Phishing und Schaden beim Online-Banking

[hera]

http://www.polizei-beratung.de/vorbe...rnet/phishing/

wenn der bankkunde seine daten rausgibt, sein pech ....

[Humungus]

Zitat:

Zitat von hera

wenn der bankkunde seine daten rausgibt, sein pech ....

Langsam, hera, ganz so einfach ist es nicht mehr. Bei fortgeschrittenem Phishing setzt sich der Hacker zwischen Kunde und Bankseite. Dem Kunden ist dann nicht mehr möglich zu merken, was los ist. Nur, wenn der Kunde auf die übliche Mail gutgläubig TANs eingibt, hat er verloren. Das muss hier im SV genau geprüft werden.

[hera]

@humi:
der kunde hat die möglichkeit zu prüfen, ob er auf einer sicheren www-seite gelandet ist: die banken-seiten haben im allgemeinen ein sicherheitszertifikat (wird im browserfenster angezeigt) - oder sie können extra finanzsoftware verwenden, dort gibt es zusätzliche sicherheitskriterien ...

[JulienS]

@hera:
In diesem Fall z.B. wurden die Daten mit einem eingearbeiteten Fenster ausgespäht. Der Betrug war unerkennbar, die Seite der Bank scheinte gesichert zu sein: https, Schlossymbol geschlossen, grüne Adressleiste.
Sogar die Online-Sicherheit der Bank bestätigt in diesem Fall, dass der Kunde den Betrug nicht merken konnte. Der Filialleiter bestätigt, dass es eine Fälschung des Überweisungsauftrages gab.
Die Daten wurden nicht willentlich zum "Man in the middle" weitergeleitet. Das wurde alles schon mal geurteilt.

[JulienS]

Übrigens geht die Bank das Risiko ein, dass die Kunden keine IT-Experte sind. Die Bank will durch das Online-Banking Personalkosten einsparen, selber schuld. Die Hinweise und Informationen der Bank über die Computersicherheit haben kein Vertragscharakter (Gesetz).

[2much]

Zitat:

Zitat von JulienS

In diesem Fall z.B. wurden die Daten mit einem eingearbeiteten Fenster ausgespäht. Der Betrug war unerkennbar, die Seite der Bank scheinte gesichert zu sein: https, Schlossymbol geschlossen, grüne Adressleiste.
Sogar die Online-Sicherheit der Bank bestätigt in diesem Fall, dass der Kunde den Betrug nicht merken konnte. Der Filialleiter bestätigt, dass es eine Fälschung des Überweisungsauftrages gab.

Daraus ergibt sich für mich noch kein Verschulden der Bank. Es scheint vielmehr durchaus möglich zu sein, dass ein Verschulden des Kunden vorliegt. Zum Beispiel dann, wenn der Kunde seinen Rechner nicht abgesichert hat und dann plötzlich von seinem Rechner aus eine gefälschte Seite aufgerufen wird. Anders sieht es aus, wenn die Seiten der Bank selbst durch einen Kriminellen manipuliert wurden.

[Humungus]

Zitat:

Zitat von 2much

Zum Beispiel dann, wenn der Kunde seinen Rechner nicht abgesichert hat und dann plötzlich von seinem Rechner aus eine gefälschte Seite aufgerufen wird. Anders sieht es aus, wenn die Seiten der Bank selbst durch einen Kriminellen manipuliert wurden.

Diese Diskussion über die technischen Details hatten wir im entsprechenden ersten Thread des TE schonmal. Bitte nicht wieder. Lieber da weiterdiskutieren.

[JulienS]

Es gibt zwei Sachen: die Sicherheit des Computers und der Überweisungsauftrag. Die Sicherheit des Computers, das kann diskutiert werden:

Im Ergebnis kann die Bank von ihren Kunden erwarten, dass diese einem den allgemeinen, an dem Verhalten eines durchschnittlichen PC-Benutzers orientierten Personalcomputer für die Benutzung des Online-Banking verwenden (so auch Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 354). Auch Erfurth (WM 2006, 2198, 220) verlangt „das zur Nutzung des Mediums notwendige Wissen, aber gerade kein fachspezifisches IT-Hintergrundwissen“ Eine irgendwie geartete Absicherung des Computers ist daher zu erwarten (so auch Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 358; kundenfreundlicher jedoch Kind/Werner, CR 2006, 353 ff.). Hierbei ist jedoch zu beachten, dass das Kreditinstitut grundsätzlich das Risiko des Missbrauches der Sicherungsmedien trägt und dies nicht umfassend auf den Kunden abwälzen kann.
Übrigens liegt es „in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb kann auch ein regelmäßig aktualisiertes Schutzprogramm keine Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird (so auch AG Wiesloch, Urteil vom 20. Juni 2008 – 4 C 57/08).“
"Bei der Konkretisierung des Maßstabes ist weiterhin zu beachten, dass die Beklagte im Interesse einer vereinfachten Abwicklung und der Einsparung von Personalkosten weitgehend den Nutzern das Online-Banking zur Verfügung stellte. Auch ist dem Abteilungsrichter aus seiner Tätigkeit als Staatsanwalt gerichtsbekannt, dass viele Personen einen als sorglos zu bezeichnenden Umgang mit den Gefahren des Internet pflegen und durch die immer benutzerfreundlichere Ausgestaltung der Personalcomputer und der Internetanwendungen kaum ein ernstzunehmendes Fachwissen besitzen müssen, um Online-Banking zu betreiben. Letztlich ist es die unternehmerische Entscheidung der Bank, diesen Personen das Online-Banking zur Verfügung zu stellen, was sich auf die anzuwendenden Sorgfaltsanforderungen auswirkt." (offizielles Urteil)
Es ist ja klar, dass jedes System infeziert/gecrackt sein kann, auch wenn die Anti-Viren-Programm und Firewall aktuell sind.

Noch ist es so, dass die Bank Überweisungen durchgeführt hat ohne wirksame Überweisungsaufträge vom Kunden zu bekommen.

[2much]

Was sollen wir da lange diskutieren? Entweder man geht in so einem Fall zu einem Anwalt und klagt oder lässt sich von der Bank die lange Nase zeigen. Wenn der Anwalt da gute Erfolgsaussichten sieht, bitteschön.

[JulienS]

Das stimmt...