren durchgeführt wurde, mittels dessen die Bank die Nutzung eines bestimmten Zahlungsinstruments mitsamt etwaiger personalisierter Sicherheitsmerkmale überprüft hat, etwa durch die Überprüfung von PIN und TAN beim Onlinebanking.

Bedeutet dies nun, dass jede Überweisung, die beispielsweise mittels TAN-Generators durchgeführt wurde, auch als „autorisiert“ gilt?

Nein, denn Satz 3 des § 675 w BGB stellt ausdrücklich klar, dass mit der Authentifizierung keinesfalls der Nachweis geführt wird, dass die Zahlungsvorgänge von dem Bankkunden autorisiert , Pflichten verletzt oder gegen Bedingungen der Nutzung des TAN-Generators verstoßen wurden.

Die Regelung gibt also ausdrücklich zu verstehen, dass allein die Identifizierung als Kunde durch PIN und TAN-Generator noch lange keinen Nachweis darstellt, dass dieser die Zahlung autorisiert hat. Ein Anscheinsbeweis in diese Richtung ist also abzulehnen. Diese Auffassung vertrat insoweit auch das Amtsgericht Krefeld mit Urteil vom 06.07.2012, Az. 7 C 605/11.

In tatsächlicher Hinsicht hat der Kunden also durch Täuschung eine Überweisung ausgelöst, eine juristische Autorisierung ist meines Erachtens damit jedoch keinesfalls verbunden.

Das Amtsgericht Krefeld (a.a.O.) jedenfalls teilt diese Auffassung und hat eine derartige Autorisierung bei Eingabe einer durch Täuschung erschlichenen TAN ebenfalls verneint. Damit steht dem Kunden grundsätzlich erst einmal ein Erstattungsanspruch gegen die Bank zu.

Die Frage, ob die Bank dem Kunden nun den Betrag aber tatsächlich erstatten muss, ist damit leider noch nicht abschließend beantwortet. Denn unter Umständen kann die Bank mit Schadensersatzansprüchen gegen die Forderung des Kunden aufrechnen.

 

b) Kann die Bank mit Schadensersatzansprüchen aufrechnen?

In § 657 v Absatz 2 BGB heißt es hierzu wörtlich:

(…)

Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung

1. einer oder mehrerer Pflichten gemäß § 675l oder
2.  einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments

herbeigeführt hat.

(…)

 

Übersetzt heißt dies:

Ist dem Bankkunden bei einem nicht autorisierten Zahlungsvorgang der Vorwurf zu machen, dass er grob fahrlässig handelte, kann die Bank mit Schadensersatzansprüchen aufrechnen, was im Ergebnis dazu führt, dass der Kunde auf dem Schaden sitzen bleibt.

Entscheidend für die Frage, ob der Kunde folglich das Geld zurückerhält, ist also der Grad des Mitverschuldens des Kunden.

 

c) Wann liegt grobe Fahrlässigkeit des Kunden vor?

Grobe Fahrlässigkeit wird in der Regel angenommen, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße missachtet wurde. Ob tatsächlich grobe Fahrlässigkeit bei der nicht autorisierten Überweisung vorlag, ist letztendlich einzelfallbezogen zu prüfen. Anwaltliche Unterstützung ist an dieser Stelle dringend geraten.

Die vielzitierte Entscheidung des Bundesgerichtshofes vom 24.04.2012, Az. XI ZR 96/11, (der BGH urteilte, dass die Eingabe von 10 TAN im Rahmen eines Logins beim Onlinebereich fahrlässig ist) hilft an dieser Stelle wenig weiter, denn die Entscheidung betraf einen Pharming-Fall, der vor Einführung des § 675 v BGB stattfand. Vor Umsetzung der Zahlungsdiensterichtlinie genügte jedoch ein einfaches fahrlässiges Verhalten des Bankkunden, um Schadenersatzansprüche der Bank auszulösen.

Heute indes setzt ein Schadensersatzanspruch der Bank grobe Fahrlässigkeit voraus. Welche Handlungen als grob fahrlässig einzustufen sind, bleibt abzuwarten und ist ebenfalls stets einzelfallbezogen unter Berücksichtigung aller Umstände zu prüfen.

Das Amtsgericht Krefeld (a.a.O.) jedenfalls hat grobe Fahrlässigkeit angenommen, wenn der Bankkunde im Rahmen eines Logins mehrere TAN freiwillig angibt. Im Rahmen der Urteilsgründe heißt es dazu, dass es mittlerweile allgemeines Wissen sei, dass Bankkunden niemals nach mehr als einer TAN gefragt würden. In dem entschiedenen Fall befand sich ferner genau dieser Hinweis auf dem der Bankkundin übersandten TAN-Block. Erschwerend kam hinzu, dass die Kundin gegenüber dem Gericht angab, die Abfrage der TAN sei ihr „komisch“ vorgekommen, sie habe daher zunächst versucht die Bank telefonisch zu kontaktieren, habe die Überweisung dann aber doch vorgenommen, da sie bei der Bank niemanden erreicht hätte.

FAZIT:

Phishing- und Pharming-Fälle sind stets einzelfallbezogen zu prüfen. Die Aussage „jeder Bankkunde habe Ersatzansprüche gegen seine Bank“ ist jedenfalls unzutreffend und unseriös.

Lassen Sie sich kompetent und einzelfallbezogen beraten.

 

 

 

« Alle Artikel anzeigen