SIM-Swap-Angriff (SIM-Karten-Multiplexing/Klonen); Es beginnt damit, dass der Täter das Callcenter oder den Händler des GSM-Betreibers durch Social Engineering davon überzeugt, den Leitungsbesitz des Opfers auf eine neue SIM-Karte zu übertragen. Der Angreifer erhält nun die SMS des Opfers; Die Bank erfasst die 2FA-OTP-Codes, meldet sich beim Online-Banking an und leert das Konto.
In diesem Artikel wird die rechtliche Haftung des GSM-Betreibers und der Bank bei SIM-Tausch-Viktimisierung im Rahmen der allgemeinen Gesetzgebung erörtert. Das Ergebnis ist dateispezifisch; Eine gesamtschuldnerische Haftung kann nicht in allen Fällen begründet werden.
Rechtlicher Rahmen
- Electronic Communications Law Nr. 5809 und BTK-Vorschriften – KYC- und Leitungsübertragungsverfahrenspflicht des Betreibers
- Debitkarten- und Kreditkartengesetz Nr. 5464 und allgemeine Bankvorschriften – die Sicherheitspflicht der Bank
- Verbrauchergesetz Nr. 6502 – Verbrauchergerichtsklage, mangelhafte Leistung
- TBK Nr. 6098 Art. 49 ff. – Haftung aus unerlaubter Handlung
Verantwortung des GSM-Betreibers
Der Betreiber muss die Identitätsprüfung während des Leitungsübertragungsprozesses fehlerfrei durchführen. Die folgenden Situationen können anhand des Operators bewertet werden:
- Überweisung mit gefälschter Identität oder fiktiver Vollmacht
- Versenden einer neuen SIM-Karte, wenn die Authentifizierungsfragen im Callcenter nicht ausreichen
- Transaktionen beim Händler ohne Fotokopie des Personalausweises oder Unterschrift
- Ignorieren der Alarme des Opfers „verdächtige Transaktion“
Haftung der Bank
Aus Sicht der Bank werden auch mehrere Sicherheitsebenen erwartet. Im Rahmen der Rechtsprechung der 11. Zivilkammer des Obersten Berufungsgerichts bewertete Überschriften:
- Schwache 2FA-Architektur, die nur auf SMS-OTP basiert
- Keine Geräte-Fingerabdruckverfolgung
- Verhaltensanalyse und Geolocation-Inkonsistenzwarnung funktionieren nicht
- Keine zusätzliche Verifizierung (Out-of-Band) bei einmaligen EFTs mit hohen Beträgen
- Der Prozess kann im Ablauf „Neue Geräteidentifikation → Passwortänderung → Übertragung hoher Beträge“ nicht schnell gestoppt werden.
Einrichtung der Gesamthaftung
Praktische Strategie für SIM-Swap-Dateien; Es handelt sich um die Einreichung einer Parallelklage gegen zwei Institutionen. Gericht; Es kann das Verschulden beider Institutionen feststellen und die Entschädigung entsprechend ihrer Verschuldensquote verteilen. Typische Fallstruktur:
Haftung des Opfers
Das Opfer muss außerdem angemessene Sorgfalt angewendet haben. In Fällen wie „Ich habe mein Passwort an jemand anderen weitergegeben“ oder „Ich habe auf den Phishing-Link geklickt und meine Daten weitergegeben“ wird die Haftung der Bank/des Betreibers reduziert. Die folgenden Verhaltensweisen werden zu Ihren Gunsten bewertet:
- Aktivieren Sie Transaktionsbenachrichtigungen in der Bankanwendung
- Keine Passwortfreigabe
- Rufen Sie den Betreiber und die Bank an, sobald die Telefonverbindung unterbrochen wird
- Verdächtige SMS und Anrufe aufzeichnen
Sammlungserwartungen
Möglichkeit der Erfassung in SIM-Austauschdateien; Dies hängt von der rechtzeitigen Erkennung des Angriffs, der Fähigkeit, das Geld einzufrieren, ohne auf Kettenkonten zu zirkulieren, und der Fehlerquote der beiden Institutionen ab. Für die Rückzahlung können keine konkreten Zusagen gemacht werden. Wenn eine gesamtschuldnerische Haftung festgestellt wird, werden die Verschuldensquoten im Allgemeinen auf der Grundlage der Würdigung konkreter Beweise im Prozess ermittelt.
Vorbeugende Maßnahmen
Schlussfolgerung
SIM-Tausch-Viktimisierung; Es handelt sich um einen vielschichtigen Rechtsprozess, der nicht gegen ein einzelnes Institut, sondern gegen das Trio Bank + Betreiber + Täter geführt werden muss. Früherkennung und parallele Anwendung erhöhen die Inkassowahrscheinlichkeit; Das Ergebnis ist in jeder Datei unterschiedlich.