Sie sind hier: Home » Recht » Deutschland » Weitere Urteile

Bank muss für TAN-Phishing haften


Meilenstein für Verbraucher – Desaster für Finanzinstitute: Deutsches Gericht macht erstmals eine Bank für Phishing bei Online-Transaktion haftbar
Entscheidung hat für Banken schwerwiegende finanzielle Folgen - Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen


(10.07.08) – Laut dem jüngsten, noch nicht rechtskräftigen, Urteil des Amtsgerichts Wiesloch haftet eine Bank künftig für Schäden, die ihren Kunden durch Phishing-Angriffe entstehen, sofern deren Computer gemäß den 'durchschnittlichen Sorgfaltsanforderungen' geschützt sind.

Bislang beschränkten sich die durch Phishing-Angriffe entstandene Schäden "lediglich" auf den möglichen massiven Vertrauensverlust der Kunden in die Institution Bank. Fatal für Unternehmen, deren größter Wert genau dieses Kundenvertrauen ist.

Ab jetzt sollen die Banken einem Urteil des Amtsgerichts Wiesloch (Az4C57/08) zu Folge jedoch auch noch die durch Phishing entstandenen finanziellen Schäden der Kunden tragen. Diese liegen laut BKA-Präsident Jörg Ziercke pro Vorfall bei 4.000 bis 4.500 Euro. Im Jahr 2007 belief sich der Verlust durch Phishing auf über 18 Millionen Euro – ohne die Dunkelziffer zu berücksichtigen.

Was war passiert: Eine Frau hatte drei Rechnungen vom Online-Konto ihres Mannes per Überweisung beglichen. Bei der Eingabe der erforderliche PIN und TAN-Nummer wurde der Bildschirm kurz schwarz, danach war die eingegebene TAN verschwunden. Da die Frau annahm, ihre TAN sei verbraucht, wiederholte sie die Eingabe erfolgreich – wie auch bei späteren Überweisungen.

Als drei Tage später die Bank den Kunden über eine ungewöhnlich hohe Abbuchung in Höhe von 4000 Euro informierte, stellte sich heraus, dass das Geld über einen Mittelsmann (sog. Finanzagent) direkt nach Osteuropa geflossen war. Die Bank versicherte dem Bankkunden, das Geld wieder "zurückzuholen". Doch die Rückbuchung scheiterte und die Bank sich weigerte, den Betrag zu erstatten. Der Kunde stellte darauf hin Strafanzeige.

Der Rechtsanwalt des Geschädigten rief die IHK Mannheim um Hilfe, die wiederum den Rechner des Geschädigten überprüfte. Heraus kam, dass trotz der Antivirus-Software sich auf dem Rechner mehrere Trojaner befanden, die mittels Key-Logging TAN-Nummern ausspähen und weiterleiten konnten. Der Nachweis war erbracht, dass Unberechtigte für die Überweisung der 4000 Euro verantwortlich waren.

Die 4. Zivilabteilung des Amtsgerichts Wiesloch urteilte wegweisend: "Das Fälschungsrisiko des Überweisungsauftrags trägt die Bank." – Dies allein schon deshalb, weil Bank im vorliegenden Fall das einfache, kostengünstige TAN-Verfahren und nicht das Nummergebundene i-TAN-Verfahren verwendet habe.

Zwar habe der Kläger ein kostenpflichtiges Antivirenprogramm und nicht eine Firewall installiert. Dadurch habe er aber nicht gegen die Sorgfaltspflichten verstoßen. Sorgfaltspflichten des Kunden müssen nach Ansicht des Gerichts vertraglich vereinbart sein, so das Gericht.

Obwohl bislang noch nicht rechtskräftig, könnte das Wieslocher Urteil zum Präzedenzfall werden.

Dazu Stimmen aus der Industrie:

"Diese Entscheidung hat für Banken schwerwiegende finanzielle Folgen. Mehr denn je brauchen Banken von nun an leistungsstarke, präventive Anti-Phishing-Lösungen. Doch nicht allein die Banken sind die Leidtragenden beim Phishing. Unsere aktuelle Studie zur Internetkriminalität, der sogenannte "Brandjacking Index Spring 2008", zeigt, dass Phisher sich zunehmend auch gegen Payment Services richten. Das Vertrauen der Kunden stellt den höchsten Wert bei Banken dar – dieses Vertrauen zu schützen sollte deshalb für Banken das höchste Ziel sein", erklärt Dieter Wichmann, Sales Manager MarkMonitor. Das auf Lösungen für den Online-Markenschutz spezialisierte Unternehmen ist Mitglied in der Anti-Phishing Working Group.

Pino v. Kienlin, Geschäftsführer des Security-Spezialisten Sophos GmbH, kommentiert:
"Das Urteil entspricht nicht den Sicherheitsanforderungen der heutigen Internet-Gesellschaft. Zum einen vermittelt es den fatalen Eindruck, minimale Sicherheitsvorkehrungen reichten für Computeranwender aus, um sich vor finanziellen Verlusten zu schützen. Tatsächlich aber gehen die Risiken heute weit über Phishing-Angriffe hinaus. Und wer sich lediglich auf ein Antiviren-Programm verlässt, läuft Gefahr, auf andere Weise Geld zu verlieren. Zum anderen klärt das Urteil die Haftungsfrage bei Phishing-Attacken nur unzureichend und zeigt, wie wenig die Rechtsprechung auf aktuelle Cyberbedrohungen eingestellt ist.

Wer haftet beispielsweise, wenn ein User zwar eine Antiviren-Software installiert hat, jedoch auf eine Phishing-Mail antwortet und seine PIN und TAN quasi freiwillig preisgibt? Es ist erschreckend, wie viele Sicherheitsmängel und Datenlecks bei Anwendern und Unternehmen festzustellen sind. Regelmäßige Updates, das Einspielen der neuesten Betriebssystem-Patches und der Betrieb einer Firewall, die den ein- und ausgehenden Datentransfer überwacht, sind mittlerweile ein absolutes Muss zum Schutz vor den vielfältigen, immer komplexeren und für den einzelnen User immer weniger überschaubaren Gefahren.

Dadurch lässt sich zum Beispiel auch verhindern, dass auf den Rechnern vertrauliche Daten, wie Passwörter, PIN- und TAN-Nummern ausspioniert und heimlich an Unbefugte übermittelt werden. Was wir zusätzlich brauchen, ist ein wesentlich stärkeres Risiko- und Sicherheitsbewusstsein - nur so können wir kriminelle Online-Attacken langfristig verhindern. Wichtig für Computeranwender bleibt, selbst für einen umfassenden Schutz ihrer Daten zu Sorgen."
(Sophos: MarkMonitor: ra)

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Weitere Urteile

  • Abspaltung nach deutschem Recht

    Mit Urteil vom 01.07.2021 - VIII R 9/19 hat der Bundesfinanzhof (BFH) entschieden, dass die Aktienzuteilung im Rahmen eines US-amerikanischen "Spin-Off" an private Kleinanleger nicht zu einem steuerpflichtigen Kapitalertrag führt. § 20 Abs. 4a Satz 7 des Einkommensteuergesetzes (EStG) ist auch auf ausländische Vorgänge anwendbar, die bei einer rechtsvergleichenden Betrachtung der Abspaltung nach deutschem Recht entsprechen. Der Kläger hielt Aktien der Hewlett-Packard Company (HPC), einer Kapitalgesellschaft nach dem Recht des US-Bundesstaats Delaware. Nachdem die HPC in Hewlett-Packard Inc. (HPI) umbenannt und das Unternehmenskundengeschäft der HPI auf ihre Tochtergesellschaft Hewlett-Packard Enterprise Company (HPE) übertragen worden war, erhielten die Aktionäre im Rahmen eines sog. "Spin-Off" Aktien der HPE.

  • Sportwettenanbieter kontra Besteuerung

    Mit zwei Urteilen vom 17.05.2021 - IX R 20/18 und IX R 21/18 hat der Bundesfinanzhof (BFH) die seit 2012 geltende Besteuerung von Sportwetten als mit dem Grundgesetz (GG) und mit Europarecht vereinbar eingestuft. In den Streitfällen boten ausländische Unternehmen nach Aufgabe des staatlichen Monopols Sportwetten an in Deutschland lebende Kunden über das Internet an. Die Unternehmen führten auf die Wetteinsätze 5 Prozent Sportwettensteuer an das zuständige Finanzamt ab. Vor dem BFH wandten sich die Sportwettenanbieter gegen die Besteuerung, da diese gegen zahlreiche Regelungen des GG verstoße und zudem europarechtswidrig sei.

