phishing > Rechtsanwalt Ferner Alsdorf > Rechtsanwalt Ferner zum Phishing: Aktuelle News und Hinweise

12. Juni 201624. August 2018

Phishing: Zur groben Fahrlässigkeit bei mehrfacher TAN-Eingabe wegen Pharming-Angriff

Auf Grund technischer Entwicklungen sollten die Fälle erfolgreicher Phishing-/Pharming-Angriffe in Kombination mit papiergebundenen TAN-Listen eher abnehmen. Gleichwohl lässt sich aus der entsprechenden Rechtsprechung einiges zur groben Fahrlässigkeit beim „Homebanking“ entnehmen. So hat sich das Landgericht Köln (15 O 505/14) zur mehrfachen Eingabe von TAN, bedingt durch einen Pharming-Angriff, geäußert und die Rechtsprechung bestätigt, die hier eine grobe Fahrlässigkeit erkennt:

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt und auch ganz naheliegende Überlegungen nicht anstellt oder das nicht beachtet, was im konkreten Fall jedem hätte einleuchten müssen. Dabei sind anders als bei einfacher Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen. Danach können auch Unerfahrenheit und Unbeholfenheit grobe Fahrlässigkeit ausschließen. Solche in der Individualität des Bankkunden liegende Umstände sind gerade bei der Teilnahme am Online-Banking von besonderer Bedeutung, da sich angesichts der komplexen, laufend fortentwickelten technischen Abläufe und Verfahren, die eine schwer zu überblickende Vielfalt von Angriffsvarianten zulassen, ein verlässliches Alltagswissen zur Risikovermeidung nicht herausgebildet hat (Maihold, in: Bankrechtshandbuch, 4. Aufl., 2011, § 55 Rn. 108).

In der Rechtsprechung wurde bereits mehrfach entschieden, dass die Eingabe einer Vielzahl von TANs bei einem Pharming-Angriff als grob fahrlässig anzusehen ist (LG Düsseldorf, Urt. v. 27.03.2014, 21 S 211/13; OLG München, Urt. v. 23.01.2012, 17 U 3527/11; LG Berlin, Urt. v. 08.11.2011, 21 O 80/11; für die Annahme – nach damaliger Rechtslage ausreichender – einfacher Fahrlässigkeit BGH, Urt. v. 24.04.2012, XI ZR 96/11). Ob bereits die einmalige Preisgabe einer TAN stets den Vorwurf grober Fahrlässigkeit auslöst kann hier dahinstehen (dafür AG Köln, Urt. v. 20.01.2014, 142 C 406/13; zweifelnd Palandt-Sprau, 74. Aufl., 2015, § 675v Rn. 5: „sehr weitgehend“; für die einmalige Eingabe einer TAN auf der Startseite Maihold, in: Bankrechts-Handbuch, 4. Aufl., 2011, § 55 Rn. 132).

Durch ein grob fahrlässiges Handeln steht der Bank ein Schadensersatzanspruch in Höhe des finanziellen Verlustes gemäß § 675v Abs. 2 BGB zu, mit dem gegenüber eventuellen Ansprüchen des Kontoinhabers aufzurechnen ist.
„Phishing: Zur groben Fahrlässigkeit bei mehrfacher TAN-Eingabe wegen Pharming-Angriff“ weiterlesen

4. Januar 201619. September 2017

Anwalt für Geldwäsche

Rechtsanwalt: Allgemeines zur Geldwäsche

Die Geldwäsche gehört mit einer Mindeststrafe von 3 Monaten zu den Delikten mit durchaus gehobenem Strafrahmen, der auch noch auf 6 Monate mindestens ansteigt wenn gewerbsmäßig oder als Bande gehandelt wird.

Anwalt für Geldwäsche: Gesetzessystematik

Es fängt mit dem Tatbestand des Betruges an: “ Wer einen Gegenstand, der aus einer in Satz 2 genannten rechtswidrigen Tat herrührt, verbirgt, dessen Herkunft verschleiert oder die Ermittlung der Herkunft, das Auffinden, den Verfall, die Einziehung oder die Sicherstellung eines solchen Gegenstandes vereitelt oder gefährdet, wird mit Freiheitsstrafe von drei Monaten bis zu fünf Jahren bestraft (…)“. §261 StGB nennt dann entsprechende Taten, so genannte Vortaten, die geeignet sind.

