Was bedeutet Phishing und wie ist die rechtliche Bewertung?

Rund 35 Mio. Konten werden in Deutschland online geführt. Das haben auch Kriminelle inzwischen mitbekommen, die sich die Finger nicht mehr schmutzig machen, sondern allenfalls die Tasten an ihrem Computer. Im Tatort Internet profitieren die Täter von der Anonymität der digitalen Welt und nutzen so insbesondere beim Abgreifen von Kontozugangsdaten den Vorteil, dass sie nur in Ausnahmefällen für das Opfer erkenntlich werden. Die jeweiligen Kriminalitätsphänomene scheinen im Bereich des Internets wie Wellen von begrenzter Dauer daherzukommen. Sobald ein gewisser Grad an Sensibilisierung zu einem bestimmten Kriminalitätsphänomen vorhanden ist, verschwinden die Tatvarianten nach wenigen Jahren wieder, um später in einer nur leicht veränderter Variante erneut hervorzubrechen. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets neue Erscheinungsformen sucht. Hinter jeder vorbeigerauschten Phishing-Welle wird meist schon die nächste sichtbar.

Der Beginn: „Nigeria-Connection”

Ältere Internetnutzer erinnern sich noch an die ominösen Emails der sogenannten „Nigeria-Connection”, die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hat und den Empfängern der Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Zunächst wurde in gebrochenem Deutsch allerdings ein Vorschuss verlangt und sobald er geleistet wurde, hörte man nie wieder mehr von den dubiosen Absendern. Noch heute dienen diese Mails, hauptsächlich aufgrund der sprachlichen Ausgestaltung, in manchen Internet-Foren der Unterhaltung der Leserschaft.

Der Klassiker des Abfangens sensibler Daten

Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher als gewollt, aber nicht als gekonnt einzustufen sind. Als Abfischen bezeichnet man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im Englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing”, ein Wortspiel, welches sich aus „password fishing” (Passwörter fischen) zusammensetzt.

Klassischer Weise wird versucht, den Nutzer auf eine für ihn vertrauenswürdig erscheinende Internetseite zu leiten. Hierzu werden von den Kriminellen Massen-Emails versendet, die für den Nutzer unscheinbare Verlinkungen enthalten und damit den Nutzer auf vom Täter gefälschte und präparierte Internetseiten verweisen. Der Inhalt dieser Massen-Emails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)”. Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet. Dort soll der Internetnutzer seine Zugangsdaten und möglichst auch eine oder gleich mehrere unverbrauchte TAN-Nummern preisgeben. So besteht für den Täter die Möglichkeit, über das Vermögen auf dem Konto des Nutzers zu verfügen und das Konto leer zu räumen. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen Vertrauen zu schaffen. Häufig weisen die Mails die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Die Täter nutzen dabei die Möglichkeiten des Massenversandes von Emails. Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers, sofern dieser aus der Email-Adresse hervorgeht. Eine persönliche Anrede schafft Vertrauen und so wundert es nicht, dass unter den derart geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Wie funktionieren Trojaner?

Heutzutage werden von den Kriminellen häufig kleine Computerprogramme („Trojaner”) verwendet. Bereits 2005 hatte das Amtsgericht Hamm diese Tatvariante in einem Strafverfahren beschrieben: Zunächst wird ein „Trojaner” auf dem Computer des Geschädigten installiert, den dieser sich beim „surfen” im Internet oder durch den Empfang einer „Spam-Email” eingefangen hat. Sobald der Geschädigte eine Internetverbindung zu seiner Bank herstellt, liest das Programm unerkannt auch die für eine Transaktion notwendige PIN und eine oder mehrere TAN mit, indem der Trojaner sich unbemerkt zwischen die Datenverbindung des Kunden und seiner Bank schaltet.

Die Datenmanipulation mit Hilfe eines Trojaners unterscheidet sich im Einzelfall je nach dessen Programmierung. So wird in einer Variante der Nutzer durch die Schadsoftware von vornherein auf eine manipulierte Internetseite geleitet, die der eigenen Hausbank sehr ähnlich sieht. Technisch wird dabei die „Übersetzung” von Domainnamen zu numerischen IP-Adressen manipuliert (sog. Pharming oder DNS-Spoofing). Der Namensserver wird mit Hilfe der „malware” derart verändert, dass selbst bei Eingabe der richtigen URL nicht mehr die echte IP-Adresse (die Internetseite der eigenen Hausbank) ermittelt, sondern der Nutzer direkt zu der IP-Adresse einer gefälschten Internetseite geleitet wird. Gibt nun der Nutzer seine Transaktionsdaten ein, kann der Täter diese einsehen. Aus der Kundensicht findet die Tathandlung statt, wenn sich der Bankkunde gerade seinen Zugang zum Online-Banking aktiviert oder einen Überweisungsauftrag abschließt. In diesem Augenblick öffnet sich ein neues Fenster, welches in den Leitfarben der eigenen Bank gehalten und mit deren Logo ausgestattet ist. Dem Kunden wird mitgeteilt, der Login sei nicht erfolgreich verlaufen oder die letzte Überweisung habe nicht abgeschlossen werden können. Deshalb wird gebeten, eine neue, unverbrauchte TAN zur Authentifizierung einzugeben. In einer weiteren Variante ist der Trojaner so programmiert, dass er direkt die Tastatureingaben des Nutzers aufzeichnet (sog. „Keylogger”).

Wie sicher ist das iTAN-Verfahren?

Diese Methode funktioniert mittlerweile auch bei dem „indizierten TAN-Verfahren” (iTAN). Hierzu dient der Trojaner als eine Art Mittelsmann zwischen dem Computer des Bankkunden und der Bank (sog. „Man-in-the-Middle-Angriff”). Dies funktioniert beispielswiese wie folgt: der Bankkunde, der sich in das Online-Banking eingeloggt hat, tippt einen Überweisungsauftrag über 100 € an X ein und sendet die Daten an seine Bank. Noch bevor das Datenpäckchen per SSL verschlüsselt und durch das Internet gesendet wird, schaltet sich Trojaner dazwischen und ändert die Daten in eine Transaktion über 100.000 Euro an Y. Nur dieser manipulierte Überweisungsauftrag wird verschlüsselt an die kontoführende Bank gesendet. Die Bank verlangt vom Bankkunden als Rückfrage zur Authentifizierung: „Bitte bestätigen Sie die Überweisung in Höhe von 100.000 € an Y mit der iTAN Nr. 17.” Nachdem die Rückfrage am Computer des Bankkunden angekommen ist und entschlüsselt wurde, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, schaltet sich der Trojaner erneut dazwischen, verändert sie und zeigt dem Bankkunden am Bildschirm als Rückfrage lediglich an: „Bitte bestätigen Sie die Überweisung in Höhe von 100 € an X mit der iTAN Nr. 17.” Sobald der Kunde seine unverbrauchte iTAN Nr. 17 eingegeben hat, gibt der Trojaner diese an die Bank für die vom Bankkunden nicht gewollte Überweisung an Y weiter. Die Bank überweist nun 100.000 € an Y. Ist der Trojaner professionell programmiert, überprüft er vor dem Angriff den Verfügungsrahmen des Bankkunden und zeigt auch noch tagelang nach dem Angriff in der Kontoübersicht dem Bankkunden tatsächlich nicht existente Überweisung in Höhe von 100 € an X an.

Was bedeutet HBCI-Banking und wie sicher ist es?

Das HBCI-Verfahren wurde von privaten Bankengruppen empfohlen. Dabei benötigt der Bankkunde ein Chipkartenlesegerät, eine HBCI-taugliche Software und eine Chipkarte. Damit ist dieses Verfahren deutlich sicherer als das herkömmliche iTAN-Verfahren. Trotzdem ist auch das HBCI-Verfahren manipulierbar. Hackern gelang es bereits im September 2001 im Auftrag der ARD-Sendung „Ratgeber Technik”, den HBCI-Server der Münchner Hypo-Vereinsbank zu manipulieren. Im Mai 2005 gelang dies im Auftrag der HR-Sendung „Trends” mit dem HBCI-Server der Dresdner Bank. 

Beim HBCI-Verfahren wird ein Einmalschlüssel erzeugt, mit dem die Transaktion verschlüsselt wird. Zusätzlich wird jede Transaktion digital unterschrieben. Praktisch läuft dies so ab, dass der private Schlüssel des Kunden, der nur auf der Chipkarte hinterlegt ist, eine Signatur erzeugt, sprich ein Zahlencode, dessen Echtheit die Bank mit Hilfe des öffentlichen Schlüssels, den der Kunde bereits bei der erstmaligen Initialisierung überspielt hatte, überprüfen kann.

Insbesondere berichtete die Frankfurter Allgemeine Zeitung im September 2009 von der Möglichkeit, des Abgreifens und Manipulierens dieses Schlüssels mit Hilfe von Trojanern. Verschlüsselt die HBCI-Software nämlich die Überweisungsdaten des Bankkunden mit Hilfe eines öffentlichen Schlüssels der Bank, sei es „ganz entscheidend, wo dieser öffentliche Schlüssel gespeichert” würde. „Wenn das Speichermedium, auf dem der Bankschlüssel hinterlegt wurde”, nämlich „ein Wechseldatenträger” sei, könnten „Trojanern (…) den öffentlichen Schlüssel der Bank einfach austauschen oder manipulieren”. Auch beim HBCI-Verfahren könne das „verwendete Homebanking-Programm von Computerviren befallen sein, so dass die manipulierte Software statt des angezeigten Kundenauftrags einen ganz anderen Überweisungsauftrag an die Bank schickt”. Der Bankserver würde auch in diesem Fall „den erteilten Überweisungsauftrag nicht in Frage stellen, weil er ja korrekt signiert” worden sei (FAZ v. 08.09.2009, S. T2).

Welche Gefahren bestehen außerhalb von Online-Banking?

Eine andere hochaktuelle Kriminalitätswelle besteht darin, nicht bloß Zugangsdaten im Online-Banking, sondern auch andere Zugangsdaten abzugreifen, etwa den Zugang zu Online-Versandhäusern, webbasierter Onlineberatung oder Internet-Auktionshäusern. Diese Systeme weisen häufig nicht einmal die Sicherheitsmerkmale eines iTAN-Systems auf, wie es im Online-Banking praktiziert wird. Häufig ist es nicht mal erforderlich, den Betrogenen durch eine geschickt gestaltete Email zur Preisgabe seiner Zugangsdaten zu bewegen, denn das schaffen die Trojaner, die im Hintergrund agieren.

Die Frage nach der Rechtslage

Häufig fehlt es den Geschädigten in der Rechtspraxis an Informationen zu den Tätern. Es kann Monate dauern, bis er erfährt oder diese Information auf dem Rechtsweg durchgesetzt hat, wohin sein Geld geflossen ist. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter oftmals „Strohmänner” zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, gelegentlich ahnungslos sind oder sich so generieren, fast immer aber vermögenslos sind.

In diesem Fall verbleibt nur der Weg, eine Anspruchsgrundlage gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus etc. zu prüfen. Heute braucht die Inanspruchnahme nicht mehr erfolglos zu sein, denn durch die Umsetzung der Sepa-Richtlinie in nationales Recht gilt seit dem 31.10.2009 ein neues Haftungsrecht. Dem Grunde nach haftet die Bank, außer sie kann sich durch den Vorwurf der groben Fahrlässigkeit des Kunden entlasten. In der anwaltlichen Beratung ist es daher erforderlich sehr sorgsam die genauen Umstände des Einzelfalles zu rekonstruieren und die nötigen Schritte einzuleiten.

Dr. Ulrich Schulte am Hülse

Rechtsanwalt und Fachanwalt für Bank- und Kapitalmarktrecht