Phishing & Cybercrime

Die ganze Welt ist Cybersdorf

Wissen Sie, was inzwischen das weltweit profitabelste Metier ist? Nein, nicht etwa banking & finance. Auch nicht (mehr) Drogenhandel und Menschenschmuggel. Seit dem ersten Halbjahr 2014 hat Schätzungen zufolge die Internetkriminalität den ersten Platz eingenommen. Dennoch verstehen bislang weder die Medien, noch die Betroffenen selbst die Rechtslage nach der Europäischen Zahlungsdienstrichtlinie. Denn immer noch wird davon berichtet, durch Cyberattacken sei den Kunden Geld gestohlen worden, was jedoch rechtlich falsch ist.

Meist werden E-banking-Konten von den Kriminellen an- und abgegriffen; Konten von Privaten, zunehmend aber auch - und gerade - Konten von Unternehmen und Firmen, die ebenfalls vom Gesetz geschützt sind. Sozusagen die Kleinkriminellen unter den Cyber-Räubern, und gleichzeitig deren Kinderstube, sind die Bankomatkartendiebe:

Datendiebstahl an Bankomaten nimmt zu

Kaum ist die Bankomatkarte verloren gegangen oder - noch häufiger - gerade zu diesem Zweck gestohlen worden, flugs sind schon die ersten Summen abgebucht, meist binnen Minuten und noch lange bevor man den Verlust bemerkt und die Stopptaste drückt, indem man die Sperrhotline anruft. Danach trägt man keinen weiteren Verlust mehr, davor in der Praxis schon.

Wieso "in der Praxis"? Weil es wichtig ist zu verstehen, wem hier Geld gestohlen wurde, Ihnen oder der Bank, auf deren Einrichtungen der betrügerische Angriff erfolgt ist! Mit anderen Worten: Wem gehört das Geld im Bankomaten? Ganz einfach, der Bank! Stiehlt es wer, so fehlt es ihr. Und sie ist weiterhin vertraglich verpflichtet, die Forderungen ihrer Kundschaft zu erfüllen. Nur wenn die Kundschaft einen vorwerfbaren Fehler begangen und so den Diebstahl erst ermöglicht hat (zB Weitergabe oder Notiz von Karte, TAN oder Code), darf sich die Bank das gestohlene Geld von ihrer Kundschaft zurückholen

Eigentlich sollte die seit 2009 in der EU geltende Zahlungsdienste-Richtlinie die Bankkunden beruhigen: Darin steht, dass die Bank Ihnen den ganzen Schaden ersetzen muss, falls durch Cyberangriffe Geld von Ihrem Konto gestohlen wurde, ob sie nun etwas dafür kann oder nicht – denn es handelt sich um eine verschuldensunabhängige Haftung der Bank! Aber wie so oft liegt die Tücke im Detail.

Wann werden es endlich auch die Gerichte glauben?

Die einschlägigen Polizeiabteilungen sind den heimischen Gerichten und Sachverständigen um Lichtjahre voraus: Sie wissen nämlich, was auch immer wieder Gegenstand der Medienberichterstattung ist, dass organisierte Banden es darauf anlegen, gestohlene Karten binnen Minuten zu barem Geld zu machen, und dass das technisch auch ohne weiteres möglich ist! „Karten-Skimmer“ können Daten lesen, um illegale Buchungen zu tätigen. Laut Polizei steigt die Zahl der „Skimming“-Fälle in Wien. Betroffene bemerken den Diebstahl oft erst beim Blick auf den Kontoauszug. „Karten-Skimming“ ist eine ausgeklügelte Technik, um unbemerkt Kontoinformationen auf den Magnetstreifen von Bankomat- und Kreditkarten und deren PIN-Codes auszuspähen. Damit können die Karten „geklont“ und zur Abbuchung verwendet werden. 

Die Gerichte sind demgegenüber häufig noch ahnungslos und technikgläubig. Sie vertrauen auf technische Sachverständige, die ihnen versichern, dass eben bei diesem Bankomaten keine anderen Falschbuchungen gemeldet wurden und daher eine Manipulation ausgeschlossen sei; dass es technisch gar nicht geht, irgendwelche Daten auszulesen, etc und überhaupt viel zu aufwändig wäre. Daher könne es nicht anders sein, als dass der Kunde mit seinem PIN sorglos umgegangen ist.

Was man tun kann

Voraussetzung für die Rückbuchung der "unautorisierten Zahlung" laut Zahlungsdienstegesetz ist natürlich, dass Sie ebenfalls keine Schuld trifft (keine Weitergabe der TANs, vorsichtiger Umgang mit Passwörtern, kein Anklicken verdächtiger phishing-sites, etc). Kein vernünftiger Mensch würde einfach so mit seinen sensiblen Zugangsdaten und Passwörtern unvorsichtig umgehen, aber genau darauf haben es die Betrügernetzwerke abgesehen. Sie basteln inzwischen täuschend echt aussehende Nachrichten, ganze Websites gar, oder installieren unbemerkt Schadsoftware auf Ihrem Computer. Ein falscher Klick ist da schnell passiert, aber sogar dafür hat das Gesetz einen Schutz vorgesehen: Waren Sie doch einmal unvorsichtig, war aber Ihre Schuld nur gering - also ein Versehen, wie es jedem einmal passieren kann - dann haften Sie nur mit € 150,- falls Sie Verbraucher/in sind. Für Unternehmer gilt der Schutz des Gesetzes nämlich nicht ohne weiteres, und auch nicht für die ständig wachsende Zahl der Kleinstunternehmer, also Leute, die über ihr Bankkonto nicht ausschließlich-private Zahlungen fließen lassen - dies obwohl der österreichische Gesetzgeber deren Schutz hätte anordnen können, laut EU-Richtlinie. Aber dafür war er entweder zu verschlafen, oder er wollte es absichtlich nicht, weil er lieber Banken schützt.

Und darüber, ob sich der Bankkunde etwa fehlverhalten hat, unvorsichtig war, auf geschickte Betrüger hereingefallen ist (immerhin streben die genau das an!) und schließlich, ob ihm das alles vorzuwefen ist, lässt sich trefflich streiten.

Wer muss dabei was beweisen? Klar, der Kunde muss sich nicht etwa freibeweisen, das ginge gar nicht ("negativa non sunt probanda"), sondern die Bank muss ihm sein Fehlverhalten schon nachweisen, zB die Weitergabe von Codes. Aber wie macht sie das, gibt es Beweiserleichterungen? Der Deutsche Bundesgerichtshof hat entschieden, dass der Bank dabei keine Beweiserleichterung zugute kommt, weil keine prima-facie-Lage (Beweis des ersten Anscheins; typischer Geschehnisverlauf) vorliegt, denn:

"Im Falle des Missbrauchs des Online-Bankings besteht angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweist." (BGH 26.1.2016, XI ZR 91/14).

Inzwischen gibt es mit 10 Ob 102/15w auch ein österreichisches Urteil des Höchstgerichts, das die strenge Beweisführung allein der Bank auferlegt. Und dennoch haben die Bankkunden, die nicht als Verbraucher galten, im konkreten Fall gegen ihre Bank verloren, weil man ihnen mit dem Argument, es könne technisch gar nicht anders gewesen sein, nicht geglaubt hat, dass sie nichts falsch gemacht haben. Ganz ähnlich wie zum Bankomatkartenmissbrauch bleibt also noch viel Überzeugungsarbeit zu leisten, bis allgemein verstanden wird, dass die Technik, derer sich die Banken zu ihrem eigenen Vorteil bedienen, störanfällig ist und - letztlich auch unbemerkt - zum Nachteil der Kunden ausgenützt werden kann. Wir bleiben jedenfalls an dem Thema dran und tauschen uns dazu ständig mit Kollegen aus Deutschland und Großbritannien aus, und zwar auch auf diesem Gebiet wieder so lange, bis der Stand der Rechtsprechung auf dem Stand der Technik ist.

Vgl. http://wienrecht.at/blog/283-wider-die-ohnmacht-ii