idw - Informationsdienst
Wissenschaft
Bochum, 13.11.2006
Nr. 378
Kunden haften für Phishing
RUB-Jurist: Nachteiliger Schiedsspruch
Ombudsmann der Volksbanken entscheidet gegen Opfer
Der "Geprellte" ist der Kunde: Er muss für den Schaden von "Phishing" aufkommen, wenn er nicht darlegen kann, unter welchen Umständen ein Trojaner die gefälschte Überweisung veranlasst hat. Zu diesem Schluss kommt der Ombudsmann des Bundesverbandes der Deutschen Volks- und Raiffeisenbanken in einem Schlichtungsspruch, mit dem erstmals eine Entscheidung zur Haftung von Phishing-Opfern fiel. "Die Haltung des Ombudsmanns ist für Bankkunden sehr nachteilig, da der Kunde nachweisen soll, wie der Trojaner-Angriff erfolgt ist", sagt Georg Borges, Juraprofessor an der Ruhr-Universität Bochum und Vorstandssprecher der Arbeitsgruppe Identitätsschutz im Internet (a-i3). Wenn sich diese Meinung auch bei den Gerichten durchsetze, müssten die Phishing-Opfer in den meisten Fällen den Schaden selbst tragen, so der Bochumer Experte. "Die Entscheidung zeigt", sagt Borges, "wie wichtig es ist, dass Bankkunden ihre PC mit aktuellem Virenschutz ausstatten".
Der Fall
Im konkreten Fall war vom Konto des Kunden eine Überweisung an einen Geldkurier veranlasst worden, der das Geld ins Ausland weiterleitete. Der Kunde beteuerte, die Überweisung nicht veranlasst zu haben und meinte, es müsse ein Trojaner gewesen sein. Obwohl feststand, dass die Überweisung gefälscht war, und obwohl sich auf dem Rechner des Kunden nachweislich Trojaner befanden, entschied der Ombudsmann gegen den Kunden: Der "Anscheinsbeweis" spreche dafür, dass die Überweisung entweder vom Kunden selbst vorgenommen sein müsse oder der Kunde mit PIN und TAN unsorgfältig umgegangen sei. Der Ombudsmann verweist ferner darauf, dass der Kunde nicht habe angeben können, dass eine Transaktion, die er mit PIN und TAN durchführen wollte, nicht ausgeführt worden sei.
So funktioniert Phishing
Phishing umschreibt die Gruppe von Angriffen, die beabsichtigen, mit gefälschten E-Mail-Informationen den Benutzer auf einen Angreifer-Server zu leiten. Phishing-Mails sehen wie vertraute Nachrichten aus, beinhalten aber in der Regel Hyperlinks, die auf den falschen Server verweisen. Im Gegensatz zu "Spam" nutzen Phishing-Mails ein Vertrauensverhältnis aus: Der Empfänger glaubt, vom tatsächlichen Aussteller diese Nachricht erhalten zu haben. Ziel ist, persönliche Daten des Empfängers zu bekommen (PIN oder TAN).
Die Arbeitsgruppe a-i3
Unter anderem gegründet vom Juristen Prof. Dr. Georg Borges und dem IT-Sicherheitsexperten Prof. Dr. Jörg Schwenk (RUB) ist a-i3 eine fachübergreifende Arbeitsgruppe, die das Thema "Phishing" umfassend angeht. Sie macht sich den Schutz von Identitäten im Internet, insbesondere vor Missbrauch zur Aufgabe. Wissenschaftler erforschen und entwickeln Gegenmaßnahmen, zudem klären sie auch die Öffentlichkeit über Gefahren und Risiken auf.
Weitere Informationen
Prof. Dr. Georg Borges, Juristische Fakultät der RUB, Arbeitsgruppe Identitätsschutz im Internet (a-i3), Tel. 0234/32-26775, E-Mail: georg.borges@rub.de
Criteria of this press release:
Economics / business administration, Information technology, Law, Politics
transregional, national
Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).