Erhöhtes Gefährdungspotential: PushTAN- und Banking-App auf einem Smartphone
von caschy | 76 Kommentare
Interessante Diskussion vor dem Landgericht Heilbronn. Die Richter haben entschieden, dass die Banking-App und die pushTAN-App auf einem Handy bezüglich der Sicherheitsaspekte unzureichend sind. Hintergrund: Ein Bankkunde wurde über das Telefon mithilfe von Social Engineering dazu gebracht, persönliche Dateien preiszugeben:
Der Anrufer stellte sich als Mitarbeiter der IT-Abteilung der Beklagten vor, der Anruf erfolgte von einer Festnetznummer aus dem Bereich Heilbronn. Der vermeintliche Mitarbeiter der Bank teilte dem Kläger nach dessen Angaben telefonisch mit, ein Dritter habe unbefugter Weise versucht, den Kreditrahmen des Klägers auf 10.000 € zu erhöhen und zwei Zahlungen seien durch Dritte getätigt worden. Der Anrufer habe dabei vorgegeben, es würde eine TAN für die Rückführung des Kreditrahmens und jeweils eine für das Rückgängigmachen der Zahlungen benötigt werden. Der Kläger nahm an, mit einem Angestellten der Beklagten zu telefonieren und gab daher telefonisch die angeforderten TAN an den Anrufer weiter.
Danach fehlte jede Menge Geld auf dem Konto des Angerufenen, er erstattete Anzeige und bat die Bank um Übernahme des Schadens. Die Bank lehnte ab, der Kunde habe die erforderlichen Sorgfaltspflichten nicht eingehalten. Beide Apps würden laut Auslegung des Gerichts auf einem Smartphone ein erhöhtes Gefährdungspotential aufweisen, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt. Daher liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen vor. Das genutzte Verfahren sei daher nicht besser als das traditionelle TAN-Verfahren.
| Vorschau | Produkt | Preis | |
|---|---|---|---|
|
Apple Watch Series 9 (GPS, 45 mm) Smartwatch mit Aluminiumgehäuse und Sport... |
429,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 (128 GB) - Schwarz |
792,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 Pro (128 GB) - Titan Natur |
1.019,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
na besten Dank auch. Schon heute ist das Thema Banking ein Horror. Früher hab ich handies wie Socken gewechelt ohne Aufewand und nun laufe ich lieber mit gebrochenem Screen rum wie son Boomer als mir den ganzen Authentifizierungs K*** neu zu geben. Auch mehr als ein Telefon haben ist… kniffelig bis unmöglich bei manchen diensten. das einzige was einigermassen komnfortabel ging war so pushtan Zeug.
wisst ihr was auch unsicher ist: Bargeld und das „Codewort um es zu nutzen“ im selben Beutel zu tragen
Krass, wie der Kommentarbereich sofort mit Propaganda geflutet wird, um ein erwiesenermaßen UNSICHERES VERFAHREN zu verteidigen.
Banking-App und TAN-App auf demselben Gerät IST UND BLEIBT UNSICHER, wie nicht nur das Gericht sondern auch die technischen Untersuchungen des Chaos Computer Clubs bestätigen.
Die einzig SICHERE VERFAHREN ist ein offline Chip-TAN-Generator mit Girocard.
Krass, wie das (und das Urteil) so gar nichts mit nichts zu tun haben: Wenn jemand bei einem Anruf freiwillig telefonisch die TANs herausgibt ist es völlig Banane welches Sicherheitsverfahren da benutzt wird.
ChipTAN bleibt trotzdem sicherer.
Sorry,aber einfach Pech gehabt und dumm gewesen.
Kein Bankmitarbeiter wird dich jemals nach einer TAN oder PIN am Telefon fragen.
Das weiß mittlerweile sogar meine 85 Jährige Oma
Bei Banken ist es mir noch nicht untergekommen, aber wenn bei der Amazone 2FA aktiviert ist und man mit dem Support telefonisch zu tun hat, dann geht das nur, wenn man den 2FA-Code übers Telefon durchgibt. Ansonsten legen die Hotline-Supporties einfach auf. da sie nichts machen können, ohne den Code in ihre Maske einzugeben.
