Home | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Jura | Kontakt
 
 
Navigation
»Arbeitsrecht
»Baurecht und Architektenrecht
»Erbrecht
»Familienrecht
»Handels- und Gesellschaftsrecht
»Insolvenzrecht
»Internetrecht - Onlinerecht - Ebay
»Medizinrecht
»Mietrecht und Pachtrecht
»Sozialrecht
»Steuerrecht
»Strafrecht
»Transport- und Speditionsrecht
»Urheber- und Medienrecht
»Verkehrsrecht
»Versicherungsrecht
»Verwaltungsrecht

»Abfallrecht
»Agrarrecht
»Aktienrecht
»Architekten- und Ingenieurrecht
»Arzt- und Kassenrecht
»Arzthaftungsrecht - Arzthaftung
»Bank- und Börsenrecht
»Baurecht, privates
»Binnenschifffahrtsrecht
»Datenschutzrecht
»Deutsch-spanisches Recht
»Energiewirtschaftsrecht
»Familienrecht, internationales
»Forderungseinzug
»Gewerberecht
»GmbH-Recht
»Haftungsrecht, freie Berufe
»Haftungsrecht, Steuerberater
»Handels- und Wirtschaftsrecht
»Immobilienrecht
»Internationales Privatrecht
»Internationales Recht
»Jagd- und Waffenrecht
»Jugendstrafrecht
»Kapitalanlagenrecht
»Kapitalstrafrecht
»Kaufrecht
»Leasingrecht
»Maklerrecht
»Marken- und Domainrecht
»Medienrecht
»Nachbarrecht
»Opferschutzrecht
»Pferderecht
»Presserecht
»Printmedienrecht
»Produkthaftungsrecht
»Recht des öffentlichen Dienstes
»Reiserecht
»Rentenrecht
»Schadenersatzrecht
»Schuldrecht
»Sportrecht
»Steuerstrafrecht
»Strafverfahrensrecht
»Strafvollzugsrecht
»Telekommunikationsrecht
»Verbraucherinsolvenz
»Vereins- und Verbandsrecht
»Vergaberecht
»Verkehrsstrafrecht
»Verkehrsverwaltungsrecht
»Vermögensrecht
»Vertragsrecht
»Wehrrecht
»Wettbewerbsrecht - Werberecht
»Wirtschaftsrecht
»Wirtschaftsstrafrecht
»Wohnungseigentumsrecht
»Zivilrecht, allgemein
»Zwangsvollstreckungs-Recht
 
Sie befinden sich hier: Startseite / Fachartikel / Bank- und Börsenrecht / Was Phishing bedeutet und wie sich die Rechtslage gestaltet
   Bank- und Börsenrecht
Was Phishing bedeutet und wie sich die Rechtslage gestaltet
 
Autor: Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse
Kanzlei: ilex Rechtsanwälte
Ort: 14469 Potsdam
erstellt am: 27.11.15
 
Profil anzeigen
mehr Fachartikel dieses Autors
mehr Bank- und Börsenrecht
Artikel drucken
     

Was Phishing bedeutet und wie sich die Rechtslage gestaltet

In Deutschland werden rund 35 Mio. Konten online geführt. Dies haben auch Straftäter erkannt, die sich nicht die mehr die Finger schmutzig machen, sondern allenfalls die Tasten an ihrem Computer. Beim Abgreifen von Kontozugangsdaten im Online-Banking, d.h. bei Tathandlungen im Internet, bekommen sich Täter und Opfer dank der Anonymität des Internets selten zu Gesicht und die Täter setzten gezielt die Möglichkeiten von Massenkommunikationsmitteln ein. Die jeweiligen Kriminalitätsphänomene scheinen im Bereich des Internets wie Wellen von begrenzter Dauer daherzukommen. Ist zu einem bestimmten Kriminalitätsphänomen eine Sensibilisierung eingetreten, so verändern die Kriminellen auch ihre Tatvarianten. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets neue Erscheinungsformen sucht. Hinter jeder vorbeigerauschten Phishing-Welle wird meist schon die nächste sichtbar.

Wie alles begann: „Nigeria-Connection“

Ältere Internetnutzer erinnern sich noch an die ominösen e-Mails der sogenannten „Nigeria-Connection“, die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hat und den Empfängern der Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Allerdings wurde zur Geschäftsabwicklung erst einmal ein kleiner Vorschuss erbeten und sobald der eingezahlt war, hörte man nie wieder etwas von den Absendern. In diesen Mails wurden Geschichten in katastrophaler deutsche Sprache verfasst und dienen daher noch heute in diversen Internet-Foren der Belustigung.

Abfangen von sensiblen Daten: Ein Klassiker

Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher als gewollt, aber nicht als gekonnt einzustufen sind. Als Abfischen bezeichnet man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im Englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing“, ein Wortspiel, welches sich aus „password fishing“ (Passwörter fischen) zusammensetzt.
Die klassische Variante ist dadurch gekennzeichnet, dass die Kriminellen mithilfe von Massen-e-Mails versuchen, den Nutzer auf manipulierte Internetseiten zu lenken. Hierzu werden in solchen Mails versteckte Links eingebaut, die beim Anklicken den Nutzer auf unscheinbare Seiten umleiten. Der Inhalt dieser Massen-e-Mails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)“. Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet. Hier soll nun der Nutzer Zugangsdaten und TAN-Nummern eingeben, die es dem Täter dann ermöglichen, selber mithilfe dieser Daten über das Konto des Nutzers zu verfügen und es gegebenenfalls leer zu räumen. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen Vertrauen zu schaffen. Häufig weisen die Mails die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Die Täter nutzen dabei die Möglichkeiten des Massenversandes von e-Mails. Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers, sofern dieser aus der e-Mail-Adresse hervorgeht. Eine persönliche Anrede schafft Vertrauen und so wundert es nicht, dass unter den derart geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Das Abgreifen von Daten mit Hilfe von Trojanern

Täter verwenden oftmals kleinere Computerprogramme („Trojaner“). So beschrieb bereits 2005 das Amtsgericht Hamm in einem Strafverfahren: Zunächst wird ein „Trojaner“ auf dem Computer des Geschädigten installiert, den dieser sich beim „surfen“ im Internet oder durch den Empfang einer „Spam-e-Mail“ eingefangen hat. Sobald der Geschädigte eine Internetverbindung zu seiner Bank herstellt, liest das Programm unerkannt auch die für eine Transaktion notwendige PIN und eine oder mehrere TAN mit, indem der Trojaner sich unbemerkt zwischen die Datenverbindung des Kunden und seiner Bank schaltet.
Je nach Einzelfall unterscheidet sich die Datenmanipulation mittels Trojaner. So wird in einer Variante der Bankkunde durch die Schadsoftware von vornherein auf eine manipulierte Internetseite geleitet, die der eigentlichen Seite der eigenen Hausbank täuschend ähnlich ist. Technisch wird dabei die „Übersetzung“ von Domainnamen zu numerischen IP-Adressen manipuliert (sog. Pharming oder DNS-Spoofing). Der Namensserver wird mit Hilfe der „malware“ derart verändert, dass selbst bei Eingabe der richtigen URL nicht mehr die echte IP-Adresse (die Internetseite der eigenen Hausbank) ermittelt, sondern der Nutzer direkt zu der IP-Adresse einer gefälschten Internetseite geleitet wird. Der Kunde meint nun seine Daten im geschützten Bereich seiner Hausbank einzugeben, allerdings landen seine eingegebenen Daten direkt bei den Kriminellen. Aus der Kundensicht findet die Tathandlung statt, wenn sich der Bankkunde gerade seinen Zugang zum Online-Banking aktiviert oder einen Überweisungsauftrag abschließt. In diesem Augenblick öffnet sich ein neues Fenster, welches in den Leitfarben der eigenen Bank gehalten und mit deren Logo ausgestattet ist. Dem Kunden wird nun entweder vorgegaukelt, sein Login wäre nicht erfolgreich gewesen oder aber seine Transaktion wäre fehlgeschlagen. Es erfolgt die Bitte eine weitere, bisher noch nicht verwendete TAN einzugeben. In einer weiteren Variante könnte der Trojaner so programmiert sein, dass er die Tastatureingaben des Nutzers protokolliert (sog. „Keylogger“).

Wie gefährlich ist das iTAN-Verfahren?

Die eben erwähnte Methode ist mittlerweile derart perfektioniert worden, dass sie auch bei den „indizierten TAN-Verfahren“ (iTAN) funktioniert. Dabei vermittelt der Trojaner zwischen dem Computer des Bankkunden und der Hausbank (sog. „Man-in-the-Middle-Angriff“). Dies geschieht beispielswiese wie folgt: der Bankkunde, der sich in das Online-Banking eingeloggt hat, tippt einen Überweisungsauftrag über 50 € an X ein und sendet die Daten an seine Bank. Bevor dieses Datenpaket nun per SSL verschlüsselt an die Bank gesendet wird, verändert es der Trojaner in eine Transaktion in Höhe von 50.000 Euro an T. Nur dieser manipulierte Überweisungsauftrag wird verschlüsselt an die kontoführende Bank gesendet. Nun verlangt die Bank vom Bankkunden als Rückfrage zur Authentifizierung: „Bitte bestätigen Sie die Überweisung in Höhe von 50.000 € an T mit der iTAN Nr. 21“. Nachdem die Rückfrage am Computer des Bankkunden angekommen ist und entschlüsselt wurde, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, werden die Daten erneut durch den Trojaner abgefangen, verändert sie und zeigt dem Bankkunden am Bildschirm als Rückfrage lediglich an: „Bitte bestätigen Sie die Überweisung in Höhe von 50 € an X mit der iTAN Nr. 21“. Sobald der Kunde seine unverbrauchte iTAN Nr. 21 eingegeben hat, gibt der Trojaner diese an die Bank für die vom Bankkunden nicht gewollte Überweisung an T weiter. Die Bank überweist nun 50.000 € an T. Wenn der Trojaner professionell programmiert wurde, überprüft er vor dem Angriff den Verfügungsrahmen des Bankkunde und zeigt dem Bankkunden nach dem Angriff noch einige Tage lang in der Kontoübersicht eine tatsächlich nicht existente Überweisung in Höhe von 50 € an X an.

Was ist HBCI-Banking und wie sicher ist es?

Von privaten Bankengruppen wurde die Einführung des Online-Banking mittels des sog. HBCI-Verfahren angepriesen. Dieses Verfahren, bei dem der Bankkunde eine Chipkarte, ein Chipkartenlesegerät und eine HBCI-taugliche Software benötigt, ist deutlich sicherer als das herkömmliche iTAN-Verfahren. Jedoch ist auch das HBCI-Verfahren manipulierbar. Unter anderem gelang es Hackern im Auftrag der ARD-Sendung „Ratgeber Technik“ bereits im September 2001, den HBCI-Server der Münchner Hypo-Vereinsbank zu manipulieren und im Mai 2005 gelang dies im Auftrag der HR-Sendung „Trends“ mit dem HBCI-Server der Dresdner Bank.
Um die Transaktion zu verschlüsseln, wird beim HBCI-Verfahren ein Einmalschlüssel erzeugt. Außerdem wird jede Transaktion digital unterschrieben. Auf der Chipkarte des Bankkunden ist ein privater Schlüssel hinterlegt. Dieser erzeugt eine Signatur, sprich einen Zahlencode, dessen Echtheit die Bank mit Hilfe des öffentlichen Schlüssels, den der Kunde bereits bei der erstmaligen Initialisierung überspielt hatte, überprüfen kann.
Insbesondere berichtete die Frankfurter Allgemeine Zeitung im September 2009 von der Möglichkeit, des Abgreifens und Manipulierens dieses Schlüssels mit Hilfe von Trojanern. Verschlüsselt die HBCI-Software nämlich die Überweisungsdaten des Bankkunden mit Hilfe eines öffentlichen Schlüssels der Bank, sei es „ganz entscheidend, wo dieser öffentliche Schlüssel gespeichert“ würde. „Wenn das Speichermedium, auf dem der Bankschlüssel hinterlegt wurde“, nämlich „ein Wechseldatenträger“ sei, könnten „Trojanern (…) den öffentlichen Schlüssel der Bank einfach austauschen oder manipulieren“. Auch beim HBCI-Verfahren könne das „verwendete Homebanking-Programm von Computerviren befallen sein, so dass die manipulierte Software statt des angezeigten Kundenauftrags einen ganz anderen Überweisungsauftrag an die Bank schickt“. Der Bankserver würde auch in diesem Fall „den erteilten Überweisungsauftrag nicht in Frage stellen, weil er ja korrekt signiert“ worden sei (FAZ v. 08.09.2009, S. T2).

