Aufträge & Kundengewinnung, Selbständigkeit & Wirtschaft, Ideen & Kontakte

• About this group
• Forums

• Home
• Groups
• Aufträge & Kundengewinnung, Selbst ...
• Forums
• Darf man das?
• Bundesgerichtshof zu Pharming-Angriffen im Online-Banking - 5000 Euro sind weg, wenn 10 TAN hintereinander eingegeben wurden

• 
  Jürgen Auer    Premium Member   Group moderator

  The company name is only visible to registered members.

  24 Apr 2012, 9:03 pm

  Bundesgerichtshof zu Pharming-Angriffen im Online-Banking - 5000 Euro sind weg, wenn 10 TAN hintereinander eingegeben wurden

  Liebe Gruppenmitglieder,
  
  vom Bundesgerichtshof gab es heute ein Urteil zu einem Thema, das wohl jeden von uns betrifft:
  
  Sicherheit im Online-Banking:
  
  
  Bundesgerichtshof zu Pharming-Angriffen im Online-Banking
  
  http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/doc...
  
  Urteil vom 24. April 2012 - XI ZR 96/11
  
  
  Da hat ein Kunde seit 2001 am Online-Banking teilgenommen. Die Bank bot das iTAN-Verfahren an, die Transaktion mußte also mit genau einer iTAN freigeschaltet werden.
  
  
  Es gab einen expliziten Hinweis auf der Login-Seite der Bank:
  
  In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:
   
  "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"
  
  Die Sachlage:
  
  Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:
   
  "Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."
  
  Der Kunde hatte die Bank auf Rückerstattung der 5000 Euro verklagt. Diese Klage wurde abgewiesen:
  
  Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
  
  Es gibt zwar inzwischen ein neues Gesetz, aber das griff in diesem Fall noch nicht:
  
  Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.
  
  Inzwischen geht so etwas kaum mehr, sofern Sie nicht mehr die iTAN, sondern bsp. die ChipTAN nutzen.
  
  
  Bei Heise finden sich weitere Hinweise:
  
  http://www.heise.de/newsticker/meldung/BGH-Kein-Schadensersa...
  
  U.a. den, daß Phishing-Attacken kaum mehr gegen Banken gehen, zu kompliziert wird das, wenn die ChipTAN genutzt wird. Stattdessen geht das gegen soziale Netzwerke und Ziele wie Online-Kasinos und Pokerseiten.
  
  
  Bei der Welt
  
  http://www.welt.de/finanzen/verbraucher/article106222482/Fah...
  
  vertreten Verbraucherschützer die Meinung, daß es sich bei dem verhandelten Fall sogar um grobe Fahrlässigkeit handeln würde.
  
  Und der Internetverband Bitkom empfielt, sofort die Bank zu benachrichtigen. Wenn die Überweisung noch nicht zu alt sei, könne das Geld manchmal noch zurückgeholt werden.
  
  
  Es gibt einen Schlußsatz in der oben verlinkten Pressemitteilung:
  
  Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.
  Das ist etwas, das ich auch immer nutze: Die maximale Summe einschränken. Dann hätte die Banksoftware einen zu hohen Betrag abgeblockt.
  
  
  Viele Grüße
  Jürgen Auer
  
  Jürgen Auer wrote: > Liebe Gruppenmitglieder, > > vom Bundesgerichtshof gab es heute ein Urteil zu einem Thema, das > wohl jeden von uns betrifft: > > Sicherheit im Online-Banking: > > > Bundesgerichtshof zu Pharming-Angriffen im Online-Banking > > http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=pm&Datum=2012&Sort=3&nr=60048&pos=0&anz=50 > > Urteil vom 24. April 2012 - XI ZR 96/11 > > > Da hat ein Kunde seit 2001 am Online-Banking teilgenommen. Die Bank > bot das iTAN-Verfahren an, die Transaktion mußte also mit genau einer > iTAN freigeschaltet werden. > > > Es gab einen expliziten Hinweis auf der Login-Seite der Bank: > > > In der Mitte der Log-In-Seite des Online-Bankings der Beklagten > > befand sich folgender Hinweis: > > > > "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails > > in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar > > Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals > > auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie > > niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!" > > > Die Sachlage: > > > Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe > > seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein > > Konto bei einer griechischen Bank überwiesen. Der Kläger, der > > bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. > > Januar 2009 Strafanzeige und gab Folgendes zu Protokoll: > > > > "Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich > > ins Online-banking. Ich habe das Online-banking der … Bank > > angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der > > Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... > > Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. > > Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz > > und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich > > schon von der Bank hatte, in die Felder chronologisch eingetragen. > > Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe > > dann unter Verwendung einer anderen Tan-Nummer eine Überweisung > > getätigt." > > > Der Kunde hatte die Bank auf Rückerstattung der 5000 Euro verklagt. > Diese Klage wurde abgewiesen: > > > Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen > > Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der > > korrekte Aufruf der Website der Bank technisch in den Aufruf einer > > betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte > > hat die so erlangte TAN genutzt, um der Bank unbefugt den > > Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der > > Bank durch seine Reaktion auf diesen Pharming-Angriff > > schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche > > Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also > > nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des > > ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN > > eingegeben hat. > > > Es gibt zwar inzwischen ein neues Gesetz, aber das griff in diesem > Fall noch nicht: > > > Für die Haftung des Kunden reicht im vorliegenden Fall einfache > > Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte > > Haftung des Kunden bei missbräuchlicher Nutzung eines > > Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober > > Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten > > ist. > > > Inzwischen geht so etwas kaum mehr, sofern Sie nicht mehr die iTAN, > sondern bsp. die ChipTAN nutzen. > > > Bei Heise finden sich weitere Hinweise: > > http://www.heise.de/newsticker/meldung/BGH-Kein-Schadensersatz-fuer-Phishing-Opfer-1557840.html > > U.a. den, daß Phishing-Attacken kaum mehr gegen Banken gehen, zu > kompliziert wird das, wenn die ChipTAN genutzt wird. Stattdessen geht > das gegen soziale Netzwerke und Ziele wie Online-Kasinos und > Pokerseiten. > > > Bei der Welt > > http://www.welt.de/finanzen/verbraucher/article106222482/Fahrlaessiges-Online-Banking-wird-hart-bestraft.html > > vertreten Verbraucherschützer die Meinung, daß es sich bei dem > verhandelten Fall sogar um grobe Fahrlässigkeit handeln würde. > > Und der Internetverband Bitkom empfielt, sofort die Bank zu > benachrichtigen. Wenn die Überweisung noch nicht zu alt sei, könne > das Geld manchmal noch zurückgeholt werden. > > > Es gibt einen Schlußsatz in der oben verlinkten Pressemitteilung: > > > Einen die einzelne Transaktion unabhängig vom Kontostand > > beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart. > > Das ist etwas, das ich auch immer nutze: Die maximale Summe > einschränken. Dann hätte die Banksoftware einen zu hohen Betrag > abgeblockt. > > > Viele Grüße > Jürgen Auer