Diebstahl und Prozess

Der Diebstahl

Im Januar 2001 war ich auf einer Schulung meines Arbeitgebers in München, Nymphenburg. Als das Training gegen 17.30 Uhr zu Ende war, stellte ich fest, daß der Geldbeutel nicht mehr in meiner Jacke war. Nach dem Mittagessen hatte ich meinen Geldbörse noch, als ich bezahlte. Das war gegen 13.00 Uhr. Zuerst fragte ich in dem Restaurant nach, ob ich ihn dort liegen lassen hatte und ich suchte auch den Weg ab. Aber beides Fehlanzeige. Also fuhr ich nach Hause um die beiden Kreditkarten sperren zu lassen. Bei diesem Telefonat um 18.17 Uhr erfuhr ich, daß

  • um 16.49 Uhr 2000,– DM mittels PIN abgehoben wurden und
  • um 17.10 Uhr weitere 100,– DM.

In der Zeit vom Mittagessen (13.00 Uhr) bis zum Trainingsende (17.30 Uhr) muß die Geldbörse gestohlen und

  • die PIN geknackt worden sein,

denn die PIN hatte ich weder codiert noch uncodiert irgendwo notiert.

Die Bank zahlt nicht !

Bei Kreditkarten fühlt man sich im Gegensatz zu Bargeld sicher, wenn man diese verlieren sollte. Bargeld ist weg und man bekommt es nur zurück, wenn man einen ehrlichen Finder erwischt. Bei Kreditkarten sieht man hier kein Problem, denn es kann ja niemand Geld abheben. Und falls schon etwas wegkommt, dann ist der Schaden durch die Bank gedeckt. FALSCH !

In meinem Fall war es so, daß die Bank zwar zunächst den gestohlenen Betrag wieder gutschrieb, ihn aber im Juli 2001 wieder abzog. Begründet wurde dies wie folgt:

“Die PIN Nummer wurde sofort korrekt eingegen.

Der Kartenvorleger hat somit nicht versucht, die PIN-Nummer durch Probieren herauszufinden. Vielmehr hatte er Kenntnis von der richtigen Geheimnummer der Kreditkarte.

An dieser Stelle weisen wir daraufhin, daß die Geheimnummer auf der Karte nicht – auch nicht verschlüsselt – verzeichnet ist. Sie wird anhand verschiedener Angaben auf der Karte von einem im Geldautomaten vorhandenen Rechner ermittelt und mit der vom Kunden eingegebenen Geheimzahl verglichen. …

Wir müssen daher annehmen, daß sich eine Notiz mit Ihrer Geheimnummer in Ihrem zusammen mit Ihrer VISA Karte entwendeten Geldbeutel befand. …

Deshalb können wir keine Haftung übernehmen. Die Beträge von 2.000,00 DM und 100,00 DM wurden auf Ihrem Kartenkonto wiederbelastet.”

Die PIN hatte ich aber nirgends notiert. Die befindet sich NUR in meinem Kopf. Und nachdem die PIN sofort richtig eingegeben wurde, MUSS die PIN entweder geknackt oder von einer z.B. russischen,  rumänischen oder thailändischen PIN Tauschbörse gekauft worden sein. Ich beschloß vor Gericht zu gehen, damit dort ein Gutachten zur Sicherheit von Kreditkarten / PINs erstellt wird. Denn auf einer Seite der Cambridge Universität von Mike Bond (UK) fand ich interessantes Material, über die (Un)Sicherheit von Kreditkarten.

Prozess

Im Mai 2002 fand die Gerichtsverhandlung statt. Ich wurde von einer Münchner Rechtsanwaltskanzlei vertreten. Die Klage gegen die Bank wurde abgewiesen. Begründung:

“Der Kläger ist nämlich verpflichtet, der Beklagten die aus den zwei mißbräuchlichen Geldabhebungen mit der xxxx-xxxxxxxx–Card entstandenen Aufwendungen zu ersetzen, da er grob fahrlässig, also gegen sein Verpflichtung dafür Sorge zu tragen, dass keine andere Person Kenntnis von seiner PIN erlangt, verstoßen hat. Dass er gegen diese Verpflichtung verstoßen hat folgt aus dem Umstand, dass die beiden für die Belastung des Kreditkartenkontos maßgebenden Geldabhebungen an den Geldautomaten binnen weniger Stunden nach dem Diebstahl erfolgt sind sowie daraus, dass bei den beiden Geldanhebungen jeweils sogleich die richtige PIN des Klägers eingetippt worden ist. Aus diesem Geschehensablauf folgt nach den hier anzuwendenen Grundsätzen des Anscheinsbeweises, dass davon auszugehen ist, dass der Kläger die PIN in irgend einer Art und Weise, d.h. verschlüsselt oder unverschlüsselt, mit sich geführt und damit auch dem Dieb der xxxx-xxxxxxxx-Card die Kenntnisnahme der PIN ermöglicht hat. [...] Das erkennende Gericht ist aufgrund der von der Beklagten in diesem Verfahren vorgelegten umfangreichen Dokumentation sowie aufgrund eigener Recherchen vielmehr der Auffassung, dass das für die PIN maßgebende Verschlüsselungsverfahren jedenfalls so sicher ist, dass die PIN aus dem im Magnetstreifen der Kreditkarte enthaltenen Angaben allenfalls – wenn überhaupt – mit exorbitantem Zeit- und Kostenaufwand ermittelt werden kann. [...]“

Fakt ist, daß die PIN tatsächlich in keiner Weise jemandem zugänglich war - auch wenn dies für das Gericht nicht den Anschein hatte. Bereits im Vorfeld hatte ich dem Anwalt / Gericht Unterlagen von Mike Bond (Cambridge University) zukommen lassen, die zeigen, daß das PIN-System unsicher ist. Diese wurden jedoch vom Gericht nicht berücksichtigt, da:

“Der Kläger hat keine Tatsachen vorgetragen, die geeignet sind, den für die Beklagte sprechenden Anscheinsbeweis zu entkräften. Mithin bedurfte es auch nicht der Einholung des vom Kläger angebotenen Sachverständigengutachtens.

Das aktuellste Gutachten stammt vom 11.1.1995 vom Landgericht Bonn. Der Diebstahl erfolgte am 12.1.2001, 6 Jahre später. In dieser Zeit hat sich, dem Moore´schen Gesetz folgend, einiges getan in puncto Rechenleistung und damit der Möglichkeit Codes zu knacken. Ich beschloß in Berufung zu gehen.

Berufung

Auch das Landgericht hielt ein neues Gutachten nicht für erforderlich. Die Klage gegen die Bank wurde abgewiesen. Begründung:

“Die Berufung des Klägers ist zulässig, in der Sache jedoch unbegründet.

Es kann dahinstehen, ob der entsprechend dem Vortrag des Klägers nach dem Stand der Technik zum Zeitpunkt des behaupteten Kreditkartenmißbrauchs tatsächlich möglich war, die PIN innerhalb kürzester Zeit zu entschlüsseln. Einer Beweiserhebung hinsichtlich dieser Frage bedarf es schon deshalb nicht, weil der Kläger trotz der ausdrücklichen Erörterungen im amtsgerichtlichen Urteil noch immer nicht hinreichend substantiiert hat, seine Pflicht zur sorgfältigen Aufbewahrung der PIN erfüllt zu haben.

Soweit er meint, es sei allein entscheidend, daß er die PIN nicht im Geldbeutel bei sich führte, verkennt er, daß dies nicht darüber aussagt, wo er die PIN denn tatsächlich aufbewahrte, bzw. ob er hierbei die ihm nach den Vertragsbedingungen obliegenden Geheimhaltungspflichten erfüllt hat. Nach den bisherigen Sachdarstellungen ist völlig offen, wie der Kläger überhaupt mit der PIN umgegangen ist, insbesondere ist nicht belegt, ob und ggfls. welche Vorkehrungen der Kläger getroffen hat, um zu verhindern, daß keine andere Person Kenntnis von seiner PIN erlangt. Die Darlegungen des Klägers lassen es deshalb nicht ausgeschlossen erscheinen, daß aufgrund mangelnder Sicherheitsvorkehrungen ein Dritter bereits in der Zeit vor dem Verlust der Karte Kenntnis von der PIN erlangt hat [...].”

Meinem Anwalt hatte ich im August 2001 zur PIN Aufbewahrung folgendes mitgeteilt:

“Die PINs der Kreditkarten und der EC-Karte bewahre ich explizit nicht in meinem Geldbeutel bzw. irgendwo anders bei mir mobil auf, sondern habe mir diese ausschliesslich gemerkt. Noch nie habe ich eine PIN irgendwo notiert bzw. den Originalausdruck bei mir gehabt – Dritte konnten keinen Zugang haben.”[...].”

Das war offensichtlich nicht ausreichend.

Facebook Like

Permanentlink zu diesem Beitrag: http://www.kreditkartendiebe.de/pin-geknackt/

Hinterlasse eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht.

Sie können diese HTML-Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>