Alternative wäre, für die Zeit des Supportfalles 2FA zu deaktivieren.
Klingt komisch, war aber so, zumindest 2022. Ob’s noch so ist?
TAN ist auch nur n MFA-Code.
ja, aber da hat du den Support angerufen, daher ist das wohl einigermaßen safe. und das Pw hat der Amazon Mitarbeiter auch nicht vorliegen. wenn du natürlich einem Anrufer deinen 2FA Code gibst…
Stimmt leider nicht. Ich habe dieses Jahr noch einen Depotwechsel beauftragt und wurde kurz danach von meiner Bank angerufen ich müsste das telefonisch mit einer TAN bestätigen. Fand ich natürlich auch erst mal super seltsam. Aber es hat in dem Fall genau zu meinem Fall gepasst – die Dame gegenüber kannte die empfangende Bank und die betreffenden Wertpapiere. Nachdem ich meine TAN durchgegeben hatte, bekam ich eine Bestätigung und der Übertrag wurde gestartet. Und nein: danach wurde nicht irgendwie unberechtigt auf mein Konto zugegriffen. Es war auch keine kleine Bank oder ein Fintech.
In der pushTAN-App (zumindest bei den Sparkassen) steht aber, wofür die Freigabe benötigt wird. Spätestens hier sollte jemandem dann auffallen, dass er Opfer eines Betruges sein soll und den Auftrag nicht freigeben.
Ich bleibe dabei: Der Faktor Mensch ist das problematische Glied in der Kette.
Leider stimmt das nicht.
Die comdirect fragt am Telefon zum Beispiel nach der persönlichen PIN.
Fand ich auch unfassbar, aber ist normal bei der comdirect und man konnte meine Bedenken nicht teilen.
Die fragen nach der PIN wenn was? Wenn du nach der Uhrzeit fragst?
Wenn du telefonisch Aufträge erteilst? Ja klar, sonst könnte ja jeder anrufen, dafür wird es wohl eine Telefon-PIN geben?
Bin ich ein Arsch***h, weil ich kein Mitleid mit dem Geschädigten habe? Es gibt keine 100 prozentige Sicherheit, auch nicht bei getrennten Geräten. Am Ende besteht die größte Gefahr darin, eine Person dazu zu bringen bzw. sie zu überrumpeln, Dinge zu tun, die man mit gesundem Menschenverstand unter normalen Umständen nicht tun würde…
Nein.
Und die beiden Apps auf zwei Geräten schützen vor Dummheit (am Telefon) in welcher Weise???!!!
Das hab ich mich auch gefragt. Selbst mit ChipTAN hätte man hier Schmu treiben können wenn man statt dem Flicker-Code den Startcode telefonisch durchgibt und um Eingabe bittet. Irgendwas passt bei der Auslegung des Gerichts und der Überschrift hier nicht zusammen.
@chris
Ein Gerichtsprozess ist keine Debatte, es geht lediglich darum, dass Richter einen Streit der zwei Parteien entscheiden.
Wenn der Kläger anfängt in dieser Situation, in der er scheinbar wirklich selbst schuld ist aber trotzdem nicht dadurch viel Geld verlieren will (man kann es ja mal versuchen), der Bank die Schuld zu geben, dann geht der Anwalt der Bank methodisch vor. Von Außen nach Innen.
Zunächst stellt er also die Frage ob der Kunde die Zahlungsapps überhaupt ordnungsgemäß und im Sinne des Vertrages bzw. der geltenden Gesetze benutzt hat. Falls das nicht so ist, dann ist automatisch die Haftung beim Kunde und man muss gar nicht erst mit der mühsamen inhaltlichen Diskussion anfangen, die weiter im „Inneren“ des Sachverhalts anfängt.
Pluspunkt: es gibt offenbar eine objektive Beweislage, nach der der Kunde die getrennten Apps auf dem gleichen Gerät benutzte, damit wäre der Ball wieder im Feld des Klägers zurück gespielt. Und der Kläger, der ja der Bank die Haftungspflicht nachweisen (!) muss, hat es offensichtlich schon nicht geschafft das Gericht davon zu überzeugen, dass die Bank eine Haftung bezüglich der Apps an sich treffen könnte, weil (usw.).
