Urteil – Phishing-Opfer hat Rückzahlungsanspruch gegen Bank

Urteil zum Phishing bei Onlinebanking

Ein Mann war Kunde einer Bank und nutzte deren Online-Banking mit dem iTAN-Verfahren. Dabei erfragt die Bank zu jeder online auszuführenden Überweisung eine TAN von einer Liste, die dem Kunden zuvor per Post zugeschickt wurde. Auch das als sicherer eingeschätzte mobile TAN-Verfahren wird von der Bank angeboten, wurde von dem Kunden aber nicht genutzt.

Der Computer des Kunden war mit dem Trojaner SpyEye infiziert. Des Schadprogramm leitet eingegebene TAN an einen fremden Server weiter. Bei dem Einloggen in das Online-Banking wurde der Kunde auf eine Internetseite weitergeleitet, die der der Bank täuschend ähnlich sah. Dort wurde dem Kunden mitgeteilt, dass aus Sicherheitsgründen alle bisherigen TAN-Listen eingezogen würden. Er wurde aufgefordert, auf der Internetseite insgesamt 100 TAN einzugeben. Nachdem er die Onlinebankingwebseite mehrfach geschlossen und wieder aufrufen hatte, der Hinweis aber immer wieder erschien, folgte der Kunde der Aufforderung. Nach Eingabe der TAN konnte er das Onlinebanking wie gewohnt weiter nutzen.

Drei Tage später waren von seinem Konto sechs Überweisung zu je 1000,- € an einen ihm unbekannten Empfänger getätigt worden. Weitere vier Tage später bemerkte der Kunde die unautorisierten Abbuchungen und erstattete noch am selben Tag eine Anzeige gegen Unbekannt. Am darauffolgenden Tag informierte er die Bank und verlangte eine Rückbuchung der Beträge. Schließlich verklagte er das Kreditinstitut.

Ihm, dem Kunden, sei keine Sorgfaltspflichtverletzung zur Last zu legen. Sein Computer sei durch ein aktuelles Virenschutzprogramm und eine Firewall abgesichert. Die betrügerische Internetseite habe täuschend echt ausgesehen und er habe keinen Grund gehabt, die Aufforderung zur TAN-Eingabe anzuzweifeln. Außerdem habe er die Überweisungen nicht beauftragt. Vielmehr sei auf der Webseite der Bank nicht ausreichend vor möglichen Gefahren gewarnt worden und aus diesen Gründen müsse die Bank Schadensersatz zahlen.

Das Kreditinstitut sah keinen Schadensersatzanspruch des Kunden. Er habe seine Legitimationsdaten preisgegeben und ihm sei bekannt gewesen, dass er für das Login nur seine PIN, jedoch keine TAN-Nummern benötigt, insbesondere nicht 100 Stück. Zudem befinde sich auf der Login-Seite des Kreditinstituts ein Hinweis: „Geben Sie nur dann eine TAN ein, wenn Sie selbst zuvor z. B. eine Überweisung erfasst haben!„ Der Kunde hätte abgesehen davon auch das neuere mobile TAN-Verfahren nutzen können, das sein Kreditinstitut seit fast zwei Jahren anbot.

Das Gericht sprach dem Kunden einen Rückzahlungsanspruch in Höhe der 6.000,- € zu. Er habe weder vorsätzlich noch grob fahrlässig gehandelt. Er besitze nur geringe Computerkenntnisse und aufgrund seiner osteuropäischen Herkunft sei Deutsch nicht seine Muttersprache. Diese Umstände seien zu berücksichtigen. Auch deshalb sei die Aussage des Kunden plausibel, er habe keinen Verdacht geschöpft. Zudem sei der Hinweis auf der Webseite der Bank zu unpräzise. Der Umstand, dass der Kunde die Onlinebankingwebseite zunächst mehrfach schloss und wieder aufrief weise ebenfalls darauf hin, dass er vermutete, dass alles seine Richtigkeit habe, weil der Hinweis zu TAN-Eingabe bei jedem erneuten Einloggen in der selben Weise erfolgte. Dass der Kunde das iTAN- und nicht das mobile TAN-Verfahren der Bank nutze, sei ihm nicht zu Last zu legen. Schließlich biete die Bank beide Verfahren an und könne dem Kunden wegen der Nutzung keine grobe Fahrlässigkeit anlasten. Sie habe dafür zu sorgen, dass ihre Kunden vor Manipulationsversuchen gewarnt würden.

Landgericht Landshut, Aktz. 24 O 1129/11 vom 14.07.2011

Weitere Informationen

Gerichtsurteile Internet
Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Zahlungsaufforderung per SMS – Urteil: Forderungen können zulässig sein

Zahlungsaufforderung per SMS

Urteil: Forderungen können zulässig sein

Nicht jede Zahlungsaufforderung per SMS ist Spam. Das OLG Hamm hat entschieden, dass Mahnungen per SMS zulässig sein können. Dies ist dann der Fall, wenn die Forderung berechtigt ist und die Nachricht tagsüber beim Empfänger eingeht. Geklagt hatte der vzbv gegen ein Inkassounternehmen. […]

Die Brille der Zukunft - Weit mehr als nur eine Sehhilfe?

Die Brille der Zukunft

Weit mehr als nur eine Sehhilfe?

Zu vielen Zukunftsvisionen gehören auch Brillen. Was bislang nur eine praktische Sehhilfe oder ein modisches Accessoire darstellt, könnte schon bald ebenfalls mit einigen technischen Gadgets aufwarten. […]

Privater Investor schlägt zu – FRITZ!Box-Hersteller AVM ist verkauft

Privater Investor schlägt zu

FRITZ!Box-Hersteller AVM ist verkauft

Das bekannte Berliner Tech-Unternehmen AVM hat offiziell einen neuen Investor. Durch den Einstieg des europäischen Family Office Imker Capital Partners soll auch in Zukunft der Erfolg des Unternehmens gesichert werden. Die Gründer ziehen sich jedoch nicht vollständig aus der Firma zurück. […]

Trotz Legitimierungspflicht – illegale Anonymisierung von SIM-Karten

Trotz Legitimierungspflicht

Illegale Anonymisierung von SIM-Karten

Obwohl es seit Jahren die Pflicht zur Legitimierung bei Prepaid-Karten gibt, reichen die Sicherheitsvorkehrungen einiger Anbieter, um Missbrauch zu verhindern, nicht aus. Insbesondere ein Anbieter sticht laut Bundesnetzagentur negativ hervor. […]