Ende April hat der BGH entschieden, dass ein Bankkunde für einen Pharming-Angriff haften kann – obwohl er von einem Dritten ausgetrickst wurde. Das hat er (wieder einmal) zunächst per Pressemitteilung mitgeteilt. Seit Anfang letzter Woche liegt das Urteil nun im Volltext vor. Wir haben es uns einmal genauer angeschaut.
Der Kläger war Inhaber eines Girokontos bei der beklagten Bank. Das nutzte er unter anderem auch zum Online-Banking. Dabei bot sich ihm ein altbekanntes Szenario: Man gibt auf einer Login-Seite eine PIN ein, gelangt in den Online-Bereich, trägt Überweisungsdaten ein und bestätigt diese mit einer TAN. Auf der Webseite der Bank befand sich dazu der Hinweis:
Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im Banking auffordern!
Es kam, wie es kommen musste: Im Januar 2009 stellte der Kläger fest, dass 5.000 Euro von ihm auf dem Konto einer ausländischen Bank landeten. In einer Strafanzeige hatte er dazu angegeben:
Im Oktober 2008 (…) wollte ich ins Online-banking. Ich habe das Online-banking der (…)Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der (…)Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen.
Ein Täter konnte jedoch nicht ermittelt werden. Also versuchte der Kläger, das Geld auf dem Zivilrechtsweg von der Bank wiederzubekommen. Sein Argument: Diese Zahlung habe er keinesfalls veranlasst.
Ob das stimmte, ließ der BGH aber offen. Die Bank habe jedenfalls einen Schadensersatzanspruch über 5.000 Euro gegen den Kunden: Wer trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingebe, begehe einen Sorgfaltsverstoß. Mit diesem Ersatzanspruch konnte die Bank gegenüber dem Kunden aufrechnen – damit waren die Forderungen wieder ausgeglichen. Der Kläger ging so über alle drei Instanzen leer aus.
Eine Besonderheit des Urteils: Es beruht auf alter Rechtslage. In insgesamt 28 Paragraphen (§§ 675c bis 676c BGB) hat der Gesetzgeber Normen für Zahlungsdienste erlassen. Diese gehen auf eine EU-Richtlinie zurück, galten jedoch erst ab Oktober 2009. Danach muss ein Kunde mindestens grob fahrlässig handeln – nur dann hat die Bank einen Gegenanspruch (§ 675v Abs. 2 BGB).
Im vorliegenden Fall war die Richtlinie noch nicht umgesetzt: Es genügte es daher, dass der Kläger fahrlässig handelte. Und siehe da: Wer während des Logins zehn TANs eingibt, der handelt fahrlässig – selbst wenn man überhaupt nicht merkt, dass eine ausspähende Webseite dazwischen geschaltet ist, so der BGH. An diesem Punkt urteilt er sehr differenziert. Nicht weil, sondern wie man ausgetrickst wird, begründet den Fahrlässigkeitsvorwurf:
Der Vorwurf fahrlässigen Verhaltens gründet demnach nicht auf dem Umstand, dass der Kläger überhaupt Opfer eines Pharming-Angriffs geworden ist. Ein solcher Angriff dürfte im Regelfall schwer zu erkennen sein (…). Der Fahrlässigkeitsvorwurf beruht vielmehr darauf, dass der Kläger diesen Angriff trotz massiver Anhaltspunkte und Warnungen im Einzelfall nicht erkannt und diesbezügliche Verdachtsmomente ignoriert hat (…).
Ob die Bank auch nach neuer Rechtslage einen Gegenanspruch gehabt hätte, ist eine spannende Frage. Grobe Fahrlässigkeit liegt nur dann vor, wenn man die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße außer Acht lässt. Ob das der Fall ist, wenn man beim Login 10 TANs eingibt? Darüber kann man trefflich streiten. Was der BGH beiläufig feststellt, kann man als Argument dafür sehen: Man brauche „für den Zugang zum Online-Banking niemals eine, geschweige denn mehrere TAN, sondern alleine Kontonummer und PIN (…)“.
Eines hat das Urteil aber auch für die Zukunft für sich: Der BGH grenzt „Phishing” und „Pharming” deutlich voneinander ab:
[Phishing] bezeichnet die Täuschung eines Nutzers von Internetdiensten mithilfe technischer Manipulationen, um diesen zur Mitteilung vertraulicher Daten (meist PIN oder TAN) an einen Nichtberechtigten zu verleiten. Dazu wird der Nutzer durch einen verfälschten, meist in einer E-Mail mitgeteilten Link auf eine Internetseite geleitet, die einen vertrauenswürdigen Betreiber vortäuscht, so dass der Nutzer arglos geschützte Daten preisgibt (…). Demgegenüber ist der Kläger Opfer des sog. Pharming geworden. Hier ist der Angriff gegen die Auflösung einer Internetadresse gerichtet. Durch Manipulation der sog. Hosts-Datei auf dem Rechner des Nutzers oder durch Einsatz eines korrumpierten DNS-Servers wird der korrekte Aufruf der Website der Bank technisch in den Aufruf der betrügerischen Seite geändert (…).
– Hervorhebungen durch die Redaktion.
Für die Praxis heißt das: Beim „Phishing” lockt der Angreifer das Opfer aus der Reserve – man landet auf einer (theoretisch erkennbar) falschen Webseite. Beim „Pharming” wird die Browserfunktion manipuliert: Selbst wenn das Opfer die korrekte Webadresse eintippt, landet es trotzdem auf einer Betrügerseite.
Für die aktuelle Rechtslage gibt das Urteil eher wenig her. Interessant und spannend ist aber, dass der BGH explizit zwischen „Phishing” und „Pharming” unterscheidet. Nicht in allen Berichten zu dem Urteil trat dieser Unterschied hervor. Dabei kann er durchaus Auswirkungen haben – zum Beispiel, wenn man das Verschulden des Bankkunden bewerten muss.
Der BGH trägt damit gleichzeitig der technischen Entwicklung Rechnung. „Das klassische Phishing über E-Mail ist ein Auslaufmodell“, sagte damals denn auch Lars Neugebauer, Sicherheitsexperte beim IT-Branchenverband Bitkom.
Ein Urteil des LG Landshut nach neuer Rechtslage hat grobe Fahrlässigkeit selbst dann ausgeschlossen, nachdem der Bankkunde 100 TANs eingegeben hatte. Das erscheint auf Anhieb nur schwer nachvollziehbar. Ob derartige Rechtsprechung auch vor dem BGH Bestand haben wird, bleibt abzuwarten. Es kommt dabei (wie so oft) auf die Umstände des Einzelfalles an – nur danach lässt sich der konkrete Verschuldensmaßstab bestimmen. Ob ein solches Urteil also jemals Präzedenzcharakter erlangt, steht in den Sternen.
Man darf bei alledem nicht vergessen: Auch die Banken sind in der Pflicht. Reicht ein einfacher Warnhinweis auf der Login-Webseite? Technisch darf man vielleicht etwas mehr Bankenraffinesse erwarten. Beruhigend wirkt da nur, dass auch die Banken dem kriminellen Fortschritt standzuhalten scheinen: mit weiterentwickelten Verfahren zum Online-Banking.
Das Urteil im Volltext.
Jens Ferner ausführlich zur Pressemitteilung.