#1 9. Januar 2008 Das Opfer eines Phising-Angriffs hat gegenüber dem als Geldwäscher agierenden Mittelsmann einen Schadensersatzanspruch in Höhe des überwiesenen Geldbetrags. Dies entschied das Landgericht Köln mit Urteil vom 5. Dezember 2007 (Az. 9 S 195/07) und hob damit ein Urteil das AG Köln als Vorinstanz auf. Von dem Konto des Klägers war ohne dessen Wissen und Wollen ein Betrag von rund 3000 Euro abgebucht und auf das Konto des Beklagten eingezahlt worden. Dieser hatte das Geld daraufhin per Western Union an eine Person in Russland weitergeleitet. Mit diesem Dritten hatte der Beklagte zuvor nur Kontakt per E-Mail gehabt. In dem Weitertransfer des vom Konto des Klägers aufgrund eines Computerbetrugs gemäß Paragraph 263a StGB überwiesenen Geldes liegt nach Ansicht des Gerichtes eine strafbare Geldwäsche. Der Beklagte habe dabei leichtfertig nicht erkannt, dass das Geld aus einem Computerbetrug stammte. Im vorliegenden Fall hätte es für den Beklagten auf der Hand liegen müssen, dass das Geld nicht, wie von seiner E-Mail-Bekanntschaft angegeben, aus einer Erbschaft zu deren Gunsten, sondern aus kriminellen Machenschaften stammen musste. Ein Mitverschulden bei der Entstehung des Schadens treffe den Kläger im vorliegenden Fall dagegen nicht. Ein solches Mitverschulden sei zwar grundsätzlich anzunehmen, wenn der Kontoinhaber PIN und TAN aufgrund von Phishing oder Vishing herausgibt. Andererseits könnten Täter andere Angriffsmethoden wie Malware und Pharming auch dann mit Erfolg einsetzen, wenn der Kontoinhaber seine IT hinreichend schützt und hinreichend aufmerksam ist. Als Mindestvoraussetzungen für einen solchen Schutz nennt das Gericht die Verwendung einer aktuellen Virenschutzsoftware und einer Firewall sowie das regelmäßige Einspielen von Sicherheitsupdates für das Betriebssystem und die verwendete Software. Ebenso müsse ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder Anforderung per E-Mail herauszugeben. Außerdem müsse man erwarten können, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennt, so etwa "sprachliche Mängel, deutlich falsche Internet-Adresse, Adresse ohne https://, kein Schlüsselsymbol in der Statusleiste". Trotzdem könne auch aktuelle Virenschutzsoftware nicht immer die neuesten Schadprogramme erkennen. Trotz aller Sicherheitsupdates tauchten auch immer wieder neue Sicherheitslücken in Betriebssystemen und Programmen auf. Gerade die Sicherheitseinstellungen des immer noch überwiegend von Internet-Nutzern verwandten Internet Explorers seien zudem "im Auslieferungszustand alles andere als sicher". Im vorliegenden Fall sei offen geblieben, auf welche Weise die Täter des Computerbetrugs sich die Kontodaten des Klägers verschafft haben. Angesichts der vielfältigen technischen Möglichkeiten, welche die Täter nutzen können, könne von einem durchschnittlichen Nutzer von Online-Banking aber nicht erwartet werden, im Nachhinein nachzuvollziehen, auf welchem Wege dies gesehen sei. Es lägen daher keine Anhaltspunkte dafür vor, dass die Täter die Kontodaten erlangt haben, weil der Kläger seinen Sorgfaltsmaßstab nicht eingehalten habe. (Joerg Heidrich) / (anw/c't) Quelle:http://www.heise.de/newsticker/meldung/101552 + Multi-Zitat Zitieren