Derzeit läuft vor dem Europäischen Gerichtshof (EuGH) ein Verfahren eines Phishing-Opfers aus Polen gegen eine polnische Bank. Der Generalanwalt des EuGH empfiehlt in seiner Stellungnahme eine Entschädigungspflicht von Banken bei Phishing, falls nicht autorisierte Transaktionen erfolgt sind – auch bei Fahrlässigkeit des Kunden – allerdings nur unter besonderen Prämissen.
Die latente Phishing-Gefahr beim Banking
Für Online-Banking lauert ständig die Gefahr, Opfer von Phishing-Angriffen zu werden. Häufiger liest man, dass Nutzer auf einen Phishing-Angriff hereingefallen sind und ihre Zugangsdaten zum Online-Banking herausgegeben haben. Im Anschluss sollen dann Konten leer geräumt worden sein.
Bei solchen Fällen stelle ich mir beim Lesen der Berichte immer die Frage: "Wie soll das gehen?". Auch wenn ein Phisher Zugriff auf meine Online-Banking-Konten bekäme, könnte er maximal auf die bereits stattgefundenen Transaktionen zugreifen – in einigen Fällen sogar nur für drei Monate. Alles andere erfordert ein manuelle Freigabe per Transaktion durch mich. Dazu ist aber beispielsweise eine Autorisierung mittels TAN, erzeugt über einen TAN-Generator, erforderlich.
Ein Phishing-Fall aus Polen
Vor dem Bezirksgericht in Koszalin, Polen, ist der Rechtsstreit eines Kunden gegen die Bank PKO BP S.A. anhängig. Der Kunde hatte einen Artikel auf einer Auktionsplattform zum Verkauf angeboten und wurde dann Phishing-Opfer. Der Kunde bekam einen Phishing-Link von einem Betrüger zugeschickt. Dieser führt zu einer Phishing-Seite, die der Login-Oberfläche der Bank ähnelte.
Der Bankkunde fiel darauf herein und gab seine Zugangsdaten für das Online-Banking ein. Im Anschluss konnte der Betrüger diese Daten zum Anstoßen einer Transaktion nutzen, und überwies einen Betrag vom Konto des Opfers zu einem anderen Zielkonto.
Das Opfer meldete die Transaktion zwar am nächsten Tag der Bank und erstattete auch Anzeige bei polnischen Polizei. Wie in so vielen Fällen konnte(n) der (oder die) Betrüger nicht identifiziert werden.
Der Fall landet vor Gericht und vor dem EuGH
Die Bank weigerte sich, dem Kunden den ohne Autorisierung abgebuchten Betrag zu erstatten. Die Bank berief sich bei der Verweigerung der Erstattung auf Fahrlässigkeit des Kunden. Daraufhin verklagte der Kunde die Bank vor dem Bezirksgericht in Koszalin.
Das Bezirksgericht in Koszalin legte den Fall dem Europäischen Gerichtshof zur Entscheidung vor. Das polnische Gericht will vom EuGH wissen, ob die Bank als Zahlungsdienstleister nach EU-Recht verpflichtet ist, eine nicht vom Bankkunden autorisierte Transaktion unverzüglich zu erstatten, selbst wenn die Bank der Ansicht ist, dass der Kunde grob fahrlässig gehandelt hat, oder ob die Bank diese Erstattung wegen Fahrlässigkeit verweigern kann.
Laut dieser Pressemitteilung (via) hat Athanasios Rantos, Generalanwalt des Gerichtshofs der Europäischen Union (EuGH), eine formelle Stellungnahme mit einer Empfehlung an das Gericht abgegeben. Athanasios Rantos empfiehlt eine Entschädigungspflicht für Banken gegenüber Phishing-Opfern auch bei Fahrlässigkeit (durch Weitergabe von Zugangsdaten), sofern nicht autorisierte Transaktionen erfolgt sind.
Der Generalanwalt des Gerichtshofs vertritt die Auffassung, dass das EU-Recht von der Bank verlangt, zunächst den Betrag der nicht autorisierten Transaktion unverzüglich zurückzuerstatten. Ausnahme ist, dass die Bank den begründeten Verdacht auf Betrug hat, den sie der zuständigen nationalen Behörde schriftlich mitteilen muss.
Eine andere Ausnahme von diesem Grundsatz der sofortigen Rückerstattung ist nicht vorgesehen, und der EU-Gesetzgeber hat den Mitgliedstaaten in dieser Hinsicht keinen Ermessensspielraum gelassen.
