TAN-Weitergabe bei Phishing-Angriff nicht grob fahrlässig

Nicht jedes Phishing-Opfer ist selbst schuld an seinem Unglück. Das ist der Tenor eines Urteils des Landshuter Landgerichts vom 14. Juli 2011 (Az. 24 O 1129/11). Das Gericht sprach einem Kläger einen Schadensersatzanspruch gegen seine Bank zu, nachdem er auf einen ausgeklügelten Phishing-Angriff hereingefallen war. Dabei hatte er auf einer Website, die der legitimen Online-Banking-Website seiner Bank täuschend ähnlich sah, wie gefordert 100 Transaktionsnummern (TANs) eingegeben.

Stellenmarkt

1. über Hays AG, Thüringen
2. DMK E-BUSINESS GmbH, Berlin, Potsdam, Köln, Chemnitz

Ein Trojaner hatte ihn trotz aktueller Antiviren- und Firewall-Software auf die gefälschte Website geleitet. Unter Verwendung der TANs wurden dann insgesamt 6.000 Euro vom Konto des Bankkunden abgebucht. Dieser bemerkte die Abbuchungen einige Tage später und erstatte Anzeige gegen unbekannt.

Die Bank sah die Schuld beim Kunden und weigerte sich wegen dessen grob fahrlässigen Verhaltens, den Schaden zu ersetzen. Er hätte "dem unbefugten Dritten den Zugriff auf sein Konto unter Verletzung der ihm obliegenden Sorgfalt grob fahrlässig durch Preisgabe seiner Legitimationsdaten ermöglicht".

Dem Kunden hätte im Übrigen auffallen müssen, dass die Abfrage der 100 TANs nicht plausibel sei. Außerdem hätte die Bank schon seit geraumer Zeit das wesentlich sicherere mobile TAN-Verfahren angeboten, der Kunde sei aber beim unsichereren iTAN-Verfahren geblieben.

Golem Akademie

1. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

Das sah der Kunde anders und verklagte die Bank. Das Landshuter Landgericht folgte seiner Auffassung. Anders als die Bank stufte das Gericht das Handeln des Kunden nicht als grob fahrlässig ein. Insbesondere würdigte das Gericht dabei die individuellen Umstände. Der Kläger hätte die TANs "nicht willentlich Dritten offenbart", heißt es dazu im Urteil. Eine Trojaner-Infektion, wie beim Bankkunden der Fall, ließe sich auch durch Sicherheitsmaßnahmen nicht völlig ausschließen.

Der Bankkunde sei gebürtiger Osteuropäer, "der deutsch nicht als Muttersprache spricht". Er sei zudem kein Fachmann und besitze "nur äußerst rudimentäre Computerkenntnisse". Seine Darstellung, er habe den Phishing-Angriff nicht erkennen können, befand das Gericht daher für glaubwürdig. Das Argument, der Kunde hätte ja zum mobilen TAN-Verfahren wechseln können, ließ das Gericht nicht gelten. Schließlich habe die Bank ihren Kunden ja auch das iTAN-Verfahren angeboten. Die Bank hätte selbst dafür sorgen müssen, "dass ihre Kunden vor entsprechenden Manipulationsversuchen Dritter umfassend gewarnt werden."