Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Bezahlen mit NFC: Rechtsprobleme im Vorbeigehen

Anwaltliche Beratung gewünscht? Vereinbaren Sie einen Termin unter 02404-92100!

Es ist absehbar, dass es sich hierbei weniger um einen Hype als langfristige Perspektive handelt: Das „kontaktlose Bezahlen“ mittels Near Field Communication (NFC) im Alltag, speziell im Bereich der kleinen alltäglichen Zahlungen, auch „Micropayment“ genannt. Bereits seit Jahren ist absehbar, dass Bargeld und Zahlungen abstrakter werden, dass man weniger mit echtem Geld zahlt, als mit digitalisierten Zahlungsströmen. Das einfachste Beispiel ist die heute längst übliche Bezahlung seiner Einkäufe an der Supermarktkasse „mit der Karte“.

Das Ergebnis ist zweischneidig: Einmal einen sicherlich vereinfachten und beschleunigten Zahlungsvorgang, andererseits ist zu erleben, dass immer mehr (junge) Menschen das Gefühl für den Umgang mit Geld verlieren und zudem erhebliche neue Sicherheitsprobleme auftreten. Dabei stehen wir mit vergleichsweise primitiven Techniken wie Skimming gerade einmal am Anfang, es ist zu erwarten, dass massenhafte Infiltration der Zahlstationen in den Geschäften bald ein zunehmendes Problem ist.

Bezahlen mit NFC: Rechtsprobleme im Vorbeigehen weiterlesen

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Gestohlene EC-Karte: Nichts neues von der Rechtsprechung

Anwaltliche Beratung gewünscht? Vereinbaren Sie einen Termin unter 02404-92100!

Das Amtsgericht München (233 C 3757/11) hatte sich letztes Jahr mit einer gestohlenen EC-Karte zu beschäftigen und hat klar gestellt, dass sich an den bisherigen Regeln auch dort nichts ändert. Kurz vorher hatte auch das LG Berlin (10 O 10/09, hier besprochen) klar gestellt, dass die alten Regeln sich nicht geändert haben. Die Aussicht ist damit weiterhin für Verbraucher düster.
Gestohlene EC-Karte: Nichts neues von der Rechtsprechung weiterlesen

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Vereinbaren Sie einen Termin unter 02404-92100!

Manchmal bleibt das Opfer eines Verbrechens auf dem eigenen Schaden sitzen – und nicht nur dann, wenn man des Täters nicht habhaft wird. Das „Phishing“ war früher ein ganz besonderes Problem in diesem Bereich. Zur Erinnerung: Phishing liegt vor, wenn man versucht, an Zugangsdaten eines Nutzers zu gelangen. Vor allem mit gefälschten Emails wird hier gearbeitet, die auf täuschend echt aussehende Login-Seiten weiterleiten. Denkbar ist aber auch, dass Daten eines Nutzers durch einen Telefonanruf oder gefälschte Briefe erschlichen werden.

Wenn nun jemand auf ein solches „Phishing“ herein gefallen ist, und ein Dritter mit Hilfe der erlangten Daten unautorisierte Überweisungen vorgenommen hat, streiten sich das Opfer und die Bank regelmäßig darüber, ob und in welcher Höhe das Geld an das Opfer zurück zu zahlen ist. Der Gesetzgeber hat hier inzwischen reagiert und die gesetzliche Lage Ende 2009 angepasst.
Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers weiterlesen

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Skimming: BGH „ändert“ Spielregeln zu Gunsten Betroffener

Anwaltliche Beratung gewünscht? Vereinbaren Sie einen Termin unter 02404-92100!

Bereits im Jahr 2004 hat der Bundesgerichtshof (XI ZR 210/03) festgestellt, dass es einen „Beweis des ersten Anscheins“ gibt, wenn eine EC-Karte samt PIN-Code zeitnah nach Diebstahl zum Geldabheben verwendet wird, der zu Lasten des Karteninhabers dahin geht, dass der PIN-Code auf der Karte notiert ist oder mit dieser gemeinsam verwahrt wurde. Diese Rechtsprechung wurde in der Vergangenheit mehrfach attackiert, u.a. mit dem Argument, dass die vom BGH angenommene Sicherheit des EC-Karten-Systems nicht mehr zeitgemäß sei. Oder eben mit Blick auf Skimming-Vorfälle (zu dem Begriff siehe hier).