Diese Rückerstattung ist jedoch nicht endgültig. Stellt die Bank anschließend fest, dass der Kunde vorsätzlich oder grob fahrlässig eine der Verpflichtungen, insbesondere in Bezug auf personalisierte Sicherheitsdaten, nicht erfüllt hat, kann sie vom Kunden verlangen, die entsprechenden Verluste zu tragen. Weigert sich der Kunde, den Betrag der nicht autorisierten Transaktion zu erstatten, ist es Sache der Bank, rechtliche Schritte gegen diese Person einzuleiten, um die Zahlung zu erwirken.
Nach Ansicht des Generalanwalts "ist ein solcher Ansatz durch den Wortlaut der einschlägigen europäischen Rechtsvorschriften, den vom nationalen Gericht ermittelten Kontext der einschlägigen Bestimmungen und die Notwendigkeit gerechtfertigt, ein hohes Schutzniveau für Verbraucher, die Zahlungsdienste nutzen, zu gewährleisten, was eines der mit diesen Rechtsvorschriften verfolgten Ziele ist."
Die Empfehlung des Generalanwalts ist noch kein Urteil des EuGH. Dessen Richter halten sich aber in der Regel an die Empfehlung des Generalanwalts.
Die Implikationen eines Urteils
Wer jetzt hofft, dass jegliches Phishing beim Banking als Kunde folgenlos bleibt, dürfte enttäuscht werden. Denn obige Empfehlung enthält gleich mehrere Einschränkungen: Das greift nur, wenn lediglich die Zugangsdaten eingegeben, aber keine Transaktionen genehmigt wurden. Das ist nämlich der springende Punkt: Banken müssen den Kunden in die Lage versetzen, Transaktionen über Autorisierungen korrekt abzusichern.
Und Fälle von Vorsatz oder grober Fahrlässigkeit (z.B. Eingabe von TANs zur Autorisierung der Transaktion) sind ausgeschlossen. Die Empfehlung und ein Urteil bietet also weiterhin Stoff für weitere Verfahren. Aber die Richtung könnte zu einer verbesserten Absicherung von Transaktionen beim Online-Banking führen.
Die Absicherung über SMS-TAN ist von Gerichten in Deutschland ja bereits als nicht mehr ausreichend angesehen worden, da solche SMS-TANs durch SIM-Swapping abgefischt werden können. Ein eventuelles EuGH-Urteil könnte aber für Banken, die beim Online-Banking über Apps sowohl Transaktionen als auch die Autorisierung abwickeln, das Risiko einer Haftung spürbar erhöhen.
Kapert eine Malware das Gerät und kann die Autorisierung durch Eingabe eines abgegriffenen PIN selbst vornehmen, dürfte es für die Bank mit dem Nachweis der groben Fahrlässigkeit eng werden. Weist ein Gutachter nach, dass der Kunde diese Autorisierung nicht durch PIN-Eingabe genehmigt hat, wäre die Bank meiner Schlussfolgerung nach wiederum in der Haftung. Wird zwar etwas verzwickt, solange der Kunde nachweisen muss, dass er eine Transaktion nicht autorisiert hat. Ein Urteil könnte imho aber für ein Stück mehr Sicherheit sorgen und allzu windige Online-Banking App-Lösungen vom Markt fegen.
MVP: 2013 – 2016
Das wird lustig werden, mal sehen wie lange es brauch bis jemand auf die Idee kommt das Geld selber verschwinden zu lassen und es dann von der Bank wieder haben will.
Es muß auf alle Fälle eine Abgrenzung geben zwischen Fällen, die offensichtlicher Betrug sind und denen, bei denen man es schwerer erkennt und darauf hereinfällt.
Es gab ja früher bei den EC-Karten auch ein Spektrum zwischen "PIN mit Edding auf die Karte geschrieben" und "PIN nachweislich nicht bekannt, da der Briefumschlag noch ungeöffnet vorlag".
Die kann man nicht über einen Kamm scheren.
Ist das letzten Endes nicht völlig egal, denn wer zahlt den Aufwand für diese dann nötigen Einzelfallunterscheidungen oder auch eine pauschalisierte Haftungsabsicherung der Banken?
Gibt es eigentlich eine Statistik, wie oft Bank-Kunden per Phishing oder Trojaner betrogen werden? Und wie kulant Banken mit dem Problem umgehen? Mein Eindruck ist, dass dieses Thema "tot-geschwiegen" wird, vielleicht auch "um die Bevölkerung nicht zu verunsichern".
Hmm…
Ich glaub' viel eher, dass das wohl nicht so idealistisch bedingt sondern mehr auf rein lobbyistischem Interesse beruht.
Und statistische Erhebungen werden wahrscheinlich auch maximal Tendenzen aufzeigen können, denn viele solcher Fälle werden auch gar nicht registriert, weil durch die Opfer entweder gar nicht bemerkt oder auch nicht "angezeigt", aber ob diese Tendenzen dann wirklich relevant zuzuordnen sind bleibt doch eher fraglich.