Ersatz von durch Phishing-Angriff abhanden gekommener Emissionszertifikate
Gericht: VG Berlin 10. Kammer
Entscheidungsdatum: 13.09.2013
Aktenzeichen: 10 K 333.10
ECLI: ECLI:DE:VGBE:2013:0913.10K333.10.0A
Dokumenttyp: Urteil
Einleitung und Gegenstand des Urteils
Das Verwaltungsgericht Berlin hat am 13. September 2013 ein Urteil gefällt. Es geht in diesem Fall um Phishing im Internet.
Geklagt hatte ein mittelständisches Unternehmen aus der Papierindustrie. Dieses Unternehmen nimmt am Handel mit sogenannten Emissionszertifikaten teil. Das sind Rechte, die einem Unternehmen erlauben, eine bestimmte Menge an CO2 auszustoßen. Diese Rechte sind viel Geld wert und werden auf speziellen elektronischen Konten verwaltet.
Die Beklagte in diesem Fall ist die Behörde, die diese Konten führt. Das ist die Deutsche Emissionshandelsstelle (DEHSt).
Das Unternehmen hat seine Emissionsrechte durch einen Betrug verloren und wollte diese von der Behörde zurückhaben oder Geld als Ersatz bekommen. Das Gericht musste entscheiden, wer für den Schaden aufkommt: das bestohlene Unternehmen oder die Behörde.
Was ist genau passiert?
Am 28. Januar 2010 erhielt ein Mitarbeiter des Unternehmens eine E-Mail. Diese E-Mail sah auf den ersten Blick so aus, als käme sie von der Behörde. In der E-Mail stand, dass es neue Sicherheitsmaßnahmen gebe. Der Mitarbeiter wurde aufgefordert, auf einen Link zu klicken und ein „Sicherheitsupdate“ zu installieren.
Der Mitarbeiter folgte den Anweisungen. Er klickte auf den Link. Dort gab er den Benutzernamen und das geheime Passwort für das Konto des Unternehmens ein.
Das war ein Fehler.
Die E-Mail stammte nicht von der Behörde. Sie kam von Betrügern. Das nennt man einen Phishing-Angriff. Die Betrüger nutzen gefälschte E-Mails, um an Passwörter zu kommen.
Sobald die Kriminellen die Zugangsdaten hatten, handelten sie schnell. Noch am selben Nachmittag loggten sie sich in das Konto des Unternehmens ein. Sie stahlen:
- 42.000 Emissionsberechtigungen (EUA)
- 46.000 zertifizierte Emissionsreduktionen (CER)
Diese Zertifikate überwiesen sie auf Konten in Dänemark und von dort weiter nach Großbritannien. Danach waren die Zertifikate verschwunden und nicht mehr auffindbar.
Das Unternehmen bemerkte den Diebstahl erst am nächsten Morgen. Es ließ das Konto sperren, aber da war es schon zu spät.
Was forderte das Unternehmen?
Das Unternehmen zog vor Gericht. Es war der Meinung, die Behörde habe einen Fehler gemacht.
Die Argumente des Unternehmens waren:
- Die Behörde hätte die Überweisung der Zertifikate nicht zulassen dürfen. Es gab keinen echten Auftrag vom Unternehmen.
- Die Behörde hätte besser vor solchen Phishing-Angriffen warnen müssen.
- Das Sicherheitssystem der Behörde sei nicht gut genug gewesen.
Das Unternehmen verlangte, dass die Behörde ihm die gestohlenen Zertifikate ersetzt. Hilfsweise forderte das Unternehmen Schadenersatz in Höhe von über 1 Million Euro.
Die Entscheidung des Gerichts
Das Gericht hat die Klage abgewiesen. Das Unternehmen hat den Prozess verloren.
Das bedeutet, die Behörde muss dem Unternehmen die Zertifikate nicht ersetzen. Auch das Geld (die 1 Million Euro) muss die Behörde nicht zahlen. Das Unternehmen bleibt auf dem Schaden sitzen und muss zusätzlich die Kosten für das Gerichtsverfahren tragen.
Ersatz von durch Phishing-Angriff abhanden gekommener Emissionszertifikate
Die Begründung: Warum hat das Unternehmen verloren?
Das Gericht hat seine Entscheidung sehr ausführlich begründet. Hier sind die wichtigsten Punkte in einfacher Sprache:
1. Das Unternehmen trägt die Hauptschuld
Das Gericht sagte, dass das Unternehmen und sein Mitarbeiter „grob fahrlässig“ gehandelt haben. Das bedeutet, sie waren extrem unvorsichtig. Ein vernünftiger Mensch hätte den Betrug erkennen müssen.
Es gab viele Warnsignale in der gefälschten E-Mail:
- Die Absender-Adresse endete nicht auf „@dehst.de“, sondern auf „@tradingprotection.com“.
- Der Text enthielt viele Schreibfehler und grammatikalische Fehler.
- Es gab Wörter, die komplett in GROSSBUCHSTABEN geschrieben waren.
- Die angegebene Webseite hatte kein echtes Sicherheitszertifikat.
Der Mitarbeiter war ein Profi, der beruflich mit diesen Dingen zu tun hat. Von einem Profi erwartet das Gericht mehr Vorsicht als von einem normalen Privatmenschen. Er hätte bei der Behörde nachfragen müssen, bevor er sein Passwort auf einer fremden Webseite eingibt.
2. Die Behörde hat richtig gehandelt
Die Behörde durfte davon ausgehen, dass die Überweisung korrekt war. Die Regeln für das Register sagen: Wenn jemand den richtigen Benutzernamen und das richtige Passwort eingibt, gilt er als berechtigt.
Das Gericht verglich dies mit dem Online-Banking. Wenn man dort seine PIN und TAN eingibt, führt die Bank die Überweisung aus. Die Bank (oder hier die Behörde) muss nicht jedes Mal prüfen, ob wirklich der echte Kontoinhaber am Computer sitzt. Das System muss schnell und effizient funktionieren. Eine ständige Rückfrage würde den Handel zu stark verlangsamen.
3. Keine Verletzung der Warnpflicht
Das Unternehmen hatte argumentiert, die Behörde habe zu spät gewarnt. Das Gericht sah das anders.
- Die Behörde hatte schon vorher in ihrem Handbuch vor solchen Betrügereien gewarnt.
- Dort stand ausdrücklich, dass man niemals auf Links in E-Mails klicken soll, um sich einzuloggen.
- Als der Angriff bekannt wurde, hat die Behörde reagiert. Sie musste aber nicht sofort das gesamte Register abschalten, nur weil es einen Verdacht gab.
4. Ungenutzte Sicherheitsmöglichkeiten
Das Unternehmen hätte sich besser schützen können. Die Behörde bot zusätzliche Sicherheitsfunktionen an, die das Unternehmen aber nicht genutzt hat:
- Es gab die Möglichkeit, einen „zusätzlichen Bevollmächtigten“ einzurichten. Dann hätten zwei Personen eine Überweisung bestätigen müssen (Vier-Augen-Prinzip).
- Es gab die Funktion, sich bei jeder Transaktion automatisch eine E-Mail schicken zu lassen.
Hätte das Unternehmen diese Funktionen aktiviert, wäre der Diebstahl wahrscheinlich verhindert oder zumindest früher bemerkt worden.
5. Rechtliche Situation des Registers
Das Gericht erklärte auch einen wichtigen rechtlichen Punkt: Das Emissionshandelsregister genießt einen besonderen Schutz, ähnlich wie das Grundbuch bei Immobilien.
Was im Register steht, gilt rechtlich als richtig. Wenn Zertifikate auf ein anderes Konto übertragen wurden, gehören sie dem neuen Inhaber. Das gilt auch dann, wenn der Auftrag dazu durch einen Betrug zustande kam. Man kann diese Übertragung nicht einfach „rückgängig machen“, als wäre sie nie passiert. Da die Zertifikate mittlerweile wohl bei gutgläubigen Käufern gelandet oder verbraucht sind, ist eine Rückgabe faktisch unmöglich.
Zusammenfassung und Fazit
Das Urteil macht deutlich, dass Benutzer von Online-Systemen eine hohe Eigenverantwortung haben.
Wer seine geheimen Zugangsdaten auf einer gefälschten Webseite eingibt, handelt grob fahrlässig. Das gilt besonders im geschäftlichen Bereich. Wenn die E-Mail offensichtlich verdächtig ist (falscher Absender, schlechte Sprache), muss man misstrauisch sein.
Da der Mitarbeiter des Unternehmens diese Sorgfaltspflicht verletzt hat, wiegt sein Fehler schwerer als jedes mögliche Versäumnis der Behörde. Das eigene Verschulden des Unternehmens ist so groß, dass ein Anspruch auf Schadenersatz vollständig ausgeschlossen ist.
Das Ergebnis: Der Kläger bekommt keine Zertifikate und kein Geld. Er muss den Verlust selbst tragen.