Nunmehr hat der Bundesgerichtshof (XI ZR 370/10) in Rahmen eines Skimming-Vorfalls seine Rechtsprechung konkretisiert: Zwar hält er an dem ersten Anschein fest. Stellt jedoch klar, dass dieser „Anscheinsbeweis“ nicht funktionieren kann, wenn keine Originalkarte eingesetzt wurde. Der Einsatz der Originalkarte ist dabei durch die, den Schadensersatz begehrende, Bank zu beweisen!

Bei genauer Betrachtung ist dies keine „Änderung der Spielregeln“, da der Bundesgerichtshof die ursprüngliche Begründung nicht ändern, sondern lediglich klar stellen musste. Gleichwohl handelt es sich um eine – zumindest leichte – Verbesserung der Position für Skimming-Opfer und andere Betroffene von EC-Karten Missbrauch durch Dritte, da die grundsätzliche Feststellung der Beweislast über den Einzelfall hinaus Bedeutung gewinnen dürfte.

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

EC-Karten nicht im Auto lassen!

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Verkehrsrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Das LG Berlin (10 O 10/09) hält die Rechtsprechung des BGH aufrecht und stellt fest:

[…] spricht ein Anscheinsbeweis dafür, dass der Karteninhaber die PIN auf der Karte notiert oder aber die PIN gemeinsam mit der Karte verwahrt hat, wenn zeitnah nach einem Diebstahl einer EC-Karte unter Verwendung der Karte und der Eingabe der richtigen PIN an einem Geldautomaten einer Bank Bargeld abgehoben wird (BGHZ 160, 308 = NJW 2004, 3623 ff.).

In diesem Fall wurde dem Kartennutzer seine EC-Karte aus dem verschlossenen Handschuhfach seines (verschlossenen) Autos gestohlen – das nur wenige Minuten alleine gelassen wurde – und „zeitnah“ nach dem Diebstahl Geld abgehoben. Das LG Berlin stellt dabei fest, dass dieses Verhalten grob fahrlässig war und die Bank einen Schadensersatzanspruch wegen einer grob fahrlässigen Pflichtverletzung des Kartennutzers hat. Oder anders ausgedrückt: Der Kartennutzer blieb auf dem Schaden (immerhin fast 3.000 Euro) „sitzen“.
EC-Karten nicht im Auto lassen! weiterlesen

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Warnung vor „Cash-Trapping“

Anwaltliche Beratung gewünscht? Vereinbaren Sie einen Termin unter 02404-92100!

Eine bisher eher unbekannte Betrüger-Masche breitet sich gerade aus: Das so genannte „Cash-Trapping“. Wieder geht es um Geldautomaten, wieder wollen Betrüger in den ordnungsgemäßen Vorgang des Geldabhebens eingreifen. Diesmal aber fängt man keine Daten ab (wie beim Skimming), sondern man fängt das Geld ab. Dazu wird auf den echten Geldausgabeschacht eine selbst hergestellte Attrappe aufgesetzt. Der Kunde der das nicht erkennt hebt sein Geld ab und wartet darauf – am Ende aber kommt nichts raus. Das Geld wird in der Attrappe „gefangen“ („Trap“ = Falle). Viele Kunden gehen von einem defekten Automaten aus und bemerken den Betrug erst später.

Das spezielle Risiko in diesem Fall liegt im Nachweis: Wer es erst nach Tagen bemerkt, dem wird die Bank erst einmal entgegen halten, dass alles ordnungsgemäß gelaufen ist. Speziell wenn man sich als einer der ersten beschwert, dürfte es ein schwieriger Standpunkt sein. Die Polizei rät dazu, wenn kein Geld rauskommt, dort zu warten und die Polizei zu rufen.

Hinweis: Die englischen Begrifflichkeiten dürften zunehmend die Verbraucher verwirren. Eine kurze Zusammenschau:

  1. Skimming liegt vor, wenn auf Grund angebrachter Amaturen versucht wird, während des Vorgangs des Geld abhebens (oder bei anderen Karteneinsätzen) eine Kopie der Karte anzulegen und den PIN-Code des Karteninhabers auszuspionieren.
  2. Phishing liegt vor, wenn man versucht, an Zugangsdaten eines Nutzers zu gelangen. Vor allem mit gefälschten Emails wird hier gearbeitet, die auf täuschend echt aussehende Login-Seiten weiterleiten. Denkbar ist aber auch, dass Daten eines Nutzers durch einen Telefonanruf oder gefälschte Briefe erschlichen werden.
  3. Cash-Trapping ist ein eher simples Verfahren, bei dem ausgeworfenes Geld mit einer Vorrichtung aufgefangen wird. Es lebt davon, dass die Nutzer von defekten Bankautomaten ausgehen und der Sache nicht nachgehen.
  4. Keinen Namen gibt es für ein „Trapping“ von Überweisungsbelegen: Seit vielen Jahren gibt es Betrügereien, bei denen Betrüger eingeworfene Überweisungsbelege bei Banken abfangen. Z.b. indem man eine Vorrichtung am Bankbriefkasten anbringt, oder ganz professionell eigene Briefkästen aufstellt. Mit den so erlangten Überweisungsbelegen werden dann professionell gefälschte Überweisungen erstellt, mit denen von den Konten der Opfer auf fremde Konten Geld überwiesen wird.

