[Datenschleuder] [64]    EC-Karten Urteil des Amtsgerichts FFM v. 01.09.1998 (gekürzt)

EC-Karten Urteil des Amtsgerichts FFM v. 01.09.1998 (gekürzt) Amtsgericht Frankfurt am Main Aktenzeichen 30 C 2119 / 97 - 45, Urteil...Verkündet am: 01.09.1998 Im Rechtsstreit ... - Klägerin - ... gegen die ZZZZZZZZ - Bank ... - Beklagte - hat das Amtsgericht Frankfurt am Main ... 31.7.1998 für Recht erkannt: Die Beklagte wird verurteilt, ... nebst ... Zinsen ... zu zahlen. ... TATBESTAND: Die Klägerin ... unterhält bei der Beklagten ein Girokonto. Für dieses Konto war ihr von der Beklagten eine ec-Karte mit Magnetstreifen sowie eine persönliche Geheimnummer (PIN) ausgehändigt worden. Im Februar 1997 wurden der Klägerin aus ihrer Handtasche die von der Beklagten ausgegebene ec-Karte sowie eine weitere ec- und s-Karte einer Sparkasse gestohlen. Mit diesen Karten wurden im Zeitraum vom 20.2.1997 bis 26.2.1997 an verschiedenen Geldautomaten (GAA) und POS-Terminals Geld abgehoben bzw. Rechnungen beglichen, die Konten der Klägerin von den kartenausgebenden Banken bzw. Sparkassen entsprechend belastet. Die Klägerin bemerkte den Diebstahl am 26.2.1997 und ließ die Karten am 26.2.1997 um 11:48 Uhr sperren. [...] Unstreitig hat die Klägerin die ihr von der Beklagten ausgegebene ec-Karte zuvor noch nie in Zusammenhang mit der PIN benutzt, also weder an Geldausgabeautomaten noch POS-Terminals. [...] Die Klägerin behauptet, sie sei ihrer Verpflichtung zur Geheimhaltung der PIN nachgekommen. Sie habe die PIN weder auf der Karte noch sonst in irgendeiner Form notiert, die PIN vielmehr in einem verschlossenen Aktenkoffer verwahrt, welchen sie in ihrer Wohnung versteckt habe. Die Klägerin ist der Ansicht, es spreche auch kein Anscheinsbeweis dafür, daß sie dem Täter durch einen pflichtwidrigen Umgang mit der PIN die Kenntnis der PIN ermöglicht habe, da mittlerweile durch zahlreiche Gutachten nachgewiesen worden sei, daß die Täter die PIN selbstständig durch Ausprobieren oder Entschlüsseln anhand der auf der Karte gespeicherten Daten ermitteln konnten. Die Klägerin beantragt, die Beklagte zu verurteilen, ... zu zahlen. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte bestreitet, daß die PIN selbstständig durch Entschlüsseln anhand der auf der Karte gespeicherten Daten ermittelt werden könne. Sie behauptet, es sei auch heute noch technisch ausgeschlossen, daß ein Dieb die PIN aus der Karte entschlüsseln könne, da diese nicht auf der Karte gespeichert sei, sondern erst unter Verwendung des institutseigenen DES-Schlüssels errechnet werde. Die Entschlüsselung des DES-Schlüssels sei mit herkömmlichen Mitteln nicht möglich, da hierfür das systematische Durchprobieren aller denkbaren Schlüssel erforderlich wäre. Da der Schlüssel des DES-Algorithmus 56 Bits umfasse, gäbe es über 70 Billiarden verschiedene Möglichkeiten. Ein Dieb sei folglich nur dann in der Lage, mit Hilfe einer gestohlenen ec-Karte an einem Geldausgabeautomaten eine Abhebung zu tätigen, wenn ihm mit der Karte auch die PIN in die Hände gefallen sei. Aus diesem Grunde ginge die überwiegende Rechtssprechung davon aus, daß bei einer Abhebung an Geldausgabeautomaten der sogenannte Beweis des ersten Anscheins dafür spreche, daß der Karteninhaber die Abhebungen selbst vorgenommen habe, oder ein Dritter sie in Kenntnis der PIN getätigt habe. [...] Auch die Annahme des OLG Hamm, der DES-Schlüssel befinde sich mittlerweile in Händen krimineller Organisationen, sei rein spekulativ und durch nichts belegt. Bei dieser Sachlage sei daher davon auszugehen, daß die ec-Karte der Klägerin zusammen mit der PIN abhanden gekommen sei, so daß die Klägerin die ihr obliegende Pflicht zur sorgfältigen und getrennten Aufbewahrung nicht erfüllt habe und daher für den entstandenen Schaden selbst hafte. Das Gericht hat Beweis erhoben durch Parteivernehmung der Klägerin und Anhörung der Sachverständigen Dr. W. S. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und A. M.-M. vom Chaos Computer Club e.V. (CCC). [...] Entscheidungsgründe: Die Klage ist begründet. Der Klägerin steht gegenüber der Beklagten ein Anspruch auf Rückzahlung der im Zusammenhang mit der mißbräuchlichen Verwendung ihrer ec-Karte von ihrem Girokonto abgebuchten Beträge zu, da die Beklagte nicht berechtigt war, das Konto der Klägerin entsprechend zu belasten (º 812 Abs. 1 Satz 1 BGB). [...] Unstreitig wurde der Klägerin aber ihre ec-Karte gestohlen und von Unbekannten mittels der gestohlenen ec-Karte die mißbräuchlichen Transaktionen durchgeführt. [...] Die Beklagte wäre daher nur dann zur Belastung des Girokontos der Klägerin berechtigt gewesen, wenn die Klägerin ihre vertraglichen Verpflichtungen aus Abschnitt II Ziffer 7.4 der Besonderen Bedingungen für ec-Karten verletzt hätte (pVV). Ein derartiger Anspruch setzt voraus, daß die kartenausgebende Bank beweist, daß der Karteninhaber schuldhaft zum Mißbrauch der ec-Karte beigetragen hat, etwa indem er mit der PIN nicht sorgfältig umgegangen ist. Diesen Beweis vermochte die Beklagte jedoch nicht führen. Die Beklagte hat keinerlei konkrete Tatsachen vorgetragen, aus der sich ein schuldhaftes Verhalten der Klägerin ableiten ließe. Die Beklagte hat sich vielmehr lediglich auf den von Rechtsprechung und Literatur statuierten Anscheinsbeweis gestützt, wonach der Einsatz der ec-Karte unter Verwendung der richtigen PIN den Beweis des ersten Anscheins dafür begründe, daß der Karteninhaber entweder selbst verfügt oder durch ein sorgfaltswidriges Verhalten zum Mißbrauch der ec-Karte beigetragen habe. Diesem Anscheinsbeweis liegt die Annahme zugrunde, daß eine Transaktion an einem Geldausgabeautomaten oder POS-Terminal nur mit der geheimen PIN möglich ist, welche nur dem Karteninhaber bekannt ist und die aufgrund des Sicherheitssystems der Banken auch nicht von Dritten ermittelbar sei. Dieser Annahme kann sich das Gericht aber nicht anschließen, es sieht vielmehr aufgrund der durchgeführten Beweisaufnahme die Anknüpfungspunkte, die bisher allgemein zur Annahme des Anscheinsbeweis führten, für widerlegt an. [...] Dreh- und Angelpunkt sämtlicher Entscheidungen ist daher die Beurteilung des Sicheitssystems der Banken, insbesondere die Frage, ob es für Unbefugte technisch möglich ist, die geheime PIN zu ermitteln. [...] Aufgrund der durchgeführten Beweisaufnahme sieht es das Gericht nunmehr aber nicht mehr nur für theoretisch denkbar, sondern für praktisch erwiesen an, daß die PIN selbstständig durch Entschlüsseln anhand der auf der Karte gespeicherten Daten ermittelt werden kann, das Sicherheitssystem der Banken mithin nicht mehr so sicher ist, daß von einem Anscheinsbeweis zugunsten der Banken ausgegangen werden kann. [...] Das Gericht sieht es vielmehr als erwiesen an, daß der DES-Schlüssel von Unbefugten errechnet werden kann und mittlerweile auch errechnet worden ist. Das Gericht kann der Behauptung der Beklagten, der DES-Schlüssel befinde sich nicht in den Geldausgabeautomaten, sondern nur in den nationalen Rechenzentren, in dieser Form nicht folgen. Dies mag für den jetzigen Zeitpunkt und für die Geldausgabeautomaten der Beklagten gelten, für den hier allein entscheidenen Tatzeitraum - Anfang 1997 - gilt diese Aussage aber nicht, da sie nicht berücksichtigt, daß mittlerweile die sogenannten "neuen PIN-Verfahren" (vgl. Dr. Werner Schindler, NJW-CoR 1998, 223 ff.) eingeführt worden sind, der hier streitige Vorfall aber noch das "alte PIN-Verfahren" betrifft. [...] Beim alten PIN-Verfahren muß zwischen den institutseigenen DES-Schlüsseln und den sogenannten Pool-Schlüsseln differenziert werden. Während die institutseigenen DES-Schlüssel in der Tat allein in den nationalen Rechenzentren der Banken verwahrt werden, befanden sich die Pool-Schlüssel in jedem Geldausgabeautomaten, da sie in den Anfangsjahren zur Offline-Authorisierung institutsfremder ec-Karten dienten. Der Sachverständige Dr. S., Mitarbeiter in der Abteilung "Kryptographische Sicherheit" beim BSI hat in seinem Interview in der NJW-CoR 4/98 (S. 223ff.) ausgeführt, daß hierzu bei den alten ec-Karten der Geldausgabeautomat anhand eines im Automaten hinterlegten Pool-Schlüssels und dem Offset, einer auf dem Magnetstreifen befindlichen, kartenabhängigen vierstelligen Zahl, jede deutsche PIN errechnen konnte. Nach den alten PIN-Verfahren konnte die PIN daher entweder anhand des institutseigenen DES-Schlüssels (Data Encryption Standard des US-amerikanischen National Bureau of Standards), oder des Pool-Schlüssels ermittelt werden, wobei es in der Fachwelt unstreitig ist, daß es keinerlei Probleme bereitet, die jeweilige PIN zu errechnen, wenn man entweder im Besitz des DES- oder eines Pool-Schlüssels ist. Der Sachverständige Weber von der Zentralstelle für Sicherheit in der Informationstechnik hat bereits in seinem Gutachten vom 7.8.1990 für das AG Düsseldorf ausgeführt, daß die korrekte PIN mit einem simplen Programm mittels eines PC's im Bruchteil einer Sekunde errechnet werden könne, wenn man im Besitz des DES- oder Poolschlüssels ist. Auch die vom Gericht angehörten Sachverständigen Dr. S. und M.-M. haben dies übereinstimmend bestätigt. Die bisher von allen Gerichten als wahr unterstellte Behauptung der Banken, es sei bis heute nicht gelungen, den DES-Schlüssel zu dechiffrieren, ist zur Überzeugung des Gerichts mittlerweile jedoch widerlegt. Grundlage der bisher herrschenden Rechtssprechung war die Annahme, daß es nach heutigem wissenschaftlichen Kenntnisstand unmöglich sei, den DES-Schlüssel mit herkömmlichen Mitteln zu dechiffrieren, da der DES-Algorithmus 56 Bits, es also über 70 Billiarden ... Schlüssel in Betracht kommen. Die von den Gerichten eingeschalteten Sachverständigen haben zwar stets betont, daß es theoretisch denkbar sei, einen entsprechenden Computer zu bauen, mit dem der DES- bzw. Pool-Schlüssel errechnet werden könne, sind aber bisher übereinstimmend zu der Schlußfolgerung gelangt, daß eine derartige "Höllenmaschine" (AG Hannover, Urteil vom 9.5.1997, CR 1997, 742 f.) derzeit nicht existiere. Der Sachverständige Weber ....hat hierzu ... 