Phishing

Phishing

16. Februar 2018

Was bedeutet Phishing?

Unter Phishing versteht man der Versuch, mittels gefälschter Anfragen an Internet-Nutzer an fremde Zugangsdaten zu gelangen, um so unter Umgehung der Sicherheitsvorkehrungen des Nutzerseinen Identitätsdiebstahl mittels erlangter Daten zu begehen. Durch die erlangte digitale Identität des Nutzers soll in der Folge meist auf das (Bank-)Konto des Nutzers zugegriffen werden, um Geldbeträge von dort zu transferieren. Aber auch sämtliche andere Nutzerkonten, beispielsweise Amazon-, Paypal- oder Ebay-Konten können Ziel eines Phishing-Angriffs werden. Strafrechtlich kommt u.a. ein Computerbetrug nach § 236a StGB für den Täter in Betracht.

image of Phishing

Wie funktioniert ein Phishing-Angriff?

In der Regel wird dem Nutzer, dessen persönliche Daten erlangt werden sollen, eine Mail zugesandt, in der eine falsche Identität des Absenders vorgetäuscht wird. Der Absender der Mail gibt sich in der Email beispielsweise als die Bank des Nutzers aus und fordert diesen auf, sein Passwort für das Online-Banking zu ändern. Dafür ist in der Email eine Webseite verlinkt. Folgt der Nutzer dem in der Mail angegebenen Link, so gelangt er auf eine Webseite, die vom äußeren Erscheinungsbild dem seiner Bank gleicht. Der Nutzer wiegt sich "in Sicherheit" und glaubt, sich auf der Webseite seiner Bank zu befinden. Gibt der Nutzer jetzt seine persönlichen Daten, also zum Beispiel seinen Nutzernamen und sein Passwort, auf dieser (falschen) Webseite ein, hat der Angreifer die Möglichkeit, diese Daten auf der richtigen Webseite der Bank zu verwenden und erlangt so Zugriff auf das Konto des Nutzers.

Eine andere Variante ist es, den Nutzer wieder durch Email auf eine „falsche“ Webseite zu leiten. „Hinter“ der verlinkten Webseite verbringt sich eine Schadsoftware, die beim Öffnen unbemerkt auf dem Rechner des Nutzers installiert wird. In Betracht kommen hier sog. Keylogger oder Trojaner. Diese Programme arbeiten im Hintergrund, ohne dass der Nutzer dies, bzw. die Aktivitäten des Programms, bemerkt. Folgt der Nutzer dem Link, installiert sich der Schadsoftware automatisch auf dem Rechner des Nutzers, sodass der Phishing-Angreifer Daten, also die Passwörter und Aktivitäten, des Nutzers selbständig auslesen kann, ohne dass der Nutzer dies bemerkt. Teilweise wird Schadsoftware auch direkt als Mail-Anhang mitversendet. Beim Öffnen des Anhangs installiert sie sich wiederum mit der bereits beschriebenen Folge.

Keylogger sind in der Lage sämtliche Eingaben zu protokollieren und an den Absender der Schadsoftware zu senden. Ebenso verbreitet sind sog. Rücküberweisungs-Trojaner. Diese Schadsoftware spiegelt dem Nutzer in dessen Online-Banking-Kontoübersicht einen Zahlungseingang als vermeintliche Fehlüberweisung vor. Parallel wird der Nutzer aufgefordert, vermeintlich von seiner Bank selbst, diese Zahlung zurück zu überweisen. Bei „Man-In-The-Browser“-Attacken manipuliert die auf dem Rechner mittels eines Trojaners installierte Schadsoftware die Kommunikation innerhalb des Webbrowsers, wodurch andere Informationen weitergegeben werden als der Nutzer eingibt, wodurch es dann in der Regel zu Fehlüberweisungen zu Gunsten der Schädiger und zu Lasten des Nutzers kommt.

Woran erkennt man eine Phishing Attacke?

