Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Für Phishing-Opfer

Freitag, 4. Juli 2008, 20:24 Uhr

Wer auf eine Phishing-Masche oder einen vergleichbaren Computerbetrug hereingefallen ist und sich dabei nicht vollkommen dumm angestellt hat, der hat nach einem aktuellen (allerdings noch nicht rechtskräftigen) Urteil des Amtsgerichtes Wiesloch gute Chancen, nicht auf seinem Schaden sitzen zu bleiben. Die Bank kann in vollem Umfang für den Schaden haftbar gemacht werden, wenn der Betrug über eine gefälschte Online-Überweisung oder manipuliertes Online-Banking erfolgte und der Bankkunde beim Betrieb seines Rechners „durchschnittlichen“ Anforderungen an die Sorgfalt Genüge tat.

Obwohl sich in diesem Einzelfall 14 verschiedene Schadprogramme auf dem Computer des Bankkunden befanden, müsse die Bank für den entstandenen Schaden aufkommen, weil…

  1. keine Pflichtverletzung des Kunden bestehe, da er den Anforderungen an die Sorgfalt beim Absichern seines Rechners genügte. Denn von einem Kunden sei nur das zum Betrieb des Mediums erforderliche Wissen und damit eine irgendwie geartete Absicherung des Computers zu erwarten, während eine besonders ausgefeilte Form der Absicherung gegen solche kriminellen Angriffe gar nicht erforderlich ist.
  2. …das Online-Banking auch im Interesse der Bank liege (wegen der Kostensenkung auf Seiten des Bankhauses), die mit dem Kunden keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart hat.
  3. …die Bank grundsätzlich das Fälschungsrisiko bei einem Überweisungsauftrag trage.

Als „durchschnittliche“ Anforderung an die Sorgfalt wertete es das Gericht, dass der Kunde die Installation eines Antivirus-Programmes nachweisen konnte – wobei von Seiten des Gerichts sogar eingeräumt wurde, dass dieser Schritt die durchschnittliche Anforderung möglicherweise noch übertreffe. (Natürlich liegt die spezielle Auslegung dieser Anmerkung im Einzelfall beim jeweiligen Gericht.) Die Frage der regelmäßigen Aktualisierung der Signaturen des Antivirus-Programmes wurde in der Begründung des Urteiles völlig offen gelassen. Nicht verpflichtend sei es allerdings für den Kunden gewesen, eine Firewall zu installieren.

Kurz zusammengefasst: Wer sein Betriebssystem und seinen Browser auf dem neuesten Stand hält, die aktuellen Sicherheitsupdates einspielt (oder den entsprechenden Automatismus seines Systemes verwendet) und eine Software zum Schutz gegen Schadprogramme installiert hat, würde auf der Grundlage dieses Urteils einen Phishing-Schaden von seiner Bank stets erstattet bekommen.

Auf dem Hintergrund dieses Urteiles sollten viele Opfer gängiger Betrugsmaschen eine Chance haben, zumindest ihren finanziellen Schaden von der Bank erstattet zu bekommen – so dass „nur“ die weiteren Schäden durch die Preisgabe persönlicher Daten an organisierte Kriminelle bestehen bleiben. Alles weitere wird Ihnen der Anwalt ihres Vertrauens erzählen, wenn sie selbst zum Opfer geworden sind und Ihre Bank nicht zahlen will.

Das verstehe aber bitte niemand als Aufforderung zum völlig sorglosen Umgang mit dem Internet, denn…

  1. …es ist nicht klar, wie das blinde Vertrauen in eine Phishing-Mail, der Klick auf einen Link und die Preisgabe von vertraulichen Informationen auf einer gefälschten Seite im Internet von einem Gericht beurteilt würde. Vermutlich würde hier allerdings der Standpunkt eingenommen, dass zumindest eine Mitschuld des Opfers vorliege, wenn die URL im Browserfenster nicht geprüft wurde und wenn die ganze Vorgehensweise nicht gerade mit einer außerordentlichen und damit für das Opfer kaum durchschaubaren Perfidie durchgeführt wird.
  2. …neben dem finanziellen Schaden sind weitere Schäden möglich, wenn der eigene Rechner als Spamschleuder oder zum Austausch illegaler Inhalte verwendet wird und wenn persönliche Beziehungen für schwer kriminelle Zeitgenossen offen gelegt werden.
  3. …die so von der Bank erstatteten Schäden werden über kurz oder lang von der Bank wieder reingeholt, indem sie den zusätzlichen Kostenfaktor über Gebühren für ihre Leistungen und über gesteigerte Zinssätze für Darlehen auf die Gesamtheit ihrer Kunden abwälzen wird. Aus der Unvorsicht einiger Computernutzer wird damit ein Schaden für alle Menschen, die der Dienste einer Bank bedürfen. Und wer zählte nicht dazu?
  4. …in vielen Fällen wird eine eventuelle Regresspflicht der Bank und ihr Umfang erst in einem Rechtsstreit festgestellt werden, der auch mit einem persönlichen Kostenrisiko verbunden ist, das nicht jeder tragen kann oder will. Von daher ist es gut möglich, dass Banken in vielen Fällen eine für den betrogenen Kunden eher nachteilhafte außergerichtliche Einigung mit Übernahme eines Teilbetrages der Schadenssumme anbieten werden, um weitere Kosten aus der gegenwärtigen Rechtsauffassung zu vermeiden.

Es gilt also – trotz dieser scheinbar günstigen Rechtslage – es gar nicht erst so weit kommen zu lassen, dass man seinen Computer den Verbrechern zur freien Nutzung übergibt. Das ist auch nicht schwierig. Die Grundregel ist sogar sehr einfach: Spam erkennen, Spam im Maileingang unbeachtet löschen, niemals auf einen Link in einer Spam klicken, niemals eine über Spam (auch Spamkommentare in Foren, Gästebüchern oder Weblogs) verlinkte Website ansurfen! Egal, wie attraktiv das Angebot dort auch aussehen mag. Egal, wie harmlos das Angebot dort auch aussehen mag. Egal, wie nützlich das Angebot dort auch aussehen mag. Jede Spam ist illegal und zudem asozial, mit Spammern wird man keinen Spaß haben und keine Geschäfte machen können. Aber man kommt schnell an einen ernsthaften und schmerzhaften Schaden.

Wer es schafft, Spam sicher zu erkennen und stets zu ignorieren, der kann kaum noch zum Opfer eines gängigen Betruges werden. Das ist – unter dem Gesichtspunkt der Sicherheit am Computer – fast noch wichtiger als die Verwendung von Antiviren-Programmen, die mit ihren Erkennungen sowieso immer zwei bis drei Tage hinter den neuesten Entwicklungen der Verbrecher hinterherhinken. Keine auf dem Computer installierte Software kann den Verstand des Menschen vor dem Computer ersetzen, es handelt sich immer nur um eine Ergänzung.

Zu hoffen bleibt jetzt allerdings, dass die Banken das Thema „Phishing“ nicht mehr auf die leichte Schulter nehmen, sondern im eigenen Interesse für eine umfassende und allgemein verständliche Aufklärung ihrer Kunden sorgen. Solche Bemühungen waren bislang leider nicht sichtbar, obwohl sie wohl so manchen Schaden verhindert hätten. Vielleicht wird es unter der neuen Rechtslage sogar einigen Banken endlich möglich, ihre Websites zum Online-Banking in einer Weise zu gestalten, die auch mit weniger angreifbaren Betriebssystemen und restriktiv konfigurierten Browsern verwendbar ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert