[ziesell]

Zitat:

Onlinebanking: Gericht hält Push-TAN-Verfahren für unsicher

Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an.



Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.

Im konkreten Fall war ein Kunde auf einen Telefonbetrüger hereingefallen, der sich als Mitarbeiter der IT-Abteilung von dessen Bank ausgegeben hatte. Der Betrüger behauptete, dass auf dem Konto des Kunden das Überweisungslimit erhöht und zwei hohe Zahlungen vorgenommen worden seien. Daher benötigte er drei TAN-Nummern, um diese Vorgänge wieder rückgängig zu machen. Der Kunde generierte die drei TAN-Nummern anschließend auf der SecureGo-App der Bank und bestätigte zwei betrügerische Überweisungen.

In seinem Urteil vom 16. Mai 2023, dessen schriftliche Begründung vor kurzem veröffentlicht wurde, wies das Landgericht Heilbronn die Klage des Kunden gegen die Bank zurück. Dieser habe sich "grob fahrlässig" verhalten, weil er die TAN-Nummern telefonisch weitergegeben habe. Es leuchte "jedem ein, dass Onlinebanking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet", schreibt das Gericht zur Begründung.

Keine "sehr hohe Sicherheit"

Allerdings stellt es auch fest: "Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt."

Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen im Sinne von Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von Paragraf 675w Bürgerliches Gesetzbuch (BGB) erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

Experten kritisierten Push-TAN-Verfahren

Der Anscheinsbeweis spielt eine wichtige Rolle bei Streitfragen im Onlinebanking. Einem Urteil des Bundesgerichtshofs (BGH) vom Januar 2016 zufolge ist die Voraussetzung für die Anwendung eines solches Beweises, "dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen".

Sicherheitsexperten haben jedoch vor einigen Jahren das Push-TAN-Verfahren als unsicher bezeichnet. So erläuterte der Erlanger Student Vincent Haupert auf dem 32C3 im Dezember 2015, wie er zum wiederholten Male das Push-TAN-System der Sparkasse hackte.

Allerdings ist aus dem Prozess vor dem Landgericht Heilbronn nicht hervorgegangen, wie die Betrüger an die Zugangsdaten des Kunden gelangten, wozu unter anderem eine sechsstellige Pin gehört. "Direkt nach dem vorgenannten Vorfall habe er sein Smartphone nach entsprechender Schadsoftware untersuchen lassen, Schadsoftware sei dort allerdings nicht zu erkennen gewesen", schreibt das Gericht. Der Kunde behauptete demnach, die Betrüger hätten die Kenntnis der Zugangsdaten "lediglich aufgrund eines Datenlecks bei der Beklagten erlangen können".

Dass Gerichte in solchen Fällen auch anders urteilen können, zeigt ein aktueller Fall des Amtsgerichts Gifhorn.

Sparkasse kann fahrlässige Nutzung nicht nachweisen

Nach Angaben der Rechtsanwältin Angelika Jackwerth rief bei einem Ehepaar aus Gifhorn ebenfalls ein Telefonbetrüger an. Doch das Ehepaar behauptete, gleich misstrauisch geworden zu sein und das Gespräch abgebrochen zu haben.

"Kurz danach leuchtete die S-Push-Tan, die im Onlinebanking zur Authentifizierung von Überweisungen genutzt wird, auf dem Smartphone der Betroffenen auf. Dabei wurde ein Betrag in Höhe von 4.491,25 Euro angezeigt. Das Paar schloss die App sofort und verneinte eine Freischaltung für eine Überweisung des angezeigten Betrags", schreibt die Anwältin. Dennoch sei Geld abgebucht worden.

Das Gericht gab der Klage des Ehepaars gegen die Bank statt. Die Sparkasse könne sich nicht auf den sogenannten Anscheinsbeweis berufen, da der Empfänger den Betroffenen gänzlich unbekannt gewesen sei, heißt es. Auch habe die Sparkasse nicht beweisen können, dass das Ehepaar die Pin oder TAN fahrlässig weitergegeben habe, so dass diese kein Verschulden treffe. Das Urteil vom 9. Oktober 2023 (Az. 33 C 575/22) ist jedoch noch nicht rechtskräftig.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]