Ein Fall von Rechnungsbetrug gab dem Oberlandesgericht Karlsruhe die Gelegenheit, sich in einem aktuellen Urteil ausführlich über die E-Mail-Sicherheit im Geschäftsverkehr zu äussern. Massgeblich sind demnach die berechtigten Sicherheitserwartungen.
Das deutsche Urteil geht auf einen Rechnungsbetrug per E-Mail zurück. Die Käuferin hatte den Betrag von 13’500 Euro für ein gebrauchtes Fahrzeug aufgrund einer gefälschten bzw. verfälschten Rechnung nicht dem Verkäufer, sondern einer unbekannten Täterschaft überwiesen. Die Rechnung war auf Wunsch der Käuferin als PDF-Datei per E-Mail zugestellt worden. Der Rechnungsversand per E-Mail ist weit verbreitet.
Das OLG Karlsruhe fasst in seinem Urteil 19 U 83/22 vom 27. Juli 2023 den Sachverhalt unter anderem wie folgt zusammen:
«Die Parteien […] schlossen am 8. Oktober 2021 […] einen Kaufvertrag über einen gebrauchten Pkw […] zum Preis von 13.500 EUR. Am selben Tag um 11:44 Uhr schickte der Geschäftsführer der Klägerin [und Verkäuferin] die Rechnung auf Wunsch der Beklagten [und Käuferin] als Anhang zu einer E-Mail an deren Geschäftsführer. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Konto bei der Sparkasse T. als Empfängerkonto angegeben. Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang. Hierin war – nur in der Fußzeile, der Kopfbereich wies unverändert das vorgenannte Konto der Klägerin bei der Sparkasse T. aus – ein anderes Empfängerkonto – nunmehr bei der S-Bank in Berlin – eines Kontoinhabers P. D. angegeben. Die Beklagte überwies 13.500 EUR auf das letztgenannte Konto.»
Und:
«Am 19. Oktober 2021 forderte die Klägerin die Beklagte zur Zahlung auf und es stellte sich heraus, dass die zweite E-Mail aufgrund eines ‹Hackerangriffs› von einer unbefugten dritten Person versandt worden war; das in der Fußzeile der dieser E-Mail angehängten Rechnung angegebene Konto ist keines der Klägerin. […] Die Beklagte lehnte in der Folge eine Zahlung an die Klägerin ab.»
E-Mail: Welche Sicherheitsmassnahmen dürfen erwartet werden und sind zumutbar?
Mit Blick auf die E-Mail-Sicherheit richtete die Käuferin allerlei Vorwürfe an die Verkäuferin, denn sie wollte – verständlicherweise – nicht ein zweites Mal 13’500 Euro bezahlen:
«Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des ‹Sender Policy Framework (SPF)› bei der Kommunikation sowie eine unterlassene Verschlüsselung der PDF-Datei. [Auch] sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.»
Das OLG Karlsruhe widersprach, anders als die Vorinstanz, deutlich den Erwartungen der Beklagten. Die Vorinstanz hatte unter anderem behauptet, «dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse» und geurteilt, die Verkäuferin habe keinen Anspruch auf die Zahlung von 13’500 Euro. Das sei, so das OLG Karlsruhe, «schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend.»
Jedenfalls:
«Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht […].»
Und:
«Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte […] keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit […].»
E-Mail-Sicherheit: Einzelne geprüfte Massnahmen
Sender Policy Framework (SPF)
«Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. [B]eim Verfahren Sender Policy Framework [handelt es sich] um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.»
Ich wäre überrascht, wenn der E-Mail-Dienstleister der Klägerin das Sender Policy Framework (SPF) nicht verwenden würde. Ohne SPF ist die Wahrscheinlichkeit hoch, dass E-Mail nicht zugestellt wird oder bei der Zustellung als Spam gefiltert wird. Aus diesem Grund ist SPF weit verbreitet. Auch kann ein Unternehmen bei Bedarf einen E-Mail-Dienstleister wählen, der SPF verwendet.
