Phishing und die zivilrechtliche Relevanz

5 min.

Der Fernabsatzmarkt ist riesig. Allein seit 2014 verbuchen Waren im E-Commerce 52% Wachstum (Stand: 2018). Allerdings steigen kohärent auch die Zahlen der Betrugsfälle, insbesondere durch sogenannte „Phishing“-Attacken.

Doch was genau bedeutet Phishing überhaupt und wie sind diese betrügerischen Aktivitäten zivilrechtlich einzuordnen?

Phishing: Die gängigen Methoden

Dem Begriff Phishing werden mittlerweile eine Vielzahl von Betrugsmaschen zugeordnet.

Das klassische Phishing

Bei dieser Methode sendet der Täter einem Internetnutzer eine E-Mail, die als Nachricht eines vertrauenswürdigen Partners, etwa von Amazon, der eigenen Bank oder auch Facebook, erscheint. In dieser wird der Nutzer aufgefordert, auf einen Hyperlink zu klicken und sich anschließend auf einer entsprechenden Website mit seinen Nutzerdaten anzumelden. Dabei wird er nun jedoch nicht auf die echte Website von Amazon, der Bank oder Facebook geleitet, sondern auf eine täuschend echte Website des Täters.

Jede Eingabe auf der falschen Website wird anschließend vom Täter gespeichert. Hat der Nutzer auf einer falschen Banking-Website also PIN und TAN eingeben, befinden sich diese Informationen in den Händen des Täters, der damit Überweisungen zu Lasten des Kontos vornimmt.

Diese Überweisungen erfolgen häufig auf ein deutsches Konto eines Kuriers. Dieser hebt das Geld von seinem Konto ab und transferiert es an die Täter.

Pharming

Beim Pharming oder auch DNS-Spoofing werden geheime Daten ohne jegliche Tätigkeit des Nutzers ausgespäht. Diese Methode setzt beim Domain-Name-System des Internets an, welches die Domains den numerischen IP-Adressen von Websites zuordnet.

Die Zuordnung erfolgt durch von DNS-Servern verwaltete Tabellen, auf die der Browser beim Aufruf einer Website zugreift. Diese Zuordnungstabellen werden beim Pharming verfälscht. Dadurch wird der Nutzer beim Aufruf einer bestimmten Seite automatisch auf die gefälschte Seite des Täters gelenkt. Dieser enthält dann wie beim Phishing alle eingegebenen Daten.

Keylogger

Beim Keylogging versucht der Täter, einen Trojaner auf dem Computer des Nutzers zu platzieren, welcher sämtliche Tastatureingaben protokolliert und die Ergebnisse an den Täter weiterleitet. Somit kann dieser sämtliche über die Tastatur eingegebenen Informationen abrufen. Dazu gehören nicht zuletzt auch die Passwörter der infizierten Rechner. Häufig können die Keylogging-Trojaner nicht nur protokollieren, sondern dazu auch verhindern, dass Informationen, etwa eine TAN, versandt werden. Damit erlangt der Täter zusätzliche Kenntnis ungenutzter TAN.

Aktive Angriffe

Immer häufiger greifen die Betrüger zu aktiven Maßnahmen, den sog. Man-in-the-Middle-Angriffen. Dabei schalten sie sich in die Kommunikation zweier Internetnutzer ein und manipulieren diese, indem die abgefangenen Daten sogleich verfälscht an den Empfänger weitergeleitet werden. Die besondere Gefährlichkeit dieser Angriffe ergibt sich daraus, dass durch diese Technik viele der aktuellen Schutzmaßnahmen gegen Phishing, wie etwa das TAN-Verfahren, überwunden werden können. Schließlich könnte der Man-in-the-Middle eine vom Nutzer vorgenommene Überweisung ändern und diesen die nachfolgend abgefragte TAN selbst eingeben lassen.

Zivilrechtliche Relevanz

Wie ist es zu werten, wenn ein unberechtigter Dritter – mittels eines erschlichenen Passworts – Zugriff auf ein Mitgliedskonto erhält und im Namen des eigentlichen Nutzers Handlungen vornimmt. Der Geschäftspartner (Bank, Amazon, eBay etc.) wird zunächst davon ausgehen, dass die elektronisch übermittelte Nachricht echt ist und von der Person stammt, der das Passwort zugeordnet ist.

In einem Prozess trägt dieser Geschäftspartner dann die Beweislast für die Echtheit der Erklärung. Da der volle Beweis allerdings oft nicht möglich sein wird, ist in der Praxis entscheidend, ob ein Anscheinsbeweis der Echtheit gelingt. Dabei sind die PIN/TAN-Verfahren und einfache Passwort-Verfahren zu unterscheiden.

PIN/TAN-Verfahren (wohl auch Zwei-Faktor-Authentifizierung [2FA])

Bisher wurden für diese Verfahren die entsprechenden Grundsätze, die zur EC-Karte und PIN entwickelt wurden, angewandt. Demnach besteht bei der Verwendung von einer EC-Karte und PIN an einem ordnungsgemäß funktionierenden Geldautomaten ein Anschein dahin, dass entweder der Kunde die Verfügung vorgenommen oder die Karte inklusive PIN weitergegeben hat; oder der Kunde dem Täter die Kenntnis der PIN durch grob fahrlässige Verletzung der Geheimhaltungspflicht ermöglicht hat.

Dazu entschied der BGH am 26.01.2016, dass für eine Anwendung der Grundsätze des Anscheinsbeweises auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion feststehen muss. Ebenfalls lehnte der Bundesgerichtshof einen Anscheinsbeweis bezüglich einer konkret grob fahrlässigen Pflichtverletzung des Nutzers auch dann ab, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist.

Zur Erschütterung des Beweises müsse der Nutzer keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument vortragen und beweisen, sondern kann sich auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvorgang sprechen.

Darüber hinaus äußerte der BGH erhebliche Zweifel zu einer Anwendung der Grundsätze über Anscheinsvollmachten, falls dem Nutzer die missbräuchliche Verwendung seines Kontos bekannt war oder er es hätte erkennen können.

Allerdings wurde im Falle eines Pharming-Angriffs eine fahrlässige Handlung des Opfers angenommen, als dieses beim Log-In-Vorgang trotz ausdrücklicher Warnhinweise gleichzeitig zehn TAN eingab.

Einfaches Passwort-Verfahren

Oftmals werden – auch heute noch – Mitgliederkonten lediglich durch ein einfaches Passwort geschützt. Bei diesem Verfahren müssen freilich andere beweisrechtliche Grundsätze gelten, schließlich fehlt in diesen Fällen ein doppelter Authentifizierungsschutz. Hier ist es bereits sehr umstritten, ob überhaupt ein Anschein für die Echtheit einer elektronisch übermittelten Erklärung besteht. Schließlich fehle es an einem für die Annahme eines Anscheinsbeweises erforderlichen typischen Geschehensablauf. Denn der Sicherheitsstandard im Internet sei derzeit nicht ausreichend, um aus der Verwendung eines geheimen Passworts auf denjenigen als Verwender zu schließen, dem dieses Passwort ursprünglich zugeteilt worden ist, so die ganz überwiegende Rechtsprechung.

An dieser Rechtsansicht wird sich in Anbetracht der heutigen Sicherheitslage und den weiter voranschreitenden Methoden der Hacker wohl kaum etwas ändern.