Sie sind hier: Home » Recht » Deutschland » Weitere Urteile

Bank muss für TAN-Phishing haften


Meilenstein für Verbraucher – Desaster für Finanzinstitute: Deutsches Gericht macht erstmals eine Bank für Phishing bei Online-Transaktion haftbar
Entscheidung hat für Banken schwerwiegende finanzielle Folgen - Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen


(10.07.08) – Laut dem jüngsten, noch nicht rechtskräftigen, Urteil des Amtsgerichts Wiesloch haftet eine Bank künftig für Schäden, die ihren Kunden durch Phishing-Angriffe entstehen, sofern deren Computer gemäß den 'durchschnittlichen Sorgfaltsanforderungen' geschützt sind.

Bislang beschränkten sich die durch Phishing-Angriffe entstandene Schäden "lediglich" auf den möglichen massiven Vertrauensverlust der Kunden in die Institution Bank. Fatal für Unternehmen, deren größter Wert genau dieses Kundenvertrauen ist.

Ab jetzt sollen die Banken einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) zu Folge jedoch auch noch die durch Phishing entstandenen finanziellen Schäden der Kunden tragen. Diese liegen laut BKA-Präsident Jörg Ziercke pro Vorfall bei 4.000 bis 4.500 Euro. Im Jahr 2007 belief sich der Verlust durch Phishing auf über 18 Millionen Euro – ohne die Dunkelziffer zu berücksichtigen.

Was war passiert: Eine Frau hatte drei Rechnungen vom Online-Konto ihres Mannes per Überweisung beglichen. Bei der Eingabe der erforderliche PIN und TAN-Nummer wurde der Bildschirm kurz schwarz, danach war die eingegebene TAN verschwunden. Da die Frau annahm, ihre TAN sei verbraucht, wiederholte sie die Eingabe erfolgreich – wie auch bei späteren Überweisungen.

Als drei Tage später die Bank den Kunden über eine ungewöhnlich hohe Abbuchung in Höhe von 4000 Euro informierte, stellte sich heraus, dass das Geld über einen Mittelsmann (sog. Finanzagent) direkt nach Osteuropa geflossen war. Die Bank versicherte dem Bankkunden, das Geld wieder "zurückzuholen". Doch die Rückbuchung scheiterte und die Bank sich weigerte, den Betrag zu erstatten. Der Kunde stellte darauf hin Strafanzeige.

Der Rechtsanwalt des Geschädigten rief die IHK Mannheim um Hilfe, die wiederum den Rechner des Geschädigten überprüfte. Heraus kam, dass trotz der Antivirus-Software sich auf dem Rechner mehrere Trojaner befanden, die mittels Key-Logging TAN-Nummern ausspähen und weiterleiten konnten. Der Nachweis war erbracht, dass Unberechtigte für die Überweisung der 4000 Euro verantwortlich waren.

Die 4. Zivilabteilung des Amtsgerichts Wiesloch urteilte wegweisend: "Das Fälschungsrisiko des Überweisungsauftrags trägt die Bank." – Dies allein schon deshalb, weil Bank im vorliegenden Fall das einfache, kostengünstige TAN-Verfahren und nicht das Nummergebundene i-TAN-Verfahren verwendet habe.

Zwar habe der Kläger ein kostenpflichtiges Antivirenprogramm und nicht eine Firewall installiert. Dadurch habe er aber nicht gegen die Sorgfaltspflichten verstoßen. Sorgfaltspflichten des Kunden müssen nach Ansicht des Gerichts vertraglich vereinbart sein, so das Gericht.

Obwohl bislang noch nicht rechtskräftig, könnte das Wieslocher Urteil zum Präzedenzfall werden.

Dazu Stimmen aus der Industrie:

"Diese Entscheidung hat für Banken schwerwiegende finanzielle Folgen. Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen. Doch nicht allein die Banken sind die Leidtragenden beim Phishing. Unsere aktuelle Studie zur Internetkriminalität, der sogenannte "Brandjacking Index Spring 2008", zeigt, dass Phisher sich zunehmend auch gegen Payment Services richten. Das Vertrauen der Kunden stellt den höchsten Wert bei Banken dar – dieses Vertrauen zu schützen sollte deshalb für Banken das höchste Ziel sein", erklärt Dieter Wichmann, Sales Manager MarkMonitor. Das auf Lösungen für den Online-Markenschutz spezialisierte Unternehmen ist Mitglied in der Anti-Phishing Working Group.

