Urteil: Phishing-Opfer ist unschuldig

15.09.11  07:00 | Artikel: 953236 | News-Artikel (Red)

Urteil: Phishing-Opfer ist unschuldigDas Landgericht Landshut entschied in einem gestern veröffentlichten Urteil, dass ein Mann, der 100 TANs auf einer Phishing-Site eingegeben hat, nicht grob fahrlässig gehandelt habe.

Nicht jeder, der auf Phishing reinfällt ist immer gleich der Schuldige. So jedenfalls stellt das Landgericht Landshut im aktuellen Urteil (Az. 24 O 1129/11) die Grundhaltung klar.

Ein Trojaner war dafür verantwortlich, dass der Kläger auf eine Phishing-Website geleitet wurde, die der Online-Banking-Website der Bank täuschend ähnlich sah. Die eMail mit dem Trojaner erreichte trotz Einsatz von Firewall und Antiviren-Software unbeschadet den bis dahin ahnungslosen Kunden.

Der Aufforderung insgesamt 100 TANs auf dieser Website einzugeben kam der Kunde mangels weiterer Kenntnisse ohne Zögern nach. Tage später bemerkte dieser, dass insgesamt 6.000 EUR vom Konto verschwunden sind. Der Mann erstattete darauf hin Anzeige gegen unbekannt.

Die Bank argumentierte mit grober Fahrlässigkeit seitens des Kunden und wollte den Schaden nicht ersetzen. Der Kunde hätte "dem unbefugten Dritten den Zugriff auf sein Konto unter Verletzung der ihm obliegenden Sorgfalt grob fahrlässig durch Preisgabe seiner Legitimationsdaten ermöglicht".

Zudem hätte der Kunde Misstrauisch werden müssen, weil die Eingabe von 100 TANs nicht die Regel sei. Die Bank hätte auch schon seit längerem das sicherere mobile TAN-Verfahren angeboten, welches der Geschädigte allerdings bis dato nicht nutzte; dieser wäre beim 'unsicheren' iTAN-Verfahren geblieben.

Der Kunde verklagte die Bank auf Übernahme des Schadens. Das Landgericht Landshut teilte dessen Auffassung und verurteilte die Bank zur Zahlung des Schadens nebst Gerichtskosten.

Das Gericht sah die persönlichen Umstände und sprach den Kläger vom Vorwurf der großen Fahrlässigkeit frei. Der Kläger hätte "die TANs nicht willentlich Dritten offenbart", heißt es dazu im Urteil. Es gäbe keine absolute Sicherheit gegen solche Art von Angriffen. Der Bankkunde sei zudem nicht mit Deutsch als Muttersprache aufgewachsen und kein Fachmann im PC-Bereich.

Interessant in diesem Zusammenhang ist allerdings die Sichtweise des Gerichts zur Reaktion der Bank, dass der Kunde ja auf das sicherere mobile TAN-Verfahren hätte umstellen können. Die Bank hätte das vor Gericht als unsicher benannte iTAN-Verfahren ja selbst angeboten. Entsprechende Warnungen von Manipulationsversuchen hätten seitens der Bank erfolgen müssen.


Lesen Sie auch:
iTAN, SmartTan, mTAN: Was ist sicher?
Ergänzung: iTAN, SmartTan, mTAN: Was ist sicher?
Sicherer Umgang mit Kreditkarten - neue Sicherheitslücken aufgedeckt

www.a-i3.org/images/lg%20landshut.pdf




Autor: Björn-Lars Kuhn

Journalist bdfjBjörn-Lars Kuhn ist einer der Inhaber der Proteus Solutions GbR, Buchautor, Datenschutzbeauftragter (IHK), Fachjournalist (bdfj) in den Bereichen Datenschutz, Netzpolitik und Erneuerbare Energien und Redakteur dieser Nachrichtenseite.



Themenbereiche:

Datenschutz | Sicherheit | Recht

Schlagworte:

Online-Banking (21) | TAN (6) | Verfahren (7) | Sicherheit (139) | Urteil (24) | Landgericht (3)