In Deutschland werden jedes Jahr mehr als einhunderttausend EC-Karten gestohlen und häufig gelingt es den Tätern, mit den Karten größere Summen am Geldautomaten abzuheben.
Wenn nach dem Diebstahl von EC-Karten das Girokonto von Trickdieben abgeräumt wurde, stellen sich die Banken und Sparkassen im Regelfall auf den Standpunkt, der Kontoinhaber habe die Kreditkarte zusammen mit der persönlichen Geheimzahl (PIN) aufbewahrt und damit den Schaden selbst verschuldet.
Der Bundesgerichtshof hat die bankenfreundliche Rechtsprechung im Jahr 2004 bestätigt und die Beweislast für den ordnungsgemäßen Umgang mit der Geheimzahl einseitig den Bankkunden aufgebürdet. Dem Urteil lag ein umfangreiches Sachverständigengutachten zugrunde, das zu dem Ergebnis kam, dass die PIN nicht „zu knacken“ sei. Der Bundesgerichtshof kam daher zu dem Ergebnis, dass der Beweis des ersten Anscheins dafür spreche, dass der Kunde die Geheimnummer zusammen mit der Karte aufbewahrt habe. Geschädigte Bank- und Sparkassenkunden können nach dieser Ansicht des BGH von ihrem Kreditinstitut nur dann die Rückgängigmachung der Bargeldabhebungen verlangen, wenn sie ernsthaft die Möglichkeit aufzeigen, dass der Code auf Grund von Sicherheitsmängeln bei der Bank geknackt worden sei.
Nunmehr regen sich aber immer mehr Stimmen unter den Experten, die meinen, dass es technisch keineswegs ausgeschlossen sei, die persönliche Geheimnummer (PIN) zu entschlüsseln (vgl. insbesondere OLG Zweibrücken, WM 1991, 67; Landgericht Osnabrück, NJW-RR 2003, 1283, 1284; Strube WM 1998, 1210, 1214). Die den Anscheinsbeweis ablehnenden Auffassungen in der Rechtsprechung und Literatur basieren allesamt auf die Missbrauchsmöglichkeiten infolge vorhandener technischer Sicherheitslücken. Hiernach gibt es schon allein sieben Defizite in der System- und Sicherheitsarchitektur und somit zahlreiche andere mögliche Ursachen für die unberechtigten Bargeldabhebungen.
Die Experten in Deutschland führen aus, dass sogar der als sicher geltende Triple-DES beim Einsatz von EC-Karten nicht mehr sicher sei. Der Wirtschaftsinformatiker Günther Schnellhardt gibt an, dass es theoretisch möglich sei, die genaue PIN-Nummer zu dechiffrieren.
Nach Schnellhardts Darstellungen funktioniert das Entschlüsseln durch Ausprobieren folgendermaßen:
Beim Einsatz deutscher EC-Karten an Geldautomaten arbeiten diese manchmal „offline“, sind also nicht mit dem Rechenzentrum der Bank verbunden, von der die Karte stammt. Helmut Stimm, ein Computerexperte vom Landeskriminalamt Baden-Württemberg hat vor dem Landgericht Karlsruhe erläutert, dass sich bei offline-geschalteten Automaten mit Laptop und Kartenlesegerät die Zählung der – normalerweise auf drei begrenzten – Fehlversuche manipulieren lasse. Dadurch könnten beliebig viele PIN-Codes ausprobiert werden. Ist der Automat dagegen online mit dem Rechenzentrum verbunden, ließe sich die Zählung der Fehlversuche nach seinen Worten nicht beeinflussen. Nach Schnellhardts Angaben gibt es bei vierstelligen PIN-Nummern theoretisch 9.000 Möglichkeiten, da 0 nie als Anfangsziffer genommen wird. Enthält die vierstellige Nummer Ziffern zwischen 1 und 5 – was statistisch häufiger vorkommt als eine Kombination anderer Ziffern -, dann könnten 250 Versuche zur Entschlüsselung genügen.
Wer haftet bei Missbrauch?
Ist die Karte nach dem Verlust gesperrt worden, ist es einfach: Grundsätzlich haften die Kreditinstitute. Deshalb ist es wichtig, so schnell wie möglich die Karte sperren lassen.
Wenn die Karte noch nicht gesperrt worden ist, gilt zwar der Grundsatz, dass die Bank den Schaden zu tragen hat, wenn ein Unbefugter mit der Karte Geld abhebt. Allerdings gilt das nicht, wenn der Kunde fahrlässig mit Karte und PIN umgegangen ist und den Missbrauch dadurch erst ermöglicht hat.
Der Kunde muss in diesem Fall beweisen, dass er sorgfältig mit Karte und PIN umgegangen und es trotzdem zu einem Kartenmissbrauch gekommen ist. Denn Kartendaten können kopiert und Geheimnummern ausgespäht werden. Vor Gericht muss der Kunde dann substantiiert darlegen, wie es zu einer Entschlüsselung der PIN gekommen sein könnte, um den Anscheinsbeweis zugunsten der Bank zu erschüttern.
Für den Kunden ist es zwar schwierig, aber nicht unmöglich, eine Haftung der Bank bei einem EC-Karten-Missbrauch durchzusetzen. Wir beraten Sie gern!