Man merkt: In den letzten Jahren ist die Bank zunehmend in den Fokus von Betrügereien geraten. Dabei kann es grundsätzlich jeden treffen, es hat nichts mit „Dummheit“ oder „Naivität“ zu tun. Allgemein glaube ich, kann man nur raten, bei jeder Unregelmäßigkeit sofort zu reagieren und notfalls (außerhalb der Geschäftszeiten) die Polizei zu rufen. Wichtig ist, sich der Bedrohung zumindest bewusst zu sein.

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

Neuer Skimming-Vorfall in unserer Region

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im IT-Recht - Strafrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Die Aachener Nachrichten berichten über einen aktuellen Skimming-Vorfall der – jedenfalls für diejenigen, die nicht betroffen sind – durchaus interessant ist: Während die meisten beim Thema „Skimming“ (gemeint ist damit das Ausschnüffeln von EC-Karten-Daten um die Kartendaten kurz danach zum Geldabheben zu nutzen) an Geldautomaten denken, wurde in Jülich eine Bezahlstation einer SB-Tankstelle präpariert. In der Tat ist das nichts wirklich Besonderes: Skimming kann überall dort betrieben werden, wo man die Karte mit dem PIN -Code einsetzt. Und nach dem aktuellen Focus auf Geldautomaten ist es nur naheliegend, auf andere Varianten auszuweichen. Eine SB-Tankstelle, wo auch noch alles schnell gehen soll, ist da ein sehr geeignetes Ziel. Es gab in den vergangenen Jahren auch einmal einen Fall, in dem ein Tankstellenpächter zielgerichtet seine Kunden ausspähte, ebenso gab es den Fall in den USA, dass Zahlungsterminals im Einzelhandel präpariert waren (wovon die Händler nichts wussten).

Wer sich schützen möchte, zahlt Bar. Wer mit Karte zahlt, gleich für wie erfahren er sich hält, muss sich eines gewissen Restrisikos immer bewusst sein. Mit einem gewissen Aufwand kann man das Risiko in den Griff bekommen, indem man ein eigenes Girokonto für alltägliche Kartenzahlungen einsetzt, das über keine Kreditlinie verfügt und mit einem vertretbaren Geldbetrag ausgestattet wird (etwa via Dauerauftrag). Ob man sich aber im Alltag diesem (überschaubaren) Aufwand widmet, muss man selber überlegen.
Betroffene sollten letzten Endes den Weg zum Anwalt nicht scheuen, Erfahrungsgemäß – selbst wenn die Täter nicht gefasst werden bzw. nur die mittellosen „Strohmänner“ – bieten sich dennoch gute Lösungen unter Inanspruchnahme der betroffenen Geldinstitute an. Allerdings: Einfach Strafanzeige erstatten und ansonsten abwarten ist ein schlechter Rat, insbesondere wenn es um vierstellige Summen geht.

Fakt ist: Skimming ist mit Blick auf EC-Karten-Daten heute schon ein Alltagsphänomen, das nicht zu unterschätzen ist. Dabei ist es sogar schon in der Gemeinde Langerwehe aufgetreten (ca. 14.000 Einwohner), man darf sich also nicht unbedingt „auf dem Land“ sicher fühlen. Hinzu kommt, dass mit Blick auf den neuen Personalausweis das Skimming noch erheblich interessanter werden wird. Nutzer von EC-Karten und neuem Personalausweis dürfen das Thema „Skimming“ daher nicht mehr auf die leichte Schulter nehmen, sondern müssen sich aktiv und präventiv um Schadens- und Risikobegrenzung bemühen.

