Es ist schwer zu übersehen, wenn ihr diesen Text auf unserer Website lest: netzpolitik.org hat einen neuen Look. Nach mehr als neun Jahren, in denen sich unsere Seite optisch und auch funktional kaum verändert hat, haben wir jetzt ein neues Design. Und auch unter der Haube hat sich einiges getan.

In dieser Folge Off The Record schauen wir gemeinsam mit anna und Ingo zurück auf die verschiedenen visuellen Stadien, die netzpolitik.org durchlaufen hat. Wir sprechen über neue Features, über die wir uns besonders freuen, verraten, warum am Tag der Umstellung alles noch ein paar Stunden länger gedauert hat als erwartet – und womit wir die Zeit überbrückt haben.

In dieser Folge: Anna Biselli, Ingo Dachwitz und Chris Köver
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E‑Mail an podcast@netzpolitik.org.

Links und Infos

Blattkritik & Hausmitteilungen

Thema des Monats

Kapitel

(00:00:00) Begrüßung
(00:02:31) Blattkritik
(00:09:21) Hausmitteilungen
(00:13:00) Thema des Monats
(00:38:30) Credits

Liebe Leser:innen,

nach einem Jahr schwarz-roter Bundesregierung wurde in dieser Woche viel Bilanz gezogen. Und die fiel nicht gut aus. Weder in den Medien noch auf der Straße.

Die Regierung liefere nicht, was sie versprochen hat, heißt es. Und sie müsse sich endlich zusammenraufen. Sonst drohe im Herbst ein böses Erwachen. Aus dem „Herbst der Reformen“ sei der „Sommer der Wahrheit“ geworden.

Ich habe in dieser Woche nachgeschaut, was wir selbst zum Start der schwarz-roten Koalition geschrieben hatten. Und was soll ich sagen: Mit Blick auf Überwachung und Grundrechteabbau hat die Regierung leider durchaus geliefert.

Biometrische Videoüberwachung, die Rückkehr der Vorratsdatenspeicherung, Fotofahndung im Netz, automatisierte Datenanalyse à la Palantir, zunehmende Intransparenz und rechtswidrige „Zurückweisungen“ von Schutzsuchenden. Das ist stringente Kontroll- und Ordnungspolitik, von den Innenstädten bis an die deutschen Außengrenzen.

Zivilgesellschaftliche Organisationen, Menschenrechtler:innen und die Kirchen lehnen die Vorhaben ab – als verfassungs- und europarechtswidrig. Die Regierung schert das wenig. Mehr noch: Wenn die Zahlen den Law-and-Order-Kurs nicht rechtfertigen, verweist sie kurzerhand auf die „gefühlte Sicherheit“. So geht Populismus.

Dabei bräuchten wir in Zeiten multipler Dauerkrisen ein anderes Sicherheitsverständnis, wie auch meine Kollegin Anna schreibt. Unter Sicherheit sollten demnach vollkommen andere Fragen fallen: Wie senken wir die Mieten? Wie sichern wir die Renten? Wie stoppen wir die Klimakatastrophe? Wie verbessern wir die Schulen? Wie machen wir unsere Städte lebenswerter? Wie unsere Demokratie resistenter?

Gegen solche Sicherheitsfragen habe ich nichts einzuwenden, im Gegenteil.

Um darauf Antworten zu finden, bräuchte es eine Kehrtwende. Doch ein „Sommer der Kehrtwende“ ist von dieser Koalition am wenigsten zu erwarten. Dafür müssen wir selbst ran: vor dem Bundesverfassungsgericht, auf der Straße oder an der Wahlurne.

Habt ein gutes Wochenende
Daniel

Das Landgericht Berlin II hat die Rechte von Bankkunden bei Phishing-ähnlichen Täuschungsversuchen gestärkt und Finanzinstitute technologisch in die Pflicht genommen. Das ist einem heise online vorliegenden Urteil vom 22. April der Zivilkammer 38 zu entnehmen (Az.: 38 O 293/25). In dem Verfahren gegen die Deutsche Apotheker- und Ärztebank (Apobank) entschied das Gericht, dass das Finanzhaus für einen unautorisierten Schaden von über 200.000 Euro haften muss. Die Entscheidung verdeutlicht, dass die Annahme einer groben Fahrlässigkeit bei immer raffinierteren Betrugsszenarien kaum noch haltbar ist.

Der Fall wirft ein Licht auf die Professionalität der Angreifer: Die Betroffenen wurden durch eine Kombination aus einem täuschend echt wirkenden Brief im Namen der Bank, einer manipulierten Online-Banking-Oberfläche und einem persönlichen Telefonat in die Falle gelockt. Die Betrüger verfügten über Detailwissen zu weiteren Konten der Kläger, was den Eindruck einer legitimen Bankmitarbeiterin festigte.

Die Kundin schöpfte nach ihrer Aussage keinen Verdacht, als sie beim gewohnten Login über ihre Favoritenleiste am Rechner zur Einrichtung einer 2-Faktor-Authentifizierung aufgefordert worden sei. Dieser war zuvor in einem authentisch wirkenden Brief angekündigt worden. Die Szenerie habe zudem durch den zeitnahen Anruf einer vermeintlichen Bankmitarbeiterin glaubhaft gewirkt, der unter der offiziellen Nummer der Bank erfolgte. Im Weiteren fotografierte die Klägerin lediglich Codes vom Bildschirm ab, ohne sensible Autorisierungsdaten wie PINs oder TANs aktiv an die Anruferin zu übermitteln.

Die Berliner Richter stellten klar, dass Kunden in einer solchen nahezu perfekt inszenierten Täuschung nicht grob fahrlässig handeln.

Technische Früherkennung als Bankpflicht

Bemerkenswert sind die Ausführungen des Gerichts über die Entscheidung hinaus. Die Kammer deutet darin Ansätze für notwendige Früherkennungssysteme an: Die Bank hätte den Betrug erkennen und unterbinden können, da die Einwahl des Kunden und die gleichzeitige Registrierung eines neuen Geräts durch die Täter über vollkommen unterschiedliche IP-Adressen und Provider erfolgten. Das Finanzhaus habe diese offensichtliche Diskrepanz nicht durch automatisierte Sicherheitsmechanismen blockiert und die Verknüpfung des neuen Geräts ohne hinreichende Besitzprüfung zugelassen.

Ulrich Schulte am Hülse von der Kanzlei Ilex Rechtsanwälte, der das Urteil erstritten hat, bewertet diese Einschätzung zwar als technisch noch laienhaft. Er sieht die Justiz aber auf dem richtigen Weg. In Verfahren gegen die Apobank stünden fast immer vollständige Logfiles inklusive IP-Adressen zur Verfügung. Anhand dieser Daten und einer Kundenbefragung lasse sich rückschauend exakt belegen, welche Handlung den Tätern zuzurechnen sei und wo die Bank hätte intervenieren müssen.

Der Anwalt unterstreicht, dass Phishing längst kein reines Verbraucherthema mehr sei. An der Entscheidung lasse sich ersehen, dass die größten Einzelschäden verstärkt im Bereich der mittelständischen Wirtschaft entstünden. Es seien etwa Freiberufler, Selbständige und gestandene Kapitalgesellschaften betroffen. Durch modernes Multibanking, bei dem Geschäfts- und Privatkonten zusammengeführt werden, verschwömmen die Kategorien zunehmend. Das Urteil schütze so Akteure, deren Existenz durch hohe Schadenssummen bedroht sein könnte.

Rückenwind durch OLG-Rechtsprechung

Diese Sichtweise deckt sich mit der Tendenz anderer Gerichte. Das Oberlandesgericht Koblenz machte vor Kurzem die Ansage, dass selbst das Anklicken von Links in SMS und die Eingabe von Transaktionsnummern in ein Browser-Formular nicht automatisch als grobe Fahrlässigkeit gewertet werden darf, wenn die Betrugsmasche eine täuschend echte Interaktionskette aufbaut.

Das Berliner Urteil sendet so ein Signal: Banken müssen ihre Sicherheitsalgorithmen schärfen. Auffällige Diskrepanzen in den Logfiles, wie etwa zeitgleiche Logins aus technisch unplausiblen Quellen, sollten proaktiv zur Betrugsverhinderung genutzt werden.

(nen)