Was ist Phishing?
Beim Phishing wird meist mittels gefälschter E‑Mails und/oder Webseiten versucht, Zugangsdaten für einen Dienst oder eine Webseite (Benutzernamen, Passwörter oder Kreditkarteninformationen) zu erlangen. Häufig richten sich Phishing-Angriffe gegen Zahlungsdienstnutzer (Bankkunden), die in einer E‑Mail aufgefordert werden, ihre Zugangsdaten auf der Webseite der Bank einzugeben und validieren zu lassen. Neben Bankkunden werden aber auch Nutzer von E-Commerce-Anwendungen (Online-Shops oder Online-Dienstleister) angegriffen und geschädigt. Phishing ist insofern ein Identitätsdatenmissbrauch zur kriminellen Erzielung eines Vermögensvorteils (Bereicherung).
Beeinträchtigung der Vertraulichkeit
Phishing-Angriffe zielen auf die Vertraulichkeit von Daten. Unberechtigte versuchen meist durch einen gezielten Zugriff an Daten zu gelangen, die es ihnen dann ermöglichen, den „Ausgespähten“ zu schädigen. Ob der Datenzugang durch das Umgehen von Sicherheitsvorkehrungen erreicht oder aber die Daten unabsichtlich oder fahrlässig unberechtigten Dritten zugänglich gemacht und missbraucht werden, macht letztlich keinen Unterschied hinsichtlich der Tatsache, dass es sich in beiden Fällen um Identitätsmissbrauch handelt.
Wann liegt ein Identitätsdatenmissbrauch vor?
Ein Identitätsdatenmissbrauch liegt vor, wenn Dritte ohne selbst berechtigt zu sein, persönlichen Identitäts-/Berechtigungsdaten im Internet, bei der elektronischen Kommunikation oder der Nutzung elektronischer Medien abfangen oder ausspähen, um diese anschließend missbräuchlich zur Erlangung eines Vermögensvorteils zu nutzen.
Der typische Phishing-Fall
Ganz überwiegend trifft einen Bankkunden eine gelungene Phishing-Attacke wie ein Blitz aus heiterem Himmel. Ein Blick auf die Kontoauszüge zeigt, das Geld von einem Unbekannten für etwas Unbekanntes abgebucht wurde. Und auf einmal fehlen mehrere tausend oder mehrere zehntausend Euro. Daraufhin wird die Bank informiert und um Rückerstattung des Geldes gebeten. Doch die Bank weigert sich, für den Schaden aufzukommen. Sie trage keine Schuld. Wahrscheinlich hätte der Täter nur deshalb Erfolg haben können, weil der Bankkunde seinen PC nicht ausreichend gesichert oder auf unsicheren Internetseiten gesurft habe. Der Täter ist allen unbekannt und die Polizei kann nichts ermitteln. Was nun?
Wer haftet für den Schaden?
Zunächst hat der Bankkunde die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Zu den Sicherheitsmerkmalen gehört insbesondere auch die TAN, die nicht weitergegeben werden darf. Der Nutzer hat also Sorge zu tragen, dass keine andere Personen Kenntnis u. a. von einer TAN erlangt; eine telefonische Weitergabe ist z.B. unzulässig.
Bei einer erfolgreichen Phishing-Attacke weisen die Banken zumeist alle Schuld von sich und machen ihren Kunden für den Schaden verantwortlich, da er seine Sorgfaltspflicht verletzt habe. Die Rückerstattung des abgebuchten Geldes wird deshalb verweigert.
Wenn die Bank aber durch eine Pflichtverletzung Schuld oder Mitschuld am Phishing z.B. durch ein unsicheres Online-Bankingverfahren hat oder es versäumte, über Sicherheitsrisiken rechtzeitig zu informieren, dann haftet sie voll oder in bestimmten Fällen prozentual gemeinsam mit ihrem Kunden. Doch der Bank Fehler bzw. Versäumnisse nachzuweisen, ist für den Bankkunden erfahrungsgemäß sehr schwierig. Das ist ein Fall für Spezialisten, die sowohl rechtlich als auch IT-technisch versiert und mit derartigen Schadensfällen erfahren sind. Um Schadensersatz gegen die Bank durchzusetzen, kann deshalb nur eine spezialisierte fachanwaltliche Beratung empfohlen werden.
Unser Angebot: Kostengünstige Ersteinschätzung bei Phishing-Schäden
Sind auch Sie Opfer von Phishing geworden und möchten so schnell wie möglich Ihr Geld zurück?
Unsere Kanzlei hilft Ihnen bundesweit, nach einem Phishing-Angriff den Schaden zu beheben. Wir sagen Ihnen, was zu tun ist und was wir für Sie tun können. Sie entscheiden dann, ob Sie uns mit der Durchsetzung Ihrer (Rück)Forderung beauftragen wollen. Wir kümmern uns ggf. auch um die Strafanzeige bei der Polizei.
Für Rechtsschutzversicherte übernehmen wir die Deckungsanfrage.