Urteil Kontoinhaber haften bei Phishing

Kontoinhaber, die zu Hause oder im Büro Online-Banking betreiben, müssen selbst für einen ausreichenden Schutz vor Computerbetrügern sorgen. Sonst müssen sie den finanziellen Schaden tragen, der ihnen durch den Diebstahl ihrer Zugangsdaten für elektronische Überweisungen entsteht. Das ergibt sich aus einem Urteil des Landgerichts Köln, das jetzt in der Internetzeitschrift JurPC veröffentlicht worden ist.

Diese Straftaten sind mittlerweile unter dem Namen „Phishing“ (Passwort-fischen) bekannt. Das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik warnen regelmäßig vor solchen Machenschaften. Meist werden dabei massenhaft Spam-Mails mit der Aufforderung zur Eingabe von Passwörtern verschickt, die vorgeblich von der Hausbank des Kontoinhabers stammen, oder von Straftätern Websites von Geldinstituten vorgetäuscht. Oft werden die erbeuteten Beträge weiter ins Ausland verschoben; wer dabei mitwirkt, kann sich dann sogar wegen Geldwäsche strafbar machen.

Phishing-Opfer blieb auf Schaden sitzen

Bei dem Rechtsstreit ging es um einen Bankkunden, dessen Kontodaten nebst persönlicher Identifikationsnummer (PIN) sowie der erforderlichen Transaktionsnummer (TAN) von unbekannten Tätern ausspioniert worden waren. Ob dies beispielsweise durch einen Computervirus zustande kam, ließ sich vor Gericht nicht mehr aufklären. Jedenfalls hatten Kriminelle von seinem Konto ebenso wie von den Konten zweier anderer Kunden Geld abgebucht und nach Osteuropa überwiesen. Er bleibt nun auf dem Schaden sitzen und bekommt ihn nicht von seinem Geldinstitut erstattet. Verklagen kann er nur die Kriminellen - wenn er sie findet und bei denen noch etwas zu holen ist.

Die Kölner Richter stellten nun klar, wann ein Kontoinhaber ein erhebliches Mitverschulden für diese „Phishing-Attacken“ hat (Az.: 9 S 195/07). Dabei stellten sie für die Besitzer von privaten Konten den Maßstab eines „verständigen, technisch durchschnittlich begabten Anwenders“ auf. Von diesem könne beim Online-Banking gefordert werden, dass er eine aktuelle Virenschutzsoftware verwende. Außerdem müsse er eine Firewall benutzen - also einen Schutzschild gegen Zugriffe von Hackern auf den eigenen Computer.

Kontoinhaber müssen Warnungen der Banken beachten

Doch bei diesen Anforderungen beließen es die Zivilrichter nicht. Ihrem Urteil zufolge müssen Anwender außerdem regelmäßig Sicherheits-Updates für ihr Betriebssystem sowie für die verwendeten Programme (Software) installieren. Darüber hinaus müsse ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder auf Anforderung per E-Mail herauszugeben. Das Landgericht hält es sogar für erforderlich, dass der Kunde „deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank“ erkennt. Als Beispiele nennen die Robenträger sprachliche Mängel, eine „deutlich falsche Internet-Adresse“, ferner Web-Adressen ohne den Vorsatz https:// sowie das Fehlen des Schlüsselsymbols in der Statusleiste, das eine geschützte Internet-Verbindung signalisiert.

Noch weitergehende Sicherheitsmaßnahmen hält das Landgericht aber nicht für Pflicht. Dazu zählt es ausdrücklich die „Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme“ oder spezialisierter Programme zum Schutz gegen bestimmte Schadsoftware. Auch müsse ein Verbraucher nicht die Standard-Sicherheitseinstellungen seines Betriebssystems und seiner Programme verändern, ebenso wenig müsse er ohne Administratorrechte arbeiten. Die Zertifikate der Web-Anbieter muss er ebenfalls nicht überprüfen. „Auch das Erkennen subtiler Abweichungen in der Internetadresse würde die Sorgfaltsanforderungen überspannen“, stellt das Kölner Landgericht fest.