Laut dem jüngsten, noch nicht rechtskräftigen, Urteil des Amtsgerichts Wiesloch haftet eine Bank künftig für Schäden, die ihren Kunden durch Phishing-Angriffe entstehen, sofern deren Computer gemäß den "durchschnittlichen Sorgfaltsanforderungen" geschützt sind. Gemeint ist in dem konkreten Fall lediglich der Einsatz eines Antiviren-Programms. Die Installation einer Firewall oder die regelmäßige Aktualisierung der Software wurde nicht berücksichtigt. Experten schließen nicht aus, dass das Urteil zum Präzedenzfall wird und künftig alle Banken zur Haftung verpflichtet.
Sophos, Anbieter von IT-Lösungen für "Security and Control", hält die Entscheidung der Richter für unzureichend, da sie die Tragweite möglicher Cyberattacken nicht berücksichtigt.
Pino v. Kienlin, Geschäftsführer der Sophos GmbH, kommentiert: "Das Urteil entspricht nicht den Sicherheitsanforderungen der heutigen Internet-Gesellschaft. Zum einen vermittelt es den fatalen Eindruck, minimale Sicherheitsvorkehrungen reichten für Computeranwender aus, um sich vor finanziellen Verlusten zu schützen. Tatsächlich aber gehen die Risiken heute weit über Phishing-Angriffe hinaus. Und wer sich lediglich auf ein Antiviren-Programm verlässt, läuft Gefahr, auf andere Weise Geld zu verlieren. Zum anderen klärt das Urteil die Haftungsfrage bei Phishing-Attacken nur unzureichend und zeigt, wie wenig die Rechtsprechung auf aktuelle Cyberbedrohungen eingestellt ist.
Wer haftet beispielsweise, wenn ein User zwar eine Antiviren-Software installiert hat, jedoch auf eine Phishing-Mail antwortet und seine PIN und TAN quasi freiwillig preisgibt?
Es ist erschreckend, wie viele Sicherheitsmängel und Datenlecks bei Anwendern und Unternehmen festzustellen sind. Regelmäßige Updates, das Einspielen der neuesten Betriebssystem-Patches und der Betrieb einer Firewall, die den ein- und ausgehenden Datentransfer überwacht, sind mittlerweile ein absolutes Muss zum Schutz vor den vielfältigen, immer komplexeren und für den einzelnen User immer weniger überschaubaren Gefahren. Dadurch lässt sich zum Beispiel auch verhindern, dass auf den Rechnern vertrauliche Daten, wie Passwörter, PIN- und TAN-Nummern ausspioniert und heimlich an Unbefugte übermittelt werden. Was wir zusätzlich brauchen, ist ein wesentlich stärkeres Risiko- und Sicherheitsbewusstsein - nur so können wir kriminelle Online-Attacken langfristig verhindern. Wichtig für Computeranwender bleibt, selbst für einen umfassenden Schutz ihrer Daten zu Sorgen."
Bei dem am Amtsgericht Wiesloch verhandelten Fall spionierten Cyberkriminelle im Herbst 2007 mit Hilfe so genannter Keylogging-Trojaner die Tastatureingaben des Bankkunden aus, darunter auch die PIN- und TAN-Nummer. Mit den erschlichenen Zugangsdaten und der Transaktionsnummer war es den Phishern möglich, vom Konto des Kunden rund 4.000 Euro an einen unbekannten Dritten zu überweisen. Die Bank machte den Kunden auf die verdächtige Überweisung aufmerksam. Als die Rückbuchung scheiterte und die Bank sich weigerte, den Betrag zu erstatten, stellte der Kunde Strafanzeige.
Laut den IT-Sicherheits-Experten von Sophos nehmen Spionage-Attacken und der Verlust vertraulicher Daten bedrohlich zu. Betroffen sind neben Privatanwendern insbesondere auch Unternehmen und Behörden. Durch einen sensibleren Umgang mit digitalen Daten sowie besseren technischen Sicherheitsvorkehrungen könnten die Risiken deutlich minimiert werden. Denn längst vernachlässigen nicht nur viele Privatanwender den ausreichenden Schutz: Eine kürzlich von Sophos durchgeführte Studie ergab, dass mehr als 80 Prozent aller Firmenrechner erhebliche Schwachstellen aufweisen und keine aktuellen Security Patches, Firewalls oder Updates ihrer Sicherheitssoftware installiert haben. (mf)