Sichere PIN?

In einer jetzt veröffentlichten Entscheidung hat das Oberlandesgericht Frankfurt/Main nach einer Beweisaufnahme keine Anhaltspunkte dafür gesehen, dass Sicherheitsmängel bei dem von der beklagten Bank in der Zeit von Dezember 1999 bis Februar 2003 verwandten Verschlüsselungssystems (Triple-DES-Schlüssel, bestehend aus 128 Bit) bestanden. Es könne praktisch ausgeschlossen werden, dass Kriminelle den kryptographischen Schlüssel geknackt hätten.

Sichere PIN?

Geklagt hatte eine Verbraucherschutzzentrale, die sich die Ansprüche von 12 Kunden der beklagten Bank hatte abtreten lassen, die allesamt behaupten, Dritte hätten ihre gestohlene PIN-Karte dazu missbraucht, unberechtigte Bargeldabhebungen vorzunehmen. Die Bank hatte sich darauf berufen, die Kunden hätten gegen ihre Pflicht verstoßen, die Karten mit besonderer Sorgfalt aufzubewahren und dafür Sorge zu tragen, dass kein unbefugter Dritter Kenntnis von der PIN erhalte.

Nachdem die Klage schon in der ersten Instanz ohne Erfolg geblieben war, wies nun auch das Oberlandesgericht die Berufung der Verbraucherschutzzentrale zurück.

Es lehnte sich dabei an eine Entscheidung des BGH vom 5.10.2004 (XI ZR 210/03) an, wonach der so genannte Beweis des ersten Anscheins dafür spreche, dass der Karteninhaber die PIN auf der EC-Karte notiert oder gemeinsam mit dieser verwahrt habe, wenn zeitnah nach dem Diebstahl der Karte und Eingabe der PIN an Geldausgabeautomaten Bargeld abgehoben werde. Um diesen zugunsten der Bank wirkenden Anscheinsbeweis zu entkräften, müsse der Karteninhaber einen atypischen Verlauf beweisen, d.h. er müsse darlegen, dass er nicht zur missbräuchlichen Verwendung der Karte beigetragen habe. Ein solcher Fall könne dann vorliegen, wenn ein Dritter das PIN-System „knacken“ könne. Von solchen Sicherheitsmängeln könne bei dem hier untersuchten System aber nicht ausgegangen werden, wie das Oberlandesgericht nach Einholung eines Sachverständigengutachtens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) feststellte.

Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation.

Oberlandesgericht Frankfurt am Main, Urteil vom 30.1.2008 – Az: 23 U 38/05

Bildnachweis: