Funktionsweise, Folgen, Rechtsprechung

Phishing, das sich zusammensetzt aus den englischen Wörtern Password und Fishing, meint das Ausspionieren von Passwörtern oder anderen geheimen Daten im Internet. Angriffsziel des Phishing sind vor allem Zugangsdaten für Banken (Online-Banking), Versandhäuser oder Internet-Auktionshäuser.

Wann liegt ein Phishing-Angriff vor?

Die Täter richten zunächst irgendwo im Internet eine Website ein, die derjenigen der betreffenden Bank täuschend ähnlich sieht. Dann werden Kunden in massenhaft versandten Emails, die vorgeblich ebenfalls von dieser Bank stammen, unter einem Vorwand, z.B. notwendige Aktualisierung von Datenbeständen, aufgefordert, einem in der Mail enthaltenen Link zu folgen, der auf die gefälschte Website führt.

Dort sollen die Kunden ihre Zugangsdaten, PIN und/oder TAN in dafür vorgesehene Felder eingeben. Tun sie dies, erhalten die Täter Kenntnis von diesen Daten und können sie auf der Original-Website der Bank einsetzen, um an Stelle des Bankkunden auf dessen Konto zuzugreifen und davon Überweisungen zu ihren Gunsten zu tätigen.

Welche Straftatbestände werden beim Phishing erfüllt?

  • Durch das Erstellen der gefälschten Website sowie der gefälschten Email kann eine strafbare Marken- bzw. Urheberrechtsverletzung (§ 143 MarkenG, §§ 106 ff. UrhG) sowie eine Strafbarkeit gemäß § 263a Abs.3 (Vorbereitung eines Computerbetrugs) und § 269 1.Alt. StGB (Fälschung beweiserheblicher Daten) gegeben sein.
  • Durch das Versenden der gefälschten Email wird der Straftatbestand des § 269 2.Alt. StGB und des versuchten Betruges gemäß § 263 StGB erfüllt.
  • Werden mittels Phishing tatsächlich vertrauliche Zugangsdaten erlangt, liegt ein vollendeter Betrug gemäß § 263 StGB vor.
  • Die Verwendung der erschlichenen Daten und die Geldabhebung stellt einen Computerbetrug gemäß § 263a StGB dar.

Welche zivilrechtlichen Ansprüche bestehen beim Phishing?

Beim Online-Banking kann der Kunde gegenüber der Bank auf Schadensersatz haften, wenn er nach Erkennen eines Phishing-Angriffs untätig bleibt und damit seine Informationspflicht gegenüber der Bank verletzt. Eine schadensersatzpflichtige Verletzung der Geheimhaltungspflicht von PIN und TAN, die regelmäßig Vertragsinhalt zwischen Bank und Kunde ist, kann im Rahmen einer notwendigen Einzelfallabwägung gegeben sein, wenn der vom Phishing betroffene Kunde deutliche Verdachtsmomente übersieht.

Dabei ist auch von Bedeutung, ob die Bank durch ihr Verhalten Anlass gab, die Phishing-Email und die Website des Täters für echt zu halten, etwa durch Nutzung von Emails zur Kommunikation mit dem Kunden oder durch häufig wechselndes Design der Login-Seite. Der Bank kann bei nicht rechtzeitig unternommenen  hinreichenden Maßnahmen zur Verhinderung von Phishing ein Mitverschulden angelastet werden.

BGH-Rechtsprechung

Mit einem neuen Urteil hat der BGH (Urteil v. 24.4. 2012, XI ZR 96/11) die Kunden weitgehend in die Pflicht genommen, auf Warnungen ihrer Banf vor falschen Anfragen zu reagieren: Bankkunden, die auf gefälschten Webseiten leichtfertig ihre Geheimnummern angeben, müssen für Betrugsschäden selbst aufkommen. Dabei sei es unerheblich, ob der eingeräumte Kreditrahmen des Kunden überschritten werde.

In dem Fall war ein Kunde war Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist.


Schlagworte zum Thema:  IT-Sicherheit