Wer haftet bei einem Schaden durch eine Phishing-Attacke? Der Kunde oder die Bank? Das Kammergericht Berlin hat in einer Entscheidung die beiden Positionen abgewogen und kam zu einer Quotelung.
Bankkundin K wird Opfer einer so genannten Phishing-Attacke. Als sie an ihrem PC Überweisungen im Wege des Online-Banking vornehmen will öffnet sich nach Eingabe ihrer PIN auf der Internetseite der beklagten Bank B ein weiteres Fenster, das äußerlich der Internetseite der Bank entsprach. In diesem Fenster wurde darauf hingewiesen, dass die Anmeldung fehlgeschlagen sei. Es folgt die Aufforderung, zum Login vier noch unverbrauchte Transaktionsnummern (TAN) einzugeben, was die Kundin K auch tat. Am nächsten Tag wurden vom Konto der K Überweisungen an ihr unbekannte Personen in Höhe von 14.500,00 € vorgenommen. Die Bank verwendet das klassische TAN-Verfahren und nicht das etwas sicherer iTAN-Verfahren.
Frage:
Kann die Kundin K von der Bank B den durch Phishing verlorenen Betrag ersetzt verlangen?
Antwort:
Nur teilweise (Hier: 70% des Schadens).
Das Kammergericht Berlin hat den Schaden nach Verschuldensmaßstäben geteilt. Sowohl der Kundin als auch der Bank kann ein Sorgfaltsverstoß vorgeworfen werden. Die Kundin kann daher nicht den ganzen Schaden, sondern eben nur 70% davon verlangen.
Die Klägerin hat ihre Pflicht zur Geheimhaltung ihrer Zugangsdaten schuldhaft verletzt, indem sie der Aufforderung zur Eingabe von vier TAN nachkam. Diese Pflicht beinhaltet nicht nur die sichere Verwahrung von Notizen dieser Zugangsdaten, sondern auch eine angemessene Reaktion auf objektiv begründete Verdachtsmomente. Ignoriert der Bankkunde solche Anzeichen, liegt darin eine Pflichtverletzung.
Nach Auffassung des Gerichts begründete die Aufforderung zur Eingabe von vier TAN zum Zwecke der Authentifizierung ein solches hinreichendes Verdachtsmoment. Denn die TAN dient üblicherweise nur zur Autorisierung eines Auftrages bzw. Anweisung und nicht zur Legitimation bei der Anmeldung zum Online-Banking; zumindest die Abfrage mehrerer TAN zu diesem Zwecke muss als unüblich angesehen. Demzufolge hätte die Klägerin Veranlassung gehabt, auf dieses Verdachtsmoment hin den Vorgang zunächst abzubrechen und sich durch Rückfrage bei der Beklagten zu versichern, dass eine solche Vorgehensweise von dieser tatsächlich gefordert wird.
Dass die gefälschte Internetseite, auf welche die Klägerin geleitet worden ist, der tatsächlichen Internetseite der Beklagte täuschend ähnlich sah, stellt keinen ausreichenden Grund dar, die aufgezeigten Verdachtsmomente zu ignorieren. Von einem durchschnittlichen Nutzer des Online-Banking kann erwartet werden, dass er zumindest allgemeine Kenntnis von den Gefahren durch Manipulationen von Banken- bzw. Kundensoftware hat, so dass er bei Auftreten von konkreten Verdachtsmomenten auch dann angemessen reagiert, wenn er sich dem äußeren Anschein nach auf der Internetseite seiner Bank und damit in einer vorgeblich sicheren Umgebung befindet.
Ein weiterer Sorgfaltspflichtverstoß der Klägerin kann nicht mit der Begründung angenommen werden, die Klägerin habe es unterlassen, ihre Programme mit ausreichenden Virenschutzprogrammen abzusichern. Die Tatsache, dass auf dem Computer der Klägerin geheime Daten ausgespäht worden sind, erlaubt nicht den Schluss darauf, dass es insoweit an einem wirksamen Virenschutzprogramm mangelte. Es ist zu berücksichtigen, dass es verschiedene denkbare Möglichkeiten gibt, wie kriminelle Dritte an geheime Daten eines Kunden gelangen können, wie zum Beispiel durch einen Angriff auf den Zentralrechner, so dass sich der Schluss auf eine typische Ursache verbietet.