  • Fremdüblichkeit des vereinbarten Zinssatzes

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 18.05.2021 - I R 4/17 über die für die Unternehmensbesteuerung wichtige Frage entschieden, wie hoch der Zins für ein Konzerndarlehen sein darf. Die Höhe des Zinses, für den ein Konzernunternehmen einem anderen Konzernunternehmen ein Darlehen gewährt, kann als Mittel dienen, Gewinne künstlich von dem einen Unternehmen auf das Andere zu verlagern. In grenzüberschreitenden Konstellationen ergibt sich auf diese Weise zudem die Möglichkeit, Gewinne in einen Staat mit niedrigen Steuersätzen zu transferieren. Das Steuerrecht wirkt solchen Gestaltungen mit dem sog. Fremdvergleich entgegen, indem die Darlehenszinsen nur in der Höhe anerkannt werden, wie sie auch unter fremden, nicht konzernzugehörigen Unternehmen vereinbart worden wären.

  • Politische Tätigkeit & steuerbegünstigter Zweck

    Bei einem eingetragenen Verein darf die Einflussnahme auf politische Willensbildung und Öffentlichkeit nicht über das hinausgehen, was im Rahmen der Verfolgung steuerlich begünstigter Zwecke erforderlich ist. Der Bundesfinanzhof (BFH) hat diesen Grundsatz mit Beschluss vom 18.08.2021 - V B 25/21 (AdV) in einem Eilverfahren präzisiert. Gemeinnützig ist im Steuerrecht die Verfolgung der in § 52 der Abgabenordnung ausdrücklich genannten Zwecke. Ist eine Tätigkeit einer Körperschaft innerhalb des steuerrechtlich begünstigten Zwecks zwangsläufig mit einer gewissen politischen Zielsetzung verbunden, schadet dies der Gemeinnützigkeit nicht. Anders ist es, wenn die politische Tätigkeit nicht mehr aufgrund des jeweiligen steuerbegünstigten Zwecks erforderlich ist.

  • Einrichtungen mit sozialem Charakter

    Der Bundesfinanzhof (BFH) hat mit Urteil vom 24.03.2021 (V R 1/19) entschieden, dass der für Länder und Kommunen erfolgende Betrieb von Flüchtlingsunterkünften durch eine GmbH von der Umsatzsteuer befreit ist; dasselbe gilt für den Betrieb einer kommunalen Obdachlosenunterkunft. Im Streitfall bewirtschaftete die Klägerin, eine GmbH, eine Vielzahl von Unterbringungseinrichtungen für Flüchtlinge, Aussiedler und Obdachlose. Dabei handelte es sich sowohl um Gemeinschaftsunterkünfte für Flüchtlinge in kommunaler Trägerschaft als auch um Erstaufnahmeeinrichtungen verschiedener Bundesländer sowie um eine städtische Obdachlosenunterkunft. In der Regel verantwortete die Klägerin insbesondere die Ausstattung der jeweiligen Unterkunft, deren Reinigung und personelle Besetzung sowie die soziale Betreuung der untergebrachten Personen. Das Finanzamt behandelte die Umsätze der Klägerin aus dem Betrieb der Flüchtlings- und Obdachlosenunterkünfte als umsatzsteuerpflichtig. Das Finanzgericht (FG) wies die Klage ab. Der dagegen eingelegten Revision gab der BFH statt. Die Klägerin könne sich auf eine Steuerbefreiung nach Art. 132 Abs. 1 Buchst. g der Richtlinie 2006/112/EG des Rates vom 28.11.2006 über das gemeinsame Mehrwertsteuersystem berufen. Nach dieser Bestimmung sind u.a. eng mit der Sozialfürsorge und der sozialen Sicherheit verbundene Dienstleistungen von der Steuer befreit, wenn sie von Einrichtungen bewirkt werden, die der betreffende Mitgliedstaat als Einrichtung mit sozialem Charakter anerkannt hat.