|
28.06.2009 Heise
Phishing: Finanzagenten müssen österreichische Bank entschädigen
Zwei österreichische Finanzagenten, die Phishing-Banden unwissentlich beim Zugriff auf fremde Gelder geholfen haben, sind in zwei getrennten Verfahren vom Obersten Gerichtshof (OGH) des Landes zur Entschädigung der betroffenen Bank verurteilt worden. Das Gericht bestätigte rechtskräftig (2 Ob 107/08m und 9 Ob 3/08v), dass die Bank einen Anspruch wegen ungerechtfertiger Bereicherung hat. Die Unwissenheit der Finanzagenten über ihre Beiträge zum Betrug half ihnen nicht.
Die beklagte Sabine R. hatte seit 1999 ein Privatkonto bei der klagenden Bank. Im August 2006 bewarb sich die Frau über eine Jobbörse um eine Teilzeitbeschäftigung von zwei bis drei Stunden täglich. Tatsächlich wurde ihr ein Job mit einem monatlichen Verdienst von 5.000 bis 10.000 Euro als "Distanzmitarbeiterin" eines englischen Unternehmens angeboten. Dabei ließ sich Sabine R. einreden, dass ein in England gegründetes Unternehmen im Ausland kein Konto eröffnen dürfe und deshalb Mitarbeiter in Österreich notwendig seien, um Zahlungen von österreichischen Kunden des Unternehmens annehmen zu können. Am 17. August 2006 wurde ihr mitgeteilt, dass ein Kunde 8.400 Euro auf ihr Konto überwiesen habe und sie diesen Betrag abzüglich einer Provision von 420 Euro in zwei Teilen mittels Western Union nach Lettland schicken solle.
Die Frau folgte diesen Anweisungen. Der angebliche Kunde war aber ein Phishing-Opfer. Die Bank stornierte die bankintern getätigte Überweisung, wodurch das Konto von Sabine R. um fast 8.400 Euro ins Minus geriet. R. weigerte sich jedoch, den Fehlbetrag auszugleichen, weshalb es zum Prozess kam. Alle drei Instanzen entschieden für die Bank.
Erstaunlich ist der Fall von Hilmar H., weil er als Kreditvermittler selbst in der Finanzbranche tätig und sogar ein Kooperationspartner der geschädigten Bank war. Er verdiente an jedem vermittelten Kredit 50 Prozent der Bearbeitungsgebühren und 25 Euro für jedes vermittelte Konto. Zur Abrechnung dieser Provisionen wurde ein eigenes Konto ohne Überziehungsrahmen eingerichtet. Neben seinem Vertrag mit der Bank ging H. auch eine Geschäftsbeziehung mit einem Unternehmen namens "E-Joes Investments" ein. Unter einem Vorwand wurde er beauftragt, eingehende Beträge abzüglich einer Provision abzuheben und per Geldtransfer ins Ausland weiterzuleiten.
H. tat wie geheißen und half den Betrügern damit, an über 16.000 Euro heranzukommen. "Es konnte nicht festgestellt werden, dass der Beklagte von einer 'Phishing-Aktion' Bescheid wusste oder gar wissentlich an dieser beteiligt war", so der OGH. Auch hier stornierte die Bank die von den abgephischten Konten derselben Bank getätigten Überweisungen, wodurch H.s Konto einen Fehlbetrag von fast 16.000 Euro aufwies. Wie R. weigerte sich auch H., zu zahlen, und wurde verklagt. Das Erstgericht wies die Klage ab, doch das Berufungsgericht und schließlich der OGH entschieden zu Gunsten der Bank. Die Richter folgten damit einer ähnlichen Entscheidung des Oberlandesgerichts Hamburg aus dem Jahr 2006.
Der österreichische OGH hält fest, dass die ursprünglichen, von den Betrügern mit fremden Zugangsdaten und TAN getätigten Überweisungen nicht den Inhabern der geleerten Kontos zuzurechnen sind. Die Kontoinhaber haben selbst keine Überweisung getätigt und auch keinen Anlass für eine Anscheinsvollmacht gegeben. Damit fehlt die Rechtsgrundlage für die Gutschrift auf dem Empfängerkonto. Dem guten Glauben des Überweisungsempfängers stehen schutzwürdigere Interessen des scheinbar Überweisenden gegenüber. Zudem hatte sich die Bank in ihren Allgemeinen Geschäftsbedingungen eine Stornierung von Gutschriften bei Irrtum sowie bei eindeutigem Nachweis der Unwirksamkeit des Überweisungsauftrages vorbehalten. Entsprechend müssen die Finanzagenten ihre durch Barabhebungen verursachten, negativen Kontostände ausgleichen und sogar anfallende Zinsen entrichten.
25.06.2009 Heise
US-Regierung protestiert gegen chinesische Filtersoftware-Pflicht
Die USA versuchen auf immer neuen Wegen China davon abzuhalten, Computerhersteller und -importeure ab dem 1. Juli zu verpflichten, ihre Geräte nur noch mit Filtersoftware auszuliefern. Nach IT-Verbänden und der US-Botschaft in Peking haben sich nun der offizielle Handelsvertreter Ron Kirk und der Handelsminister Gary Locke geäußert und der chinesischen Regierung einen Brief geschickt. Darin fordern sie vom Minister für Industrie und Informationstechnologie sowie für Handel, die Verpflichtung zur Installation der "viel kritisierten" Software Green Dam auf neuen Computern solle aufgehoben werden.
In ihrem Brief schreiben Kirk und Lock, sie hätten grundsätzliche Fragen zur Nachvollziehbarkeit der Regulierung und Zweifel daran, dass das chinesische Vorgehen mit den Regeln der Welthandelsorganisation (WTO) übereinstimmt. Außerdem haben sie nach eigenen Angaben diverse Befürchtungen von Technologie-Firmen, chinesischen Bürgern und Medienberichten über Sicherheitsprobleme und mangelnde Stabilität sowie über die Reichweite der Filtersoftware beigelegt. Alle diese Probleme könnten sich ernsthaft für die Verbraucher und die Wirtschaft auswirken.
Handelsvertreter Kirk sieht den Schutz von Minderjährigen vor nicht für sie geeigneten Inhalten als legitim an, allerdings werde er auf unangemessene Weise umgesetzt. Die Verpflichtung zu einer bestimmten Software sei unnötig und nicht gerechtfertigt, sie sei ein ernsthaftes Handelshemmnis. Die beiden Vertreter der US-Regierung bieten Gespräche darüber an, wie die chinesische Regierung Jugendschutz, Wahlfreiheit und den ungestörten Fluss der Informationen unter einen Hut bringen könnten.
Die chinesische Regierung hatte diese Woche auch nach einer Intervention der US-Botschaft in Peking verlautbart, am bisherigen Zeitplan zur Einführung der Filtersoftware-Pflicht festzuhalten. US-amerikanische Forscher hatten zuvor bereits Sicherheitslücken in der Software ausgemacht, die inzwischen gestopft worden sein sollen. Außerdem wurde den Herstellern der Filtersoftware Codeklau vorgeworfen. Kritiker befürchten, die eigentlich für Eltern zur Kontrolle der Internetnutzung ihrer Kinder gedachte Software könne auch für Zensurzwecke verwendet werden.
25.06.2009 Heise
IT-Grundschutz: Sichere IT für Betriebe und Behörden
Seit 15 Jahren gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Hinweise für den IT-Grundschutz, "die Basis für Informationssicherheit", heraus. Aus einem kleinen Grundschutz-Handbuch ist mittlerweile ein umfangreicher Katalog mit 3800 Seiten geworden, der 1140 Maßnahmen beschreibt, wie Betriebe und Behörden eine sichere IT betreiben können. Das wurde in Bonn mit einer Geburtstagsveranstaltung gefeiert.
