Phishing-Opfer verliert vor Landgericht und muss Rechnung zahlen
Das Landgericht Rostock hat klargestellt, wer bei einer "Fehlinformation" durch Phishing-Angriffe das Risiko einer falschen Überweisung einer Rechnung trägt.
(Bild: Stokkete/Shutterstock.com)
Ein aktuelles Urteil des Landgerichts Rostock hat eine wichtige Frage geklärt, die im Zivilrecht immer häufiger auftaucht: Wer haftet, wenn jemand aufgrund einer manipulierten E-Mail bei einem Phishing-Angriff Geld auf ein falsches Konto überweist? Das Gericht hat klargestellt, dass in solchen Fällen der Rechnungssteller weiter einen Anspruch gegen den Geschädigten hat. Das gilt zumindest, wenn die Anzeichen einer Fälschung erkennbar sind. Das Risiko liegt dann beim Überweisenden.
Konkret geht es in dem Fall laut dem erst vor Kurzem veröffentlichten Urteil vom 20. November 2024 (Az.: 2 O 450/24) darum: Die Klägerin, ein Bauunternehmen, hatte mit der beklagten weiteren Firma einen Vertrag über Maler- und Trockenbauarbeiten abgeschlossen. Als das Bauunternehmen eine erste Abschlagsrechnung per E-Mail verschickte, erhielt die Beklagte kurz darauf eine fast identische E-Mail. Der Haken: In dieser zweiten E-Mail waren die Bankdaten gefälscht und es gab auch kleine Fehler in der HTML-Formatierung. Die gelackmeierte Firma überwies trotzdem rund 37.730 Euro auf das in der gefälschten E-Mail angegebene Konto.
Da das Bauunternehmen das Geld nicht erhielt, forderte es die Zahlung erneut. Die Beklagte weigerte sich und argumentierte, sie sei selbst zum Opfer geworden, weil das E-Mail-System des Bauunternehmens angeblich nicht gut genug gesichert war. Sie meinte, sie hätte ihre Schuld durch die Überweisung bereits beglichen.
Potenzieller Cyberangriff: nebensächlich
Die Rostocker Richter ließen das nicht gelten: Wenn Geld an den falschen Empfänger überwiesen wird, ist die Rechnung nicht bezahlt, stellten sie fest. Das Bauunternehmen hatte die falsche Kontoverbindung ihnen zufolge weder selbst angegeben noch genehmigt. Auch habe es keine Anzeichen dafür gegeben, dass die Baufirma stillschweigend damit einverstanden gewesen wäre, dass das Geld auf ein anderes Konto fließt.
Das Gericht wies auch den Versuch der Beklagten zurück, der Klägerin eine Verletzung der Sorgfaltspflicht vorzuwerfen. Es ist demnach üblich, E-Mails im Geschäftsverkehr zu nutzen. Es sei aber auch bekannt, dass dieses Medium anfällig für Angriffe sein könne. Ein tatsächliches "Hacking" des Bauunternehmens habe nicht bewiesen werden können. Selbst in einem solchen Falle läge das Hauptverschulden bei der Beklagten.
Videos by heise
Mehr Rechtssicherheit im E-Geschäftsverkehr?
Die Richter kritisierten die überweisende Firma auch, weil sie offensichtliche Hinweise auf die Manipulation übersehen habe. Dazu gehörten falsch dargestellte Umlaute, komische HTML-Zeichen im Text und vor allem die auffällige Änderung der bekannten Kontoverbindung zu einer niederländischen Bank. Solche Dinge hätten die Beklagte misstrauisch machen und zu einer Nachfrage beim Bauunternehmen bewegen müssen.
Laut dem Rechtsanwalt Jens Fener stärkt das Urteil die Rechtssicherheit im elektronischen Geschäftsverkehr: Wer Zahlungen vornehme, müsse sich bei Abweichungen von bekannten Bankverbindungen vergewissern: "Kontrolle geht vor Vertrauen." Es komme aber immer auf den Einzelfall an. Die Gaunermaschen treffen nicht nur Unternehmen: Sachsens Gesundheitsministerium bezahlte 2023 eine betrügerische Rechnung und überwies Kriminellen 225.000 Euro. Vor der Masche warnte die Polizei schon 2016.
(nen)
