Bei dem Fall handelt es sich um sauberes social engineering in Kombination mit einem Trojanerangriff. Daraus kann man was lernen – wenn man sich nicht von der hohen Zahl der preisgegebenen TANs zu falschen Schlüssen verleiten lässt. Die Zahl ist genau der Trick.
Im ersten Moment erscheint es absurd. Liest man jedoch die Urteilsbegründung, stellt man fest, dass in diesem konkreten Fall dem Kläger aus nachvollziehbaren Gründen keine grobe Fahrlässigkeit zur Last gelegt wird. Die Bank hatte in ihrem etwas ungenauen Sicherheitshinweis lediglich davor gewarnt, TANs ohne vorangegangene Aktion, wie "z.B.(!) eine Überweisung", einzugeben. Die Aufforderung zur Eingabe der 100 TANs wurde durch einen Trojaner auf dem Rechner des Opfers erzeugt, und zwar erst nach Anmeldung auf der Banking-Webseite durch Eingabe der PIN. Das ist schon mal eine gute Ausgangsposition. Weitere Glaubwürdigkeit errang der Angreifer dadurch, dass er zur Eingabe sämtlicher TANs eines TAN-Blocks aufforderte, weil dieser wegen einer Sicherheitslücke aus dem Verkehr gezogen werden müsse. Dass ein unbedarfter Anwender dies für plausibel hält (und nicht weiß, dass die Bank die TANs bereits kennt und sowieso blockweise deaktivieren kann), ist durchaus nachvollziehbar.
Das Gericht schreibt hierzu auch:
Umgekehrt wäre es vielmehr als grob fahrlässig zu bewerten, wenn der Kläger beispielsweise 50 oder 60 TAN-Nummern eingegeben und dann mit der Eingabe weiterer Nummern aufgehört hätte, weil ihm die Sache verdächtig erschienen wäre.
Es lohnt sich, das Urteil ganz zu lesen.
Ich bin ja mal gespannt, wann wir von den ersten Fällen hören, in denen eine Bank wegen Angriffen mit gefälschten SSL-Zertifikaten zahlen muss. Schließlich ist es durchaus zuzumuten, den Fingerprint des verwendeten Server-Zertifikats schriftlich zu verbreiten und zur Überprüfung aufzufordern. Das könnte man zum Beispiel zusammen mit der EC-Karten-PIN machen – oder zusammen mit dem ganzen Werbemüll, der einem regelmäßig ins Haus flattert.
