Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Vor dem Landgericht Köln, 15 O 267/22, wurde ein spannender Fall verhandelt, der ein weiteres Angriffsszenario aufzeigt: Bei einem Kunden erfolgten innerhalb von gut zwei Wochen 115 Einzelzahlungen in Höhe von 44.248,37 Euro per Apple Pay zu Lasten des Kontos des Klägers – wobei der Kunde (Kläger) bestritt, Apple Pay jemals genutzt zu haben.

Sachverhalt

Der klagende Kunde trug vor: Zu Beginn der Abbuchungen habe er einen Anruf auf seinem Mobiltelefon erhalten. Der Anrufer habe sich als Mitarbeiter der Bank ausgegeben. Er habe sich auf dessen E-Mail zur Aktualisierung der Allgemeinen Geschäftsbedingungen bezogen, die der Beschwerdeführer tatsächlich vor kurzem erhalten habe. Der Anrufer habe sich mit detaillierten Angaben legitimiert, die er nur kennen könne, wenn er bereits Zugriff auf das Online-Banking der Beklagten und dort auf das Konto des Klägers gehabt habe. Dass dieser Zugriff unberechtigt erfolgt sei, müsse auf unzureichende Sicherheitsvorkehrungen der Beklagten zurückgeführt werden.

Der Anrufer habe den Kunden an die Notwendigkeit erinnert, die AGB zu aktualisieren, um seine „Girocard“ weiter nutzen zu können. Tatsächlich habe der Kunde den aktualisierten AGB zu diesem Zeitpunkt noch nicht zugestimmt und sich innerlich darüber geärgert, dass der Mitarbeiter seiner Bank ihn deswegen anrufen musste. Schließlich sei er an einer reibungslosen Abwicklung des Vertragsverhältnisses mit seiner Sparkasse interessiert. Der Anrufer habe ihm mitgeteilt, dass er die AGB auch sofort durch die einmalige Freigabe einer Push-TAN bestätigen könne. Aus diesem Routinevorgang habe er keinen Verdacht geschöpft, da er in der Vergangenheit auch schon andere allgemeine Dinge über die App bestätigen musste.

Der Kunde habe daraufhin eine Push-TAN freigegeben, deren Text nach seiner Erinnerung völlig unverdächtig erschien und die ausdrücklich keine Zahlungsautorisierung darstellte. Er sei davon ausgegangen, dass er „die AGB digital bestätigen“ müsse. Nach späterer und rückblickender Darstellung der Bank ihm gegenüber habe der Betreff der TAN „Digitalisierung einer Karte“ gelautet, was er jedoch bestritten habe. Er habe vor der Freigabe seine S-pushTAN-App geöffnet und festgestellt, dass dort weder ein Betrag noch eine IBAN angegeben war.

Auf diese Weise hätten die Täter eine digitale Girokarte mit Apple Pay eingerichtet, die sie dann für die Zahlungen verwendet hätten. Um diese Karte einrichten zu können, sei mehr erforderlich gewesen als die Freigabe einer einzelnen s-pushTAN durch den Kläger. Vielmehr hätten die Täter vermutlich bereits zuvor Zugang zum Online-Banking des Klägers gehabt, etwa durch einen Angriff von innen. Diese Zugangsdaten zum Online-Banking habe er nicht preisgegeben. Er sei im Umgang mit seinen Passwörtern äußerst vorsichtig: Er bewahre seine Passwörter ausschließlich in einem hochverschlüsselten digitalen Passwort-Safe auf, benutze für den Zugang zum Online-Banking ein Lesezeichen in seinem Browser und speichere dort auch keine kritischen Zugangsdaten. Er würde auch nie eine Suchseite wie „Google“ zum Einstieg ins Online Banking wählen. Auf seinem Computer (Laptop) habe er zwei anerkannte Virenschutzprogramme installiert: Microsoft Defender und Avira Antivir.

Entscheidung des Gerichts

Mit dem OLG hat der klagende Kunde einen Anspruch auf Rückbuchung der nicht autorisierten Zahlungsvorgänge gemäß § 675u S. 2 BGB. Die Zahlungsvorgänge sind hier schon deshalb nicht autorisiert, weil sie nicht vom Berechtigten, also dem Kläger, ausgeführt wurden. Dass der Kläger die Zahlungsvorgänge mittels Apple Pay selbst autorisiert hat, hat das Gericht nach seiner persönlichen Anhörung als fernliegend angesehen.

Fraglich ist daher, ob eine grobe Fahrlässigkeit des Kunden im Sinne des § 675v BGB vorliegt: Dies verneinte das Gericht. Grobe Fahrlässigkeit erfordere einen objektiv schwerwiegenden und subjektiv schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret gebotenen Sorgfalt; auch eine objektiv grobe Pflichtverletzung rechtfertige für sich genommen noch nicht den zwingenden Schluss auf ein entsprechend gesteigertes persönliches Verschulden. Insoweit kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zugute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments ordnungsgemäß aufgezeichnet wurde und die Prüfung der Authentifizierung ohne Beanstandung geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.

Im konkreten Sachverhalt war das Gericht der Auffassung, dass für die Annahme einer groben Fahrlässigkeit eine grobe Pflichtverletzung des Kunden bei der Autorisierung in der pushTAN-App durch den Text „Karte scannen“ oder auch „Karte registrieren“ vorliegen müsse. Beides war aber nach Auffassung der Kammer nicht der Fall, weil der angezeigte Text zur Erläuterung der freizuschaltenden Funktion – auch bei der von der Beklagten mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – keinen Hinweis darauf erkennen ließ, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät des Herstellers Apple Inc. und damit um die Freigabe einer Kontoverfügungsmöglichkeit ging, die allein von der Verfügungsgewalt über dieses mobile Endgerät abhing.

Hier wäre es der Bank aus Sicht des Gerichts ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch die Verwendung eines Hinweises gerade auf Apple Pay, dem Kunden deutlich zu machen, welcher Zahlungsdienst hier freigeschaltet werden soll, so dass ohne weiteres erkennbar ist, dass es eben um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet und nicht als Karte geht. Soweit die Bank darauf verwiesen hatte, dass für den Kläger anhand des Textes ohne weiteres erkennbar gewesen sei, dass es jedenfalls nicht um die Zustimmung zu neuen AGB gehe, begründet diese Auffälligkeit nach Auffassung der Kammer nicht den Vorwurf grober Fahrlässigkeit, da die weitere Nutzung des Kontos und damit der Girokarte von der Zustimmung des Kunden abhängig war. Dass diese Zustimmung bereits erteilt worden war, musste dem Kunden nicht bewusst sein.

Fachanwalt für IT-Recht Jens Ferner