Während Phishing Attacken in der Vergangenheit häufig leicht an der eigenen Unprofessionalität scheiterten und daran zu erkennen waren, dass der Adressat der Mail bloß als „Kunde“ angeredet wurde und sprachliche Fehler unterliefen, hat sich das in der jüngeren Vergangenheit geändert. Selbst aufmerksame Kunden können „echte“ Mails ihrer Bank nicht mehr von gefälschten unterscheiden, bzw. einen Phishing-Angriff erkennen. Eine Phishing Attacke, die Trojaner nutzt, ist sogar noch schwieriger zu erkennen. Im Zweifel erkennt der Nutzer erst in dem Moment, in welchem er seine Kontoauszüge prüft oder unbekannte Rechnungen erhält, dass er Opfer einer Phishing Attacke wurde. Echte Sicherheit gibt es nicht. In den Jahren 2012 bis 2016 wurden dem Bundeskriminalamt durchschnittlich 5.000 Fälle pro Jahr aus dem Bereich Phishing im Online-Banking mit jeweils durchschnittlich 4.000 EUR Schaden gemeldet (Cybercrime Bundeslagebild 2016, Stand: August 2017, S. 21, abrufbar unter www.bka.de).

Was tun, wenn Sie Opfer einer Phishing Attacke wurden?

Wenn der Phishing-Angriff Erfolg hatte und der Angreifer durch die Verwendung der Nutzerdaten das Konto des Betroffenen quasi „leergeräumt“ hat, stellt sich die Frage, ob der Geschädigte das Geld in irgendeiner Weise wiedererlangen kann.

Natürlich steht dem Geschädigten ein Rückzahlungs-Anspruch gegen den Angreifer zu, dieser wird jedoch in der Regel nicht verfolgbar sein, da die Angreifer meist aus dem Ausland operieren.

In der vorliegenden Konstellation, dass das Bank-Konto des Nutzers betroffen ist, ist zunächst einmal festzustellen, dass es sich bei dem Betrag, der sich auf dem Konto befindet, nicht um das Geld des Nutzers handelt. Vielmehr hat der Nutzer gegenüber der Bank einen Auszahlungsanspruch in Höhe des Guthabens – das Geld auf dem Konto ist eigentlich das Geld der Bank, auf das der Bankkunde zugreifen kann.

Anspruch gegen die Bank

Der geschädigte Nutzer wird sich also in aller Regel an sein Bankinstitut wenden und um Ausgleich des Kontos um den entsprechenden Betrag bitten. Hierbei sollte der Geschädigte bereits in Erwägung ziehen, einen Rechtsanwalt zu Rate zu ziehen, denn frei getätigte Einlassungen des Kunden können später in einem Gerichtsverfahren zum Nachteil des Kunden verwendet werden. Die Bank ist verpflichtet, dem Bankkunden den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Die für den Geschädigten spannendste Frage ist dann, ob es sich beim dem in Frage stehenden Zahlungsvorgang um einen „autorisierten Zahlungsvorgang“ im Sinne des Gesetzes handelte. Denn nach § 675 u BGB steht der Bank gegen den Kunden dann kein Aufwendungsersatzanspruch zu, wenn es sich um einen „nicht autorisierten Zahlungsvorgang“ handelt. Das heißt in diesem Fall kann die Bank keinen Ersatz vom Kunden verlangen. Nach § 675 j Abs. 1 S. 1 BGB gilt ein Zahlungsvorgang als wirksam und damit autorisiert, wenn der Zahler diesem zugestimmt hat. Grundsätzlich hat das Kreditinstitut gem. § 675 w S. 1 BGB die Darlegungs- und Beweislast dafür, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Insofern ist das Kreditinstitut gehalten die entsprechenden Mindestvoraussetzungen darzulegen und diese gegebenenfalls zu beweisen. Gem. Satz 2 der Vorschrift ist eine Authentifizierung erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Satz 3 der Vorschrift gab Raum für Auslegungsschwierigkeiten und es stellte sich die Frage, ob Raum für den sog. Anscheinsbeweis sei. Der BGH hat entschieden, dass dies der Fall sei (BGH Urteil v. 26.01.2016, XI ZR 91/14). Der Bank-Kunde und Internet-Nutzer kann diesen Anscheinsbeweis dadurch erschüttern, dass er Tatsachen nachweist, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. dazu BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724).

Der Bankkunde kann zur Erschütterung des Anscheinsbeweises Tatsachen vortragen und beweisen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. dazu BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724). Dies ist meistens mit einigem Recherche Aufwand verbunden, aber nicht unmöglich.

Zu beachten ist ferner noch, dass die Bank von Kunden auch Schadensersatz nach § 675v BGB verlangen kann, wenn der nicht autorisierte Zahlungsvorgang auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments beruhte. Dieser Ersatzanspruch ist aber auf einen Betrag von 150 Euro beschränkt. Das gleiche gilt, wenn der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat. Die Begrenzung des Schadens kommt aber dann nicht in Betracht, wenn der Schaden mit betrügerischer Absicht ermöglicht wurde oder durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat. Das heißt im Klartext, der Anspruch des geschädigten Kunden gegen seine Bank kann, obwohl er im Grunde besteht, durch einen eigenen Schadensersatzanspruch der Bank teilweise oder sogar insgesamt gekürzt werden. Auch hier kommt es auf das umfassende Verständnis des technischen Vorgangs, auf eine sorgfältige Recherche des konkreten Sachverhalts sowie Kenntnis der einschlägigen Rechtsprechung an.

Autorisierung mittels Anscheinsvollmacht

Eine Autorisierung liegt auch dann vor, wenn der Zugreifende in Vollmacht des Kontoinhabers handelte. In den Fällen des Phishings wird von den Gerichten insbesondere die sog. Anscheinsvollmacht als maßgeblich betrachtet. Wenn ein Dritter auf das Konto unter fachgerechter Umgehung der Sicherheitsvorkehrungen zugreifen konnte, dann spricht nach den Gerichten vieles für die Anscheinsvollmacht, sodass der Vorgang als autorisiert gilt. Allerdings ist hier gut vertretbar, eine Anscheinsvollmacht aufgrund fehlender Fahrlässigkeit des Kunden abzulehnen, da diesem keine Fahrlässigkeit bei der ungewollten Weitergabe seiner Kontodaten und Nutzerkennung vorgeworfen werden kann.

Fehlt es an der Vollmacht, gilt der Zahlungsvorgang als nicht autorisiert, mit der Folge, dass die Bank dem Kunden den Betrag zurückbuchen muss. Der Kunde setzt sich dann allerdings eventuell einem Schadensersatzanspruch der Bank nach § 675 v Abs. 1 und 2 BGB aus. Nach § 675 v Abs. 1 ist dieser Schadensersatzanspruch der Bank jedoch auf 50 Euro begrenzt. Diese Begrenzung gilt nach § 675 v Abs. 3 nicht, wenn der Kontoinhaber den Schaden durch vorsätzliche oder grob fahrlässige Verletzung herbeigeführt hat. Dies wird die Bank in der Regel behaupten. Ein vorsätzlicher Verstoß gegen die dem Nutzer obliegenden Pflichten wird in der Regel nicht vorliegen, sodass sich die Frage stellt, ab wann die Eingabe bzw. Weitergabe einer TAN aufgrund einer Täuschung grob fahrlässig ist.

Die Rechtsprechung versteht unter grober Fahrlässigkeit ein Handeln, bei dem die erforderliche Sorgfalt nach den gesamten Umständen in ungewöhnlich großem Maße verletzt worden ist und bei dem dasjenige unbeachtet geblieben ist, was im gegebenen Falle jedem hätte einleuchten müssen. Insofern kommt es nach der Rechtsprechung auf die subjektive Vorwerfbarkeit der Weitergabe der Daten an. Die Rechtsprechung berücksichtigt vor diesem Hintergrund regelmäßig die subjektiven Umstände des Nutzers. Es wird dann darauf ankommen, inwieweit der Nutzer mit Computern und digitalen Medien vertraut ist und er die Gefahren und Risiken des Internets und des online-Bankings kannte. Eine allgemeingültige Aussage gestaltet sich hier äußerst schwierig.

Teilweise wird, sofern ein Schadensersatzanspruch der Bank in voller Höhe wegen grober Fahrlässigkeit des Bankkunden bejaht werden sollte, der Bank ein Mitverschulden nach § 254 BGB zuzurechnen sein. Dies dürfte dann der Fall sein, wenn keine ausreichende Systemsicherheit gewährleistet ist, insbesondere bei Nutzung des klassischen TAN-Verfahrens oder des iTAN-Verfahrens. Denn die Bank ist regelmäßig dazu verpflichtet, die TAN-Verfahren nach dem aktuellen Stand der Technik auszurichten.

Sie sind Geschädigter eines Phishing-Angriffes? Wir prüfen Ihre Ansprüche und deren Durchsetzbarkeit. Rufen Sie uns an oder schreiben Sie uns.