Der OGH hat in einem E-Mail-Spoofing-Fall entschieden, dass das Vertrauen in unsignierte E-Mails nicht geschützt ist und es Verwendern gewöhnlicher E-Mails nicht zumutbar ist, ihre IT-Systeme durch stets aktuelle Schutzprogramme abzusichern, nur um sicherzustellen, dass kein Hacker unter missbräuchlicher Verwendung von deren Identität E-Mails versendet (OGH 14.1.2025, 8 Ob 121/24p).
Sachverhalt
Ein österreichisches Unternehmen wollte eine Zahlung an einen französischen Lieferanten leisten. Der dafür benötigte IBAN wurde per E-Mail bekanntgeben. Die Kommunikation erfolgte über unsignierte E-Mails und fand tatsächlich mit jemandem statt, der vortäuschte, ein Mitarbeiter des französischen Vertragspartners zu sein (E-Mail-Spoofing). Trotz mehrerer fehlgeschlagener Überweisungsversuche und eines vergeblichen Anrufs beim französischen Lieferanten wurde der Betrag letztlich auf das Konto des Betrügers überwiesen. Wer Opfer des Hackerangriffs war – also welches IT-System kompromittiert wurde – konnte nicht festgestellt werden.
Die Entscheidung des OGH
Der OGH hat das Risiko dem österreichischen Unternehmen zugewiesen, weil es auf Basis einer nicht digital signierten E-Mail überwiesen hat. Bei E-Mails besteht nach dem OGH die Möglichkeit zur Verwendung einer qualifizierten elektronischen Signatur. Fehlt eine solche Signatur, kann man gerade nicht darauf vertrauen, dass die E-Mail tatsächlich von jenem stammt, unter dessen Namen sie abgesendet wurde. Es würde – so der OGH – die allgemeinen Anforderungen überspannen, verlangte man von Verwendern gewöhnlicher E-Mails, ihre IT-Systeme stets mit aktuellen Schutzprogrammen abzusichern, nur um sicherzustellen, dass kein Hacker unter missbräuchlicher Verwendung von deren Identität, somit in deren Namen, E-Mails versendet.
Hinweis für die Praxis
Die Entscheidung des OGH wirft die Frage auf, inwieweit rechtssichere E-Mail-Kommunikation derzeit praxistauglich realisierbar ist. Zum Zeitpunkt der Entscheidung werden in Österreich keine Lösungen, E-Mails selbst (dh den Nachrichtentext) mit einer qualifizierten digitalen Signatur zu versehen, angeboten. Es besteht lediglich die Möglichkeit, signierte Dokumente wie zB PDF-Dateien mit qualifizierter elektronischer Signatur als Anhang zu versenden. Allerdings existieren Lösungen, mit denen zumindest einfache oder fortgeschrittene digitale Signaturen gemäß eIDAS-Verordnung im E-Mails eingebunden werden können. Diese bieten ein gewisses Maß an Sicherheit, eine rechtliche Bewertung durch den OGH fehlt jedoch bislang. Bemerkenswert ist noch, dass nach dem OGH die Absicherung der für die E-Mail-Kommunikation genutzten IT-Systeme mit Schutzprogrammen nicht zumutbar ist.