Sie sind hier: Blog » Archiv nach Tag 'WLAN'

Mit ‘WLAN’ getaggte Artikel

Die Risiken beim Onlinebanking

Sonntag, 31. Juli 2011

Das Internet bietet heutzutage viele Erleichterungen: ob die täglichen Einkäufe oder eine Reisebuchung, vieles lässt sich online erledigen. Auch Bankgeschäfte werden vielfach komplett im Wege des so genannten Online- oder Homebanking über das Internet abgewickelt, ob einfache Überweisung, Dauerauftrag oder nur Überprüfung des Kontostands. Doch hier lauern immense Gefahren: über unsichere Internetverbindungen oder mit Hilfe von Programmen wie so genannten Trojanern können kriminelle Hacker die Bankdaten abfangen und das Konto plündern. Im Folgenden soll auf die wichtigsten Gefahren eingegangen werden, die im allzu sorglosen Umgang mit dem Onlinebanking lauern.

Der Ablauf des Onlinebankings

Der Ablauf der Banktransaktionen über das Internet ist denkbar einfach: der Kunde loggt sich auf der Webseite seiner Bank oder mit Hilfe einer speziellen Homebanking-Software mittels seiner Kontonummer oder einer vergebenen Login-Nummer ein; notwendig ist daneben ein Passwort, das meist frei wählbar ist. Nach Abschluss dieses Vorgangs kann man von der Bankseite oder der Bedienoberfläche der Homebanking-Software aus seinen Kontostand abrufen, Überweisungen tätigen oder Daueraufträge einrichten. Jedoch lauert hier die große Gefahr: wird die Verbindung zur Bank nicht sicher aufgebaut, ist diese beispielsweise nicht hinreichend verschlüsselt oder befinden sich auf dem PC des Nutzers Spähprogramme, so genannte Trojaner, mit deren Hilfe die kompletten auf dem PC durchgeführten Abläufe vom Hacker überwacht werden können, können Dritte die maßgeblichen Daten, Login-Nummer und Passwort, herausfinden und benutzen, um sie gegen den rechtmäßigen Kontoinhaber zu verwenden und vom Konto unberechtigt Abhebungen vorzunehmen. Um dieses Problem zu lösen, bedienen sich die Banken verschiedener Sicherheitsmaßnahmen: so werden beispielsweise so genannte TANs (Transaktionsnummer) vergeben, die bei jeder Transaktion eingegeben werden müssen, um die Rechtmäßigkeit zu verifizieren. Während früher den Kunden meist Listen mit mehreren solcher TANs zugesendet wurden, gehen die Banken inzwischen aus Sicherheitsgründen vermehrt dazu über, für jeden Vorgang eine eigene TAN mittels eines speziellen Generators oder per SMS generieren zu lassen, um noch größeren Schutz zu gewährleisten. Dort müssen dann neben einer Startnummer der zu überweisende Betrag sowie die Kontonummer des Empfängers angegeben werden, woraufhin dann eine individuelle TAN erstellt wird. Daneben sind auch andere Verfahren zum Schutz der Kundendaten üblich.

Kommt es trotz aller Vorsichtsmaßnahmen dazu, dass der Zugang zum persönlichen Onlinebankingbereich von Dritten „gehackt“ wird, kann immenser Schaden entstehen.

Die Haftung bei Missbrauch

Fraglich ist dann, wer dafür haften muss, wenn sich Unberechtigte in das Banksystem einschleusen und beispielsweise Überweisungen vornehmen.

