Erhöhtes Gefährdungspotential: PushTAN- und Banking-App auf einem Smartphone
von caschy | 76 Kommentare
Interessante Diskussion vor dem Landgericht Heilbronn. Die Richter haben entschieden, dass die Banking-App und die pushTAN-App auf einem Handy bezüglich der Sicherheitsaspekte unzureichend sind. Hintergrund: Ein Bankkunde wurde über das Telefon mithilfe von Social Engineering dazu gebracht, persönliche Dateien preiszugeben:
Der Anrufer stellte sich als Mitarbeiter der IT-Abteilung der Beklagten vor, der Anruf erfolgte von einer Festnetznummer aus dem Bereich Heilbronn. Der vermeintliche Mitarbeiter der Bank teilte dem Kläger nach dessen Angaben telefonisch mit, ein Dritter habe unbefugter Weise versucht, den Kreditrahmen des Klägers auf 10.000 € zu erhöhen und zwei Zahlungen seien durch Dritte getätigt worden. Der Anrufer habe dabei vorgegeben, es würde eine TAN für die Rückführung des Kreditrahmens und jeweils eine für das Rückgängigmachen der Zahlungen benötigt werden. Der Kläger nahm an, mit einem Angestellten der Beklagten zu telefonieren und gab daher telefonisch die angeforderten TAN an den Anrufer weiter.
Danach fehlte jede Menge Geld auf dem Konto des Angerufenen, er erstattete Anzeige und bat die Bank um Übernahme des Schadens. Die Bank lehnte ab, der Kunde habe die erforderlichen Sorgfaltspflichten nicht eingehalten. Beide Apps würden laut Auslegung des Gerichts auf einem Smartphone ein erhöhtes Gefährdungspotential aufweisen, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt. Daher liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen vor. Das genutzte Verfahren sei daher nicht besser als das traditionelle TAN-Verfahren.
| Vorschau | Produkt | Preis | |
|---|---|---|---|
|
Apple Watch Series 9 (GPS, 45 mm) Smartwatch mit Aluminiumgehäuse und Sport... |
449,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 (128 GB) - Schwarz |
792,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 Pro (128 GB) - Titan Natur |
1.039,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Die Telefonbetrüger nutzen auch häufig Remote-Desktop-Apps für den Zugriff, vermutlich ist dieses in der Zusammenfassung untergegangen.
Was hat das damit zu tun?
Nichts.
Wie das Urteil wohl gelautet hätte, wenn der Richter Ahnung von der Materie gehabt hätte?
Eine TAN wird ja nur generiert, wenn z. B. ein Zahlungsauftrag (u. a. eine Ünerweisung) freigegeben werden muss.
Hier ist es egal ob der Kunde pushTAN, chipTAN, smsTAN oder photoTAN nutzt.
Um einen Zahlungsauftrag zu erstellen muss der Kunde sich ja zuerst im Online-Banking über Browser oder App anmelden. Hierfür werden in der Regel eine Kombination aus Anmeldename, PIN/Passwort, FaceID/Fingerabdruck und wiederum eine TAN (zumindest im Browser) benötigt. Diese Daten dürfen ja nur dem Kunden bekannt sein.
Jetzt gibt es zwei Möglichkeiten:
1. Der Kunde hat sich selber angemeldet, wurde zum Auftrag genötigt und hat diesen Auftrag dann freigeben. Blöd gelaufen, aber selber schuld.
2. Der Kunde hat seine Anmeldedaten nebst PIN/Passwort preisgegeben oder wurde Opfer eines Trojaners und hat einen fremderfassten Auftrag freigegeben. Ebenfalls blöd gelaufen, Sorgfaltspflichten verletzt, selber schuld.
Egal wie man es dreht und wendet: Der Kunde war selber schuld und die Bank wird ungerechtfertigt in Haftung genommen.
Das Sicherheitsrisiko ist der Faktor Mensch, nicht die Technik. Hier in dem Fall hätte der Kunde wahrscheinlich über jedes andere Medium ebenfalls diesen Auftrag bestätigt. Egal welches TAN-System oder wie viele andere Geräte.
Ich bin entsetzt über die Inkompetenz des Gerichts und zusätzlich über die krass unterschiedlichen Auslegungen der Banken zur 2FA. Meine Bank empfiehlt quasi auch, für Bankgeschäfte auf dem Smartphone die integrierte 2FA über eine zusätzliche PIN oder einem biometrischen Faktor zu nutzen und keine (optionale) App oder gar ein extra Gerät.
Sofern eine Berufung möglich ist geht es wahrscheinlich in die nächste Instanz.
Ansonsten wären ja die Banken ja schon fast gezwungen, ihre Online-Banking-Angebot massiv einzuschränken, da ansonsten horrende Entschädigungszahlungen auf diese zukommen. Leider sind diese Betrugsopfer nämlich keine Seltenheit sondern kommen tagtäglich häufig vor. Und die allermeisten werden halt Opfer aus Dummheit oder weil einfach was bestätigt wird ohne nachzulesen oder nachzudenken.
Ich muss meine Aussage relativieren: Die Klage des Betrugsopfers wurde ja abgewiesen, von daher wird die Bank ja keine Berufung einlegen müssen.
Bank: gib niemals Daten wie Verfüger, Passwort, TAN am Telefon weiter – wir fragen nie danach.
Kunde gibt diese Daten an Betrüger weiter.
Gericht: Bank schuld, weil hahnebüchebe Begründung einfügen.
Ich verstehe es nicht. Für solche Kunden gibt es keine sichere Maßnahmen. Diese Leuten wird man immer legen können.
hmm klingt für mich als wüsste der Richter nicht wie Onlinebanking funktioniert. In diesem Fall saß der Fehler ja vor dem Gerät und es hätte keinen Unterschied gemacht welches TAN-Verfahren er genutzt hat.
Für mich liest sich das so das bei vorhanden sein von zwei Geräten und entsprechender Trennung der Apps das ganze trotzdem passiert wäre. Der hat einfach nicht gelesen was in der Mitteilung der TAN stand.
Das es keine gute Idee ist eine TAN in andere „Hände“ zu geben, insbesondere wen man selbst den Anruf nicht ausgelöst hat da kann man sicher drauf kommen. Leider erlebe ich aber regelmäßig das Banken „Sicherheitsverfahren“ einführe die entweder totaler Stuss sind, sie diese selbst falsch einsetzen oder so schlecht erläutern, dass es fast unmöglich ist, einen Sicherheitsmehrwert für den Kunden zu schaffen. Perfide daran ist, dass die Banken damit in den meisten Fällen ihre Haftung weiter einschränken. Die die Wahl welche Sicherheitsverfahren zum Einsatz kommen haben Kunden nur selten.
Beispiel?
Völlig richtig. TAN-App muss woanders sein, sonst ist das kein 2FA. Der Witz: bei meiner Bank geht die Online-Banking-App nur dann, wenn die TAN-App auf dem gleichen Gerät ist…
Nö. 2Fa nicht verstanden.
Ist doch optimal, so kann sich die Bank bei der Haftung nicht rausreden. Aus Sicherheitssicht natürlich Blödsinn. ING und DKB machen das so. Sparkasse und Comdirect haben das getrennt, verhindern aber nicht die Nutzung auf einem Gerät.
Hier wird die ganze Zeit nur über den zweiten Faktor diskutiert. Aber wie sind die Gauner denn an den 1. Faktor gekommen, also Kontonummer mit dazu passendem Passwort? Hat er das etwa auch rausgegbenn? Dann ist ja damit schon alles klar.
Es ist auffällig wie durch die Zunahme von Social Media die Menschheit immer mehr naiv dumm geworden ist. Für solche Leute habe ich leider kein Mitleid übrig.
Ehrlich gesagt finde ich dieses Urteil sehr irritierend.
Nahezu alle Richter (insbesondere der unteren Instanzen) scheuen sich davor, Urteile zu fällen. Erst recht welche, die über den ganz konkreten Einzelfall hinausgehen. Die allermeisten Versuche, Urteile zu bekommen, aus denen man über den Einzelfall hinaus grundsätzliche Schlüsse bei unklaren Rechtsfragen ziehen könnte, werden von den Gerichten mehr oder weniger souverän umschifft.
Hier hat ein Gericht ein Urteil gefällt, welches ohne Not oder Bezug zum eigentlichen Fall gleich noch eine grundsätzliche Feststellung trifft, nämlich dass man beide Apps nicht auf einem Gerät haben darf. Wie viele hier schon geschrieben haben, ist der Fall ausschließlich auf social engineering zurückzuführen und wäre auch mit zwei oder drei Geräten sicherlich genauso passiert.
Und wie man auf die Idee kommen kann, dass SMS-TAN sicherer sein soll, erschließt sich mir auch nicht. Außerdem fehlt jeder Verweis auf die Bedingugen der Bank, die ja beide Apps zur Verfügung stellt und dann doch zumindest die Verwendung zweier Geräte fodern müsste, um das nachher anzuführen. Zumal es dann in der eigentlichen Entscheidung eh irrelevant ist, denn es geht wieder nur um die Weitergabe.
Im Ergebnis für mich ein völlig skuriles Urteil eines Kleinstadtgerichts, bei dem aber leider eine hohe Wahrscheinlichkeit besteht, dass es Bestandskraft bekommt oder zumindest inhaltlicht nicht korrigiert wird, denn selbst wenn die Entscheidung vom Kläger angfochten worden ist (Urteil stammt vom 23.5.2023), spielt das Thema vermutlich in der nächsten Instanz keine Rolle denn beim OLG wird vermutlich Absatz 1 wieder greifen: Frage spielt für den Einzelfall keine Rolle und ist daher nicht zu klären.