Abmahnung oder Kündigung, das ist hier die Frage
Nach einer Entscheidung des Bundesarbeitsgerichts -2 AZR 751/08- kann ein Arbeitnehmer […]
In einer digitalisierten Welt, in der sich Bankgeschäfte immer mehr online verlagern, ist die Sicherheit der gewählten Authentifizierungsverfahren von größter Bedeutung. Das Landgericht Heilbronn, so berichtete u.a. auch Golem, äußerte kürzlich Bedenken bezüglich des Push-TAN-Verfahrens und seiner Sicherheit. Ein Urteil, das weitreichende Folgen für Banken und deren Kunden haben könnte.
Experten kritisieren Push-TAN-Verfahren
Bereits in der Vergangenheit wurde das Push-TAN-Verfahren von Sicherheitsexperten in Frage gestellt. Der Hauptgrund für die Kritik liegt in der Tatsache, dass dieses Verfahren die Nutzung einer Zwei-Faktor-Authentifizierung auf einem einzigen Gerät ermöglicht, anstatt zwei getrennte Geräte für die Authentifizierung zu verwenden. Dies könnte die Angriffsfläche für potenzielle Betrüger erhöhen.
Fallstudie: Telefonbetrug führt zu betrügerischen Überweisungen
Ein jüngster Vorfall, bei dem ein Kunde auf einen Telefonbetrüger hereingefallen ist, unterstreicht die potenziellen Schwächen dieses Verfahrens. Der Betrüger gab vor, Mitarbeiter der IT-Abteilung der Bank des Kunden zu sein und überzeugte den Kunden, drei TAN-Nummern zu generieren und mitzuteilen, um angeblich zwei hohe betrügerische Überweisungen rückgängig zu machen. Der Kunde folgte den Anweisungen und bestätigte so die Überweisungen an die Betrüger.
Das Landgericht Heilbronn (Bm 6 O 10/23) fällte in diesem Fall ein Urteil gegen den Kunden, da es der Meinung war, dass er sich „grob fahrlässig“ verhalten hatte. Die Begründung hierfür war, dass Onlinebanking ausschließlich online erfolgen sollte und nicht über andere Kommunikationskanäle wie das Telefon.
Keine „sehr hohe Sicherheit“ beim Push-TAN-Verfahren
Interessant ist jedoch, dass das Gericht auch feststellte, dass das Push-TAN-Verfahren „ein erhöhtes Gefährdungspotential aufweist“. Der Hauptgrund für diese Einschätzung ist die Tatsache, dass sowohl die Banking-App als auch die TAN-Generierungs-App auf demselben Gerät installiert sind. Dies widerspricht dem Prinzip der Zwei-Faktor-Authentifizierung, bei dem zwei voneinander unabhängige Kommunikationswege oder Geräte verwendet werden sollten.
Die Begründung des Landgerichts Heilbronn zu den streitgegenständlichen Überweisungen und dem Push-TAN-Verfahren basiert auf einer gründlichen juristischen Analyse und Interpretation relevanter Bestimmungen des Bürgerlichen Gesetzbuchs (BGB) sowie auf vorhergehenden Urteilen und Kommentaren zum Bankrecht.
Die Grundlagen des Anspruchs
Das Gericht beginnt seine Ausführungen damit, dass der Anspruch des Klägers gemäß § 675u S.2 BGB zustande gekommen ist. Der BGB-Artikel regelt den Erstattungsanspruch für nicht autorisierte Zahlungsvorgänge. Hierbei unterstreicht das Gericht, dass „Erstattung“ sowohl eine Auszahlung als auch eine Stornobuchung beinhalten kann.
Nicht autorisierte Überweisungen
In Randnummer 24 wird klargestellt, dass die streitgegenständlichen Überweisungen von den Konten des Klägers ohne dessen Autorisierung vorgenommen wurden. Eine Autorisierung im Sinne des § 675j BGB setzt die wirksame Zustimmung des Zahlers zum Zahlungsvorgang voraus. Das Gericht zieht hierzu verschiedene Kommentare zum BGB heran, um diese Definition zu untermauern.
Zurückweisung der Rechtscheinsvollmacht
Ein zentraler Punkt in Randnummer 25 ist die Ablehnung der Ansicht, dass ein Nutzer, der seine Daten unbewusst an einen Angreifer weitergibt, implizit den durch den Angreifer durchgeführten Zahlungsvorgängen zugestimmt hat. Das Gericht argumentiert, dass die Grundsätze der Rechtscheinsvollmacht nicht auf die Zustimmung gemäß § 675j BGB anwendbar sind. Hierbei bezieht sich das Gericht auf Urteile des Bundesgerichtshofs und verschiedene Kommentare.
Bestätigung des Klägers
In Randnummer 26 wird deutlich gemacht, dass der Kläger betont hat, keine der streitgegenständlichen Überweisungen veranlasst zu haben. Dies wurde von der beklagten Partei anerkannt, was bedeutet, dass es letztlich keine Fragen zur Beweislast bezüglich der Autorisierung der Überweisungen gibt.
Bedenken zum Push-TAN-Verfahren
Das Gericht äußert in Randnummer 27 erhebliche Bedenken zum Push-TAN-Verfahren. Es argumentiert, dass dieses Verfahren nicht die gleiche Sicherheit bietet wie das klassische PIN/TAN-Verfahren, da bei Push-TAN die Trennung der Kommunikationswege – ein zentrales Sicherheitsmerkmal – aufgegeben wird. Statt getrennter Kommunikationswege werden hier beide Funktionen auf einem einzigen Gerät ausgeführt, was das Gefährdungspotential erhöht.
Schlussfolgerung
Das Urteil des Landgerichts Heilbronn könnte für Banken und deren Kunden weitreichende Konsequenzen haben. Auch wenn die Bank in diesem speziellen Fall nicht zur Verantwortung gezogen wurde, legt das Urteil den Fokus auf die möglichen Sicherheitslücken des Push-TAN-Verfahrens. Kunden sollten stets vorsichtig sein und keine sensiblen Daten über unsichere Kommunikationskanäle teilen. Banken hingegen sollten über die Einführung robusterer Authentifizierungsverfahren nachdenken, die die Sicherheit ihrer Kunden gewährleisten.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORNach einer Entscheidung des Bundesarbeitsgerichts -2 AZR 751/08- kann ein Arbeitnehmer […]
Die Rechtsanwaltssozietät We Save Your Copyrights Rechtsanwaltsgesellschaft mbH mahnt aktuell im Auftrag […]
Immer wieder erreichen uns Abmahnungen aus dem Bereich Filesharing wegen der […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Schützen Sie Ihren guten Namen und Ihre Online-Reputation und lassen Sie negative Einträge bei Google + Co. löschen.
Wenn Sie als Künstler in der Öffentlichkeit stehen können Sie Ihren Künstlernamen eintragen lassen und Ihre Privatsphäre schützen
Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.