„Bitte geben Sie hier Ihre 100 TANs ein…“

Wir alle kennen sie: Alarmierende Emails von unserer vermeintlichen Bank, die uns über katastrophale Vorfälle informieren, die unmittelbares Handeln verlangen, sonst könnte unser Geld verloren gehen.

Die Links darin führen dann zu Seiten, die denen der jeweiligen Bank sehr ähnlich sehen, aber auf anderen Servern liegen. Dort sollen wir dann unser Banking-Passwort und TANs eingeben.

Wer bis zu diesem Punkt mitmacht, ohne sich zu wundern, woher die Bank denn wohl die Emailadresse hat, oder wie unrealistisch der geschilderte Sachverhalt ist, oder warum die URL auf einmal so komisch ist, muss mit einer baldigen Überweisung eines größeren Geldbetrags von seinem Konto in Richtung Nimmerwiedersehen rechnen – denn natürlich stammen weder Email oder Aufforderung, noch Seite von der Bank, sondern von Kriminellen.

Das Landgericht Landshut hat am 14.7. über einen Fall geurteilt, bei dem ein Phishing-Opfer nach Aufforderung 100 (in Worten: Einhundert) TAN-Nummern in eine Phishing-Seite getippt hat, ohne diese Aufforderung im Laufe des Eintippens einmal in Frage zu stellen – und daraufhin 6.000€ ärmer war. Die Bank weigerte sich, dafür zu haften – und das Phishing-Opfer klagte.

Das Gericht entschied, dass die „rudimentären Computerkenntnisse“ des Mannes, sowie seine nichtdeutsche Muttersprache zu berücksichten waren, und er daher nicht fahrlässig gehandelt habe (schließlich tat er, wie ihm geheißen). Die Bank muss die 6.000€ + Zinsen erstatten und die Kosten des Verfahrens tragen.

Hier das Urteil, gefunden bei der Arbeitsgruppe Identitätsschutz im Internet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

42 Ergänzungen

  1. richtig geurteilt meiner Meinung nach. Ich glaube so gut wie jeder Computer-Neuling würde auf so etwas hereinfallen, wenn man ihn/sie nicht speziell davor gewarnt hat.
    Deswegen finde ich auch, dass die Banken nicht ausreichend davor warnen. Am Ende sind es doch immer die PC-bewanderten Kinder/Enkel, die das übernehmen.

    1. Ja Genau!

      Und wenn ich meinen Autoschlüssel dem Nächsten der mich nett darum bittet in die Hand drücke, dann ist mein Autohändler dran Schuld!

      Einfach mal mitdenken im Alltag! Das kann doch nicht so schwer sein!

      1. Und wenn du zu deinem Automechaniker fährst und der nette Mann im Blaumann fragt dich nach deinem Schlüssel weil er deine Bremsen wechseln will?

      2. @ItsMe
        „Und wenn du zu deinem Automechaniker fährst und der nette Mann im Blaumann fragt dich nach deinem Schlüssel weil er deine Bremsen wechseln will?“
        In diesem Fall ist es aber eher so:
        Ein netter Mann im Blaumann klopft bei dir zu Hause an die Tür und sagt, dass dein Golf, der da vorne an der Straße steht, nicht genug Druck auf den Reifen hat, und wenn du ihm mal eben Schlüssel und Fahrzeugpapiere gibst, kann er das korrigieren.
        Und weil er ja wie ein Mechaniker aussieht und sogar das Modell deines Fahrzeuges wusste, muss er ja was offizielles sein.

      3. @cubei
        Das ist leider sogar eine Masche die vielleicht gehen könnte. Nicht gerade beim Auto, des Deutschen liebstes Kind, aber in einer ähnlichen Situation: „Hallo Frau Müller ihre Waschmaschiene hat den ganzen Keller geflutet die ist defekt die muss ich mitnehmen. Nein in den keller können Sie nicht da ist gerade mein Kollge und legt den trocken.“
        Ok wer will schon eine Waschmaschiene klauen aber nach dem Prinzip klappts leider viel zu oft.

  2. Was kann denn die Bank dafür??
    Und wenn ich im Urlaub einem Betrüger meine EC-Karte + PIN gebe (un schließlich getan habe, wie mir geheißen) bekomme ich das Geld auch von der Bank erstattet?

  3. Ähm, die Deutsche Justiz tickt doch nicht mehr ganz. Warum soll die Bank verantwortlich sein wenn sich ein Kunde dermaßen doof anstellt ?

    Selbstverantwortung wird bei uns anscheinend nicht mehr ernst genommen. Schade.

    Immerhin sind so die Banken dann mal gezwungen ein noch sicheres Verfahren zu entwickeln um diese phisherei endgültig zu unterbinden.

    1. Ganz einfach: Die bank ist erstmal dafür verantwortlich, das ihnen anvertraute Geld auch dem richtigen zu geben. Grundsätzlich.

      Gibt sie es dem falschen haftet sie.

      Lediglich wenn der Kunde fahrlässig gehandelt hat gibt es eine Ausnahme, der Kunde bleibt auf dem Schaden sitzen.

      Es ist aber eine idividuell zu stellende Frage, ob fahrlässiges handeln vorliegt.
      Fahrlässigkeit seitens des Kunden wurde vom Gericht verneint, daher bleibt autom. die haftung der Bank.

  4. Die Banken sollten demnächst bei Vertragsabschluss ueberpruefen ob die Kunden der deutschen Sprache maechtig sind. Immerhin reichten die Sprachkenntnisse ja zur Klage aus…

    1. Die spannende Frage ist eigentlich ob sie Kunden wegen Ihren schlechten Deutschkenntnissen ablehnen darf mit der Begründung das das Risiko zu groß ist.

  5. Manchmal halten die Gerichte den gemeinen Computernutzer für blöder als er in Wirklichkeit ist.
    Um 100 TAN freiwillig einzutippen, muß man schon deren König sein.

  6. Einerseits empfinde ich das Urteil als ziemlich ungerecht der Bank gegenüber, immerhin kann diese nichts für die scheinbar absolute Dummheit des Klagenden.
    Andererseits könnten die Banken auch mal damit aufhören ihre Kunden mit dem ganzen TAN/iTAN/mTAN..xTAN Quatsch zu verarschen und ALLEN HBCI anbieten!

    1. Jemand mit solchen Computerkenntnissen ist alleine schon bei der Installation und Einrichtung der HBCI-Software überfordert.
      Und wenn die Phishing-Seite (oder -Mail) dazu auffordert die HBCI-Datei irgendwo hochzuladen, dann wird das sicher auch gemacht.

  7. Was braucht man denn für Computerkenntnisse um auf die Idee zu kommen das die Bank eher anruft und nen Termin vereinbart wenn was ist ?
    Nicht-deutsche Muttersprache okay, das würde ich eventuell noch gelten lassen.

    „Unswissenheit schützt nicht vor Strafe“ … sieht man immer wieder …

    Meiner Meinung nach hätte der Kunde eigentlich noch mal ne Strafe wegen so einer Dummheit zahlen müssen.

  8. Ich staune immer wieder: Auto fahren tut man ja auch nicht, ohne dass man es auch wirklich kann. Oder auch bei allen beliebigen Geräten. Da macht man sich doch auch vorher mit der Funktionsweise bekannt.

    Erlebe aber immer wieder, dass das für Computer & online nicht gilt. Da wird dann einfach drauf los gefuhrwerkt und wenn der Rechner verseucht, das Konto leer ist, sind natürlich immer die anderen dran schuld…

  9. Wenn ich keine Ahnung habe, darf ich kein Onlinebanking oder sonst was machen.
    Aber gut zu wissen. Dummheit schützt also doch vor Strafe. Und wenn ich dann auch noch besoffen bin kann mir niemand mehr was anhaben. :D

  10. Ich denke, es zeichnet ein sehr schönes Bild der aktuellen Lage:

    Dieser „doofe“ Bankkunde ist leider der Normalfall eines Internetnutzers (wenn auch ein herausragender, zugegeben). Die „KiPo-Urheberrechts-Vorratsdatenspeicherungs“-Rabulistik unserer Supersonderspezialexperten aus Politik, Verwaltung und Wirtschaft fällt bei diesen Menschen auf extrem fruchtbaren Boden.

    Wer sich also fragt, warum die großen Pleiteparteien und Verfassungsgefährder immer wieder ans Ruder kommen: Hier ist die Antwort.

    Seine Stimme für Vorratsdatenspeicherung: Die CDU hat sie…

  11. Gewöhnt euch an sowas schon einmal. Der Bürger gibt ja immer mehr Verantwortung ab (beschützt mich! füttert mich! sorgt dafür, dass mir nichts schlechtes mehr passieren kann!). Hauptsache keine Verantwortung für sein Handeln übernehmen. Jemand der nicht über sich selbst bestimmen kann, oder (wie in diesem Fall) will, der WIRD fremdbestimmt. Der Typ hat sich mit seinem Verhalten mehr geschadet als geholfen.