Der Erfolg dieses Arguments kommt aus der Struktur des Parteienprozess und nicht daraus, dass Richter hier Apps (falsch) beurteilen, wie in den Kommentaren geulkt wird. Die Richter sind einfach nur die neutrale Instanz und der Kunde hat die Beweislast der Bank die Haftpflicht nachzuweisen, die Bank muss zur Abwehr nur darlegen ihre Sorgfaltspflichten erfüllt zu haben etc.
Wenn der Kunde schon auf der ersten Ebene der Apps und der nicht getrennten Kanäle, die vermutlich irgendwo in den AGB wirksam vereinbart wurden, seinerseits eine Sorgfaltspflicht verletzt hat, dann ist die Sache schon vorbei, bevor irgendwas anderes im Detail geprüft wird.
Schön geschrieben und auf dem Punkt gebracht. Sehe ich genauso.
Das eigentliche Problem ist in dem Fall doch das Herausgeben von TAN-Nummern übers Telefon?
Selbst wenn die betroffene Person ein anderes Verfahren bzw. zwei getrennte Smartphones genutzt hätte hätte Sie doch trotzdem am Ende die TAN Nummern rausgegeben, oder verstehe ich da was falsch?
Seh ich genau wie TIm.
Ich finde die Argumentation des Gerichts hier merkwürdig. Selbstverständlich ist es Dummheit, auf so ein Anruf rein zu fallen und dann auch noch eine Zahn raus zu geben.
Aber das hat nichts damit zu tun, ob es auf einem oder zwei Geräten installiert ist.
Der Sinn der Sache ist ja, dass keiner ohne deinen Zweiten Faktor an deinen Account kommt. Klar, wenn du das Handy verlierst und dein Passwort auf deinem Handy automatisch dein Bank Account ausfüllt und dann auch noch die App problemlos den zweiten Faktor ausspuckt, dann wäre das doof.
Aber in der Regel, wenn du eine Handy verlierst, hast du hoffentlich einen sicheren Code und und es kommt keiner an deine Daten ran.
Oh, wie überraschend… … … … nicht! *rolleyes*
Ist doch klar, dass zwei Apps auf EINEM Gerät nicht mehr dem Prinzip des Medienbruchs entsprechen.
Völlig irrelevant.
Und wenn er 5 Tage in der Leitung geblieben wäre um auf eine Brief-TAN zu warten – hätte er dann die Brief-TAN weitergegeben, müsste die Bank also für den Schaden aufkommen?
Das Problem ist leider immer noch das Neuland, die Dummheit, die Naivität oder wie man es auch bezeichnen möchte.
Manche Leute glauben einfach Internet-/Technik-Experte zu sein, weil sie unfallfrei ihr Frühstück auf Instagram posten können.
Genau so. Entweder irgendwas stimmt im Artikel nicht, oder aber das Szenario wäre genau so passiert, wenn die Person zwei Geräte hätte, eine offline TAN Liste oder sonst was. Da die Täter nicht auf dem Gerät der Person waren sondern er die TAN selbstständig abgerufen und dann über das Telefon weitergeben hat, ist es völlig egal ob die Daten auf einem, zwei oder 100 Geräten gespeichert sind. Hier hat der Anwender einfach völlig versagt und nicht die Sicherheit des Smartphones oder die Verwendung mehrerer Apps auf dem gleichen Gerät.
Grüße gehen raus an die DKB die mir, obwohl ich Banking und Brokerage nur am PC betreiben will meine Push-TAN App stillgelegt hat und mich nun zwingt die „blaue“ App zu nutzen die neben Push-TAN eben auch Banking/Broker Geschäfte machen kann. Danke für nichts. Jetzt habe ich Authentifizierung und Banking auf einem Gerät und kann auch kein Tan-Gerät mit EC Karte nehmen, weil diese ja jetzt Geld kostet und man mich zur Visa Debit getrieben hat.
Lt. Webseite bietet die DKB das chipTAN-Verfahren (und TAN-Generator) an (danke für den Hinweis auf dieses Verfahren an Malloy).
Du kannst ein TAN-Gerät nutzen. Schreibst du doch selbst. Kostet nur etwas.
