Social Engineering und Phishing sind nach wie vor ein ernstzunehmendes Risiko bei der Nutzung des Internets. Trotz einigen Versuchen, die Nutzer aufzuklären, fallen nach wie vor viele Menschen auf derartige Techniken herein. So auch ein Mann, der auf einer Phishing-Website 100 Transaktionsnummern (TANs) eingab. Ein Gericht urteilte nun: das Phishing-Opfer hat nicht fahrlässig gehandelt.
Der Betroffene verwendete einen der üblichen Online-Banking-Dienste, in dem ein TAN-Verfahren zum Einsatz kommt. Die Website des Dienstes wurde mit Hilfe des populären „SpyEye“-Trojaners von dem Angreifer laut Gerichtsurteil „in Text, Funktion und Aussehen“ täuschend echt nachgeahmt. Auf der gefälschten Website sollte das Opfer dann seine zuvor per Post erhaltenen TANs eingeben. „Auf dieser Seite wurde dem Kläger mitgeteilt, dass im Zusammenhang mit der Einführung neuer Sicherheitsmaßnahmen aus Sicherheitsgründen alle laufenden TAN-Listen aus dem Verkehr gezogen werden müssten. Der Kläger sollte daher die ihm vorliegenden insgesamt 100 TAN-Nummern in dafür vorgesehene Eingabefelder eingeben,“ heißt es im Gerichtsurteil.
Wer über Kenntnisse im Bereich IT-Sicherheit verfügt, kann sich angesichts einer derartigen Aufforderung denken, dass es sich um einen Betrugsversuch handelt und die TANs in Wirklichkeit für kriminelle Zwecke abgegriffen werden. Dem Opfer war dies jedoch offenbar nicht klar. Deswegen argumentierte die Bank des Betroffenen, sie müsse den dem Opfer entstandenen Schaden nicht ersetzen. Das Opfer habe „dass der Kläger dem unbefugten Dritten den Zugriff auf sein Konto unter Verletzung der ihm obliegenden Sorgfalt grob fahrlässig durch Preisgabe seiner Legitimationsdaten ermöglicht habe, so dass der Beklagten ein aufrechenbarer Schadensersatzanspruch zustehe„.
Das Handeln des Betroffenen stellt keine Fahrlässigkeit des Betroffenen da, so die Richter des Landshuter Amtsgerichts. „Der Kläger ist osteuropäischer Herkunft und spricht deutsch nicht als Muttersprache. Er ist von Beruf angestellter Schlosser und besitzt in Sachen Internet nur geringe Kenntnisse. Der Kläger kam der Aufforderung in der Abfrage nach, da er der Meinung war, dass diese Aufforderung tatsächlich von der Beklagten stammte und eine Eingabe der TAN-Nummern aufgrund der Ausführungen auf der Internetseite für plausibel hielt,“ erklären die Richter. Dagegen müsse die Bank ihre Kunden vor derartigen Angriffen nach Möglichkeit schützen. Entsprechende Warnhinweise auf der Website seien zu ungenau formuliert gewesen.
Das Landsgericht entschied daher, dass der dem Betroffenen entstandene Schaden von 6000 Euro und entsprechenden Zinsen durch die Beklagte ersetzt werden muss. Die Beklagte muss außerdem die Kosten des Rechtsstreits übernehmen.