LG Darmstadt: Kontoinhaber haftet für manipulierte Online-Überweisung mit Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen
LG Darmstadt
Urteil vom 28.08.2014
28 O 36/14
Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.
"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:
Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.
Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.
Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 28.08.2014
28 O 36/14
Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.
"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:
Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.
Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.
Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."
Den Volltext der Entscheidung finden Sie hier: