Phishing: Welche Methoden gibt es und wer haftet für Schäden?

24.11.2015, Redaktion Anwalt-Suchservice / Lesedauer ca. 4 Min. (214 mal gelesen)
Phishing: Welche Methoden gibt es und wer haftet für Schäden? © bloomua - Fotolia.com
Phishing bedeutet „Passwort Fishing“ und meint das unerkannte Abgreifen von Passwörtern fremder Nutzer im Onlinebanking oder bei anderen Online-Diensten. Nach wie vor arbeiten Kriminelle mit verschiedenen Varianten dieses Verfahrens.

Phishing – weiterhin eine Gefahr
Nach einer am 6.10.2015 veröffentlichten Statistik des Bundeskriminalamtes hat die Anzahl der Straftaten im Internet in letzter Zeit weiter zugenommen. Danach hat das BKA im Jahr 2014 knapp 50.000 Fälle von Cyberkriminalität registriert. Allerdings wird mit einer hohen Dunkelziffer von Fällen gerechnet, die nie zur Anzeige kommen – etwa weil sich die Opfer schämen, sie keinen Sinn in einer Anzeige sehen oder es sich nur um kleinere Beträge handelt. Allerdings: Beim Phishing liegt der durchschnittliche Schaden bei 4.000 Euro. Die Phishing-Fälle machten 2014 knapp 7.000 der Gesamtfälle aus. Nach Einführung des mTAN-Verfahrens ging das Phishing offenbar etwas zurück, dieser Effekt war jedoch nur von kurzer Dauer. Die zunehmende Nutzung von Smartphones sorgt dafür, dass die Sicherheitsmaßnahme „Trennung der Kommunikationswege PC und Handy“ nicht mehr funktioniert, da Online-Banking und TAN-Übermittlung vom gleichen Gerät aus stattfinden. Ein weiteres Problem ist die Vernetzung aller Geräte eines Nutzers untereinander. Diese sorgt dafür, auch alle Geräte mit einem eventuellen Virus infiziert sind und beim Betrug zusammenwirken.

Variante: Gefälschte Emails und Websites
Die älteste Variante ist der massenhafte Versand von Emails, die den Eindruck erwecken, von einem Geldinstitut oder Kreditkartenanbieter zu stammen (oder von Amazon, eBay, Paypal...). Hier gibt es zwei Untervarianten: Entweder wird der Nutzer unter irgendeinem Vorwand aufgefordert, sich auf der Seite des Unternehmens mit seinen Zugangsdaten anzumelden und dort schließlich eine TAN einzugeben, mit der eine Überweisung veranlasst werden kann. Die Seite, auf die er durch den Link in der Email gelangt, ist gefälscht. Oder er installiert durch das Anklicken der Email bzw. eines darin enthaltenen Links einen Trojaner auf seinem Gerät, der sich beim nächsten Onlinebanking zwischen Nutzer und Bank schaltet und – zum Beispiel – Geldsummen und Kontonummern verändern kann.

mTAN-Verfahren
Beim mTAN-Verfahren werden zwei Wege genutzt: Der Kunde loggt sich per Computer auf seinem Onlinebanking-Account ein, gibt seine Überweisungsdaten an und bestätigt diese mit einer TAN, die ihm die Bank auf seine dort hinterlegte Mobilnummer schickt. Auch dieses Verfahren bietet jedoch keine unfehlbare Sicherheit. So sind Fälle bekannt, in denen es Tätern gelungen ist, an die Mobilnummer des Opfers zu kommen. Sie baten damit in einem Handyladen des entsprechenden Anbieters um eine neue SIM-Karte, da die alte verloren gegangen sei. Diese bekamen sie – und konnten nun die TAN beim Online-Banking abfangen und damit eine eigene Transaktion durchführen. Zwar wird die Ausgabe neuer SIM-Karten inzwischen strenger kontrolliert. Aber: Dies ist nur eine Variante, mit der das Verfahren ausgetickst werden kann. Allerdings gilt die mTAN-Methode immer noch als sicherer als das früher übliche iTAN-Verfahren.

Den Täter verklagen?
Den Täter auf Schadensersatz zu verklagen, ist meist aussichtslos, da die verantwortlichen Personen nicht ermittelt werden können oder das Geld längst ins Ausland geflossen ist. Auch laufen viele derartige Aktionen über Strohmänner, die, selbst wenn man sie dingfest machen kann, keine Geldmittel zur Verfügung haben. Diese bezeichnet man auch als Finanzagenten – Menschen, die ihren Namen und ihre Kontonummer für Überweisungen zur Verfügung stellen und eintreffendes Geld dann gleich abheben, um es mit Bargeld-Transferdiensten wie Western Union ins Ausland zu schicken oder es schlicht dem Täter persönlich zu geben. Dafür erhalten sie einen meist geringen Anteil. Immerhin: Auch eine zivilrechtliche Klage gegen einen solchen Finanzagenten kann erfolgreich sein. So hatte sich in einem Fall aus Berlin ein Polizeibeamter dafür hergegeben. Das Amtsgericht Neukölln verurteilte ihn dazu, 90 Prozent des Schadens zu tragen (Urteil vom 1.9.2009, Az. 18 C 58/09). Auch das Landgericht Köln entschied in dieser Weise (Az. 9 S 195/07).

Haftung des Geldinstituts
§ 675v des Bürgerlichen Gesetzbuches begrenzt den Schaden des Bankkunden nach einem Phishing-Angriff auf 150 Euro – genauer, die Vorschrift begrenzt den Regressanspruch der Bank. Denn technisch gesehen hat der Kunde Anspruch auf Rückzahlung der Summe, deren Überweisung er in Wahrheit nicht autorisiert hat, aber die Bank kann ihn dann für den entstandenen Schaden in Regress nehmen. Die Haftungsbegrenzung gilt auch, wenn der Kunde seine Zugangsdaten nicht sorgfältig verwahrt hat. Sie gilt jedoch nicht, wenn er sich grob fahrlässig verhalten hat. Wann dies der Fall ist, ist eine Frage des Einzelfalles. In der Regel wird es zum Beispiel als grobe Fahrlässigkeit anzusehen sein, wenn z.B. auf Aufforderung der (gefälschten) Banking-Seite mehrere TANs hintereinander eingegeben werden. Allerdings gibt es vereinzelte Gerichte, die sogar die Eingabe einer kompletten TAN-Liste von 100 TANs nicht als grob fahrlässig ansehen wollen (Landgericht Landshut, Az. 24 O 1129/11). Auch mögliche Warnhinweise der Bank und deren Beachtung durch den Nutzer können eine Rolle spielen.