Grundsätzlich gilt hier nichts anderes als bei einer Überweisung per Hand mittels eines Überweisungsformulars: prinzipiell hat bei den eigens gesetzlich im Bürgerlichen Gesetzbuch (BGB) geregelten Giroverträgen, auf welchen eine Banküberweisung üblicherweise beruht, die Bank, die die Überweisung vornimmt, einen Anspruch auf Erstattung des überwiesenen Betrags gegen den Kunden, der die Überweisung veranlasst hat. Hat sie diesen Betrag bereits wieder vom Kundenkonto eingezogen, muss sie diesen im Fall unberechtigter Buchung zurückerstatten. Für die Frage, ob der Kunde diesen Betrag ersetzen muss, ist daher regelmäßig erheblich, ob der Kunde die Überweisung zurechenbar veranlasst hat, das heißt, ob der Kunde einen Rechtschein gesetzt hat, aufgrund dessen die Bank vom Willen des Kunden zur Tätigung der Überweisung ausgehen konnte. Von einem solchen Rechtschein kann die Bank jedenfalls dann nicht ausgehen, wenn die PIN oder TAN-Liste bereits auf dem Weg zum Kunden verloren geht; nimmt die Bank eine auf eine Überweisung gerichtete Erklärung des Kunden entgegen, bevor sie sichergestellt hat, dass die Liste diesen erreicht hat, und kann sie daher nicht von der Echtheit dieser Erklärung ausgehen, trägt die Bank das Risiko eines Missbrauchs. Gehen hingegen die Liste oder sonstige wichtige Unterlagen, die einem Dritten den Zugriff ermöglichen, beim Kunden selbst verloren, ergibt sich gegen diesen jedenfalls ein Schadensersatzanspruch wegen Verletzung seiner Sorgfaltspflicht im Umgang mit Dokumenten sowie die Geheimhaltungspflicht aus dem mit der Bank geschlossenen Girovertrag, wenn der Kunde nicht nachweisen kann, dass ihn kein Verschulden hinsichtlich des Verlustes trifft; er muss nachweisen, dass er die im Verkehr übliche Sorgfalt im Umgang mit solchen Dokumenten angewendet hat. Ansonsten besteht in diesem Fall ein Schadensersatzanspruch der Bank gegen den Kunden auf Ersatz der Aufwendung.

Der Anscheinsbeweis

Umstritten ist, ob der Bank der so genannte Anscheinsbeweis zu Gute kommt: danach wird grundsätzlich zunächst zu ihren Gunsten vermutet, dass die getätigte Überweisung berechtigt ausgeführt wurde. Der Kunde muss diese Vermutung dann erst durch einen Beweis erschüttern, indem er beispielsweise einen konkreten Missbrauch auf Grund einer gestohlenen TAN-Liste darlegt. Diese Grundsätze sind zunächst für EC-Kartenfälle entwickelt worden; ob sich die Rechtsprechung dem auch hinsichtlich des Onlinebankings anschließt, bleibt fraglich (gegen die Annahme des Anscheinsbeweises Landgericht Mannheim, 16.05.2008, Az. 1 S 189/07; dafür im Bereich von EC-Karten Bundesgerichtshof, 05.10.2004, Az. XI ZR 210/03).

Bei Hackerangriffen

Fraglich ist, ob diese Grundsätze auch anzuwenden sind, wenn sich Hacker mittels eines Virus oder ähnlich der maßgeblichen Daten bemächtigen. Der mögliche Anknüpfungspunkt für eine Pflichtverletzung als Voraussetzung für einen  Schadensersatzanspruch wäre lediglich im Schaffen einer unsicheren Lage, die für das Eindringen mittels schädlichen Viren geeignet ist, zu sehen. Ob bei einem organisierten Hackerangriff ein dahingehendes Verschulden vorliegt, bleibt jeweils im Einzelfall zu beurteilen; sofern der Kunde allerdings eine aktuelle Antivirensoftware auf seinem PC installiert hat und öffentliche WLAN-Netze meidet, wird er seinen Pflichten wohl meist Genüge getan haben (vgl. bezüglich der Erfordernisse an den Kunden Amtsgericht Wiesloch, 20.06.2008, Az. 4 C 57/08, das davon ausgeht, dass sogar ein kostenloses Antivirenprogramm ausreicht, um den Sorgfaltsanforderungen Genüge zu tun; dazu auch Landgericht Mannheim, 16.05.2008, Az. 1 S 189/07). Dabei muss ein Bankkunde auch nicht zwingend ein sichereres TAN-System verwenden, das zwar von der Bank angeboten wird, aber kostenpflichtig ist, wenn auch ein anderes genutzt werden kann (vgl. auch hierzu das insgesamt sehr instruktive Urteil des Amtsgerichts Wiesloch, 20.06.2008, Az. 4 C 57/08).

Wenn die Kontonummer falsch ist…

Daneben ist  bei den schnellen Überweisungen per PC, die häufig vorgenommen werden, ohne dass eine weitere Kontrolle stattfindet, fraglich, was bei der Eingabe beispielsweise einer falschen Kontonummer passiert. Glück hat derjenige, dessen Falscheingabe als Kontonummer nicht existiert; die Buchung wird dann nicht vorgenommen. Wird das Geld tatsächlich einer anderen als der gewünschten Person gutgeschrieben, kann man natürlich von dieser das Geld zurückverlangen; allerdings existiert im deutschen Recht das Institut der so genannten Entreicherung, wonach die Person das Geld nicht zurückzahlen muss, wenn sie es ohne rechtliche Grundlage erlangt und eine Ausgabe damit getätigt hat, die sie ohne den Geldsegen nicht gemacht hätte. Daneben ist daher fraglich, ob auch die überweisende Bank in Anspruch genommen werden kann. Grundsätzlich kommt auch hier ein Schadensersatzanspruch wegen Verletzung des Girovertrages in Betracht, da eine Nachprüfung der Übereinstimmung von Kontonummer und Empfängername in solchen Fällen unterbleibt. Das Amtsgericht München verneint eine solche Pflicht der Bank jedoch; diese müsse bei Onlineüberweisungen den Empfänger, anders als bei handgeschriebenen Überweisungen, nicht gesondert nachprüfen (Amtsgericht München, 18.6.07, AZ 222 C 5471/07). Der Kunde muss dies hinnehmen, da er auch die Vorteile des Onlinebanking genießt. Demjenigen, der die falsche Kontonummer angegeben hat, bleibt also in derartigen Fällen keine andere Wahl, als die Überweisung an den richtigen Empfänger nochmals durchzuführen, will er sich vor dessen Ansprüchen schützen.

Tags:, , , , , , , , , , ,
Abgelegt in Allgemein | Keine Kommentare »

Schwarzsurfen im W-LAN ist strafbar: Google’s Strafbarkeit durch Datenklau

Mittwoch, 19. Mai 2010

Gegen den Internetgiganten Google wurde am 19. Mai 2010 ein Ermittlungsverfahren eingeleitet. Ursache dafür ist die Datenpanne im Zusammenhang mit dem Internetdienst “Street-View”, bei der zahlreiche private Daten aus W-LAN Netzen ausgelesen und gespeichert wurden.

Hamburger Staatsanwalt ermittelt gegen Google

Den Stein ins Rollen brachte ein Rechtsanwalt aus Aachen. Er erstattete Anzeige gegen Google wegen des Abfangens von Daten. Der Grund liegt in Google’s Datenpanne bei der Anfertigung von Fotografien ganzer Straßenzüge für das Programm Street-View. Der Suchmaschinenbetreiber erfasste dabei auch Daten aus W-LAN Netzwerken und damit auch Fragmente aus privater E-Mail-Kommunikation oder aufgerufener Internetseiten. Google hatte dazu im Jahr 2007 seine Fahrzeuge mit Funkempfängern ausgestattet. Damit war es möglich die Standorte von W-LAN Netzen zu bestimmen und die Daten auszulesen.

Nach der Strafanzeige des Rechtsanwaltes nahm die Staatsanwaltschaft in Hamburg die Ermittlungen auf, da dort die deutsche Zentrale von Google ihren Sitz hat. Dieses wurde von Oberstaatsanwalt Wilhelm Möllers bestätigt. Google äußerte sich bislang nicht zu den Vorwürfen.

Hintergrund: Abfangen von Daten und Abhörverbot

Im Zentrum der juristischen Diskussion steht § 202b Strafgesetzbuch (StGB). Darin heißt es:

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Diese Norm ist noch relativ jung und wurde erst mit einem Strafrechtsänderungsgesetz vom 11.08.2007 in das Strafgesetzbuch eingeführt, um auch “modernes Unrecht” zu ahnden, das im Zusammenhang mit Computer und der Speicherung von Daten einhergeht. Strafbar macht sich demnach derjenige, der sich unbefugt Daten aus einer nichtöffentlichen Übertragung verschafft. Sind die Daten öffentlich zugänglich, so reicht dieses für eine Strafbarkeit nicht aus. Die Tatsache, dass ein W-LAN Netzwerk jedoch nicht verschlüsselt ist und demnach jeder sich in dieses einloggen kann, macht die Daten noch lange nicht öffentlich. Entscheidend ist vielmehr, ob die Daten für die Allgemeinheit bestimmt sind. Geht es um private E-Mails kann davon kaum die Rede sein.

Entscheidend dürfte zudem sein, ob Google sich wirklich Daten verschafft hat oder ob bloß beiläufig gespeicherte Datenfragmente gar nicht unter § 202b StGB fallen.

Neben einer Strafbarkeit aus § 202b StGB kommen auch noch Strafbarkeiten nach dem Telekommunikationsgesetz (TKG) wegen des dort normierten Abhörverbots fremder Daten und dem Bundesdatenschutzgesetz in Betracht.

Parallelfall: Schwarz-Surfen im W-LAN ist strafbar

In der Vergangenheit sind vorallem sogenannte “Schwarz-Surfer” nach den oben genannten Vorschriften verurteilt worden. Wer sich das Geld für einen Internetzugang sparen wollte und stattdessen im ungesicherten Drahtlosnetzwerk des Nachbarn mitsurfte, der konnte leicht wegen eines Verstoßes gegen diese Vorschriften verurteilt werden. Ein Beispiel dafür ist das Urteil des Amtsgerichts Wuppertal vom 03.04.2007, Az.: 23 Ds 70 Js 6906/06. Hier wählte sich ein Angeklagter in ein fremdes WLAN ein. Der Internetanschlussinhaber bemerkte dieses und rief die Polizei, die den Laptop beschlagnamte. Der Angeklangte wurde schließlich wegen eines Verstoßes § 89 S. 1 Telekommunikationsgesetz (TKG) verurteilt. Darin hieß es:

Mit einer Funkanlage dürfen nur Nachrichten, die für den Betreiber der Funkanlage, [...] die Allgemeinheit oder einen unbestimmten Personenkreis bestimmt sind, abgehört werden.

In § 148 TKG wird sodann angeordnet, dass bei einem Verstoß gegen diese Vorschrift eine Freiheitsstrafe von bis zu zwei Jahren oder eine Geldstrafe angeordnet werden kann. Die Richter sahen es sogar als unerheblich an, dass der Inhaber des Internetanschlusses eine Flatrate hatte, sodass ihm gar kein Schaden durch die unerlaubte Einwahl entstanden war. Insofern reicht das bloße Einwählen und Nutzen eines fremden W-LAN Netzes schon aus, um sich strafbar zu machen.

Querverweis: Inhaber von W-LAN-Netzen sollten zudem im eigenen Interesse dafür sorgen, dass ihr Netz verschlüsselt ist. Ansonsten können Sie schnell zur Verantwortung  gezogen werden, wenn andere sich in ihr Netz einwählen und darüber strafbare Handlungen begehen, wie beispielsweise Filesharing betreiben. Der Bundesgerichtshof hat jüngst geklärt, dass der Inhaber zwar keinen Schadensersatz für derartige Nutzungen zahlen muss, wohl aber auf Unterlassung in Anspruch genommen werden kann. In diesem Fall muss er die Kosten für eine Abmahnung dann bezahlten: BGH-Urteil zu offenen WLANs

Tags:, , , , , , , ,
Abgelegt in Aktuelles | 1 Kommentar »

 
© 2012 law4life GbR - Luisenweg 6, 20537 Hamburg,

nach oben ⇑