Das Landgericht Bielefeld hat in einem Betrugsfall einer Bankkundin, die per SMS auf eine gefälschte Website gelockt wurde, die engen Grenzen des Versicherungsschutzes bei digitalen Betrugsmaschen verdeutlicht. Im Kern geht es darum, dass eine Hausratversicherung mit "Internetzschutz", die explizit das Phishing durch gefälschte E-Mails abdeckt, keine Schäden reguliert, die durch SMS-Phishing entstehen. Das geht aus einem Hinweisbeschluss der Bielefelder Richter vom 25. September hervor (Az.: 22 S 81/25), über den der IT-Rechtler Jens Ferner und Beck Aktuell berichten.
Die Volksbank-Kundin hatte eine täuschend echte SMS erhalten, die sie zur Verlängerung der Registrierung ihrer App fürs Online-Banking, der Anwendung VR-SecureGO Plus, aufforderte und sie auf eine gefälschte Login-Seite weiterleitete. Dort gab die Betroffene ihre Zugangsdaten ein und autorisierte so über ihre Legitimations-App unwissentlich die Erstellung einer digitalen Girocard durch die Betrüger, die diese anschließend für Einkäufe in Höhe von fast 5000 Euro nutzten.
Nachdem die Bank eine Erstattung wegen grober Fahrlässigkeit abgelehnt hatte, scheiterte die Klage gegen die Versicherung nicht nur vor dem Amtsgericht Halle/Westfalen. Auch die Berufung vor dem Landgericht ist laut dessen Beschluss aussichtslos, da sie "offensichtlich keine Aussicht auf Erfolg" habe.
Den Bielefelder Richtern zufolge differenzieren die Allgemeinen Versicherungsbedingungen (AVB) der Police, die den Schutz regeln, klar zwischen SMS und E-Mail. Demnach ist eine mobile Kurznachricht "keinesfalls gleichartig" zu einer E-Mail. Das Landgericht betont, dass SMS im Gegensatz zu E-Mails durch ihren Textumfang begrenzt seien und vor allem die Absenderadresse bei einer E-Post Rückschlüsse auf den Absender zulasse. Eine Rufnummer biete diese Möglichkeit bei der SMS nicht.
Lesen Sie auch
Die Argumentation der Kundin, "E-Mail" sei als Oberbegriff für elektronische Nachrichten zu verstehen, wies die höhere Instanz zurück. Vielmehr fungiere "elektronische Nachricht" als Oberbegriff für E-Mails, SMS und Messenger-Nachrichten. Damit habe der klare Wortlaut der Bedingungen einen Phishing-Angriff, der per SMS begann, vom Versicherungsschutz ausgeschlossen.
Zudem scheiterte die Klägerin mit dem Versuch, den Vorfall unter den versicherten Begriff des Pharming zu fassen. Eine solche Manipulation der DNS-Anfragen von Webbrowsern setzt laut der 22. Zivilkammer des Landgerichts voraus, dass die Kundin oder der Kunde im Glauben an die Echtheit einer gefälschten Bank-Webseite einen unmittelbaren Zahlungsvorgang ausführen. Die klagende Kundin hatte aber lediglich das Erstellen einer digitalen Girocard autorisiert. Die späteren Schäden seien so nur mittelbar entstanden.
Auch technisch liegt dem Beschluss nach kein Pharming vor, da dabei der korrekte Aufruf einer Website etwa durch Beeinflussung der Hosts-Datei oder des DNS-Servers umgeleitet werde. Die Kundin sei hier aber durch einen verfälschten Link zur Weitergabe ihrer Daten verleitet worden, was technisch als Phishing zu werten sei.
Die Entscheidung des Landgerichts zeigt, wie eng die Versicherungsbedingungen ausgelegt werden und dass die Versicherer ihre Haftung durch präzise Definitionen der Betrugsmaschen begrenzen. Der Jurist Ferner sieht darin einen wichtigen Hinweis an Verbraucher: Mit dem Fall werde erneut deutlich, "wie wichtig es ist, die Versicherungsbedingungen genau zu lesen". Viele Kunden gingen angesichts allgemeiner Beschreibungen wie "Internet-Schutz" davon aus, dass ihre Police sie umfassend vor Betrug im digitalen Zahlungsverkehr schütze. Doch bereits kleine Unterschiede in der Art des Angriffs könnten darüber entscheiden, ob ein Schaden erstattet wird oder nicht.
Ferner zeigt sich damit ein großes Dilemma: Versicherte schließen einen einschlägigen Vertrag ab, um im Schadensfall eine Leistung zu erhalten. Die andere Seite lebe davon, nicht zu zahlen. Die Konsequenz sei, dass Versicherungsnehmer ihre Policen kritisch auf alle relevanten Angriffsvektoren prüfen und nicht nur auf deren Preis achten müssten. Ansonsten bestehe im Schadensfall möglicherweise keine Deckung. Generell fasste der Bundesgerichtshof die Möglichkeiten für Schadenersatz für Phishing-Opfer schon 2012 sehr eng.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare