Phishing-Attacken sind für Unternehmen in den letzten Jahren zu einer täglichen Bedrohung geworden. Angreifer imitieren mit Hilfe gefälschter E-Mails oder Webseiten bekannte Kommunikationspartner, um an sensible Daten zu gelangen. Aber welcher der Getäuschten hat den Schaden zu tragen: Käufer oder Verkäufer? Ein aktuelles Urteil.
Wenn im Falle eines erfolgreichen Phishing-Angriffs Geld oder Daten erbeutet werden, geht es nicht selten darum, wer für den Schaden haftet. Und welcher technische Aufwand erforderlich ist, um derartige Attacken zu verhindern. Das Oberlandesgericht (OLG) Karlsruhe sah sich vor Kurzem mit diesen Fragen konfrontiert (Az. 19 U 83/22). Betrüger hatten das E-Mail-Postfach einer Verkäuferin gehackt und der Käuferin eine gefälschte Rechnung mit fehlerhaftem Empfängerkonto zukommen lassen.
Der Geschäftsführer der Käuferin überwies den Kaufpreis auf das Konto der Betrüger. Als die Verkäuferin den Kaufpreis einforderte, verweigerte die Käuferin die Zahlung mit der Begründung, die Verkäuferin habe aufgrund mangelhafter Sicherheitsvorkehrungen die Phishing-Attacke verschuldet. Insbesondere habe es an einer Transportverschlüsselung gefehlt.
Das OLG Karlsruhe überzeugte diese Argumentation – zu Recht – nicht. Unternehmen sind weder gesetzlich zu einer derartigen Verschlüsselung verpflichtet, noch ist es im geschäftlichen Verkehr üblich, PDF-Dateien und E-Mails verschlüsselt zu versenden. Es reichte im verhandelten Fall aus, dass die Verkäuferin ihr E-Mail-Konto durch ein regelmäßig geändertes Passwort und ein kostenpflichtiges Antivirenprogramm schützt. Die Käuferin hätte nach Ansicht des Gerichts aufgrund untypischer Formulierungen und schwerer sprachlicher Fehler den Betrug erkennen können.
Trotzdem kein Freifahrtschein
Die Entscheidung liefert wichtige Erkenntnisse: Es obliegt in erster Linie dem E-Mail-Empfänger, zu verhindern, dass Zahlungen fälschlich geleistet werden. Täuschungen dürften selten so perfekt sein, dass aufmerksame Leser sie nicht durchschauen können. Unternehmen sollten dennoch darauf achten, das eigene Postfach durch Sicherheitsvorkehrungen möglichst gut gegen Angriffe von Betrügern zu schützen. Bei besonders sensiblen Daten ist eine zusätzliche Transportverschlüsselung empfehlenswert.
Text: Barbara Mayer, Andreas Scheffold, Advant Beiten
Bild: Adobe Stock/ Technixus
In eigener Sache: Bitte Genau hinschauen
Auch die Industrie- und Handelskammern und ihre Mitgliedsunternehmen werden immer wieder von Betrügern für Phishing-Mail-Aussendungen ins Visier genommen. Vor Kurzem wurden Unternehmen in einer gefälschten E-Mail aufgefordert, sich bei einer „IHK Deutschland“ – die es nicht gibt – anzumelden. Aktuell kursiert die Nachricht von einer ebenfalls nicht existenten „Handelskammer Deutschland“ einen Handelsregistereintrag zu überprüfen und zu bestätigen. Manche dieser Mails sind wegen diverser Rechtschreibfehler und ungewöhnlicher Absenderadressen eher leicht zu identifizieren, andere sind dagegen inzwischen recht professionell formuliert.
Die IHKs und ihre Dachorganisation DIHK bitten deshalb alle Unternehmen um erhöhte Aufmerksamkeit. Schon beim kleinsten Zweifel nicht auf beigefügte Links oder Anhänge klicken – Stichwort: Schadsoftware – oder Firmendaten weitergeben.
Wenn beim E-Mail-Empfänger Zweifel bestehen, ob eine erhaltene Nachricht tatsächlich von der IHK stammt, sollte zur Absicherung eine kurze telefonische Klärung mit der eigenen IHK stattfinden. Infos zu aktuellen Bedrohungen veröffentlichen die IHKs und die DIHK zudem regelmäßig auf ihren Webseiten. uh
IHK-Ansprechpartner für Zweifelsfälle:
- IHK Hochrhein-Bodensee
Telefon 07531 2860-100 - IHK Schwarzwald-Baar-Heuberg
Telefon: 07721 922-0 - IHK Südlicher Oberrhein
Telefon: 0761 3858-0