Verteidigungstaktik & spezielle Probleme bei Geldwäsche

Die oben genannten Mindestfreiheitsstrafen sind zu berücksichtigen, bei typischen Abläufen. Allerdings bietet sich die Option der leichtfertigen Handlung, eines quasi „minder schweren Falls“ nach §261 Abs.5 StGB, mit dem bei Vorliegen aller Tatbestandsvoraussetzungen zumindest an der Strafzumessung erheblich gearbeitet werden kann.

Die Geldwäsche kommt nicht nur im Bereich organisierter Kriminalität sondern insbesondere auch im IT-Strafrecht, hier speziell bei sogenannten Finanzagenten im Rahmen von Phishing, in Betracht. Aber auch bei Warenbetrügereien kann eine Geldwäsche und leichtfertige Geldwäsche, ebenso wie ein Betrug, in Betracht kommen, wenn jemand – vorsätzlich oder fahrlässig – betrügerisch (in Shops) gekaufte Waren annimmt und an Dritte weiterleitet.

Wann ist leichtfertige Geldwäsche anzunehmen?

In einem beim BGH (4 StR 312/14) entschiedenen Fall ging es um einen solchen gutgläubigen Kontoinhaber, der sich – wie so oft – anhören musste, dass es mit der Gutgläubigkeit nicht weit her sein kann, „man muss sich ja was denken können“. Ein typisches und fehlerhaftes Argument, wie der BGH nun klar stellt. So führt der BGH hier aus:

Nach dieser Vorschrift muss sich die leichtfertige Verkennung des Täters auf die Herkunft des jeweiligen Vermögensgegenstandes aus einer in § 261 Abs. 1 StGB genannten Katalogtat beziehen. Dazu ist die Feststellung konkreter Umstände erforderlich, denen der Täter eine Katalogtat des Geldwäschetatbestandes als Vortat hätte entnehmen können (BGH, Urteil vom 17. Juli 1997 – 1 StR 791/96, BGHSt 43, 158, 168; Urteil vom 24. Juni 2008 – 5 StR 89/08, BGHR StGB § 261 Vortat 2).

Feststellungen dazu, dass der Angeklagte das tatsächliche Ausmaß der von den gesondert verfolgten Hintermännern mit hohem Organisationsgrad durchgeführten Phishing-Straftaten jedenfalls in den wesentlichen Grundzügen hätte erkennen können, hat das Landgericht nicht getroffen. Die Strafkammer ist vielmehr davon ausgegangen, der Angeklagte habe insoweit keine Details gekannt. Man habe ihm zu den Hintergründen schon deshalb nicht viel mitge- teilt, um Begehrlichkeiten nach einer höheren Belohnung gar nicht erst aufkommen zu lassen.

Ferner vermögen (…) die (…) getroffenen Feststellungen auch (…) nicht zu belegen, als sich die Herkunft eines Gegenstandes aus einer Katalogtat nach Sachlage geradezu aufdrängen muss und der Täter gleichwohl handelt, weil er dies aus besonderer Gleichgültigkeit oder grober Unachtsamkeit außer Acht lässt (vgl. dazu BGH, Urteil vom 17. Juli 1997, aaO).

Die Entscheidung verdient Zustimmung und ist als Mahnung an die Instanzrechtsprechung zu verstehen: Keineswegs ist vorschnell eine (leichtfertige) Geldwäsche eines Finanzagenten anzunehmen, insbesondere nicht, weil sich „irgendein“ krimineller Hintergrund aufdrängen soll.

Pflichtverteidigung bei Geldwäsche?

Die Geldwäsche ist ein Vergehen, so dass eine Pflichtverteidigung nur bei besonderen Umständen in Betracht kommt. Spätestens wenn die Begehung in Form der Bande vorliegt, ist die Mindeststrafe so hoch, dass schnell die Untersuchungshaft droht. Insgesamt geht es um ein Delikt, dass je nach Umfang durchaus beim Landgericht angeklagt wird, somit stünde hier dann eine Pflichtverteidigung zu (§140 Abs.1 Nr.1 StPO).

Strafverteidigung beim Vorwurf der Geldwäsche

Ich habe Fälle der Geldwäsche vor dem Landgericht verteidigt, nicht selten ist es dabei so, dass es sich um Situationen handelt, die sich aus Dummheit und Spontaneität ergeben haben.

Es lässt sich, selbst bei klarer Beweislage, noch viel erarbeiten – durch geschickte und durchdachte Verteidigung kann man etwa zielgerichtet auf den minder schweren Fall hinarbeiten und somit das Strafmaß entsprechend reduzieren. Nicht zu verkennen ist aber auch, wie wichtig gerade bei durch Geldwäsche eingetretenem finanziellen Schaden bereits eine zielgerichtete Vorarbeit noch vor der Anklageerhebung ist. Auch die persönliche Situation des Betroffenen, dem Geldwäsche vorgeworfen wird, ist zu berücksichtigen und darf in der Hauptverhandlung nicht untergehen – schädlich dagegen ist ein Bagatellisieren.

Beiträge bei uns zur Geldwäsche

8. März 20152. Januar 2017

Strafbarkeit von Finanzagent beim Phishing: Wann ist leichtfertige Geldwäsche anzunehmen?

Beim Phishing benötigen die Täter regelmäßig (mindestens) ein Konto in Deutschland, um je nach Angriffsmethode entweder den Angriff zu ermöglichen oder zumindest später den Zahlungsverkehr zu verschleiern. Diejenigen, die Ihre Konten – gegen Bezahlung – zur Verfügung stellen nennt man gemeinhin „Finanzagenten“, häufig handelt es sich um gutgläubige Kontoinhaber, die sicherlich auch vom schnellen Geld verführt werden.

20. September 201424. August 2018

Smart-TAN-Plus: Unkontrollierte Verwendung eines TAN-Generators begründet Haftung bei missbräuchlicher Überweisung

Auch beim Amtsgericht Köln (142 C 406/13) ging es um eine missbräuchliche Überweisung, die mit einem klassischen Angriff funktionierte: Beim Aufruf der vermeintlich richtigen Webseite erschien ein Formular, dass dazu aufforderte, zu Sicherheitszwecken diverse Zahlen in den Generator einzugeben. Hierbei wurde dann am Ende eine ungewollte Überweisung veranlasst. Dies ist derart ungewöhnlich, so dass Gericht, dass in jedem Fall eine grobe Fahrlässigkeit anzunehmen ist.
„Smart-TAN-Plus: Unkontrollierte Verwendung eines TAN-Generators begründet Haftung bei missbräuchlicher Überweisung“ weiterlesen

20. September 201424. August 2018

Smart-TAN-Plus: Vor Eingabe der TAN muss Empfängerkonto auf Generator geprüft werden

Beim Amtsgericht Bonn (109 C 223/13) ging es um eine missbräuchliche Überweisung. Das Gericht hat dabei festgestellt:

Es liegt eine grob fahrlässige Sorgfaltspflichtverletzung vor, wenn nach Erzeugung einer TAN im Online-Banking diese eingegeben wird und hierdurch eine Überweisung veranlasst wird, ohne zuvor die Empfänger-Kontonummer, den Überweisungsbetrag und den Startcode abzugleichen.

In diesem Fall war in den AGB der Bank ausdrücklich vorgesehen, dass der Überweisende vor Eingabe der TAN die auf seinem Generator angezeigten Daten genau zu prüfen und mit seinen Zahlungsdaten abzugleichen hat. Dies war im vorliegenden Fall nicht geschehen, somit wurde gegen eine auferlegte Pflicht verstossen, was einen Schadensersatzanspruch der Bank entsprechend §675v II Nr.2 BGB begründet hat.

Die Entscheidung muss nicht langatmig kommentiert werden: Auch wenn sie in den Entscheidenden Punkten etwas kurz begründet, ist sie dennoch insgesamt korrekt und auch wenig überraschend. Wer Online-Überweisungen mit dem verbreiteten Smart-TAN-Plus Verfahren vornimmt, sollte zwingend immer die auf dem Generator angezeigten Daten abgleichen und in Zweifelsfällen von einer Eingabe der TAN absehen.