Eine Sorgfaltspflichtverletzung der Beklagten Bank ist aber darin zu sehen, dass die Beklagte noch zu einem Zeitpunkt das herkömmliche TAN System verwendete, als die von den Tätern gewählte Angriffsmethode des Abfragens mehrere TAN Nummern bereits hinlänglich bekannt war und in Form des neueren iTAN Systems ein wirksameres System zur Abwehr dieser Angriffe existierte. Eine Sorgfaltspflichtverletzung der Bank liegt zumindest dann vor, wenn sie ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter dem Sicherheitsstandard des neueren Systems zurückbleibt. Entscheidend ist, dass das neue System gegenüber dem alten eine höhere Sicherheit bot und daher die Angriffsmöglichkeiten zumindest eingeschränkt hätte.
Bei Abwägung der verschiedenen Verschuldensanteile der Parteien ergibt sich nach Auffassung des Gerichts ein überwiegendes Mitverschulden der Beklagten, das die Richter mit 70% bewerten. Hierbei wurde insbesondere berücksichtigt, dass zum Zeitpunkt der schädigenden Handlung das von der Beklagten verwendete TAN System als überholt anzusehen war und der Missbrauch der erlangten TAN mit dem neueren iTan-System nicht möglich gewesen wäre.
(Das Urteil erging genau so vom Kammergericht Berlin am 29.11.2010, Az.: 26 U 159/09)
Fazit:
Das Gericht hat damit bereits die Verwendung des herkömmlichen TAN-Verfahrens durch die Bank als ein Mitverschulden der Bank für den entstandenen Schaden gewertet. Da die Mehrzahl der Banken bereits das neuere iTAN-Verfahren benutzt hat das Gericht die Verwendung des grundsätzlich unsichereren Verfahrens als unzureichend angesehen. Aber auch der Nutzer des Online-Banking muss kritisch mit dem Medium Internet umgehen und darf nicht Vorgänge, die ihm merkwürdig vorkommen müssen, einfach ignorieren. Insoweit hat das Gericht hier vernünftige Maßstäbe angelegt und kam so nachvollziehbar zu einer Quotelung 70:30 zu Lasten der Bank.
Seit dem 01.11.2009 ist übrigens der Haftungsmaßstab des damals neu eingefügten § 675v BGB anzuwenden, der aufgrund einer EU-Richtlinie (so genante SEPA-Richtlinie) eingefügt wurde. Der Bankkunde haftet danach nur für grobe Fahrlässigkeit und nicht für einfach fahrlässiges Verhalten. In dem hier entschiedenen Fall war diese Norm aber noch nicht anzuwenden, da der Vorfall vor Inkrafttreten des § 675v BGB stattfand.
Timo Schutt
(Rechtsanwalt & Fachanwalt für IT-Recht)
Bankkundin K wird Opfer einer so genannten Phishing-Attacke. Als sie an ihrem PC Überweisungen im Wege des Online-Banking vornehmen will öffnet sich nach Eingabe ihrer PIN auf der Internetseite der beklagten Bank B ein weiteres Fenster, das äußerlich der Internetseite der Bank entsprach. In diesem Fenster wurde darauf hingewiesen, dass die Anmeldung fehlgeschlagen sei. Es folgt die Aufforderung, zum Login vier noch unverbrauchte Transaktionsnummern (TAN) einzugeben, was die Kundin K auch tat. Am nächsten Tag wurden vom Konto der K Überweisungen an ihr unbekannte Personen in Höhe von 14.500,00 € vorgenommen. Die Bank verwendet das klassische TAN-Verfahren und nicht das etwas sicherer iTAN-Verfahren.
Frage:
Kann die Kundin K von der Bank B den durch Phishing verlorenen Betrag ersetzt verlangen?
Antwort:
Nur teilweise (Hier: 70% des Schadens).
Das Kammergericht Berlin hat den Schaden nach Verschuldensmaßstäben geteilt. Sowohl der Kundin als auch der Bank kann ein Sorgfaltsverstoß vorgeworfen werden. Die Kundin kann daher nicht den ganzen Schaden, sondern eben nur 70% davon verlangen.
Die Klägerin hat ihre Pflicht zur Geheimhaltung ihrer Zugangsdaten schuldhaft verletzt, indem sie der Aufforderung zur Eingabe von vier TAN nachkam. Diese Pflicht beinhaltet nicht nur die sichere Verwahrung von Notizen dieser Zugangsdaten, sondern auch eine angemessene Reaktion auf objektiv begründete Verdachtsmomente. Ignoriert der Bankkunde solche Anzeichen, liegt darin eine Pflichtverletzung.
Nach Auffassung des Gerichts begründete die Aufforderung zur Eingabe von vier TAN zum Zwecke der Authentifizierung ein solches hinreichendes Verdachtsmoment. Denn die TAN dient üblicherweise nur zur Autorisierung eines Auftrages bzw. Anweisung und nicht zur Legitimation bei der Anmeldung zum Online-Banking; zumindest die Abfrage mehrerer TAN zu diesem Zwecke muss als unüblich angesehen. Demzufolge hätte die Klägerin Veranlassung gehabt, auf dieses Verdachtsmoment hin den Vorgang zunächst abzubrechen und sich durch Rückfrage bei der Beklagten zu versichern, dass eine solche Vorgehensweise von dieser tatsächlich gefordert wird.
