Phishing & Pharming & Co. - Wer erstattet meinen Schaden?

Phishing / Pharming etc. Was bedeuten diese Begriffe eigentlich und was ist zu tun, wenn man selbst betroffen ist?

Die Cyberkriminalität hat in den vergangenen Jahren stark zugenommen. Privatanleger und Verbraucher werden zunehmend Opfer von Online-Banking-Betrug und Kreditkartenbetrug. Konten und Kreditkarten werden nahezu vollständig geplündert.

Dabei gehen die Täter auf verschiedene Weisen vor, die immer raffinierter und ausgeklügelter werden. Nachfolgend sollen einige Arten vorgestellt werden. Anschließend zeigen wir Privatanlegern und Verbrauchern die ihnen zustehenden Rechte auf.

I. Welche Arten von Cyberkriminalität gibt es?

1. Man-in-the-Middle-Angriff

Bei einer sog. Man-in-the-Middle-Attacke schaltet sich der Täter in die Kommunikation zwischen dem Online-Banking-Kunden und dem Zahlungsdienstleister ein, um Daten abzufangen und in Echtzeit verfälscht an die Bank weiterzuleiten. Die Täter übernehmen dann die Kontrolle über den Datenverkehr und manipulieren diesen.

Dabei gibt es verschiedene Tatvarianten, von denen zwei beispielhaft aufgezeigt werden sollen:

a) Scannen der Internet-Knotenrechner

Laut einem Bericht der FAZ gelang es Tätern aus St. Petersburg im Jahre 2008, ca. 430 Internet-Knotenrechner in Deutschland zu scannen, die Kontozugangsdaten abzufangen und durch nicht autorisierte Überweisungen insgesamt ca. 25 Mio. Euro zu erbeuten.

Denn wenn ein Bankkunde auf sein Online-Konto zugreifen will, schickt der Webbrowser vom heimischen PC aus Daten an das Rechenzentrum des Geldinstituts. Dabei wird allerdings keine durchgehende Direktleitung zwischen dem Kunden-PC und dem Bank-Rechenzentrum aufgebaut. Vielmehr werden einzelne Datenpäckchen vom Kunden-PC an den Bank-Rechner geschickt. Diese landen zunächst auf dem für den Absender nächstgelegenen Internet-Knotenrechner. Der Internet-Knotenrechner berechnet den schnellsten Weg durchs Netz zum Bankenrechner und schickt die Datenpäckchen weiter. Das geht blitzschnell und dauert zwischen wenigen Millisekunden und einigen Sekunden, je nachdem, wie viel Datenverkehr im Internet gerade fließt und wie viel der fürs Online-Banking zuständige Rechner des Geldinstituts gerade zu tun hat.

Genau hier greift dann der sog. zwischengeschaltete, dritte Mann an und fängt die sensiblen Daten ab. Sie bauen auf ihren eigenen Rechnern die Internetseite der Bank nach, senden diese Datenpäckchen an den Kunden, welcher sich beim nächsten Onlinebanking-vorgang auf dieser gefälschten Seite mit seinen Zugangsdaten einloggt.  Die Täter fangen diese Daten ab, melden sich selbst im Online-Banking des Kunden an und plündern die Konten.

b) Datenmanipulation mit Hilfe von „Trojanern”

Als eine weitere Tatvariante und ein Tatmittel für die „Man in the Middle”-Angriffe verwenden Täter häufig kleine Computerprogramme („Trojaner”).

Zunächst wird ein „Trojaner” auf dem PC des Geschädigten installiert, den dieser sich beim „Surfen” im Internet oder durch den Empfang einer „Spam-E-Mail” eingefangen hat. Sobald der Geschädigte eine Internetverbindung zu seiner Bank herstellt, liest das Programm unerkannt auch die für eine Transaktion notwendige PIN und eine oder mehrere TAN mit, indem der Trojaner sich unbemerkt zwischen die Datenverbindung des Kunden und seiner Bank schaltet.

Inzwischen ist diese Methode derart verfeinert worden, dass sie auch bei den „indizierten TAN-Verfahren” (iTAN) funktioniert und sogar dann, wenn ein eigener Zugangsrechner den Austausch von in Echtzeit ermittelten Zahlenkolonnen zur Authentifizierung abverlangt. Zwar können derartige Angriffe durch die regelmäßige Verwendung von Virenschutzprogrammen und die Installation einer Firewall reduziert werden. Gänzlich zu verhindern sind sie hierdurch jedoch nicht; vor allem dann nicht, wenn der „Trojaner” dem Schutzprogramm zum Tatzeitpunkt noch unbekannt war.

2. Phishing

Unter dem Begriff Phishing versteht man das „Abfischen“ vertraulicher Daten durch einen kriminellen Täter, der dem Online-Banking-Nutzer zunächst eine E-Mail sendet, die vorgibt, von einem vertrauenswürdigen Absender zu stammen (z.B. dem Zahlungsdienstleister des Nutzers). Der Nutzer wird darin unter falschem Vorwand aufgefordert, einen Link anzuklicken, der ihn auf eine der Bankseite täuschend ähnlich aussehende Website des Täters führt. Hier wird das Opfer – wiederum unter Vorspiegelung falscher Tatsachen – dazu verleitet, seine PIN sowie eine oder mehrere TAN von seiner Liste einzugeben. Damit kann der Täter Überweisungen zu Lasten des Kundenkontos vornehmen. Die Überweisung erfolgt in der Regel auf ein deutsches Konto eines „Kuriers“, eines regelmäßig seinerseits getäuschten Werkzeugs der Täter, der den Betrag von seinem Konto abhebt und diesen an einen später nicht mehr ausfindig zu machenden Empfänger transferiert.  

3. Pharming bzw. DNS-Spoofing

Als „Pharming“ oder auch „DNS-Spoofing“ bezeichnet man eine Methode, bei der geheime Daten ohne „Mithilfe“ des Nutzers ausgespäht werden. Angriffsziel ist ein DNS-Server. Hierbei handelt es sich um eine Art von Wegweiser im Internet, der eine (alphanumerische) Webadresse in die dazugehörige (rein numerische) IP-Adresse auflöst. Wird ein solcher zentraler Server im Netz korrumpiert, ist es möglich, dass ein Nutzer, dessen eigener Rechner nicht infiziert ist, bei Eingabe einer bekannten und korrekten Webadresse nicht zu den genannten Institut geleitet wird, sondern auf eine von den Angreifern betriebene Seite. In der Vergangenheit wurden hier – wie beim Phishing – PIN und TAN abgegriffen, indem dem Nutzer die Seite seiner Hausbank täuschend echt nachgebildet wurde.

Auch bei dieser Variante schöpfen Bankkunden häufig keinen Verdacht, da sie sich in diesem Moment in die ihnen vertraute Umgebung des Onlinebanking eingeloggt haben.

4. Keylogger 

In einer anderen Variante wird der Trojaner so programmiert, dass er die Tastatureingaben protokolliert (sog. „Keylogger”). Im Verborgenen werden die Daten dann an die Täter gesendet.   Derartige Schadsoftware kann aber nicht nur die aufgezeichneten Daten übermitteln, sondern etwa auch verhindern, dass Informationen, zB die TAN, versandt werden. Dadurch kann der Täter die Kenntnis von noch nicht verwendeten – also gültigen – TAN erlangen.

