Fragen? Antworten! Siehe auch: Alternativlos
Es ging um den Verkauf eines Gebrauchtwagens, die Rechnung sollte per E-Mail rausgehen. Der Verkäufer schickt also die E-Mail, aber drei Minuten später geht eine zweite E-Mail mit einer leicht modifizierten Rechnung beim Käufer ein. Die Kontonummer war eine andere und zeigte auf ein Konto, das nicht dem Verkäufer gehörte.
Das merkte der Käufer nicht und überwies dorthin. Der Verkäufer wollte sein Geld haben. Das Landgericht hat die Klage abgewiesen, weil der Käufer ja gezahlt hatte, wenn auch nicht an den Verkäufer. Das OLG hat jetzt andersherum entschieden.
Die Details sind nicht sehr schön, finde ich:
Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang.Das ist trivial fälschbar, sogar weitgehend ohne technische Kenntnisse. Die relevante Frage wäre gewesen, ob die Mail vom Mailserver des Verkäufers kam. Das kann man im Header der Mail sehen. Dann hätte man sagen können, wer sich hier von bösen Hackern hat hacken lassen. Wenn sich der Verkäufer hacken lässt, hätte ich gesagt, dass der auch auf dem Schaden sitzenbleibt. Wenn der Verkäufer sich verarschen lässt, hätte ich gesagt, dass der auf dem Schaden sitzen bleibt. Aber das haben die hier offenbar gar nicht nachgeschaut.
Danach kommt dieser bemerkenswerte Abschnitt:
Die Klägerin hat ihr E-Mail-Konto beim Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von „X.-Internet-Security“ geschützt.Wie viele Leute im Betrieb das Passwort kennen ist irrelevant. Die E-Mail bei einem externen Dienstleister haben ist ein schlechtes Zeichen. Damit erweitert sich die mögliche Tätergruppe auf diesen Dienstleister, und wer da alles Zugriff hat, das wissen die Kunden ja nicht mal.
Passwortrotation ist Theater. Nicht nur nutzlos sondern sogar kontraproduktiv. Wen du dich bei einer Firma bewirbst, und die rotiert die Passwörter, dann ziehe die Bewerbung sofort zurück. Die machen dann auch alles andere falsch.
Die "Windows Firewall" tut natürlich gar nichts gegen den Abfluss von Passwörtern, weder vom E-Mail-Provider noch bei der Firma selbst.
Und dass sie noch irgendein nutzloses Schlangenöl drüberinstalliert haben, ist auch ein schlechtes Zeichen. Die wissen offensichtlich nicht, was sie tun. Und geholfen hat es ihnen ja auch nicht.
Der Käufer hat dann noch folgendes zu seiner Exkulpation auszuführen versucht:
Die Beklagte behauptet, es sei zum Versand der zweiten E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe. Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten.Ende-zu-Ende-Verschlüsselung kann man nur machen, wenn man vorher Schlüssel ausgetauscht hat. Mit jemandem, der auf schlecht gefälschte Rechnungen reinfällt, kannst du auch keinen Schlüssel sicher austauschen.
Wenn tatsächlich eine der beiden Seiten gehackt war, dann kannst du auch keinen Schlüssel austauschen, ohne dass ihn der Angreifer abgreifen kann.
Eine Transportverschlüsselung hilft überhaupt nichts gegen gehackte Mailserver.
Kein SPF haben ist kein Anzeichen für gehackt worden sein.
Der Versender hätte Adobe-Krypto-Kram kaufen und benutzen können, dann wäre sein PDF signiert gewesen. Aber wieso wir davon ausgehen sollen, dass der Käufer gemerkt hätte, dass nur das eine PDF signiert war, leuchtet mir nicht ein. Und natürlich hätte auch das Angreifer-PDF signiert worden sein können, dann halt von irgendeinem anderen Zertifikat, vielleicht mit einer Tippfehler-Domain oder so.
Meine Zusammenfassung des Falls ist: Hilflose Leute sind hilflos und machen hilflose Handbewegungen. Am Ende sagt man: Softwareproblem. Kann man nichts machen. Und das Leben geht weiter.