Veröffentlicht am

Phishing: Zur groben Fahrlässigkeit bei mehrfacher TAN-Eingabe wegen Pharming-Angriff

Beitrag wurde zuletzt aktualisiert:

Auf Grund technischer Entwicklungen sollten die Fälle erfolgreicher Phishing-/Pharming-Angriffe in Kombination mit papiergebundenen TAN-Listen eher abnehmen. Gleichwohl lässt sich aus der entsprechenden Rechtsprechung einiges zur groben Fahrlässigkeit beim “Homebanking” entnehmen. So hat sich das Landgericht Köln (15 O 505/14) zur mehrfachen Eingabe von TAN, bedingt durch einen Pharming-Angriff, geäußert und die Rechtsprechung bestätigt, die hier eine grobe Fahrlässigkeit erkennt:

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt und auch ganz naheliegende Überlegungen nicht anstellt oder das nicht beachtet, was im konkreten Fall jedem hätte einleuchten müssen. Dabei sind anders als bei einfacher Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen. Danach können auch Unerfahrenheit und Unbeholfenheit grobe Fahrlässigkeit ausschließen. Solche in der Individualität des Bankkunden liegende Umstände sind gerade bei der Teilnahme am Online-Banking von besonderer Bedeutung, da sich angesichts der komplexen, laufend fortentwickelten technischen Abläufe und Verfahren, die eine schwer zu überblickende Vielfalt von Angriffsvarianten zulassen, ein verlässliches Alltagswissen zur Risikovermeidung nicht herausgebildet hat (Maihold, in: Bankrechtshandbuch, 4. Aufl., 2011, § 55 Rn. 108).

In der Rechtsprechung wurde bereits mehrfach entschieden, dass die Eingabe einer Vielzahl von TANs bei einem Pharming-Angriff als grob fahrlässig anzusehen ist (LG Düsseldorf, Urt. v. 27.03.2014, 21 S 211/13; OLG München, Urt. v. 23.01.2012, 17 U 3527/11; LG Berlin, Urt. v. 08.11.2011, 21 O 80/11; für die Annahme – nach damaliger Rechtslage ausreichender – einfacher Fahrlässigkeit BGH, Urt. v. 24.04.2012, XI ZR 96/11). Ob bereits die einmalige Preisgabe einer TAN stets den Vorwurf grober Fahrlässigkeit auslöst kann hier dahinstehen (dafür AG Köln, Urt. v. 20.01.2014, 142 C 406/13; zweifelnd Palandt-Sprau, 74. Aufl., 2015, § 675v Rn. 5: „sehr weitgehend“; für die einmalige Eingabe einer TAN auf der Startseite Maihold, in: Bankrechts-Handbuch, 4. Aufl., 2011, § 55 Rn. 132).

Durch ein grob fahrlässiges Handeln steht der Bank ein Schadensersatzanspruch in Höhe des finanziellen Verlustes gemäß § 675v Abs. 2 BGB zu, mit dem gegenüber eventuellen Ansprüchen des Kontoinhabers aufzurechnen ist.
„Phishing: Zur groben Fahrlässigkeit bei mehrfacher TAN-Eingabe wegen Pharming-Angriff“ weiterlesen

Veröffentlicht am

Geldwäsche – Strafbarkeit von Geldwäsche

Beitrag wurde zuletzt aktualisiert:

Geldwäsche: Die Geldwäsche gehört mit einer Mindeststrafe von 3 Monaten zu den Delikten mit durchaus gehobenem Strafrahmen, der auch noch auf 6 Monate mindestens ansteigt wenn gewerbsmäßig oder als Bande gehandelt wird. Als Strafverteidiger war ich in verschiedenen Fällen vorgeworfener Geldwäsche tätig, wobei sich immer wieder ähnliche Probleme rund um die Geldwäsche ergeben.

Im Folgenden einige allgemeine Ausführungen zur Geldwäsche. Betroffene sind gut Beraten, sich frühzeitig – bereits im Ermittlungsverfahren – um eine Verteidigung zu bemühen. Nicht zuletzt, weil mit der leichtfertigen Geldwäsche auch bei schlichter Unachtsamkeit eine Strafbarkeit im Raum steht. Ich selber war in mehreren Fällen auch umfangreicher Geldwäschevorwürfe tätig.

„Geldwäsche – Strafbarkeit von Geldwäsche“ weiterlesen
Veröffentlicht am

Leichtfertige Geldwäsche: Strafbarkeit von Finanzagent

Beitrag wurde zuletzt aktualisiert:

Leichtfertige Geldwäsche: Beim Phishing benötigen die Täter regelmäßig (mindestens) ein Konto in Deutschland, um je nach Angriffsmethode entweder den Angriff zu ermöglichen oder zumindest später den Zahlungsverkehr zu verschleiern. Diejenigen, die Ihre Konten – gegen Bezahlung – zur Verfügung stellen nennt man gemeinhin “Finanzagenten”, häufig handelt es sich um gutgläubige Kontoinhaber, die sicherlich auch vom schnellen Geld verführt werden.

Gerade beim Vorwurf der leichtfertigen Geldwäsche sind Betroffene gut beraten, sich zeitnahe anwaltliche Unterstützung, noch während des Ermittlungsverfahrens, zu suchen. Hier “ins Blaue hinein” Einlassungen abzugeben kann etwa zu Tatmehrheiten führen, die die Strafe erhöhen – wobei daran zu erinnern ist, dass auch reine Hilfehandlungen schon eine Geldwäsche darstellen können.

Dazu bei uns:

„Leichtfertige Geldwäsche: Strafbarkeit von Finanzagent“ weiterlesen
Veröffentlicht am

Smart-TAN-Plus: Unkontrollierte Verwendung eines TAN-Generators begründet Haftung bei missbräuchlicher Überweisung

Beitrag wurde zuletzt aktualisiert:

Auch beim Amtsgericht Köln (142 C 406/13) ging es um eine missbräuchliche Überweisung, die mit einem klassischen Angriff funktionierte: Beim Aufruf der vermeintlich richtigen Webseite erschien ein Formular, dass dazu aufforderte, zu Sicherheitszwecken diverse Zahlen in den Generator einzugeben. Hierbei wurde dann am Ende eine ungewollte Überweisung veranlasst. Dies ist derart ungewöhnlich, so dass Gericht, dass in jedem Fall eine grobe Fahrlässigkeit anzunehmen ist.
„Smart-TAN-Plus: Unkontrollierte Verwendung eines TAN-Generators begründet Haftung bei missbräuchlicher Überweisung“ weiterlesen

Veröffentlicht am

Smart-TAN-Plus: Vor Eingabe der TAN muss Empfängerkonto auf Generator geprüft werden

Beitrag wurde zuletzt aktualisiert:

Beim Amtsgericht Bonn (109 C 223/13) ging es um eine missbräuchliche Überweisung. Das Gericht hat dabei festgestellt:

Es liegt eine grob fahrlässige Sorgfaltspflichtverletzung vor, wenn nach Erzeugung einer TAN im Online-Banking diese eingegeben wird und hierdurch eine Überweisung veranlasst wird, ohne zuvor die Empfänger-Kontonummer, den Überweisungsbetrag und den Startcode abzugleichen.

In diesem Fall war in den AGB der Bank ausdrücklich vorgesehen, dass der Überweisende vor Eingabe der TAN die auf seinem Generator angezeigten Daten genau zu prüfen und mit seinen Zahlungsdaten abzugleichen hat. Dies war im vorliegenden Fall nicht geschehen, somit wurde gegen eine auferlegte Pflicht verstossen, was einen Schadensersatzanspruch der Bank entsprechend §675v II Nr.2 BGB begründet hat.

Die Entscheidung muss nicht langatmig kommentiert werden: Auch wenn sie in den Entscheidenden Punkten etwas kurz begründet, ist sie dennoch insgesamt korrekt und auch wenig überraschend. Wer Online-Überweisungen mit dem verbreiteten Smart-TAN-Plus Verfahren vornimmt, sollte zwingend immer die auf dem Generator angezeigten Daten abgleichen und in Zweifelsfällen von einer Eingabe der TAN absehen.

Veröffentlicht am

Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus

Beitrag wurde zuletzt aktualisiert:

Beim LG Darmstadt (28 O 36/14) ging es um eine missbräuchliche Überweisung, also eine Überweisung die ohne den Willen des Kontoinhabers stattgefunden hat. Hierbei kam das Smart-TAN-Plus Verfahren zum Einsatz, bei dem eine TAN im Einzelfall generiert und mit einem bestimmten Gerät angezeigt wird. Im vorliegenden Fall kam es zu zwei Überweisungen in Höhe von gut 18.000 Euro, die der Kontoinhaber nicht veranlasst haben wollte. Das Gericht konnte sich mit der Verantwortlichkeit auseinandersetzen und kam zu dem Ergebnis, dass der Kontoinhaber hierfür einzustehen hat.
„Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus“ weiterlesen

Veröffentlicht am

Rechtliche Einschätzung und Fragen: Push Notifications bei Browsern

Beitrag wurde zuletzt aktualisiert:

Immer mehr Browser – etwa Mozilla Firefox und Safari – lernen etwas neues: Push Notifications. Der Blick in das Mozilla Wiki verheißt hinsichtlich der API eine längst überfällige Entwicklung: Webseiten können ihren Nutzern Nachrichten senden, auch wenn diese gar nicht auf der Seite sind. Eine Option wäre, dass eine Nachricht gesendet wird, wenn sich die Webseite verändert – auf den ersten Blick sinnvoll, auf den zweiten Blick aber lästig, wenn man an Meldungen von zig Webseiten denkt, die bei jeder Änderung eine Nachricht an den Browser senden. Wie sich letztlich im Alltag diese Funktion durchsetzt, wird sich noch zeigen. Tatsächlich aber sehe ich hier einen enormen Zukunftsmarkt, da die Vorstellung, dass Webseiten mit Nutzern nur noch kommunizieren, wenn der Nutzer diese aufruft, seit langem überholt ist.Vielmehr entwickeln sich Webseiten zunehmend in die Richtung von Apps, t3n spricht hier zutreffend von einem “Cloud OS”.

Ich denke es werden in kurzer Zeit die anderen Browser mitziehen. Doch: Wie immer bei neuen technischen Ideen stellen sich auch rechtliche Fragen. (Hinweis: Dieser Artikel wurde 2012 erstellt und zwischenzeitlich aktualisiert).

„Rechtliche Einschätzung und Fragen: Push Notifications bei Browsern“ weiterlesen

Veröffentlicht am

Phishing: Vorsicht bei Mails mit “Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!”

Beitrag wurde zuletzt aktualisiert:

Nicht zum ersten Mal habe ich heute eine Mail erhalten, die den Betreff “Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!” führt. Für mich ist es recht einfach, solche Mails direkt als Müll zu identifizieren, da ich für besonders sensible Accounts eigene Mail-Adressen führe. Wenn man dann sieht, wohin die Mail gesendet wurde, ist auf einen Blick klar, dass der erste Verdacht (Müll) sich bestätigt. Heise berichtet nun, wie gefährlich es sein kann, wenn man hier nicht aufpasst.
„Phishing: Vorsicht bei Mails mit “Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!”“ weiterlesen

Veröffentlicht am

Strafrecht: Zur Einziehung von Tatwerkzeugen

Beitrag wurde zuletzt aktualisiert:

Das Strafgesetzbuch sieht im §74 StGB die so genannte “Einziehung” vor

Ist eine vorsätzliche Straftat begangen worden, so können Gegenstände, die durch sie hervorgebracht oder zu ihrer Begehung oder Vorbereitung gebraucht worden oder bestimmt gewesen sind, eingezogen werden.

Es besteht damit die grundsätzliche Möglichkeit, Tatwerkzeuge seitens des Gerichts einzuziehen. Dies natürlich nicht unbegrenzt, sondern es gibt Rahmenbedingungen. So ist eine nachvollziehbare Möglichkeit der Einziehung, wenn der betroffene Gegenstand der Begehung weiterer Taten dienen würde (§74 Abs.2 Nr.2). Andererseits soll die Einziehung ausgeschlossen sein, “wenn sie zur Bedeutung der begangenen Tat und zum Vorwurf […] außer Verhältnis steht.” (§74b StGB). Gerade letzteres, den gesetzlich ausdrücklich normierten Verhältnismäßigkeitsgrundsatz, muss der BGH in letzter Zeit zunehmend stärken.
„Strafrecht: Zur Einziehung von Tatwerkzeugen“ weiterlesen

Veröffentlicht am

Geldwäsche: Finanzagenten schulden Schadensersatz

Beitrag wurde zuletzt aktualisiert:

Der Bundesgerichtshof hat eine Entscheidung des Landgerichts Bauzen (1 S 23/11) bestätigt, derzufolge “Finanzagenten” zivilrechtlich zum Schadensersatz verpflichtet sind. Es geht hierbei um Betroffene, die einem Dritten Ihr Konto zur Verfügung stellen, damit dieser darauf Einzahlungen vornehmen lassen kann und das Geld sodann auf ein weiteres Konto transferieren kann.