Den Reigen der Festredner eröffnete Udo Helmbrecht, der scheidende Präsident des BSI. Helmbrecht skizzierte den tragenden Gedanken, mit einem Grundschutz IT-Systeme trotz steigender Komplexität beherrschbar zu machen. Zwar habe sich der IT-Grundschutz mittlerweile in vielen Firmen und Behörden als Standard durchgesetzt, doch habe sich der IT-Grundschutz noch nicht als Wirtschaftlichkeitsfaktor etablieren können. Als Beispiel nannte Helmbrecht die Kreditvergabe von Banken, die Firmen mit vorhandenem Grundschutz bessere Konditionen einräumen könnten. Der für den IT-Grundschutz zuständige BSI-Abteilungsleiter Hartmut Isselhorst führte aus, dass allein die BSI-Standards auf 10.000 Downloads im Monat kommen und das BSI mit 5011 registrierten Grundschutz-Anwendern über eine rege Community verfüge. Länder wie Schweden, Estland und demnächst Rumänien haben die auch in englisch frei verfügbaren Dokumente übersetzt, Österreich und die Schweiz landesspezifisch angepasste Versionen veröffentlicht: "Der IT-Grundschutzgedanke breitet sich in Europa aus", erklärte Isselhorst vor dem Hintergrund einer Folie, die Helmbrechts neuen Arbeitsplatz bei der europäischen Sicherheitsagentur Enisa auf Kreta zeigte. Für die Zukunft wünschte sich Isselhorst, dass "Grundschutz-Revisoren" und "Grundschutz-Berater" als anerkannte IT-Berufe geführt werden.
Mit Gerold Hübner, Government Security Director bei Microsoft, begann der Reigen der Gratulanten. Der ehemalige Staatsanwalt witzelte über den Umstand, dass es eigentlich der Angeklagte ist, der das letzte Wort hat und daher Microsoft zum Schluss des Feiertages auftreten müsste. Hübner beklagte den Umstand, dass bei wachsender Komplexität der IT viele Fachleute selbst nicht wissen, "was unter der Haube passiert". Seine Zuhörer machte er auf die Konsequenzen des Wahlcomputerurteils aufmerksam. Auf die IT-Landschaft umgesetzt bedeute es, dass Experten in der Lage sein müssen, gezielte Manipulationen von Hard- und Software erkennen zu können. Initiativen von Microsoft wie das Microsoft Operations Framework oder die gemeinsam von TÜVIT und Microsoft erarbeiten Hinweise zur Grundschutz-Prüfung bezeichnete Hübner als "Push", der einen "messbaren Beitrag zur Sensibiliserung der öffentlichen Hand" geleistet habe. Bei zunehmender Komplexität der IT sei die weitgehende Automatisierung eine Antwort, wie sie etwa mit dem System Center Configuration Manager möglich sei.
Ähnlich wie Hübner beschäftigte sich auch Bundesdatenschützer Peter Schaar in seinem Vortrag mit den Folgen eines Verfassungsgerichtsurteils. Er bezog sich auf das Urteil zur Online-Durchsuchung, das das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme in die Welt gesetzt habe. Dieses Grundrecht habe das informationelle Selbstbestimmungsrecht vorverlagert auf den Schutz von IT-Systemen, ermahnte der Datenschützer die Sicherheitsexperten. Im Spannungsfeld von Sicherheitsinteressen, die auf die Identifizierbarkeit der Nutzer oder auf die DRM-Kontrolle der Inhalte setzt und einem Datenschutz, der Anonymität präferiert, müsse eine Balance gefunden werden. Schaar merkte an, dass dies nicht immer gelingen kann, wenn etwa Ausweiskopien von Inhabern elektronischer Signaturen beim Arbeitgeber liegen und diesem damit Daten zugänglich sind, die er sonst nicht sehen dürfte. Im jedem Fall müssten sich IT-Experten darüber im Klaren sein, dass ausufernde Sicherheitsüberprüfungen zu einer totalen Überwachung führen. Datensparsamkeit und "selbstexekutierende Maßnahmen" der IT-Sicherheit seien ein Ausweg und müssten schon beim Systemdesign berücksichtigt werden.
Als letzter Festredner des Vormittags trat Andreas Hensel vom Bundesinstitut für Risikobewertung auf und stellte sich die Frage, wieviel Risiko "Mensch" die IT überhaupt vertragen kann. Gerade die allzu menschliche Haltung "es wird schon nichts passieren" führe zuverlässig dazu, dass schon etwas passiert. Verlorene Laptops, gestohlene Hardware oder die Nutzung von "liegengelassenen" Datenträgern richten nach Ermittlungen der Risikoforscher weitaus höhere Schäden an als Hackerangriffe. Diese "bewährten" Erkenntnisse führten 1994 zur Einrichtung des IT-Grundschutzes. Am Nachmittag beschäftigte sich die Tagung des BSI mit konkreten Erfahrungen bei der Umsetzung des IT-Grundschutzes. Alle Referate sollen in Kürze auf der Grundschutz-Website verfügbar sein.
21.06.2009 Heise
Mehr Rechte für Phishing-Opfer
Bei der Bundestagsanhörung zum Gesetzesentwurf "zur Bekämpfung der Kinderpornographie in Kommunikationsnetzen" warnten Juristen vor "Chilling Effects" für die Informationsfreiheit und unausgegorenen Schnellschüssen. Einen ganzen "Strauß von verfassungsrechtlichen Problemen" machte etwa Ulrich Sieber, Direktor des Max-Planck-Instituts für Strafrecht, in dem heftig umkämpften Vorhaben aus. Jürgen Maurer, Direktor beim Bundeskriminalamt (BKA), räumte ein, dass die laut den politischen Plänen seiner Behörde zugewiesene Aufgabe der Erstellung der Filterliste nicht in einem "trivialen Prozess" zu meistern sei.
Der Kriminalbeamte schätzte, dass aufgrund der Initiative "einige tausend Domains zu sperren wären". Pro Woche dürften zudem 250 neue Adressen dazukommen. Als größtes Problem dabei bezeichnete Maurer die Überprüfung der Webseiten, die nicht auf die Sperrliste kommen dürften. Bei der Prüfung von Blockadevorgaben skandinavischer Länder habe Die aktuelle Rechtsprechung stärkt die Position von Phishing-Opfern gegenüber Banken. Wer die wichtigsten Sicherheitsvorkehrungen am PC beachtet, hat vor Gericht jetzt einen viel besseren Stand, berichtet c't in der aktuellen Ausgabe 14/09 (ab Montag im Handel).
Der Betrug beim Online-Banking nimmt stetig zu. Zwar haben sich in der Vergangenheit einige Institute im Sinne des Kunden außergerichtlich mit ihnen geeinigt, vor Gericht hatten sie jedoch meist die besseren Karten. Doch das dürfte sich ändern. Kürzlich erst haben zwei Gerichtsentscheidungen eine neue Richtung vorgegeben: Hat der Bankkunde ein Antivirenprogramm, ein aktuelles Betriebssystem und eine eingeschaltete Firewall, habe er seinen PC ausreichend abgesichert. Ansonsten trage das Fälschungsrisiko eines Überweisungsauftrags grundsätzlich die Bank. Mit der Umsetzung der EU-Zahlungsdiensterichtlinie tritt eine Haftung für den Kunden über 150 Euro hinaus nur noch bei mindestens grob fahrlässigem Verhalten ein.
Die Phishing- und Pharming-Attacken auf Bankkunden sind raffinierter und professioneller geworden. Beim Phishing handelt es sich um den Versuch, den Kunden über eine E-Mail auf gefälschte Webseiten zu locken, um an Passwörter, PINs und TANs zu gelangen. Beim Pharming manipulieren die Täter die Adressweiterleitung über den Browser, wodurch der Online-Banking-Kunde ohne sein Wissen auf gefälschten Webseiten surft. Meist werden beim Angriff Schadprogramme wie Trojaner eingesetzt.
Immer noch gibt es Banken, die einfache und unsichere PIN- und TAN-Verfahren anbieten. Aber selbst die iTAN-Technik ist nicht mehr sicher. Besser ist es, Chipkarten-Verfahren oder mTAN zu nutzen. Beim mTAN-Vrfahren erhält man die Transaktionsnummer mit sämtlichen Überweisungsdaten zum Gegencheck als SMS über das Handy.
|
