https://www.faz.net/-gv6-wftm

Urteil : Kontoinhaber haften bei Phishing

  • -Aktualisiert am

Online-Banking Kunden müssen eine Virenschutzsoftware und Firewall benutzen Bild: AP

Das Landgericht Köln hat entschieden, dass Online-Banking einen Virenschutz erfordert. Bankkunden müssen für einen ausreichenden Schutz vor Betrügern sorgen. Sonst können sie das Geld nicht von der Bank zurückfordern - sondern allenfalls von dem Straftäter.

          2 Min.

          Kontoinhaber, die zu Hause oder im Büro Online-Banking betreiben, müssen selbst für einen ausreichenden Schutz vor Computerbetrügern sorgen. Sonst müssen sie den finanziellen Schaden tragen, der ihnen durch den Diebstahl ihrer Zugangsdaten für elektronische Überweisungen entsteht. Das ergibt sich aus einem Urteil des Landgerichts Köln, das jetzt in der Internetzeitschrift JurPC veröffentlicht worden ist.

          Diese Straftaten sind mittlerweile unter dem Namen „Phishing“ (Passwort-fischen) bekannt. Das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik warnen regelmäßig vor solchen Machenschaften. Meist werden dabei massenhaft Spam-Mails mit der Aufforderung zur Eingabe von Passwörtern verschickt, die vorgeblich von der Hausbank des Kontoinhabers stammen, oder von Straftätern Websites von Geldinstituten vorgetäuscht. Oft werden die erbeuteten Beträge weiter ins Ausland verschoben; wer dabei mitwirkt, kann sich dann sogar wegen Geldwäsche strafbar machen.

          Phishing-Opfer blieb auf Schaden sitzen

          Bei dem Rechtsstreit ging es um einen Bankkunden, dessen Kontodaten nebst persönlicher Identifikationsnummer (PIN) sowie der erforderlichen Transaktionsnummer (TAN) von unbekannten Tätern ausspioniert worden waren. Ob dies beispielsweise durch einen Computervirus zustande kam, ließ sich vor Gericht nicht mehr aufklären. Jedenfalls hatten Kriminelle von seinem Konto ebenso wie von den Konten zweier anderer Kunden Geld abgebucht und nach Osteuropa überwiesen. Er bleibt nun auf dem Schaden sitzen und bekommt ihn nicht von seinem Geldinstitut erstattet. Verklagen kann er nur die Kriminellen - wenn er sie findet und bei denen noch etwas zu holen ist.

          Klau von Kontodaten im Netz - ein Massenproblem
          Klau von Kontodaten im Netz - ein Massenproblem : Bild: ddp

          Die Kölner Richter stellten nun klar, wann ein Kontoinhaber ein erhebliches Mitverschulden für diese „Phishing-Attacken“ hat (Az.: 9 S 195/07). Dabei stellten sie für die Besitzer von privaten Konten den Maßstab eines „verständigen, technisch durchschnittlich begabten Anwenders“ auf. Von diesem könne beim Online-Banking gefordert werden, dass er eine aktuelle Virenschutzsoftware verwende. Außerdem müsse er eine Firewall benutzen - also einen Schutzschild gegen Zugriffe von Hackern auf den eigenen Computer.

          Kontoinhaber müssen Warnungen der Banken beachten

          Doch bei diesen Anforderungen beließen es die Zivilrichter nicht. Ihrem Urteil zufolge müssen Anwender außerdem regelmäßig Sicherheits-Updates für ihr Betriebssystem sowie für die verwendeten Programme (Software) installieren. Darüber hinaus müsse ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder auf Anforderung per E-Mail herauszugeben. Das Landgericht hält es sogar für erforderlich, dass der Kunde „deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank“ erkennt. Als Beispiele nennen die Robenträger sprachliche Mängel, eine „deutlich falsche Internet-Adresse“, ferner Web-Adressen ohne den Vorsatz https:// sowie das Fehlen des Schlüsselsymbols in der Statusleiste, das eine geschützte Internet-Verbindung signalisiert.

          Noch weitergehende Sicherheitsmaßnahmen hält das Landgericht aber nicht für Pflicht. Dazu zählt es ausdrücklich die „Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme“ oder spezialisierter Programme zum Schutz gegen bestimmte Schadsoftware. Auch müsse ein Verbraucher nicht die Standard-Sicherheitseinstellungen seines Betriebssystems und seiner Programme verändern, ebenso wenig müsse er ohne Administratorrechte arbeiten. Die Zertifikate der Web-Anbieter muss er ebenfalls nicht überprüfen. „Auch das Erkennen subtiler Abweichungen in der Internetadresse würde die Sorgfaltsanforderungen überspannen“, stellt das Kölner Landgericht fest.

          Weitere Themen

          Topmeldungen

          Der Himmel über Berlin am Abend des 28. Oktober

          Massive neue Einschränkungen : Die Welle brechen

          Um eine weitere Explosion der Infektionszahlen zu verhindern, ergreifen Kanzlerin und Ministerpräsidenten drastische Maßnahmen – obwohl selbst Virologen dazu unterschiedlicher Auffassung sind. Was bleibt offen, was muss schließen?
          Friedrich Merz am Dienstag in Eltville am Rhein

          Friedrich Merz’ Wutausbruch : Authentisch oder nur gespielt authentisch?

          Hat Friedrich Merz mit seinem Wutausbruch gegen das CDU-„Establishment“ die Dinge einfach nur beim Namen genannt, wie es sich in Demokratien gehört? Über einen eventuell doch sehr taktischen Gebrauch von Empörung in der Politik.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.