Abgesehen davon:
Banking am PC und nur die Freigaben über die App sind zwei getrennte Geräte (wenn auch idR über WLAN im gleichen Netz…)
Bitte nicht falsch verstehen, ich bin auch ein großer Fan von chipTAN und die 12 Euro für ein Jahr war es mir wert, die EC Karte zu behalten.
Außerdem: die „blaue App“ nutzt zur Authentifizierung das Secure Element des Smartphones/Tablets in Verbindung mit einer App-Pin bzw. Biometrie. Die Bestätigung erfordert also schon jedes mal ein relativ gut gesichertes Verfahren. Und es ist Geräte-gebunden, kann also nicht auf beliebigen Geräten ausgeführt werden.
Woher ich das weiß? Ich habe die neue App der DKB auch zum Test installiert.
Ich bin kein Fan von „alles in einer App auf einem Gerät ohne echten zweiten Faktor“, ABER man muss schon sagen, dass das exploiten durch Nutzung des Secure Elements zumindest mal nicht trivial ist.
Da ist das hier im Artikel beschriebene Social Engineering schon bedeutend leichter
Auch wenn die Apps auf verschiedene Geräte aufgeteilt gewesen wären, hätte dieser idiot doch trotzdem die erforderlichen Codes an die bösen Buben weitergegeben. Wenn Landgerichte sich mit Technik beschäftigen….
Was hat bitte in diesem Fall die Verwendung beider Apps auf einem Gerät zu tun? Also entweder verstehe ich den Text nicht richtig, oder er ist sehr seltsam geschrieben, aber das eigentliche Problem ist doch – „Der Kläger nahm an, mit einem Angestellten der Beklagten zu telefonieren und gab daher telefonisch die angeforderten TAN an den Anrufer weiter.“ Ob ich nun eine TAN aus einer Liste, von einem anderen Gerät, oder sonst woher weiter gebe, spielt doch keine Rolle.
In diesem Social Engineering-Fall macht es nicht zwingend einen Unterschied, stimmt.
Das angesprochene Problem ist aber das wenn alle Authentifizierungsschritte auf demselben Gerät stattfinden eine Kompromittierung deutlich leichter werden kann.
Daher empfehlen CCC und andere Experten eigentlich immer 2FA-Verfahren jeder Art auch immer auf unterschiedlichen Geräten durchführen zu lassen.
Interessantes Urteil… ich frage mich was dann nach Ansicht des Gerichts eine sichere Art der Autorisierung wäre.. ein Yubi-Key? Zwei Handys? Und ist die Bank nicht zumindest Teilschuld weil diese Art der Sicherheit zulässt? Und hätte ein anderes Verfahren in diesem Fall überhaupt einen Unterschied gemacht?
Naja, mit Chiptan wäre das wahrscheinlich nicht passiert
Zwei Handys bei zwei verschiedenen Personen, also ein Vier-Augen-Prinzip, um sich gegenseitig zu kontrollieren. Dazu aber getrennte Geheimnisse, so dass es immer beide Personen benötigt. Also im Grunde genommen sowas wie die beiden getrennten Schlüssel / Codes beim Starten von Atomraketen im U-Boot (jedenfalls im Film).
Ja, das erscheint mir auf jeden Fall angemessen und nicht übertrieben.
Nicht sicher. Gutes Social Engineering kann den User möglicherweise auch damit austricksen.
Die Banken bieten ja nicht mal einen Yubikey (Oder andere FIDO2-Sticks wie die Nitrokeys) als Option an. Stattdessen dümpeln einige sogar noch mit SMS-TAN rum (und zwar als einzige Möglichkeit).
Ich verstehe sowieso nicht, warum die Banken nicht mit die Ersten sind, die diese FIDO2-Sticks (zumindest optional) unterstützen.
Gegen Manipulation (Social Engineering) hilft es wohl nur bedingt. Trotzdem würde ich mir wünschen, dass jede Bank auch ein TAN-Verfahren anbieten muss, welches nicht auf dem gleichen Gerät realisiert ist. Photo-TAN finde ich zum Beispiel recht praktisch. Beide Apps auf einem Gerät ist wirklich keine gute Idee. Ein zweites Smartphone möchte ich dafür allerdings auch nicht unterhalten.