1990 ... zwei konkrete Ansätze zum Bau eines derartigen Computers ...: Entweder werde für 40 Millionen US $ ein Spezialcomputer gebaut, der innerhalb eines Tages den DES-Schlüssel errechnen könne, oder es werde ein Computer für 4 Millionen US $ gebaut, der dann aber eine Rechenzeit von 2,3 Jahren habe. Auch der Sachverständige Prof. Heuser vom ... (BSI) hat in seinem Gutachten für das OLG Hamm ausgeführt, daß ein Computer für mehrere hunderttausend DM zu bauen sei, der innerhalb von 3 bis 4 Monaten den geheimen Schlüssel finden könne. Der Sachverständige Dr. S. hat bei seiner Anhörung im Beweisaufnahmetermin am 31.7.1998 ausgesagt, daß es durchaus vorstellbar sei, daß jemand auf den Tatzeitpunkt bezogen für ca. 300.000.-- DM einen derartigen Spezialrechner hätte bauen können, der dann innerhalb von ca. 3 Monaten den Pool-Schlüssel hätte errechnen können. Er gehe aber davon aus, daß eine derartige Maschine bisher nicht gebaut worden sei, da die Anfangsinvestition zu hoch seien. In einem FAQ (Frequent Answers & Questions) der Uni Trier (http://www.informatik.uni-trier.de/~damm/Lehre/E-Money/ecCardsSecurityFAQ.html) wird unter Hinweis auf einen Aufsatz von Martin Blaze (Minimal Key Lengths for Symmetric Chipers to Provide Adequate Commercial Security, ftp://ftp.research.att.com/dist/mab/keylength.txt) dargelegt, daß unter Verwendung spezieller programmierbarer Chips (FPGA-Chips), die pro Sekunde 30 Millionen Schlüssel testen könnten und die 1997 lediglich noch 200 US $ gekostet hätten, bereits mit einer Investition von lediglich 20.000 US $ einer von drei Pool-Schlüsseln binnen 69 Tagen gefunden werden könne. Der Sachverständige M.-M. hat in seiner Anhörung am 31.7.1998 darüber hinaus dargelegt, daß es zum Dechiffrieren des DES-Schlüssels noch nicht einmal unbedingt notwendig sei, selbst einen derartigen Spezialcomputer zu bauen, da es beispielsweise in den USA durchaus auch möglich sei, Rechnerkapazitäten auf entsprechenden Hochleistungscomputern anzumieten. Sämtliche bisherige Urteile und Stellungnahmen der Sachverständigen basieren allein auf der Annahme, daß der Bau eines derartigen Computers zwar technisch möglich, aber unwahrscheinlich und nicht nachgewiesen sei. Diese Annahme ist mittlerweile jedoch widerlegt. Bereits 1997 gelang es im Rahmen eines von der Firma RSA in den USA ausgeschriebenen Wettbewerbs, den DES-Schlüssel mittels handelsüblicher Personalcomputer und Workstations innerhalb von weniger als fünf Monaten zu entschlüsseln. Hierzu wurden mehrere 10.000 Computer per Internet miteinander verbunden. Dieses Experiment wurde im Frühjahr 1998 mit dem Resultat wiederholt, daß der DES-Schlüssel auf die gleiche Weise bereits innerhalb von 39 Tagen entschlüsselt war. Zu Recht verweist aber der Sachverständige Dr. Schindler in seinem Interview in der NJW-CoR (1998, 223) darauf, daß hierfür mehrere 10.000 Mitstreiter benötigt worden seien, während zur Vorbereitung von Straftaten die Erregung derart öffentlicher Aufmerksamkeit wohl eher unerwünscht sei. Im Juli 1998 ist es aber der ... (EFF) in den USA gelungen, den 56 bit DES-Schlüssel innerhalb von lediglich 56 Stunden zu knacken (DER SPIEGEL, vom 27.7.1998, S. 162). Die EFF hat hierzu nach eigenen Angaben für weniger als 250.000,-- US $ einen Spezialcomputer gebaut und damit in weniger als drei Tagen den vermeintlich sicheren DES-Schlüssel dechiffriert. Die EFF hat hierzu ausgeführt, daß damit bewiesen sei, daß der DES-Schlüssel nicht sicher sei und daß der erforderliche Rechner weder schwierig zu entwerfen noch zu bauen sei. Sie bietet sogar eine Bauanleitung für einen derartigen Computer an, der über das Internet bestellt werden kann (http://www.eff.org/descracker.html). Es besteht also - wie bislang angenommen - nicht mehr nur die theoretisch denkbare Möglichkeit zum Errechnen des DES-Schlüssels mittels eines Spezialcomputers, eine derartige "Höllenmaschine" existiert vielmehr und kann von jedem mittels der Bauanleitung der EFF auch nachgebaut werden. Sämtliche Vermutungen der Sachverständigen, die gegen die Annahme der Existenz eines derartigen Rechners sprechen, sind damit spätestens seit dem Erfolg der EFF hinfällig geworden. Gerade die Demonstration der EFF zeigt nach Angesichts des Gerichts aber auch, daß die Annahme der Sachverständigen, Kriminelle hätten einen derartigen Computer noch nicht gebaut, da sie zunächst hohe Investitionskosten hätten vorstrecken müssen, nicht stichhaltig ist. Die EFF, ein dem deutschen Chaos Computer Club vergleichbarer Verein, hat aus rein sportlichen Erwägungen die Mittel zum Bau eines derartigen Computers aufgebracht, das von der RSA im Rahmen des von ihr initiierten Wettbewerbs (RSA DES Challenge II) ausgelobte Preisgeld in Höhe von 10.000,-- US $ deckte nur einen kleinen Teil der Kosten. Im Hinblick auf die erzielbaren "Gewinne" - die Gesamtschadenssumme aller vom Bundeskriminalamt (BKA) registrierten ec-Mißbrauchsfälle betrug 1997 immerhin insgesamt 41.537.548,-- DM erscheint dem Gericht eine Investition von 300.000,-- DM laut Sachverständigen Dr. S., bzw. 20.000,-- US $ gemäß dem Aufsatz von Martin Blaze (Minimal Key Lengths for Symmetric Chipers to Provide Adequate Commercial Security, ftp://ftp.research.att.com/dist/mab/keylength.txt) durchaus vertretbar und nicht abwegig. Gerade in der Organisierten Kriminalität werden beispielsweise im Drogengeschäft erheblich größere Anfangsinvestitionen eingesetzt, um später entsprechende Gewinne abzuschöpfen. Die Vermutungen der Sachverständigen, die gegen die Annahme der Existenz eines derartigen Rechners sprachen, sind damit spätestens seit dem Erfolg der "EFF" als hinfällig zu betrachten. [...] Da diese Vermutungen aber die zentrale Grundlage für die Annahme eines Anscheinsbeweis zugunsten der Banken bildete, da davon ausgegangen wurde, daß die PIN aufgrund des Sicherheitssystems der Banken nicht von Dritten ermittelbar sei, kann dieser Anscheinsbeweis nicht weiter gelten. Unabhängig davon geht das Gericht aber auch davon aus, daß bereits vor der öffentlichen Demonstration der "Electronic Frontiert Foundation" zur Dechiffrierung des DES-Codes ein sogenannter Pool-Schlüssel entschlüsselt worden ist. [...] Zu einem derartigen Sicherheitsmodul innerhalb eines Geldausgabeautomaten wird in einem Aufsatz der Computerwoche Nr. 44 vom 31.10.1980 ausgeführt, daß dieses eine Hardware-Implementation des DES-Schlüssels sei. Es besitze die vom National Bureau of Standards vergebene Prüflizens über eine funktionsgetreue Nachbildung dieses in den USA genormten Verschlüsselungsverfahrens. Das Verschlüsselungsmodul stehe über eine Software-Schnittstelle dem System und auch dem Anwender zur Verfügung. System und Anwender können mit Hilfe eines Dienstprogramms folgende Funktionen durchführen: Verschlüsselung von Datenblöcken nach verschiedenen DES-Modi (ECB, CBC, CFB), Erzeugen und Laden von DES-Schlüsseln sowie Bilden einer Prüfsumme über Programme und Bibliotheken. Aufgrund dieser Gegegebenheiten ist es aber für einen unbefugten Dritten, der sich einen Geldausgabeautomaten beschafft hat, mit erheblich geringerem Aufwand möglich, an den DES-codierten Pool-Schlüssel zu gelangen, da hierfür nicht mehr das systematische Durchprobieren aller 72.057.594.037.927.936 denkbaren Schlüssel erforderlich ist, er vielmehr lediglich den im Sicherheitsmodul bereits gespeicherten Pool-Schlüssel kopieren muß. Dies läßt sich nach Angaben des Sachverständigen M.-M. trotz der bestehenden Sicherheitseinrichtungen innerhalb eines Geldausgabeautomaten innerhalb von ca. einer Woche ohne weiteres realisieren. Die technischen Möglichkeiten eines derartiges Mißbrauchs wurden bereits 1980 beschrieben (Norbert Ryska, Möglichkeiten der Datenverschlüsselung bei Geldausgabeautomaten, Computerwoche 44 vom 31.10.1980): Es gibt die Möglichkeit der passiven Infiltration durch elektromagnetische Aufzeichnung, durch Anzapfen von Leitungen und den Einsatz von Wanzen, oder die aktive Infiltration in Form der Beschaffung unberechtigter Informationen durch berechtigten Systemzugriff (browsing), die Simulation eines berechtigten Systemzugriffs durch illegale Beschaffung der benötigten Identifikationsdaten (masquerading), Ausnutzen von Hardware- oder Software-Schwachstellen (trap doors) über in die Leitung geschaltete Terminals bei inaktivem Benutzerterminal (between-lines-entry) oder das Aufzeichnen des Benutzerdialogs mit der CPU und Einschleusen falscher Rückantworten an den Benutzer (piggy back). Im Hinblick auf die berechtigte Kritik an der Vorgehensweise des Sachverständigen P, der es abgelehnt hatte, seine gutachterlichen Äußerungen eine Demonstration am Objekt zu untermauern, hatte das Gericht im Beweisaufnahmetermin am 31.7.1998 angeregt, daß die Beklagte dem Sachverständigen M.-M. einen Geldausgabeautomaten zur Verfügung stellt, damit dieser praktisch demonstrieren kann, daß ein Pool-Schlüssel ohne größeren Aufwand in einem vertretbaren zeitlichen Rahmen entschlüsselt werden kann. Diese Demonstration scheiterte aber daran, daß die Beklagte erklärte, sämtliche ihrer Geldausgabeautomaten seien mittlerweile auf das neue PIN-Verfahren umgestellt, so daß sie über keinen Geldausgabeautomaten mit integriertem Pool-Schlüssel mehr verfüge. Sie habe auch kein Sicherheitsmodul eines alten Geldautomaten mehr vorrätig, auch sehe sie sich nicht mehr in der Lage über den Hersteller ihrer Geldausgabeautomaten an ein derartiges Modul heranzukommen. Nicht nur im Hinblick auf dieses anhängige Verfahren, sondern auch im Hinblick darauf, daß - wie bereits dargelegt - die Gerichte sich in einer Vielzahl von Fällen mit dem Mißbrauch von ec-Karten nach dem alten PIN-Verfahren auseinanderzusetzen haben, wobei die Anzahl der Verfahren nach Auskunft der Beklagten zumindest seit der Veröffentlichung der Entscheidung des OLG Hamm vom 17.3.1997 deutlich gestiegen ist, ist ein derartiges Verhalten nicht nachvollziehbar. Der Beklagten ist bekannt, daß es eine Vielzahl von Fällen gibt, in denen Kunden sich über eine mißbräuchliche Nutzung ihrer ec-Karte beschweren und behaupten, die PIN sorgfältig verfahrt zu haben. Der Beklagte ist ferner bekannt, daß es in den gerichtlichen Verfahren häufig zur Einschaltung von Sachverständigen kommt, die dann - wie der Sachverständige Dr. S. im hiesigen Verfahren - zur Erstattung ihrer Gutachten wissen möchten, wie die PIN und die Offsets der streitgegenständlichen ec-Karte lauteten. Nach der Vernichtung der Sicherheitsmodule mit den Pool-Schlüsseln kann die Beklagte über den institutseigenen DES-Schlüssel zwar noch die PIN, jedoch nicht mehr die Offsets rekonstruieren. Die Beklagte hat es daher durch die Vernichtung der Sicherheitsmodule mit den Pool-Schlüsseln unmöglich gemacht, die Aufklärung eines bereits eingetretenen Schadensereignisses zu ermöglichen, obwohl ihr die spätere Notwendigkeit einer Beweisführung bereits erkennbar sein mußte, so daß sie sich selbst die Möglichkeit des Entlastungsbeweises vereitelt hat. Wie bereits dargelegt, ist grundsätzlich die kartenausgebende Bank dafür beweispflichtig, daß der berechtigte Karteninhaber schuldhaft zum Mißbrauch der ec-Karte beigetragen hat, etwa indem er mit der PIN nicht sorgfältig umgegangen ist. Das Gericht folgt daher - da der Gegenbeweis nicht mehr geführt werden kann - den Ausführungen des Sachverständigen M.-M., wonach derjenige, der im Besitz eines Geldausgabeautomaten ist, einen Pool-Schlüssel ohne größeren Aufwand in einem vertretbaren zeitlichem Rahmen entschlüsseln kann. Voraussetzung hierfür ist aber, daß ein unbefugter Dritter in den Besitz eines Geldautom. gelangt wäre. Nach Angaben des Sachverständigen M.-M. sind mittlerweile europaweit bereits mehrere hundert Geldausgabeautomaten gestohlen worden, was sicherlich auch damit zu erklären ist, daß ein frisch gefüllter Geldausgabeautomat Bargeld im Wert von über 1/4 Million DM enthält. Das Gericht teilt insoweit aber auch die Einschätzung des Sachverständigen M.-M., daß sicherlich der eine oder andere Täter nicht nur am Bargeld, sondern auch daran interessiert war, über das Sicherheitsmodul an einen der Pool-Schlüssel zu gelangen. Gegenüber dem aufwendigen Errechnen des institutseigenen DES-Schlüssels hat die Kenntnis eines Pool-Schlüssels den Vorteil, daß damit die PIN's der ec-Karten sämtlicher Banken bestimmt werden kann, während die Kenntnis des institutseigenen DES-Schlüssels nur die Bestimmung der PIN für ec-Karten des jeweils betreffenden Instituts ermöglicht. [...] Die Schadenssumme habe 1997 bei 41.537.548,-- DM gelegen und stelle eine Zunahme von 26 % gegenüber dem Vorjahr dar. [...] Zum anderen leuchtet dem Gericht die Argumentation des Sachverständigen M.-M. ein, der dargelegt hat, daß es für die Täter kontraindiziert wäre, durch einen massiven Einsatz der Kenntnis eines Pool-Schlüssels auf sich aufmerksam zu machen. Wenn es zu einem signifikanten Anstieg der ec-Karten-Mißbrauchsfälle gekommen wäre, hätten die Banken sofort den betreffenden Pool-Schlüssel gesperrt, die Kenntnis der Täter wäre damit auf einen Schlag hinfällig geworden. Der Sachverständige M.-M. hat dies insoweit treffend mit dem Satz formuliert: "Man schlachtet nicht die Kuh, die man melken möchte". [...] Aufgrund des beiderseitigen Parteienvortrages und der durchgeführten Beweisaufnhame steht zur Überzeugung des Gerichts fest, daß im vorliegenden Fall mit der gestohlenen ec-Karte der Klägerin an Geldausgabeautomaten und an einem POS-Terminal erfolgreich Transaktionen durchgeführt werden konnten, obwohl die Klägerin ihre PIN sicher verwahrt hatte und Dritte keine Möglichkeit gehabt hatten, die PIN in irgendeiner Form zu erspähen. [...]

[Datenschleuder] [64]    EC-Karten Urteil des Amtsgerichts FFM v. 01.09.1998 (gekürzt)