5. Social Engineering

Social Engineering bezeichnet eine Methode, in dem Täter mit den Kunden in Kontakt treten, nachdem sie ihre digitalen Gewohnheiten ausspioniert haben. Auf diese Weise können die Täter zum Beispiel auskundschaften, bei welcher Hausbank man Kunde ist. Unter Vorspiegelung von falschen Tatsachen wird der Kunde sodann zu einer Selbstschädigung verleitet. Dies erfolgt zum Beispiel dadurch, dass der Kunde angeblich eine E-Mail seiner Hausbank erhält, in dem diesem vorgespiegelt wird, er habe fälschlicherweise eine Überweisung erhalten, die er nunmehr zurücküberweisen solle (sog. Rücküberweisungs-Trojaner) oder er müsse eine TAN eingeben, um sein Konto wieder freizuschalten (sog. Freischaltungs-Trojaner). Zuvor  rufen die Täter mit der Telefonnummer der Hausbank an und bekräftigen durch den persönlichen Anruf, dass sowohl die Email als auch der Anruf „echt“ sei. Der Kunde vertraut der Rufnummer auf seinem Telefon und gibt dann die persönlichen Daten heraus.

6. Angriffe auf Unternehmen

Unternehmen werden meist auf andere Weise angegriffen, da die Täter hier größere Summen erbeuten können.

Die BaFin hat in ihrem Informationsbroschüre „BaFin Perspektiven Ausgabe 1 2020“ eine Broschüre für die Cybersicherheit veröffentlicht.

Unternehmen werden oft von Ransomware, Botnetzen, Identitätsdiebstahl oder anderen Schadprogrammen angegriffen. Hierdurch erlangen die Täter tausende von persönlichen Kundendaten, welche im Internet oder im sog. DarkNet verkauft werden.  

Auch auf diese Weise werden die Täter auf die jeweiligen Kunden aufmerksam, senden Phishing-Mails zu oder beginnen im Rahmen des Social-Engineerings Kunden auszuspionieren und sodann durch geschickte Täuschung zu Zahlungen zu bewegen.

7. BKA- Bundeslagebericht

Das Bundeskriminalamt berichtet jährlich im Bundeslagebericht Cybercrime über die in Deutschland verbreiteten Angriffsmethoden und inwiefern diese erfolgreich von den Kriminalbehörden abgewehrt werden konnten.

Die Berichte sind sehr interessant und empfehlenswert, weshalb wir diesen hier verlinkt haben.

8. Tipp: Hausratsversicherung übernimmt "normale" Phishing -Schäden

Sofern Sie von einem Phishing betroffen sind, ihr Privatkonto missbräuchlich verwendet wurde und Sie eine Hausratsversicherung besitzen, könnten Sie den Schaden dort melden. Die meisten Hausratsversicherungen stehen bis zu einer gedeckelten Höhe ein.

II. Welche Rechte stehen Anlegern /Verbrauchern zu?

Nach § 675u BGB haftet der Zahlungsdienstleister für nicht autorisierte Zahlungen. Denn Dreh- und Angelpunkt des Zahlungsverkehrsrechts ist § 675j BGB, der die Autorisierung des Zahlungsvorgangs regelt.

Gemäß § 675j Abs. 1 Satz 1 BGB ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn dieser ihn autorisiert hat. Ohne diese Autorisierung begründet ein Zahlungsvorgang keinen Aufwendungsersatzanspruch des Zahlungsdienstleisters gegen den Zahler. Der Zahlungsdienstleister hat diesem den Zahlungsbetrag vielmehr unverzüglich wertstellungsneutral zu erstatten (§ 675u Satz 1 und 2 BGB).

Die Autorisierung stellt eine Willenserklärung dar. Denkbar ist demnach auch eine Anfechtung, weil sich der Kunde in einem Irrtum befunden hat.

Der Zahlungsdienstleister trägt das Fälschungsrisiko (vgl. BeckOK BGB/Schmalenbach, 45. Ed. 1.11.2017, BGB § 675w Rn. 5 Staudinger/Omlor (2012) § 675u Rn. 5 m.w.N.; Schwintowski in: Herberger/Martinek/Rüßmann u.a., jurisPK-BGB, 8. Aufl. 2017, § 675u 1. Überarbeitung Rn. 4 m.w.N.; Graf v Westphalen in: Erman, BGB, 15. Aufl. 2017, § 675u BGB Rn. 2), und zwar auch dann, wenn die Bank die Fälschung nicht erkennen konnte und diese durch in der Sphäre des Kontoinhabers liegende Umstände ermöglicht wurde, vgl. etwa BGH NJW 2001, 2968, Landgericht Karlsruhe, Urteil vom 05. Juli 2018 – 15 O 50/17 KfH –, juris

Bei Kreditkarten gilt zudem die Besonderheit, dass der Kreditkartenbetreiber sich nicht darauf stützen kann, an den Händler vertragsgebunden leisten zu müssen. Kreditkartenbetreiber müssen die Belege beim Händler anfordern, mit welchen der Händler nachweisen muss, dass der Kaufvertrag wirklich mit dem Kunden zustande gekommen ist. Genau das gelingt aber meist nie, denn die Täter lassen sich die Waren an ihre richtige Adresse unter ihrem richtigen Namen, meist im Ausland, liefern. Ein Bezug zu dem Kreditkartenkunden besteht nicht.

Das hat auch der BGH mit Urteil vom 24.9.2002 – XI ZR 420/01, bestätigt:

„2. Mit der Unterzeichnung des Belastungsbelegs durch den Karteninhaber erlangt das Vertragsunternehmen einen abstrakten Zahlungsanspruch aus § 780 BGB gegen das Kreditkartenunternehmen, dem Einwendungen aus dem Valutaverhältnis zwischen Karteninhaber und Vertragsunternehmen – vorbehaltlich abweichender vertraglicher Vereinbarungen – nicht entgegengehalten werden können. Etwas anderes gilt, wenn das Vertragsunternehmen das Kreditkartenunternehmen rechtsmißbräuchlich in Anspruch nimmt, weil offensichtlich oder liquide beweisbar ist, daß dem Vertragsunternehmen eine Forderung gegen den Karteninhaber nicht zusteht.“

In einem weiteren Urteil führt der BGH mit Urteil vom 13.1.2004 – XI ZR 479/02, aus:

„Im Kreditkartenverfahren haben die Beteiligten Sorgfalts- und Kontrollpflichten, deren schuldhafte Verletzung ebenso wie im Giroverkehr eine Schadensersatzhaftung wegen positiver Vertragsverletzung begründet.“

„[Das Kreditkartenunternehmen hätte] die mit den Kreditkartennummern identifizierbaren Karteninhaber mit dem auf den Leistungsbelegen eingetragenen Namen des Bestellers vor Zahlung an den Beklagten vergleichen müssen. Diese einfache Möglichkeit, den Mißbrauch von Kreditkarten in vielen Fällen aufzudecken und – zumindest in Fällen, in denen das Vertragsunternehmen noch nicht an den Besteller geleistet hat – Vermögensschäden zu verhindern, durfte die Zedentin angesichts der von ihr zu verantwortenden hohen Mißbrauchsanfälligkeit des Mailorderverfahrens trotz dessen Massencharakters nicht ungenutzt lassen. …“

Sie haben Fragen oder sind selbst betroffen?  Nehmen Sie unverbindlich mit uns Kontakt auf! 

Bei komplexen Rechtsstreitigkeiten ist es ratsam, sich an einen Spezialisten zu wenden, um fachkundige Unterstützung zu erhalten. Frau Rechtsanwältin Kes ist Fachanwältin für Bank- und Kapitalmarktrecht und vertritt die Interessen von Privatanlegern bundesweit.

Sie können uns unverbindlich kontaktieren und ihre Vertragsunterlagen zusenden. Sofern Sie rechtsschutzversichert sind, erstellen wir kostenlos eine Deckungsanfrage.

Rechtsanwaltskanzlei Handan Kes

-Fachanwaltskanzlei für Bank- und Kapitalmarktrecht-

Klaus-Kordel-Str. 4

c/o ZWO65  

D-54296 Trier

Tel.: +49 (0) 651- 56 123 941

E-Mail: Post@rechtsanwaltskanzlei-kes.de

Internet: www.rechtsanwaltskanzlei-kes.com