Und was wird jetzt als Lösung vorgeschlagen?
Ein Zweitgerät nur für die pushTAN?
So kann man den Geräteverkauf auch ankurbeln.
Bei meiner Sparkasse gab es das ChipTan Verfahren. Fand ich super und es wird auf einem separaten Gerät angezeigt wofür die Tan verwendet wird
Make banking complicated again. Ich druck schonmal die Hüte…
Nein, das kann man wirklich nicht sagen. chipTAN ist super, insbesondere in Ausprägung „QR-TAN“.
Es ist durch Nutzung der Smartcard der Girokarte sehr sicher.
Es ist ein echter zweiter Faktor.
Dieser zweite Faktor ist sogar offline.
Das Gerät für den zweiten Faktor (TAN-Generator) zeigt, wie Malloy schrieb, an wofür die aktuelle Transaktion ist mit Kontonummer und Betrag (= Plausi-Check und außerdem besser als z.B. diese Geräte die auch einige Banken hatten, wo man eine Nummer eintippt und dann eine TAN bekommt, aber nicht am Gerät sieht, was man genau freigibt)
Und mittels QR-Codescan funktioniert das innerhalb 1, 2 Sekunden (deutlich schneller als der „Flackercode“)
Das manuelle Eingeben einer 6-stelligen TAN wird wohl den Komfort kaum mindern.
Aber egal, das Verfahren wird aktuell ohnehin von den Banken aufgegeben.
Sicherlich spannend wie es aussehen würde, wenn es keine getrennten Apps sind wie z.B. bei der ING. Hier haben wir ja eine App die sowohl Banking als auch Freigaben macht.
Die DKB hat diese potentielle mehr-Sicherheit auch gerade abgeschafft. Wäre mal interessant wie da dann geurteilt würde..
Ja, gut, aber es hätte dem Opfer in dem Fall auch nicht geholfen, wenn die Banking oder die TAN App auf einem anderen Gerät gewesen wäre. Er hätte die TAN so oder so den Täter mitgeteilt.
Es stellt sich sowieso die Frage, wie sich das Gericht das vorstellt. Soll jetzt jeder zwei Smartphones mit sich herumtragen, damit die Apps getrennt werden können? Oder Banking nur am PC mit TAN App auf dem Smartphone (dann bräuchte es auch keine Banking App mehr)?
Bei ING lässt sich das gar nicht trennen ♂️
Frag ich mich seit Jahren, vor allem das man dann zwei verschiedene Apps hat. Da macht eine einzelne, wie es zumeist Spaßkassen oder Postbank haben, eigentlich mehr Sinn im Sinne von „Anzahl der Apps“.
Aber grundsätzlich ist Social Hacking schon immer mies, ob jetzt an der Haustüre oder Digital.
Die Postbank hat eine Banking App und die BestSign App zum Freigeben. Bei Freigaben wird in der BestSign App eine ID angegeben, die auch bei der Transaktion steht. Zudem steht, wofür die Freigabe ist.
Das Urteil ist im Kern richtig, eine Bank kann ihren Kunden nicht von Social Engineering schützen. Doch Absatz 27 der Urteilsbegründung ist absud, hier wird wirklich behauptet, TANs via SMS wären sicherer als PushTANs über das Internet. Obwohl es umgekehrt ist. Es werden sogar die Apps verwechselt, SecureGo ist die App zum Empfangen der TAN bzw. der Authorisierung für eine Transaktion. Welche zudem noch extra geschützt werden kann.
Darüber bin ich auch gestolpert. Sehr eigenartige Begründung. Ob das Urteil einer fachlichen Überprüfung stand hielte?
Vielleicht habe ich etwas überlesen.
Aber hier geht es um eine Push-Tan. Wie wurde denn die Push-Tan generiert ?
Nur wenn ein Zahlunsvorgang ausgelöst wird, wird auch eine Push Tan erstellt.
Wer hat denn den Zahlungsvorgang ausgelöst ?
Der angebliche Mitarbeiter ? Geht nicht.
Der Kunde ? Dann müsste er Daten vom angeblich Bank Mitarbeiter bekommen haben und z.B. eine Zahlung manuell über die Bankung App ausgelöst haben.