20. September 201424. August 2018

Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus

Beim LG Darmstadt (28 O 36/14) ging es um eine missbräuchliche Überweisung, also eine Überweisung die ohne den Willen des Kontoinhabers stattgefunden hat. Hierbei kam das Smart-TAN-Plus Verfahren zum Einsatz, bei dem eine TAN im Einzelfall generiert und mit einem bestimmten Gerät angezeigt wird. Im vorliegenden Fall kam es zu zwei Überweisungen in Höhe von gut 18.000 Euro, die der Kontoinhaber nicht veranlasst haben wollte. Das Gericht konnte sich mit der Verantwortlichkeit auseinandersetzen und kam zu dem Ergebnis, dass der Kontoinhaber hierfür einzustehen hat.
„Missbräuchliche Überweisung: Haftung des Kontoinhabers bei von ihm veranlasster Überweisung mittels Smart-TAN-Plus“ weiterlesen

20. September 201423. August 2018

Rechtliche Einschätzung und Fragen: Push Notifications bei Browsern

Immer mehr Browser – etwa Mozilla Firefox und Safari – lernen etwas neues: Push Notifications. Der Blick in das Mozilla Wiki verheißt hinsichtlich der API eine längst überfällige Entwicklung: Webseiten können ihren Nutzern Nachrichten senden, auch wenn diese gar nicht auf der Seite sind. Eine Option wäre, dass eine Nachricht gesendet wird, wenn sich die Webseite verändert – auf den ersten Blick sinnvoll, auf den zweiten Blick aber lästig, wenn man an Meldungen von zig Webseiten denkt, die bei jeder Änderung eine Nachricht an den Browser senden. Wie sich letztlich im Alltag diese Funktion durchsetzt, wird sich noch zeigen. Tatsächlich aber sehe ich hier einen enormen Zukunftsmarkt, da die Vorstellung, dass Webseiten mit Nutzern nur noch kommunizieren, wenn der Nutzer diese aufruft, seit langem überholt ist.Vielmehr entwickeln sich Webseiten zunehmend in die Richtung von Apps, t3n spricht hier zutreffend von einem „Cloud OS“.

Ich denke es werden in kurzer Zeit die anderen Browser mitziehen. Doch: Wie immer bei neuen technischen Ideen stellen sich auch rechtliche Fragen. (Hinweis: Dieser Artikel wurde 2012 erstellt und zwischenzeitlich aktualisiert).

„Rechtliche Einschätzung und Fragen: Push Notifications bei Browsern“ weiterlesen

27. Mai 201424. August 2018

Phishing: Vorsicht bei Mails mit „Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!“

Nicht zum ersten Mal habe ich heute eine Mail erhalten, die den Betreff „Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!“ führt. Für mich ist es recht einfach, solche Mails direkt als Müll zu identifizieren, da ich für besonders sensible Accounts eigene Mail-Adressen führe. Wenn man dann sieht, wohin die Mail gesendet wurde, ist auf einen Blick klar, dass der erste Verdacht (Müll) sich bestätigt. Heise berichtet nun, wie gefährlich es sein kann, wenn man hier nicht aufpasst.
„Phishing: Vorsicht bei Mails mit „Ihre Apple ID wurde aus Sicherheitsgrunden deaktiviert!““ weiterlesen

22. Februar 20142. Januar 2017

Strafrecht: Zur Einziehung von Tatwerkzeugen

Das Strafgesetzbuch sieht im §74 StGB die so genannte „Einziehung“ vor

Ist eine vorsätzliche Straftat begangen worden, so können Gegenstände, die durch sie hervorgebracht oder zu ihrer Begehung oder Vorbereitung gebraucht worden oder bestimmt gewesen sind, eingezogen werden.

Es besteht damit die grundsätzliche Möglichkeit, Tatwerkzeuge seitens des Gerichts einzuziehen. Dies natürlich nicht unbegrenzt, sondern es gibt Rahmenbedingungen. So ist eine nachvollziehbare Möglichkeit der Einziehung, wenn der betroffene Gegenstand der Begehung weiterer Taten dienen würde (§74 Abs.2 Nr.2). Andererseits soll die Einziehung ausgeschlossen sein, „wenn sie zur Bedeutung der begangenen Tat und zum Vorwurf […] außer Verhältnis steht.“ (§74b StGB). Gerade letzteres, den gesetzlich ausdrücklich normierten Verhältnismäßigkeitsgrundsatz, muss der BGH in letzter Zeit zunehmend stärken.
„Strafrecht: Zur Einziehung von Tatwerkzeugen“ weiterlesen