  12. Wer unmengen an Personalkosten spart, indem er seine Kunden alle Bankgeschäfte von zu Hause machen lässt und dann seiner Aufklärungspflicht mit Kleingedrucktem und Werbeflyern nachzukommen glaubt, muss sich nicht wundern, wenn er am Ende für seine Fahrlässigkeit zahlen muss.
    Die Banken machen gute Geld mit dem Privatkundengeschäft. Ist da zu viel verlangt, dass der Berater am Schalter nicht nur die Anmeldeformulare ausfüllt, sondern auch die Sicherheitstipps erläutert? Mir wurde damals ein Flyer in die Hand gedrückt zusammen mit weiteren Flyern zu Bausparen, Altersvorsorge und Versicherungen. Dass dieser eine Flyer – im Gegensatz zum Werbematerial – wichtig sei, wurde nicht erklärt.
    Ich kann dieses Urteil daher nur begrüßen!

  13. Gut, dass die Justiz auch mal Gnade vor Recht ergehen lassen kann. 6kEUR sind für die Bank doch eher zu verschmerzen, als für den Durchschnittskunden, oder? Der Betroffene hat sicher was gelernt, Häme oder „Selber schuld!“-Geunke ist also nicht angebracht.

    1. Richtig, der Betroffene hat etwas gelernt.
      Und zwar dass ihm nichts passiert solange er sich einfach nur möglichst dumm anstellt.

  14. Das Urteil zu lesen hätte hier manchem Kommentar größtenteils den Wind aus den Segeln genommen. Es ist differenzierter als von Linus in der kurzen Wiedergabe dargestellt. Durchaus ist darin die Rede von einem Verschulden des Phishing-Opfers in dem Sinne, dass er fahrlässig gehandelt habe. Das Gericht setzt aber so an, dass die einschlägigen Vorschriften hierzu eine grobe Fahrlässigkeit voraussetzen, die sich in deutlichem Maße von ‚einfacher‘ Fahrlässigkeit unterscheiden müsse.
    Daraufhin wird ausgeführt, dass grobe Fahrlässigkeit in der gängigen Praxis einer objektiven und einer subjektiven Erfüllung bedarf. So macht sich das Gericht dann daran, den Fall durchzuspielen.
    Das Ergebnis lautet dann: Fahrlässigkeit seitens des Bankkunden ist gegeben, aber keine grobe. Objektiv scheint das Gericht die Bedingunen der groben Fahrlässigkeit zwar erfällt anzusehen, wenn ich es richtig verstehe. Da aber auch subjektiv die grobe Fahrlässigkeit gegeben sein muss, lehnt das Gericht es in diesem Fall ab. Die Begründung liegt in einer Mischung aus der geschickten Gestaltung der Phishing-Attacke, dem fahrlässigen, aber nicht überaus grob fahrlässigem Verhalten des Opfers. Da das Opfer durch den Trojaner erst nach Anmeldung im Webportal der Bank zur Eingabe aufgefordert wurde und auch mehrmals versuchte, die Aufforderung der PIN-Eingabe zu vermeiden, lässt das Gericht darauf schließen, das Opfer habe subjektiv mit Recht annehmen dürfen, dass die geschickte Phishing-Attacke legitim war.
    So blieb der Bank dann nur noch, darauf zu verweisen, dass der Kunde ja auch noch alternative, sicherere Angebote der Bank hätte nutzen können. Das erkennt das Gericht allerdings nicht als eine grob fahrlässige Handlung an, da der Kunde davon ausgehen dürfe, dass ein normales iTAN-Verfahren ausreichend sicher sei, solange die Bank es nicht abgeschafft habe.

    Also: Alle die hier den Untergang der Eigenverantwortung oder des Rechtssystems oder auch ein Verschwörung zugunsten des unterpriviligierten Plebs sehen, hätten leicht erkennen können, dass dieses Urteil ein Einzelfallurteil ist, dass anscheinend nur schlüssig bestehende Gesetze umsetzt. Hätte das Gericht die bestehenden Normen zur Unterscheidung der objektiven wie subjektiven Unterscheidungsmerkmale der ‚einfachen‘ und groben Fahrlässigkeit nicht angewandt, wäre dies ein weit schwerwiegenderes Problem gewesen, da die Judikative die Legislative ausgehebelt hätte.

  15. das thema ist mittlerweile jedem denkenden menschen in D ein begriff. nur um clickzahlen hochzutreiben hier schonwieder auf diese bekannte problematik einzugehen bring nach dem PANDA update von google rein garnichts mehr. Und mal im ernst, wenn ich was über sicherheit im netz lesen möchte, dann unter garantie nicht hier!

  16. Also ich denke, dass langsam die Zeit gekommen ist, wo man nicht mehr alles machen darf und dann sich entschuldigt à la „Hab ich ja nicht gewusst“. Das geht in anderen Bereichen auch nicht – nur im Internet ist es möglich.
    Weil hier das Beispiel mit dem Automechaniker kam: Wenn der meinen Kilometerzähler frisiert – muss den Schaden dann auch der Autohersteller zahlen?

  17. Also das die Bank meine E-Mail Adresse hat, ist nichts besonderes. Ich bekomme da regelmäßig nen (gewünschten) Newsletter sowie (gewünschte und selbst definierte) Benachrichtigungen bei bestimmten Kontoständen und Geldeingängen.

  18. Kann mir wer erklären, warum auf dem Screenshot der Phishing-Seite eine offensichtlich legitime Sparkassen-URL aufgerufen wurde und zwar auch noch über HTTPS mit einem Extended-Validartion-Zertifikat, das die Identität der Sparkasse bestätigt?

  19. Ich würde so viel Dummheit auch nicht für möglich halten, wenn ich es nicht im eigenen Bekanntenkreis mal erlebt hätte. Da wurden nach und nach in einer Sitzung 30 TANs abgegriffen mit der Begründung, dass eine Störung aufgetreten wäre. Die Begründung, warum derjenige nicht misstrauisch wurde: Er hat seiner Bank schlicht zugetraut, sich so bürokratisch zu verhalten, die ganzen TANs abzufragen, bevor der Zugang wieder freigegeben würde. Die Bank hat übrigens anstandslos Ersatz geleistet für das Geld, das tatsächlich abgezweigt wurde.

  20. Ergänzung zu meinem Kommentar:

    Eines fällt doch aber bei dem Bild auf … die schlechte Rechtschreibung und Grammatik. Fällt soetwas heute keinem mehr auf wenn er einen Text liest. Spätestens dann würde ich doch stutzig werden wenn eine Bank solche Böcke schiesst …

  21. ich möchte nochmal unterstreichen, dass es sich hierbei offensichtlich nicht um eine Phining-Attacke per Mail gehandlet hat.

    „Bei Aufruf der Internetseite der Beklagten für Zwecke des Online-Bankings öffnete sich während des Authentifizierungsvorgangs eine gefälschte Internetseite, die der Internetseite der Beklagten in Text, Funktion und Aussehen äußerlich ähnlich sah.“

    „Die gefälschte Internetseite wurde jedoch durch Schadsoftware (Trojaner) mit der Bezeichnung SpyEye erzeugt. Diese erzeugte, nachdem sie auf den Rechner des Klägers gelangt war, beim Einloggen in die Online-Banking-Sitzung die TAN-Abfrage,“

  22. das problem ist doch, dass beim onlinebanking (zumindest bei den banken, die ich nutze) seit jahren die sicherheitsstandards nicht angehoben werden. warum bin ich immer noch auf ein login angewiesen, welches auf jedem meiner briefbögen steht – meine kontonummer? warum legt die bank fest, dass ich ein exakt fünfstelliges und ausschließlich alphanumerisches kennwort nutzen darf? warum schickt mir die bank einen zettel mit nummern zu, mit denen ich mich bei überweisungen identifizieren muss, ohne kontrollieren zu können, wer die vor mir schon so in der hand hatte? warum zahle ich für das alternative sms-tan-verfahren 10ct gebühren pro überweisung für einen service, den >>EINE BANK<< maximal ein husten im jahr kosten sollte? warum sind die user-interfaces der onlinebanking-portale immer noch so unergonomisch und lapidar gesagt zum kotzen hässlich wie vor 10 jahren? jeder freemailer ist einfacher zu bedienen. das alles zeigt uns, dass die banken es nicht nötig haben, hier auch nur eine müde mark zu investieren, denn sie haben uns in der hand, nicht wir sie. auch wenn die kanzlerin uns ständig was anderes erzählen möchte. ich schweife ab. jedenfalls wundert es mich überhaupt nicht, dass solche fälle passieren. sicherheit und ergonomie wird jedenfalls beim onlinebanking von deutschen banken nicht besonders groß geschrieben.

  23. Ich versuche seit einiger Zeit herauszufinden, wie die Haftung beim Phishing genau liegt. Im Internet findet sich dazu vieles:

    https://www.recht-freundlich.de/category/phishing-online-banking

    https://das.de/de/rechtsportal/aktuelles-recht/gewerbeinformation/phishing–wer-haftet.aspx

    Soweit ich es verstehe, haftet der gehackte Bankkunde nur, wenn ihm grobe Fahrlässigkeit zur Last gelegt werden kann? Wenn nicht, muss die Bank alles erstatten. Ist das so in etwa richtig? Dazu wäre mal ein ordentlicher beitrag nötig…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.