Pino v. Kienlin, Geschäftsführer des Security-Spezialisten Sophos GmbH, kommentiert:
"Das Urteil entspricht nicht den Sicherheitsanforderungen der heutigen Internet-Gesellschaft. Zum einen vermittelt es den fatalen Eindruck, minimale Sicherheitsvorkehrungen reichten für Computeranwender aus, um sich vor finanziellen Verlusten zu schützen. Tatsächlich aber gehen die Risiken heute weit über Phishing-Angriffe hinaus. Und wer sich lediglich auf ein Antiviren-Programm verlässt, läuft Gefahr, auf andere Weise Geld zu verlieren. Zum anderen klärt das Urteil die Haftungsfrage bei Phishing-Attacken nur unzureichend und zeigt, wie wenig die Rechtsprechung auf aktuelle Cyberbedrohungen eingestellt ist.

Wer haftet beispielsweise, wenn ein User zwar eine Antiviren-Software installiert hat, jedoch auf eine Phishing-Mail antwortet und seine PIN und TAN quasi freiwillig preisgibt? Es ist erschreckend, wie viele Sicherheitsmängel und Datenlecks bei Anwendern und Unternehmen festzustellen sind. Regelmäßige Updates, das Einspielen der neuesten Betriebssystem-Patches und der Betrieb einer Firewall, die den ein- und ausgehenden Datentransfer überwacht, sind mittlerweile ein absolutes Muss zum Schutz vor den vielfältigen, immer komplexeren und für den einzelnen User immer weniger überschaubaren Gefahren.

Dadurch lässt sich zum Beispiel auch verhindern, dass auf den Rechnern vertrauliche Daten, wie Passwörter, PIN- und TAN-Nummern ausspioniert und heimlich an Unbefugte übermittelt werden. Was wir zusätzlich brauchen, ist ein wesentlich stärkeres Risiko- und Sicherheitsbewusstsein - nur so können wir kriminelle Online-Attacken langfristig verhindern. Wichtig für Computeranwender bleibt, selbst für einen umfassenden Schutz ihrer Daten zu Sorgen."
(Sophos: MarkMonitor: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Weitere Urteile

  • Knock-out-Zertifikate sind keine Termingeschäfte

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 08.12.2021 - I R 24 /19 entschieden, dass der Verlust aus dem fallenden Kurs von Knock-out-Produkten in Form von Unlimited Turbo Bull-Zertifikaten steuerlich voll abziehbar ist und nicht dem Ausgleichs- und Abzugsverbot für Termingeschäfte unterfällt.

  • Zahlung als Betriebsausgabe

    Nach einer Entscheidung Urteil (vom 16.02.2022 - X R 2/21) des Bundesfinanzhofs (BFH) setzen sogenannten regelmäßig wiederkehrende Einnahmen und Ausgaben gemäß § 11 Abs. 1 Satz 2 und Abs. 2 Satz 2 des Einkommensteuergesetzes (EStG) voraus, dass sie kurze Zeit vor Beginn bzw. kurze Zeit nach Ende des Kalenderjahres ihrer wirtschaftlichen Zugehörigkeit nicht nur gezahlt, sondern auch fällig geworden sind.

  • Umsatzsteuerpflicht bei Sportvereinen

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 21.04.2022 - V R 48/20 (V R 20/17) entgegen seiner bisherigen Rechtsprechung entschieden, dass sich Sportvereine gegenüber einer aus dem nationalen Recht folgenden Umsatzsteuerpflicht nicht auf eine allgemeine, aus der Mehrwertsteuersystemrichtlinie (MwStSystRL) abgeleitete Steuerfreiheit berufen können.

  • Aufwendungen für häusliches Arbeitszimmer

    Mit Urteil vom 03.04.2019 - VI R 46/17 hat der Bundesfinanzhof (BFH) bestätigt, dass ein Abzug von Aufwendungen für ein häusliches Arbeitszimmer nicht voraussetzt, dass das Arbeitszimmer für die Tätigkeit des Steuerpflichtigen erforderlich ist. Wird der Raum ausschließlich oder nahezu ausschließlich für betriebliche/berufliche Zwecke genutzt, genügt das für den Abzug.

  • Nachzahlungen von variablen Lohnbestandteilen

    Mit Urteil vom 02.12.2021 - VI R 23/19 hat der Bundesfinanzhof (BFH) entschieden, dass nachgezahlte Überstundenvergütungen, die für einen Zeitraum von mehr als zwölf Monaten veranlagungszeitraumübergreifend geleistet werden, mit einem ermäßigten Steuersatz zu besteuern sind.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen