Kunden haften für Phishing: RUB-Jurist kommentiert "nachteiligen Schiedsspruch"
Bochum, 13.11.2006
Nr. 378
Kunden haften für Phishing
RUB-Jurist: Nachteiliger Schiedsspruch
Ombudsmann der Volksbanken entscheidet gegen Opfer
Der "Geprellte" ist der Kunde: Er muss für den Schaden von "Phishing" aufkommen, wenn er nicht darlegen kann, unter welchen Umständen ein Trojaner die gefälschte Überweisung veranlasst hat. Zu diesem Schluss kommt der Ombudsmann des Bundesverbandes der Deutschen Volks- und Raiffeisenbanken in einem Schlichtungsspruch, mit dem erstmals eine Entscheidung zur Haftung von Phishing-Opfern fiel. "Die Haltung des Ombudsmanns ist für Bankkunden sehr nachteilig, da der Kunde nachweisen soll, wie der Trojaner-Angriff erfolgt ist", sagt Georg Borges, Juraprofessor an der Ruhr-Universität Bochum und Vorstandssprecher der Arbeitsgruppe Identitätsschutz im Internet (a-i3). Wenn sich diese Meinung auch bei den Gerichten durchsetze, müssten die Phishing-Opfer in den meisten Fällen den Schaden selbst tragen, so der Bochumer Experte. "Die Entscheidung zeigt", sagt Borges, "wie wichtig es ist, dass Bankkunden ihre PC mit aktuellem Virenschutz ausstatten".
Der Fall
Im konkreten Fall war vom Konto des Kunden eine Überweisung an einen Geldkurier veranlasst worden, der das Geld ins Ausland weiterleitete. Der Kunde beteuerte, die Überweisung nicht veranlasst zu haben und meinte, es müsse ein Trojaner gewesen sein. Obwohl feststand, dass die Überweisung gefälscht war, und obwohl sich auf dem Rechner des Kunden nachweislich Trojaner befanden, entschied der Ombudsmann gegen den Kunden: Der "Anscheinsbeweis" spreche dafür, dass die Überweisung entweder vom Kunden selbst vorgenommen sein müsse oder der Kunde mit PIN und TAN unsorgfältig umgegangen sei. Der Ombudsmann verweist ferner darauf, dass der Kunde nicht habe angeben können, dass eine Transaktion, die er mit PIN und TAN durchführen wollte, nicht ausgeführt worden sei.
So funktioniert Phishing
Phishing umschreibt die Gruppe von Angriffen, die beabsichtigen, mit gefälschten E-Mail-Informationen den Benutzer auf einen Angreifer-Server zu leiten. Phishing-Mails sehen wie vertraute Nachrichten aus, beinhalten aber in der Regel Hyperlinks, die auf den falschen Server verweisen. Im Gegensatz zu "Spam" nutzen Phishing-Mails ein Vertrauensverhältnis aus: Der Empfänger glaubt, vom tatsächlichen Aussteller diese Nachricht erhalten zu haben. Ziel ist, persönliche Daten des Empfängers zu bekommen (PIN oder TAN).
Die Arbeitsgruppe a-i3
Unter anderem gegründet vom Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk (RUB) ist a-i3 eine fachübergreifende Arbeitsgruppe, die das Thema "Phishing" umfassend angeht. Sie macht sich den Schutz von Identitäten im Internet, insbesondere vor Missbrauch zur Aufgabe. Wissenschaftler erforschen und entwickeln Gegenmaßnahmen, zudem klären sie auch die Öffentlichkeit über Gefahren und Risiken auf.
Weitere Informationen
Prof. Dr. Georg Borges, Juristische Fakultät der RUB, Arbeitsgruppe Identitätsschutz im Internet (a-i3), Tel. 0234/32-26775, E-Mail: georg.borges@rub.de