Welche Gefahren sind außerhalb von Online-Banking beachtlich?

Eine andere Gefahr außerhalb des Online-Banking besteht im Abgreifen anderer Zugangsdaten, etwas der Zugangsdaten zu Online-Versandhäusern, Internet-Auktionshäusern oder webbasierter Onlineberatung. Die meisten dieser Systeme bieten den Vorteil ihrer Anfälligkeit, weil sie häufig noch nicht einmal die Sicherheitsmerkmale eines i-TAN-Systems aufweisen, wie es im Online-Banking praktiziert wird. Ebenfalls muss der Betrogene häufig nicht mehr durch eine geschickt gestaltete E-Mail zur Preisgabe seiner Daten aufgefordert werden, da dies Trojaner erledigen, die im Hintergrund agieren.

Wie sich die Rechtslage gestaltet

Die zivilrechtlichen Möglichkeiten der unmittelbaren Inanspruchnahme des oder der Täter scheitern in der Rechtspraxis häufig weil es dem Opfer an Informationen zu den Tätern fehlt. Regelmäßig dauert es Wochen, wenn nicht sogar Monate bis er erfährt oder diese Information auf dem Rechtsweg durchgesetzt hat, auf wessen Konto sein Geld geflossen ist. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter häufig „Strohmänner“ zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, gelegentlich ahnungslos sind oder sich so generieren, fast immer aber vermögenslos sind.

In solchen Fällen besteht oftmals nur die Möglichkeit, Anspruchsgrundlagen gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus etc. zu prüfen. Durch die Umsetzung der Sepa-Richtlinie in nationales Recht gilt seit dem 31.10.2009 ein neues Haftungsrecht. Dem Grunde nach haftet die Bank. Die Bank kann sich jedoch entlasten, falls dem Bankkunden der Vorwurf der groben Fahrlässigkeit gemacht werden kann. Somit braucht heute eine Inanspruchnahme nicht mehr erfolglos zu sein. In der anwaltlichen Beratung ist es erforderlich, sehr sorgsam die genauen Umstände des Einzelfalles zu rekonstruieren und die nötigen Schritte einzuleiten.

Autor (ViSdP): Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse, ilex Rechtsanwälte, 14469 Potsdam


Das Datum, an dem dieser Artikel eingestellt wurde, entspricht nicht zwingend dem Tag der Erstellung dieses Artikels. Bitte informieren Sie sich im Zweifel beim Autor oder einem anderen Fachmann über die Aktualität und Richtigkeit der Inhalte.


Anzeige:

 
SeitenanfangSeitenanfang
 

Anwaltzentrale.de – Ein Service der cemore GmbH
Lindenstraße 102a | 49393 Lohne | Deutschland
Tel.: +49 4442/8027-0 | Fax.: +49 4442/8027-29 | E-Mail: info@cemore.de

Impressum | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Über uns | Kontakt | Fachartikel Sitemap

Anwaltzentrale.de führt keine Rechtsberatung durch.
Alle verwendeten Markennamen und Bezeichnungen sind eingetragene Warenzeichen und Marken der jeweiligen Eigentümer.