Bank muss für TAN-Phishing haften
Meilenstein für Verbraucher – Desaster für Finanzinstitute: Deutsches Gericht macht erstmals eine Bank für Phishing bei Online-Transaktion haftbar
Entscheidung hat für Banken schwerwiegende finanzielle Folgen - Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen
(10.07.08) – Laut dem jüngsten, noch nicht rechtskräftigen, Urteil des Amtsgerichts Wiesloch haftet eine Bank künftig für Schäden, die ihren Kunden durch Phishing-Angriffe entstehen, sofern deren Computer gemäß den 'durchschnittlichen Sorgfaltsanforderungen' geschützt sind.
Bislang beschränkten sich die durch Phishing-Angriffe entstandene Schäden "lediglich" auf den möglichen massiven Vertrauensverlust der Kunden in die Institution Bank. Fatal für Unternehmen, deren größter Wert genau dieses Kundenvertrauen ist.
Ab jetzt sollen die Banken einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) zu Folge jedoch auch noch die durch Phishing entstandenen finanziellen Schäden der Kunden tragen. Diese liegen laut BKA-Präsident Jörg Ziercke pro Vorfall bei 4.000 bis 4.500 Euro. Im Jahr 2007 belief sich der Verlust durch Phishing auf über 18 Millionen Euro – ohne die Dunkelziffer zu berücksichtigen.
Was war passiert: Eine Frau hatte drei Rechnungen vom Online-Konto ihres Mannes per Überweisung beglichen. Bei der Eingabe der erforderliche PIN und TAN-Nummer wurde der Bildschirm kurz schwarz, danach war die eingegebene TAN verschwunden. Da die Frau annahm, ihre TAN sei verbraucht, wiederholte sie die Eingabe erfolgreich – wie auch bei späteren Überweisungen.
Als drei Tage später die Bank den Kunden über eine ungewöhnlich hohe Abbuchung in Höhe von 4000 Euro informierte, stellte sich heraus, dass das Geld über einen Mittelsmann (sog. Finanzagent) direkt nach Osteuropa geflossen war. Die Bank versicherte dem Bankkunden, das Geld wieder "zurückzuholen". Doch die Rückbuchung scheiterte und die Bank sich weigerte, den Betrag zu erstatten. Der Kunde stellte darauf hin Strafanzeige.
Der Rechtsanwalt des Geschädigten rief die IHK Mannheim um Hilfe, die wiederum den Rechner des Geschädigten überprüfte. Heraus kam, dass trotz der Antivirus-Software sich auf dem Rechner mehrere Trojaner befanden, die mittels Key-Logging TAN-Nummern ausspähen und weiterleiten konnten. Der Nachweis war erbracht, dass Unberechtigte für die Überweisung der 4000 Euro verantwortlich waren.
Die 4. Zivilabteilung des Amtsgerichts Wiesloch urteilte wegweisend: "Das Fälschungsrisiko des Überweisungsauftrags trägt die Bank." – Dies allein schon deshalb, weil Bank im vorliegenden Fall das einfache, kostengünstige TAN-Verfahren und nicht das Nummergebundene i-TAN-Verfahren verwendet habe.
Zwar habe der Kläger ein kostenpflichtiges Antivirenprogramm und nicht eine Firewall installiert. Dadurch habe er aber nicht gegen die Sorgfaltspflichten verstoßen. Sorgfaltspflichten des Kunden müssen nach Ansicht des Gerichts vertraglich vereinbart sein, so das Gericht.
Obwohl bislang noch nicht rechtskräftig, könnte das Wieslocher Urteil zum Präzedenzfall werden.
Dazu Stimmen aus der Industrie:
"Diese Entscheidung hat für Banken schwerwiegende finanzielle Folgen. Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen. Doch nicht allein die Banken sind die Leidtragenden beim Phishing. Unsere aktuelle Studie zur Internetkriminalität, der sogenannte "Brandjacking Index Spring 2008", zeigt, dass Phisher sich zunehmend auch gegen Payment Services richten. Das Vertrauen der Kunden stellt den höchsten Wert bei Banken dar – dieses Vertrauen zu schützen sollte deshalb für Banken das höchste Ziel sein", erklärt Dieter Wichmann, Sales Manager MarkMonitor. Das auf Lösungen für den Online-Markenschutz spezialisierte Unternehmen ist Mitglied in der Anti-Phishing Working Group.
Pino v. Kienlin, Geschäftsführer des Security-Spezialisten Sophos GmbH, kommentiert:
"Das Urteil entspricht nicht den Sicherheitsanforderungen der heutigen Internet-Gesellschaft. Zum einen vermittelt es den fatalen Eindruck, minimale Sicherheitsvorkehrungen reichten für Computeranwender aus, um sich vor finanziellen Verlusten zu schützen. Tatsächlich aber gehen die Risiken heute weit über Phishing-Angriffe hinaus. Und wer sich lediglich auf ein Antiviren-Programm verlässt, läuft Gefahr, auf andere Weise Geld zu verlieren. Zum anderen klärt das Urteil die Haftungsfrage bei Phishing-Attacken nur unzureichend und zeigt, wie wenig die Rechtsprechung auf aktuelle Cyberbedrohungen eingestellt ist.
Wer haftet beispielsweise, wenn ein User zwar eine Antiviren-Software installiert hat, jedoch auf eine Phishing-Mail antwortet und seine PIN und TAN quasi freiwillig preisgibt? Es ist erschreckend, wie viele Sicherheitsmängel und Datenlecks bei Anwendern und Unternehmen festzustellen sind. Regelmäßige Updates, das Einspielen der neuesten Betriebssystem-Patches und der Betrieb einer Firewall, die den ein- und ausgehenden Datentransfer überwacht, sind mittlerweile ein absolutes Muss zum Schutz vor den vielfältigen, immer komplexeren und für den einzelnen User immer weniger überschaubaren Gefahren.
Dadurch lässt sich zum Beispiel auch verhindern, dass auf den Rechnern vertrauliche Daten, wie Passwörter, PIN- und TAN-Nummern ausspioniert und heimlich an Unbefugte übermittelt werden. Was wir zusätzlich brauchen, ist ein wesentlich stärkeres Risiko- und Sicherheitsbewusstsein - nur so können wir kriminelle Online-Attacken langfristig verhindern. Wichtig für Computeranwender bleibt, selbst für einen umfassenden Schutz ihrer Daten zu Sorgen."
(Sophos: MarkMonitor: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>