Siche­re PIN?

In einer jetzt ver­öf­fent­lich­ten Ent­schei­dung hat das Ober­lan­des­ge­richt Frankfurt/​Main nach einer Beweis­auf­nah­me kei­ne Anhalts­punk­te dafür gese­hen, dass Sicher­heits­män­gel bei dem von der beklag­ten Bank in der Zeit von Dezem­ber 1999 bis Febru­ar 2003 ver­wand­ten Ver­schlüs­se­lungs­sys­tems (Trip­le-DES-Schlüs­sel, bestehend aus 128 Bit) bestan­den. Es kön­ne prak­tisch aus­ge­schlos­sen wer­den, dass Kri­mi­nel­le den kryp­to­gra­phi­schen Schlüs­sel geknackt hät­ten.

Siche­re PIN?

Geklagt hat­te eine Ver­brau­cher­schutz­zen­tra­le, die sich die Ansprü­che von 12 Kun­den der beklag­ten Bank hat­te abtre­ten las­sen, die alle­samt behaup­ten, Drit­te hät­ten ihre gestoh­le­ne PIN-Kar­te dazu miss­braucht, unbe­rech­tig­te Bar­geld­ab­he­bun­gen vor­zu­neh­men. Die Bank hat­te sich dar­auf beru­fen, die Kun­den hät­ten gegen ihre Pflicht ver­sto­ßen, die Kar­ten mit beson­de­rer Sorg­falt auf­zu­be­wah­ren und dafür Sor­ge zu tra­gen, dass kein unbe­fug­ter Drit­ter Kennt­nis von der PIN erhal­te.

Nach­dem die Kla­ge schon in der ers­ten Instanz ohne Erfolg geblie­ben war, wies nun auch das Ober­lan­des­ge­richt die Beru­fung der Ver­brau­cher­schutz­zen­tra­le zurück.

Es lehn­te sich dabei an eine Ent­schei­dung des BGH vom 5.10.2004 (XI ZR 210/​03) an, wonach der so genann­te Beweis des ers­ten Anscheins dafür spre­che, dass der Kar­ten­in­ha­ber die PIN auf der EC-Kar­te notiert oder gemein­sam mit die­ser ver­wahrt habe, wenn zeit­nah nach dem Dieb­stahl der Kar­te und Ein­ga­be der PIN an Geld­aus­ga­be­au­to­ma­ten Bar­geld abge­ho­ben wer­de. Um die­sen zuguns­ten der Bank wir­ken­den Anscheins­be­weis zu ent­kräf­ten, müs­se der Kar­ten­in­ha­ber einen aty­pi­schen Ver­lauf bewei­sen, d.h. er müs­se dar­le­gen, dass er nicht zur miss­bräuch­li­chen Ver­wen­dung der Kar­te bei­getra­gen habe. Ein sol­cher Fall kön­ne dann vor­lie­gen, wenn ein Drit­ter das PIN-Sys­tem „kna­cken“ kön­ne. Von sol­chen Sicher­heits­män­geln kön­ne bei dem hier unter­such­ten Sys­tem aber nicht aus­ge­gan­gen wer­den, wie das Ober­lan­des­ge­richt nach Ein­ho­lung eines Sach­ver­stän­di­gen­gut­ach­tens des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) fest­stell­te.

Das Gericht lehn­te wei­te­re Beweis­erhe­bun­gen ab, die die Ver­brau­cher­schutz­zen­tra­le zur Möglichkeit von ande­ren Mani­pu­la­ti­ons­mög­lich­kei­ten bean­trag­te, z.B. zur Fra­ge der Ver­wen­dung von auf der Kar­te gespei­cher­ten Daten zur PIN-Ver­fi­ka­ti­on.

Ober­lan­des­ge­richt Frank­furt am Main, Urteil vom 30.1.2008 – Az: 23 U 38/​05