In der vorliegenden Angelegenheit hätte SPF allerdings nicht geholfen. Für Rechnungsbetrug per E-Mail werden häufig fremde Domainnamen verwendet, die leicht mit dem berechtigten Domainnamen verwechselt werden können. Die Täterschaft kann problemlos SPF für die verwendeten Domainnamen verwenden.
Verschlüsselung der PDF-Datei
«Dass eine Verschlüsselung von PDF-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht.»
Und:
«Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.»
Es ist tatsächlich nicht üblich, PDF-Dateien für den E-Mail-Versand mit einem Passwort zu verschlüsseln, auch nicht bei Rechnungen.
In der vorliegenden Angelegenheit stellt sich die Frage, ob die Rechnung als verschlüsselte PDF-Datei den Rechnungsbetrug verhindert hätte. Je nach Kenntnisstand der Täterschaft hätte diese auch ein allenfalls vereinbartes Passwort kennen und verwenden können.
Ende-zu-Ende-Verschlüsselung
«[D]ie Beklagte [hat] nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde […]. Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand – wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen – ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären.»
Und:
«Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.»
Bei E-Mail ist Ende-zu-Ende-Verschlüsselung sehr selten, weil es dafür kein überzeugendes Verfahren gibt. Die Verschlüsselung mit GPG bzw. PGP ist unsicher. Bei S/MIME gab es auch schon spektakuläre Sicherheitslücken und ein allgemein anerkanntes S/MIME-Zertifikat für einen leicht verwechselbaren Domainnamen lässt sich einfach beschaffen. Die Verfahren werden auch nicht von allen E-Mail-Diensten und E-Mail-Programmen unterstützt.
Wer seine Kommunikation mit Ende-zu-Ende-Verschlüsselung schützen möchte, setzt bevorzugt auf einen geeigneten Messaging-Dienst wie Signal oder Threema. Auch bei WhatsApp werden die Inhalte der Kommunikation mit Ende-zu-Ende-Verschlüsselung geschützt.
Transportverschlüsselung (SSL / TLS)
«Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. […] Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag […] dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art. Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.»
Transportverschlüsselung ist ein weiterer Grund, wieso Ende-zu-Ende-Verschlüsselung bei E-Mail sehr selten ist. Transportverschlüsselung, die Verschlüsselung zwischen den beteiligten E-Mail-Servern, ist normalerweise sicher genug. Das gilt auch, weil die beteiligten E-Mail-Dienstleister gesetzlich zur Geheimhaltung verpflichtet sind. Es gelten insbesondere das Datenschutz- und Fernmelderecht.
In der vorliegenden Angelegenheit fällt auf, dass die Beklagte (und Käuferin) anscheinend einen eigenen E-Mail-Server betreiben lässt, der keine Transportverschlüsselung unterstützt. Das erscheint ungewöhnlich, allein schon, weil grosse E-Mail-Dienstleister häufig nur noch Verbindungen mit Transportverschlüsselung zulassen.
Transportverschlüsselung hätte aber ohnehin nicht geholfen. Die E-Mail mit der gefälschten bzw. verfälschten Rechnung wäre auch mit Transportverschlüsselung an die Beklagte gelangt, denn Transportverschlüsselung sagt nichts über den Absender einer E-Mail aus.
Käuferin: Mitverschulden durch unsorgfältiges Handeln
Die Käuferin (und Beklagte) musste sich im Übrigen ein erhebliches Mitverschulden vorhalten lassen.
Die Käuferin hatte die E-Mail und die betrügerische Rechnung nicht sorgfältig geprüft (und das so im Verfahren zum eigenen Nachteil ausdrücklich so gesagt):
«[E]in erhebliches Mitverschulden [wäre] zu berücksichtigen […]. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede ‹Sie› verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler (‹ausgestelltes› Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern (‹Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung›).»
Und:
«Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.»
Verkäuferin: Fragwürdige Sicherheitsmassnahmen
Auf Seiten der Klägerin (und Verkäuferin) fallen fragwürdige Sicherheitsmassnahmen auf, insbesondere im Umgang mit Passwörtern:
«Die Klägerin hat ihr E-Mail-Konto beim Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde.»
Geteilte Passwörter sind verpönt, lassen sich aber nicht immer vermeiden. Passwörter sollten immer mit einem Passwort-Manager verwaltet werden, gerade auch geteilte Passwörter. Auch ist ein Passwort, das mündlich mitgeteilt werden kann, mutmasslich nicht lange genug, um sicher zu sein.
Das galt auch in der vorliegenden Angelegenheit, denn Passwörter sollten nicht bloss neun Zeichen lang sein:
«Hiernach habe das Passwort zum E-Mail-Konto der Klägerin neun Stellen gehabt und aus Buchstaben und Zahlen bestanden.»
Häufig wird eine Länge von mindestens 12 Zeichen empfohlen. Wer einen Passwort-Manager verwendet, kann deutlich längere Passwörter erstellen und verwenden.
Unabhängig davon ist die Empfehlung, Passwörter regelmässig zu ändern, überholt. Ein Passwort, das genügend sicher ist, insbesondere durch seine Länge, sollte nicht ohne begründeten Anlass geändert werden.
Die fragwürdigen Sicherheitsmassnahmen waren – so ersichtlich – nicht ursächlich für den Rechnungsbetrug.
Besonderheit: Keine Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO)
Die europäische Datenschutz-Grundverordnung (DSGVO) war als Besonderheit in der vorliegenden Angelegenheit nicht anwendbar:
«[…] ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO).»
Man kann sich fragen, ob diese Einschätzung stimmt. Allerdings gehe ich davon aus, dass das OLG Karlsruhe im Anwendungsbereich der DSGVO gleich geurteilt hätte.
Bei Anwendbarkeit der DSGVO hätten beide Parteien mit geeigneten technischen und organisatorischen Massnahmen (TOM) gemäss Art. 32 DSGVO ein dem Risiko angemessenes Schutzniveau für die Sicherheit der Verarbeitung gewährleisten müssen – und zwar «[u]nter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.»
Die geprüften Sicherheitsmassnahmen hätten in der vorliegenden Angelegenheit wie erwähnt nicht geholfen oder wären am Stand der Technik wie auch an den Implementierungskosten gescheitert. Ferner ist eine Rechnung, die ein Unternehmen wegen einem Rechnungsbetrug doppelt bezahlt, kein «Risiko für die Rechte und Freiheiten natürlicher Personen».
Das schweizerische Datenschutzrecht kennt mit Art. 8 DSG und Art. 1 ff. DSV vergleichbare Vorgaben.
Fazit: Überzeugendes Urteil aus Deutschland
Das Urteil des OLG Karlsruhe ist interessant, weil ausführlich und überzeugend erläutert wird, was für Erwartungen an die E-Mail-Sicherheit im Geschäftsverkehr berechtigt sind (0der eben nicht).
Auch vertragsrechtlich ist das Urteil ein Leckerbissen und bietet viel Stoff für künftige Prüfungen an Universitäten. Mehr dazu findet sich beispielsweise in einem Beitrag von Ali Tahir Sen bei «Recht vertieft».
Aus schweizerischer Sicht ist das Urteil interessant, weil vergleichbare Urteile in der Schweiz unwahrscheinlich sind. Bei einer Forderung von 15’000 Euro würde jede Partei selbst bei vollständigem Obsiegen im finanziellen Minus enden. Man würde die 15’000 Euro als Lehrgeld abschreiben oder sich in der Mitte treffen.
Lernen kann man aus dem Urteil (einmal mehr), dass erhaltene Rechnungen sorgfältig geprüft werden müssen.
Diese Sorgfalt gilt insbesondere bei hohen Beträgen. Rechnungsbetrug ist dabei nicht nur per E-Mail möglich, sondern genauso per Briefpost denkbar. Im Zweifelsfall sollte beim Absender nachgehakt werden – und zwar über einen unabhängigen Kommunikationskanal.
Bild: OpenAI / ChatGPT 4.