20. Dezember 201223. August 2018

Geldwäsche: Finanzagenten schulden Schadensersatz

Der Bundesgerichtshof hat eine Entscheidung des Landgerichts Bauzen (1 S 23/11) bestätigt, derzufolge „Finanzagenten“ zivilrechtlich zum Schadensersatz verpflichtet sind. Es geht hierbei um Betroffene, die einem Dritten Ihr Konto zur Verfügung stellen, damit dieser darauf Einzahlungen vornehmen lassen kann und das Geld sodann auf ein weiteres Konto transferieren kann.
„Geldwäsche: Finanzagenten schulden Schadensersatz“ weiterlesen

25. April 201224. August 2018

Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers

Manchmal bleibt das Opfer eines Verbrechens auf dem eigenen Schaden sitzen – und nicht nur dann, wenn man des Täters nicht habhaft wird. Das „Phishing“ war früher ein ganz besonderes Problem in diesem Bereich. Zur Erinnerung: Phishing liegt vor, wenn man versucht, an Zugangsdaten eines Nutzers zu gelangen. Vor allem mit gefälschten Emails wird hier gearbeitet, die auf täuschend echt aussehende Login-Seiten weiterleiten. Denkbar ist aber auch, dass Daten eines Nutzers durch einen Telefonanruf oder gefälschte Briefe erschlichen werden.

Wenn nun jemand auf ein solches „Phishing“ herein gefallen ist, und ein Dritter mit Hilfe der erlangten Daten unautorisierte Überweisungen vorgenommen hat, streiten sich das Opfer und die Bank regelmäßig darüber, ob und in welcher Höhe das Geld an das Opfer zurück zu zahlen ist. Der Gesetzgeber hat hier inzwischen reagiert und die gesetzliche Lage Ende 2009 angepasst.
„Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers“ weiterlesen

16. Januar 201224. August 2018

Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers bei Überweisungen

Das Landgericht Landshut (24 O 1129/11) hat sich mit der Frage beschäftigt, wann ein Phishing-Opfer „grob fahrlässig“ handelt. Die Frage ist bei der Rückabwicklung ungewollter Zahlungen von Bedeutung: Grundsätzlich legt §675u BGB fest, dass der „Zahler“ (hier: Kontoinhaber) gegen seinen „Zahlungsdienstleister“ (hier: Bank) einen Rückzahlungsanspruch hinsichtlich nicht autorisierter Zahlungen hat. Phishing-Opfer haben damit also grundsätzlich einen Rückzahlungsanspruch gegenüber der Bank. Aber: §675v II BGB sieht vor, dass im Falle grob fahrlässiger (oder gar vorsätzlicher) Verletzung von Pflichten der Kontoinhaber ggfs. zum Ersatz des vollen Schadens verpflichtet sein kann (sonst „nur“ bis zu 150 Euro, §675v I BGB). Die Bank kann dem Kontoinhaber daher ggfs. entgegenhalten, dass dieser für den Schaden aufkommen muss (diesbezüglich wird dann „Aufrechnung“ erklärt).

Interessant ist aber, wie weit das LG Landshut zu gehen bereit ist.
„Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers bei Überweisungen“ weiterlesen

9. Mai 201124. August 2018

EC-Karten nicht im Auto lassen!

Das LG Berlin (10 O 10/09) hält die Rechtsprechung des BGH aufrecht und stellt fest:

[…] spricht ein Anscheinsbeweis dafür, dass der Karteninhaber die PIN auf der Karte notiert oder aber die PIN gemeinsam mit der Karte verwahrt hat, wenn zeitnah nach einem Diebstahl einer EC-Karte unter Verwendung der Karte und der Eingabe der richtigen PIN an einem Geldautomaten einer Bank Bargeld abgehoben wird (BGHZ 160, 308 = NJW 2004, 3623 ff.).

In diesem Fall wurde dem Kartennutzer seine EC-Karte aus dem verschlossenen Handschuhfach seines (verschlossenen) Autos gestohlen – das nur wenige Minuten alleine gelassen wurde – und „zeitnah“ nach dem Diebstahl Geld abgehoben. Das LG Berlin stellt dabei fest, dass dieses Verhalten grob fahrlässig war und die Bank einen Schadensersatzanspruch wegen einer grob fahrlässigen Pflichtverletzung des Kartennutzers hat. Oder anders ausgedrückt: Der Kartennutzer blieb auf dem Schaden (immerhin fast 3.000 Euro) „sitzen“.
„EC-Karten nicht im Auto lassen!“ weiterlesen