Dazu bei uns:

„Geldwäsche: Finanzagenten schulden Schadensersatz“ weiterlesen
Veröffentlicht am

Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers

Beitrag wurde zuletzt aktualisiert:

Manchmal bleibt das Opfer eines Verbrechens auf dem eigenen Schaden sitzen – und nicht nur dann, wenn man des Täters nicht habhaft wird. Das “Phishing” war früher ein ganz besonderes Problem in diesem Bereich. Zur Erinnerung: Phishing liegt vor, wenn man versucht, an Zugangsdaten eines Nutzers zu gelangen. Vor allem mit gefälschten Emails wird hier gearbeitet, die auf täuschend echt aussehende Login-Seiten weiterleiten. Denkbar ist aber auch, dass Daten eines Nutzers durch einen Telefonanruf oder gefälschte Briefe erschlichen werden.

Wenn nun jemand auf ein solches “Phishing” herein gefallen ist, und ein Dritter mit Hilfe der erlangten Daten unautorisierte Überweisungen vorgenommen hat, streiten sich das Opfer und die Bank regelmäßig darüber, ob und in welcher Höhe das Geld an das Opfer zurück zu zahlen ist. Der Gesetzgeber hat hier inzwischen reagiert und die gesetzliche Lage Ende 2009 angepasst.
„Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers“ weiterlesen

Veröffentlicht am

Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers bei Überweisungen

Beitrag wurde zuletzt aktualisiert:

Das Landgericht Landshut (24 O 1129/11) hat sich mit der Frage beschäftigt, wann ein Phishing-Opfer “grob fahrlässig” handelt. Die Frage ist bei der Rückabwicklung ungewollter Zahlungen von Bedeutung: Grundsätzlich legt §675u BGB fest, dass der “Zahler” (hier: Kontoinhaber) gegen seinen “Zahlungsdienstleister” (hier: Bank) einen Rückzahlungsanspruch hinsichtlich nicht autorisierter Zahlungen hat. Phishing-Opfer haben damit also grundsätzlich einen Rückzahlungsanspruch gegenüber der Bank. Aber: §675v II BGB sieht vor, dass im Falle grob fahrlässiger (oder gar vorsätzlicher) Verletzung von Pflichten der Kontoinhaber ggfs. zum Ersatz des vollen Schadens verpflichtet sein kann (sonst “nur” bis zu 150 Euro, §675v I BGB). Die Bank kann dem Kontoinhaber daher ggfs. entgegenhalten, dass dieser für den Schaden aufkommen muss (diesbezüglich wird dann “Aufrechnung” erklärt).

Interessant ist aber, wie weit das LG Landshut zu gehen bereit ist.
„Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers bei Überweisungen“ weiterlesen

Veröffentlicht am

EC-Karten nicht im Auto lassen!

Beitrag wurde zuletzt aktualisiert:

Das LG Berlin (10 O 10/09) hält die Rechtsprechung des BGH aufrecht und stellt fest:

[…] spricht ein Anscheinsbeweis dafür, dass der Karteninhaber die PIN auf der Karte notiert oder aber die PIN gemeinsam mit der Karte verwahrt hat, wenn zeitnah nach einem Diebstahl einer EC-Karte unter Verwendung der Karte und der Eingabe der richtigen PIN an einem Geldautomaten einer Bank Bargeld abgehoben wird (BGHZ 160, 308 = NJW 2004, 3623 ff.).

In diesem Fall wurde dem Kartennutzer seine EC-Karte aus dem verschlossenen Handschuhfach seines (verschlossenen) Autos gestohlen – das nur wenige Minuten alleine gelassen wurde – und “zeitnah” nach dem Diebstahl Geld abgehoben. Das LG Berlin stellt dabei fest, dass dieses Verhalten grob fahrlässig war und die Bank einen Schadensersatzanspruch wegen einer grob fahrlässigen Pflichtverletzung des Kartennutzers hat. Oder anders ausgedrückt: Der Kartennutzer blieb auf dem Schaden (immerhin fast 3.000 Euro) “sitzen”.
„EC-Karten nicht im Auto lassen!“ weiterlesen