17. Mai 2005 BOCHUM, 17. Mai. "Phishing" und "Pharming" erscheinen zu Recht als Bedrohung des Online-Banking und anderer Formen des elektronischen Geschäftsverkehrs. Das Phishing - abgeleitet aus "Passwort-Fishing" - bezeichnet ein betrügerisches Vorgehen, bei dem der Angreifer nach folgendem Schema vorgeht: Er sendet einem Internetnutzer eine E-Mail, die als Mail eines Geschäftspartners, etwa seiner Bank, erscheint. Die Nachricht fordert ihn dazu auf, sich über eine mitgesandte Verknüpfung (Link) bei dem Geldinstitut anzumelden, beispielsweise zur Überprüfung der Kontendaten. Wenn der Nutzer dem Ansinnen Folge leistet, landet er aber nicht bei seiner Bank, sondern bei der Website des Betrügers, die der des Geldinstituts täuschend ähnlich sieht. Gibt der Nutzer Identifikations- und Transaktionsnummer ein (PIN und TAN), werden diese verwendet, um Transaktionen - etwa eine Überweisung - vom Konto des Nutzers vorzunehmen.
Vielleicht noch gefährlicher ist das Pharming. Hier werden Verzeichnisse der sogenannten IP-Adressen gefälscht, über die die Kommunikation im Internet gesteuert wird. Bei jedem Aufruf einer Website erfolgt zunächst eine Anfrage an den Namensrechner (Name-Server), der einer Internetanschrift (Domain) - beispielsweise einer Bank - eine IP-Adresse zuordnet, die für den Aufruf der Website benötigt wird. Wenn der Angreifer beispielsweise in die Kommunikation mit dem Name-Server eingreift und dem anfragenden Rechner eine falsche IP-Adresse übermittelt, kann die Kommunikation auf eine Website des Angreifers umgeleitet werden. Eine solche Attacke kann aber auch unmittelbar gegen einen Nutzer gerichtet sein und bei ihm einen falschen Eintrag erzeugen. War das Pharming bisher eine theoretische Gefahr, über die nur in Fachkreisen diskutiert wurde, sind kürzlich erste derartige Angriffe entdeckt worden.
Das Schadenspotential dieser Angriffe für den elektronischen Geschäftsverkehr ist kaum abzusehen. In den Vereinigten Staaten soll annähernd jeder zehnte Internetnutzer schon mindestens einmal von einer Phishing-Attacke getäuscht worden sein. Der dadurch verursachte Schaden wird auf 2,5 Milliarden Dollar jährlich geschätzt. In Deutschland sind, soweit bekannt, bisher vor allem das Online-Banking und das Auktionshaus E-Bay betroffen. Die wohl größte Zahl an Phishing-Attacken betraf die Postbank (F.A.Z. vom 3.Mai). Die Verwendungsmöglichkeiten solcher "gestohlenen Identitäten" sind indes vielfältig. Vielmehr sind alle Verfahren, die ausschließlich Paßwörter zur Identifizierung verwenden, ein geeignetes Ziel für Phishing-Angriffe.
Phishing und Pharming werfen Fragen in allen Rechtsgebieten auf. So fordern Anbieter wie E-Bay und AOL, das Ausspähen von Daten, das in solchen Fällen bisher wohl nicht strafbar ist, durch eine spezielle gesetzliche Regelung unter Strafe zu stellen. Vor allem aber stellen sich im Zivilrecht schwierige Fragen. Ein wesentlicher Aspekt betrifft den Anscheinsbeweis bei Verwendung von Paßwörtern. Das im Online-Banking gebräuchliche Verfahren vertraut auf den Anscheinsbeweis für die Echtheit einer Weisung (beispielsweise eines Überweisungsauftrags), die unter Verwendung von PIN und TAN bei der Bank eingeht. Dieser Anscheinsbeweis wird durch Phishing in Frage gestellt. Dies gilt jedenfalls dann, wenn der Kunde Anzeichen für einen solchen Angriff oder für einen Fall von Pharming nachweist. Sollten sich Anzeichen für massive Verwendung von Pharming ergeben, wird man den Anscheinsbeweis möglicherweise sogar generell verneinen müssen.
Eine ähnliche Fragestellung ergibt sich für sonstige Anbieter, etwa Versandhändler, sowie für Handelsplattformen wie E-Bay. Auch hier identifiziert sich der Nutzer durch ein Paßwort, anhand dessen die Erklärung (etwa eine Bestellung), das Angebot in einer Auktion oder ein Gebot dem Nutzer zugeordnet wird. Auch hier dient das Paßwort zum Nachweis der Urheberschaft dieser Erklärung. Schon bisher gab es jedoch Gerichtsentscheidungen, die im Paßwortschutz von E-Bay keine geeignete Grundlage für einen Anscheinsbeweis gesehen haben. Diese Skepsis der Gerichte dürfte sich unter dem Eindruck von Phishing und Pharming eher verstärken.