Dass die gefälschte Internetseite, auf welche die Klägerin geleitet worden ist, der tatsächlichen Internetseite der Beklagte täuschend ähnlich sah, stellt keinen ausreichenden Grund dar, die aufgezeigten Verdachtsmomente zu ignorieren. Von einem durchschnittlichen Nutzer des Online-Banking kann erwartet werden, dass er zumindest allgemeine Kenntnis von den Gefahren durch Manipulationen von Banken- bzw. Kundensoftware hat, so dass er bei Auftreten von konkreten Verdachtsmomenten auch dann angemessen reagiert, wenn er sich dem äußeren Anschein nach auf der Internetseite seiner Bank und damit in einer vorgeblich sicheren Umgebung befindet.
Ein weiterer Sorgfaltspflichtverstoß der Klägerin kann nicht mit der Begründung angenommen werden, die Klägerin habe es unterlassen, ihre Programme mit ausreichenden Virenschutzprogrammen abzusichern. Die Tatsache, dass auf dem Computer der Klägerin geheime Daten ausgespäht worden sind, erlaubt nicht den Schluss darauf, dass es insoweit an einem wirksamen Virenschutzprogramm mangelte. Es ist zu berücksichtigen, dass es verschiedene denkbare Möglichkeiten gibt, wie kriminelle Dritte an geheime Daten eines Kunden gelangen können, wie zum Beispiel durch einen Angriff auf den Zentralrechner, so dass sich der Schluss auf eine typische Ursache verbietet.
Eine Sorgfaltspflichtverletzung der Beklagten Bank ist aber darin zu sehen, dass die Beklagte noch zu einem Zeitpunkt das herkömmliche TAN System verwendete, als die von den Tätern gewählte Angriffsmethode des Abfragens mehrere TAN Nummern bereits hinlänglich bekannt war und in Form des neueren iTAN Systems ein wirksameres System zur Abwehr dieser Angriffe existierte. Eine Sorgfaltspflichtverletzung der Bank liegt zumindest dann vor, wenn sie ein System verwendet, das bei der Mehrzahl der Kreditinstitute nicht mehr im Einsatz ist und hinter dem Sicherheitsstandard des neueren Systems zurückbleibt. Entscheidend ist, dass das neue System gegenüber dem alten eine höhere Sicherheit bot und daher die Angriffsmöglichkeiten zumindest eingeschränkt hätte.
Bei Abwägung der verschiedenen Verschuldensanteile der Parteien ergibt sich nach Auffassung des Gerichts ein überwiegendes Mitverschulden der Beklagten, das die Richter mit 70% bewerten. Hierbei wurde insbesondere berücksichtigt, dass zum Zeitpunkt der schädigenden Handlung das von der Beklagten verwendete TAN System als überholt anzusehen war und der Missbrauch der erlangten TAN mit dem neueren iTan-System nicht möglich gewesen wäre.
(Das Urteil erging genau so vom Kammergericht Berlin am 29.11.2010, Az.: 26 U 159/09)
Fazit:
Das Gericht hat damit bereits die Verwendung des herkömmlichen TAN-Verfahrens durch die Bank als ein Mitverschulden der Bank für den entstandenen Schaden gewertet. Da die Mehrzahl der Banken bereits das neuere iTAN-Verfahren benutzt hat das Gericht die Verwendung des grundsätzlich unsichereren Verfahrens als unzureichend angesehen. Aber auch der Nutzer des Online-Banking muss kritisch mit dem Medium Internet umgehen und darf nicht Vorgänge, die ihm merkwürdig vorkommen müssen, einfach ignorieren. Insoweit hat das Gericht hier vernünftige Maßstäbe angelegt und kam so nachvollziehbar zu einer Quotelung 70:30 zu Lasten der Bank.
Seit dem 01.11.2009 ist übrigens der Haftungsmaßstab des damals neu eingefügten § 675v BGB anzuwenden, der aufgrund einer EU-Richtlinie (so genante SEPA-Richtlinie) eingefügt wurde. Der Bankkunde haftet danach nur für grobe Fahrlässigkeit und nicht für einfach fahrlässiges Verhalten. In dem hier entschiedenen Fall war diese Norm aber noch nicht anzuwenden, da der Vorfall vor Inkrafttreten des § 675v BGB stattfand.
Timo Schutt
(Rechtsanwalt & Fachanwalt für IT-Recht)