Davon steht aber nichts im Artikel.
Die Frage stellt sich mir auch gerade. Was war denn der Auslöser für die Erstellung der TAN?
Danke, geht mir genauso.
Vermutlich war sein Online Banking Zugang gehackt, und zur Ausführung brauchten die Täter dann die entsprechenden TANs vom Kontoinhaber, die er ihnen auch gerne durchgegeben hat. So hab ich das zumindest verstanden.
@Polle
Aber auch hier stellt sich die gleiche Frage. Wie wurde die Push Tan erstellt ?
Der Mitarbeiter sagt dem Kunden : Fremder Zugriff auf das Konto, geben sie mir bitte eine Tan.
Aber woher kommt die Tan ?
Der Hacker kann die Tan nicht ausgelöst haben. Der Kunde auch nicht. Nicht ohne Zahlungsauftrag.
Woher kam also die Tan.
Ganz einfach: Entweder von einem Zahlungsauftrag oder einem Änderungsauftrag (z. B. Limitänderung). Steht so auch im Urteil.
Wer hat die TAN-Erstellung ausgelöst? Auch schnell beantwortet: Das Opfer oder der Betrüger. Entweder wurde das Opfer genötigt, die Aufträge selber zu erfassen oder hat wissentlich oder unwissentlich (z. B. Trojaner oder gefakte Seite) seine Zugangsdaten dem Betrüger mitgeteilt und dieser hat die Aufträge erfasst. So ist dies hier wohl auch passiert, obwohl das Opfer dies lt. Urteil abstreitet bzw. keine Schadsoftware auf dem Rechner gefunden hat. Wobei die häufigste Angriffsvariante gefakte Links oder Internetseiten sind. Hier wird er auch keine Schadsoftware finden.
@Fabsen
Das geht zu Lasten der Bank, die dann nicht entsprechend argumentieren kann, wie es die Bank in diesem Fall offensichtlich versucht hat.
Aus Kundensicht also eher positiv.
Ansonsten ein kurioser Prozess.
eine TAN ist doch eine überweisung, Geld zurückholen und gut ist, ganze Sache anzeigen und bei dem Verhalten der Bank auch noch die Bank wechseln.
außerdem am Telefon nicht sowas abwickeln, da muss man sich dann auch für ein Panik angesagt ist doch erstmal selber von seinem online kontostand überzeugen.
warum wird man über verdächtige Transaktionen eigentlich auch nicht informiert?
PayPal schickt sofort eine SMS wenn man an einem ungewöhnlichen Ort wo man sich sonst nicht aufhält eine Bestellung tätigt.
also Anomalien erkennen ist kein Problem, muss natürlich definiert dazu da sein dieses zu implementieren.
Zitat :“ …eine TAN ist doch eine überweisung, Geld zurückholen und gut ist,…“
Eine Überweisung kann man nicht einfach zurückholen.
Das geht nur bei Einziehungsaufträgen. Also Geld, was von Deinem Konto abgebucht wird und nicht direkt von Dir überwiesen.
>>eine TAN ist doch eine überweisung, Geld zurückholen und gut ist
Geld zurückholen ist bei einer Überweisung nicht so einfach. Die Bank geht davon aus, dass die Zahlung gewünscht ist. Beträge, die per Überweisung bezahlt wurden, kann man nur vom Empfänger zurückfordern. Wenn der ein Betrüger ist, ist das Konto vermutlich nicht mehr existent, wenn man den Fehler bemerkt. Bei Lastschrifteinzug ist es wesentlich einfacher. Umsatz beanstanden und die Bank bucht zurück. Dumm nur, wenn man einen Umsatz beanstandet, für den man zahlungspflichtig war. Da haut der rechtmäßige Zahlungsempfänger seine Kosten für die fehlerhafte Rückbuchung (gem. AGB) drauf.
Dass die Bank es ablehnt, für die Dummheit und Leichtgläubigkeit ihres Kunden einzustehen, halte ich für angemessen. Fragwürdig ist die Auslegung des Gerichts. Es ist davon auszugehen, dass der Bankkunde die TAN unabhängig von ihrer Herkunft preisgegeben hätte.