Im materiellen Recht steht zunächst die Verantwortlichkeit der Person im Vordergrund, deren Paßwort verwendet wurde - also etwa des Bankkunden oder E-Bay-Kunden, unter dessen Namen betrügerische Angebote eingestellt werden. Hier kann eine Rechtsscheinhaftung des Kunden gegenüber einem gutgläubigen Dritten (etwa einem Käufer bei einer Internetauktion) in Betracht kommen, wenn er leichtfertig mit seinem Paßwort umgeht und trotz Kenntnis einer Identitätstäuschung nichts unternimmt.
Wichtiger noch ist eine etwaige Haftung des Kunden wegen Pflichtverletzung, etwa gegenüber einer Online-Bank oder einem Versandhändler. Es ist bisher noch weitgehend unklar, welche Pflichten der Inhaber eines Paßworts in bezug auf dessen Geheimhaltung hat. Ist es schon eine grob fahrlässige Pflichtverletzung, auf eine geschickt formulierte Phishing-Mail zu antworten und sich auf einer täuschend echten Seite des Betrügers einzuloggen? Dann würde der Kunde für den Schaden haften. Dies wird man indes nicht in jedem Fall annehmen können.
Nicht minder wichtig ist, welche Pflichten Plattformbetreiber und alle sonstigen Anbieter treffen, die Paßwörter zur Identifizierung ihrer Kunden verwenden. Es ist im Grundsatz unstreitig, daß die Anbieter die Pflicht haben, hinreichend sichere Systeme zu verwenden. Darüber hinaus müssen sie die Kunden über die Risiken des Phishing informieren. Diesen Pflichten kommen zahlreiche Anbieter bisher nicht ausreichend nach. Teils fehlt es an Informationen, häufig sind sie unzureichend oder nicht hinreichend deutlich.
Auch im Umgang mit entdeckten Fälschungen treffen den Anbieter Sorgfaltspflichten. Das Amtsgericht Potsdam hatte über die Pflichten des Anbieters in Mißbrauchsfällen zu entscheiden. Hier hatte ein Nutzer E-Bay mehrfach darüber informiert, daß Unbekannte unter seinem Namen eine erhebliche Zahl von Auktionen durchführten; E-Bay hatte dies aber nicht unterbunden (Urteil vom 3.Dezember 2004 - 22 C 225/04). Das Gericht entschied, E-Bay habe die Pflicht, bei Kenntnis von einem Identitätsmißbrauch weitere Täuschungen zu verhindern. Bei Verletzung derartiger Sorgfaltspflichten kommen auch Schadenersatzansprüche in Betracht, soweit nicht die Haftungsprivilegierung nach dem Teledienstegesetz eingreift.
Nimmt man an, daß auch nur ein Teil der aus den Vereinigten Staaten gemeldeten Schäden durch Phishing auch in Deutschland auftritt, folgt hieraus ein durchaus ernstzunehmendes Risiko für die Anbieter im E-Commerce. Der größte Schaden freilich könnte entstehen, wenn die Internetnutzer das Vertrauen in die Sicherheit des E-Commerce verlieren sollten. Es bedarf daher der Klärung, welche Pflichten den Internetnutzer und den Anbieter in bezug auf Phishing und ähnliche Mißbrauchsrisiken treffen.
Der Autor lehrt Bürgerliches Recht, deutsches und internationales Handels- und Wirtschaftsrecht an der Ruhr-Universität Bochum.
Text: F.A.Z., 18.05.2005, Nr. 113 / Seite 25
| Tops | in % | |
| Infineon | +4,07% | |
| SAP | +2,06% | |
| Dt. Boerse | +1,66% |
| Flops | in % | |
| Dt. Bank | −2,16% | |
| Commerzbank | −2,80% | |
| Volkswagen | −4,69% |
 |
 |
 |
|
|
Blättern |
F.A.Z.-LeseprobeAdam Haslett: Union Atlantic
Die Bibliothek der Poeten
Frank Schätzing: Limit
Maryanne Wolf: Das lesende Gehirn
 |
 |
 |
 |
 |
 |
 |
 |
 |
|
|
Blättern |
Was machen wir nun mit unseren Milliarden, die Frau Merkel verteilen wollte?
19:20 19:16 18:59Herausgegeben von Werner D'Inka, Berthold Kohler, Günther Nonnenmacher, Frank Schirrmacher, Holger Steltzner
F.A.Z. Electronic Media GmbH 2001 - 2009 Medienpartner: NZZ Online