Dabei der Hinweis zur Weihnachtszeit: Gerade in der Weihnachtszeit, wenn wieder alels hektisch und schnell gehen soll, häufen sich m.E. die Skimming-Vorfälle. Auch hier ist zwischen Glühwein auf dem Weihnachtsmarkt und dem Shopping-Wahn beim Abheben von Geld dringend zur Ruhe und einem genauen Blick auf das Terminal zu raten. Wer sich gar nicht auskennt oder nicht weiss, ob er es erkennen würde: Geld nicht an Automaten „im Freien“ abheben, sondern nur an Automaten innerhalb des Kreditinstituts. Üblicherweise verzichten die Ganoven hier auf Skimming-Versuche, weil das Risiko auf Grund der innerhalb des Gebäudes angebrachten Videokameras zu hoch ist. Eine absolute Sicherheit gibt es aber auch hier nicht.

Links zum Thema:

Kurz-URL:
Rechtsanwalt Ferner Alsdorf - Ihr Rechtsanwalt in Alsdorf, Anwaltskanzlei Ferner Alsdorf

CCC legt nach: Schwere Sicherheitsmängel beim neuen Personalausweis

Anwaltliche Beratung gewünscht? Wir sind insbesondere tätig im Datenschutzrecht - Vereinbaren Sie einen Termin unter 02404-92100!

Der Chaos Computer Club hat gestern Abend nachgelegt und seine Kritik am neuen elektronischen Personalausweis bestärkt. Die Kritik richtet sich erneut gegen die Art der Auslesung des Personalausweises, speziell:

  1. Dass die Bundesregierung die schon vormals kritisierten unsicheren Lesegeräte der Klasse 1, ohne eigenes Eingabefeld, verteilen lässt.
  2. Dass es möglich war, Dokumente mit Javascript-Inhalt (der sich ändern kann und nicht statisch ist!) zu signieren wobei die spätere Signatur weiter als Intakt/Qualifiziert gekennzeichnet ist. Das heisst, zwischen dem ursprünglich signierten und später angezeigtem Inhalt kann ohne Signaturverlust ein Unterschied bestehen.
  3. Es wird nicht berücksichtigt, dass Schadsoftware (so genannter „Man in the Browser“ – nicht das gleiche wie der „Man in the Middle“ – Angriff, aber artgleich) den Inhalt laufender Transaktionen beeinflussen kann, ohne das der Nutzer es merkt.
  4. Der CCC verweist auf die Blackhat 2010, auf der das erfolgreiche Klonen von Identitäten demonstriert wurde, das von mir schon vor langem prognostizierte Skimming mit Personalausweisen ist damit schon nachgewiesen, noch bevor die Ausweise überhaupt auf dem Markt sind.

Was heisst das für den Anwender? Vielleicht nicht unbedingt zu den Ersten gehören, die sich so einen Ausweis holen. Dabei denke ich, darf man den Anwendern auch nicht erzählen, eine absolute Sicherheit wäre möglich, ein solcher Zustand wäre Utopisch. Allerdings gibt es immer ein Maximum an Sicherheit, das man erreichen kann und das man bei einem derart sensiblen Dokument auch anstreben muss. Dabei darf man sich auch nichts vormachen: Wer den neuen Personalausweis nutzt, von dem werden grundlegende technische Kenntnisse abverlangt, etwa was den Betrieb einer üblichen Sicherheitsumgebung in dem Umfeld angeht, in dem man den Personalausweis einsetzt. Damit gehen auch erhebliche soziale Probleme einher, da in gewissem Maße Spezialkenntnisse bei einem (verpflichtend zu besitzenden) Alltagswerkzeug vorausgesetzt werden.

Die Maßnahmen der Bundesregierung, sicherlich auch geprägt von einem akuten Erfolgsdruck bei diesem Projekt, lassen letzten Endes den Anspruch des Strebens nach maximaler Sicherheit vermissen. Die Wortwahl des CCC, der von „Augenwischerei“ spricht und zwischen den Zeilen schon andeutet, dass hier eine Realitätsferne Staatspropaganda betrieben wird, finde ich keinesfalls abwegig. Nicht nur als Jurist, sondern gerade als jemand, der lange Zeit seine Brötchen mit der Prüfung von IT-Sicherheitskonzepten verdient hat, kann ich unter den aktuellen Vorzeichen dem CCC nur beipflichten und sagen: Finger weg, jedenfalls bis zur zweiten Generation des elektronischen Personalausweises. Kommen wird die nämlich in jedem Fall.

Hinweis: Wer, vielleicht auch aus technischem Unverständnis heraus, die Kritik nicht versteht, dem sei der Hinweis gegeben, dass erst kürzlich eine 9. Klasse aus Grevenbroich im Physik-Unterricht das geschafft hat, was laut BSI unmöglich sein sollte – sie deaktivierten/zerstörten den Chip des Ausweises mit einfachsten Mitteln. Nachzulesen hier.

Zum Thema:

Kurz-URL: