Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Online-Urteil: Banken haften für Schäden bei Phishing-Attacken

Von

Hiobsbotschaft für die Bankenbranche: Laut einem Urteil haften die Institute, wenn Kundendaten unerlaubt abgefangen werden. Bisher entschieden die Gerichte in solchen Fällen meist zugunsten der Banken.

Wiesloch - Online-Bankkunden können aufatmen. Nach einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) haften die Banken für Schäden, die durch das unerlaubte Abfangen vertraulicher Daten - sogenanntes Phishing - entstehen.

Gefahr aus dem Netz: Hacker finden immer neue Wege, um an vertrauliche Bankdaten zu kommen
Corbis

Gefahr aus dem Netz: Hacker finden immer neue Wege, um an vertrauliche Bankdaten zu kommen

In dem aktuellen Fall hatte die Ehefrau eines Online-Bankkunden Überweisungen von zu Hause aus vornehmen wollen. Sie gab PIN- und TAN-Nummer ein, als plötzlich der Bildschirm aufflackerte und kurz schwarz wurde. Ein technischer Fehler, dachte sie und fuhr mit ihren Überweisungen fort.

Ein paar Tage später erhielt der Kunde einen Anruf von seiner Bank. Den Mitarbeitern war aufgefallen, dass rund 4000 Euro im Rahmen einer Ebay-Auktion von dem Konto überwiesen wurden. Eine Transaktion, die das Ehepaar nicht vorgenommen hatte.

Experten prüften daraufhin den PC des Bankkunden. Obwohl auf diesem eine gängige Anti-Virensoftware installiert war, fanden sie 14 schadhafte Programme. Unter anderen auch eines, mit dem das sogenannte Keylogging möglich ist. Ein Angreifer schickt dabei per E-Mail ein Programm, mit dem er sich dann auf dem fremden Computer einwählen und auf vertrauliche Bankdaten zugreifen kann. Über einen Mittelsmann schicken die Täter das Geld meist ins Ausland, wo sich die Spur dann verliert. So auch in diesem Fall.

Für den entstandenen Schaden muss nun die Bank aufkommen. Das Gericht begründete die Entscheidung damit, dass die Überweisung nachweislich nicht vom Kunden stammte. Weder er noch seine Ehefrau hatten den Betrag angewiesen. "Das Fälschungsrisiko des Überweisungsauftrags trägt die Bank", heißt es in der Gerichtsentscheidung.

Als weiteren Beleg nannten die Richter die schadhaften Programme, die Experten auf dem Computer entdeckten. Schließlich konnte auch die Mittelsfrau gestellt werden, die gestand, von Heilbronn aus den Betrag ins russische St. Petersburg weitergeleitet zu haben.

"Empfehlungen reichen nicht"

Bisher hatten Gerichte gefälschte Online-Überweisungen wie Fälle von EC-Kartenmissbrauch behandelt - schuld war stets der Kunde. Erst im Dezember vergangenen Jahres hatte das Landgericht Köln entsprechend geurteilt: Ein Bankkunde habe bestimmte Sorgfaltspflichten zu beachten. Dazu gehöre eine aktuelle Virenschutzsoftware, eine Firewall und regelmäßige Updates des Betriebssystems. Andernfalls müsse er den Schaden, der durch Phishing entsteht, selbst tragen (Az: 9S195/07).

Rechtsanwalt Stefan Schilling von der Mannheimer Kanzlei Baumert und Vigano, die den aktuellen Fall begleitete, sieht das anders: "Wenn die Bank möchte, dass die Kunden eine bestimmte Virenschutzsoftware benutzen, müsste sie das in den allgemeinen Geschäftsbedingungen festhalten. Allgemeine Empfehlungen reichen nicht."

Außerdem sei es für Kunden nicht zumutbar, sich in der gleichen Geschwindigkeit, wie sich Viren ändern, die entsprechende Software zuzulegen. "Dem Kunden darf keine höhere Sorgfaltspflicht auferlegt werden als der Bank", so der Anwalt. "Die Banken werden sich neue Sicherheitsvorkehrungen überlegen müssen."

Noch ist das Urteil nicht rechtskräftig, aber es könnte laut Schilling ein Präzedenzfall werden. Er rechnet damit, dass noch viele ähnliche Fälle folgen werden.

Diesen Artikel...

© SPIEGEL ONLINE 2008
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: