Onlinebanking: Gericht hält Push-TAN-Verfahren für unsicher

Guido Kluck, LL.M. | 26. Oktober 2023

In einer digitalisierten Welt, in der sich Bankgeschäfte immer mehr online verlagern, ist die Sicherheit der gewählten Authentifizierungsverfahren von größter Bedeutung. Das Landgericht Heilbronn, so berichtete u.a. auch Golem, äußerte kürzlich Bedenken bezüglich des Push-TAN-Verfahrens und seiner Sicherheit. Ein Urteil, das weitreichende Folgen für Banken und deren Kunden haben könnte.

Experten kritisieren Push-TAN-Verfahren

Bereits in der Vergangenheit wurde das Push-TAN-Verfahren von Sicherheitsexperten in Frage gestellt. Der Hauptgrund für die Kritik liegt in der Tatsache, dass dieses Verfahren die Nutzung einer Zwei-Faktor-Authentifizierung auf einem einzigen Gerät ermöglicht, anstatt zwei getrennte Geräte für die Authentifizierung zu verwenden. Dies könnte die Angriffsfläche für potenzielle Betrüger erhöhen.

Fallstudie: Telefonbetrug führt zu betrügerischen Überweisungen

Ein jüngster Vorfall, bei dem ein Kunde auf einen Telefonbetrüger hereingefallen ist, unterstreicht die potenziellen Schwächen dieses Verfahrens. Der Betrüger gab vor, Mitarbeiter der IT-Abteilung der Bank des Kunden zu sein und überzeugte den Kunden, drei TAN-Nummern zu generieren und mitzuteilen, um angeblich zwei hohe betrügerische Überweisungen rückgängig zu machen. Der Kunde folgte den Anweisungen und bestätigte so die Überweisungen an die Betrüger.

Das Landgericht Heilbronn (Bm 6 O 10/23) fällte in diesem Fall ein Urteil gegen den Kunden, da es der Meinung war, dass er sich „grob fahrlässig“ verhalten hatte. Die Begründung hierfür war, dass Onlinebanking ausschließlich online erfolgen sollte und nicht über andere Kommunikationskanäle wie das Telefon.

Keine „sehr hohe Sicherheit“ beim Push-TAN-Verfahren

Interessant ist jedoch, dass das Gericht auch feststellte, dass das Push-TAN-Verfahren „ein erhöhtes Gefährdungspotential aufweist“. Der Hauptgrund für diese Einschätzung ist die Tatsache, dass sowohl die Banking-App als auch die TAN-Generierungs-App auf demselben Gerät installiert sind. Dies widerspricht dem Prinzip der Zwei-Faktor-Authentifizierung, bei dem zwei voneinander unabhängige Kommunikationswege oder Geräte verwendet werden sollten.

Die Begründung des Landgerichts Heilbronn zu den streitgegenständlichen Überweisungen und dem Push-TAN-Verfahren basiert auf einer gründlichen juristischen Analyse und Interpretation relevanter Bestimmungen des Bürgerlichen Gesetzbuchs (BGB) sowie auf vorhergehenden Urteilen und Kommentaren zum Bankrecht.

Die Grundlagen des Anspruchs

Das Gericht beginnt seine Ausführungen damit, dass der Anspruch des Klägers gemäß § 675u S.2 BGB zustande gekommen ist. Der BGB-Artikel regelt den Erstattungsanspruch für nicht autorisierte Zahlungsvorgänge. Hierbei unterstreicht das Gericht, dass „Erstattung“ sowohl eine Auszahlung als auch eine Stornobuchung beinhalten kann.

Nicht autorisierte Überweisungen

In Randnummer 24 wird klargestellt, dass die streitgegenständlichen Überweisungen von den Konten des Klägers ohne dessen Autorisierung vorgenommen wurden. Eine Autorisierung im Sinne des § 675j BGB setzt die wirksame Zustimmung des Zahlers zum Zahlungsvorgang voraus. Das Gericht zieht hierzu verschiedene Kommentare zum BGB heran, um diese Definition zu untermauern.

Zurückweisung der Rechtscheinsvollmacht

Ein zentraler Punkt in Randnummer 25 ist die Ablehnung der Ansicht, dass ein Nutzer, der seine Daten unbewusst an einen Angreifer weitergibt, implizit den durch den Angreifer durchgeführten Zahlungsvorgängen zugestimmt hat. Das Gericht argumentiert, dass die Grundsätze der Rechtscheinsvollmacht nicht auf die Zustimmung gemäß § 675j BGB anwendbar sind. Hierbei bezieht sich das Gericht auf Urteile des Bundesgerichtshofs und verschiedene Kommentare.

Bestätigung des Klägers

In Randnummer 26 wird deutlich gemacht, dass der Kläger betont hat, keine der streitgegenständlichen Überweisungen veranlasst zu haben. Dies wurde von der beklagten Partei anerkannt, was bedeutet, dass es letztlich keine Fragen zur Beweislast bezüglich der Autorisierung der Überweisungen gibt.

Bedenken zum Push-TAN-Verfahren

Das Gericht äußert in Randnummer 27 erhebliche Bedenken zum Push-TAN-Verfahren. Es argumentiert, dass dieses Verfahren nicht die gleiche Sicherheit bietet wie das klassische PIN/TAN-Verfahren, da bei Push-TAN die Trennung der Kommunikationswege – ein zentrales Sicherheitsmerkmal – aufgegeben wird. Statt getrennter Kommunikationswege werden hier beide Funktionen auf einem einzigen Gerät ausgeführt, was das Gefährdungspotential erhöht.

Schlussfolgerung

Das Urteil des Landgerichts Heilbronn könnte für Banken und deren Kunden weitreichende Konsequenzen haben. Auch wenn die Bank in diesem speziellen Fall nicht zur Verantwortung gezogen wurde, legt das Urteil den Fokus auf die möglichen Sicherheitslücken des Push-TAN-Verfahrens. Kunden sollten stets vorsichtig sein und keine sensiblen Daten über unsichere Kommunikationskanäle teilen. Banken hingegen sollten über die Einführung robusterer Authentifizierungsverfahren nachdenken, die die Sicherheit ihrer Kunden gewährleisten.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenanmeldung EU
899,00 €

Markenanmeldung EU

Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.