24. Oktober 2023, 11:19 Uhr | Lesezeit: 5 Minuten
Ein aktueller Gerichtsbeschluss könnte wegweisend sein. Das Landgericht Heilbronn schrieb in einer Urteilsbegründung, dass das pushTAN-Verfahren doch nicht so sicher sei. Vorausgegangen war eine Klage eines Kunden gegen seine Bank.
Nahezu jeder Nutzer von Online-Banking kennt das TAN-Verfahren. Um eine Aktion zu tätigen oder Transaktionen durchzuführen, muss man beispielsweise einen Zahlencode generieren lassen, der dann als Verifizierung gilt. Normalerweise ist das kein Hexenwerk und in der Regel sicher. Aber wie so oft finden Betrüger auch hier einen Weg, um an Geld zu kommen. Ein aktuelles Urteil könnte die Sicherheit des pushTAN-Verfahrens infrage stellen. Denn das Landgericht Heilbronn gab in seinem Urteil vom 16. Mai 2023, dessen schriftliche Begründung erst vor Kurzem veröffentlicht wurde, Folgendes bekannt: „Das sog. pushTAN-Verfahren […], weist ein erhöhtes Gefährdungspotenzial auf“.
Übersicht
Bankkunde fällt auf Betrüger rein und verlangt Geld von Bank zurück
Es gibt mittlerweile sehr viele TAN-Verfahren: mTAN, chipTAN, pushTAN, iTAN etc. Eines der meistgenutzten Verfahren heutzutage ist das pushTAN-Verfahren. Und dessen etwas zu unüberlegte Nutzung wurde einem Bankkunden zum Verhängnis. Eine Person stellte sich am Telefon als Mitarbeiter der Bank des Opfers vor und sagte, dass ein Dritter unberechtigterweise zwei Zahlungen getätigt und den Kreditrahmen auf 10.000 Euro erhöht habe. Um den Prozess rückgängig zu machen, bräuchte der vermeintliche Bankmitarbeiter drei TAN, die das Opfer per pushTAN generierte und dem Gesprächspartner am Telefon zur Verfügung stellte.
Später stellte sich heraus, dass es sich um einen Betrüger gehandelt hat, der mit den TAN eine hohe Summe Geld vom Konto des Opfers abgehoben hat. Bei diesem Vorgehen spricht man auch von Social-Engineering-Betrug. Das Betrugsopfer verlangte in der Folge von seiner Bank die Übernahme des entstandenen Schadens. Die Bank hingegen lehnte ab, der Fall landete vor Gericht. Dessen Urteil ist nicht sonderlich spannend, eine Bemerkung des Gerichts am Rande sorgte jedoch für Aufsehen.
Auch interessant: Alle TAN-Verfahren im Überblick und wie sie funktionieren
Gericht stellt Sicherheit von pushTAN-Verfahren infrage
Das Landgericht Heilbronn hatte die Klage des Opfers abgewiesen, da die Weitergabe der selbst generierten TAN-Nummern grob fahrlässig an eine ihm nicht bekannte Person erfolgte, ohne auf den Verwendungszweck zu achten. Zudem heißt es im Urteil: „Dabei leuchtet jedem ein, dass Online-Banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet.“
Spannender war jedoch die erwähnte Anmerkung des Gerichts zum Urteil. Denn dieses kritisierte das pushTAN-Verfahren und hielt es für zu unsicher. Grundsätzlich wird für eine Transaktion die Zwei-Faktor-Authentisierung herangezogen. Doch das sei hier, laut dem Gerichtsurteil, nicht der Fall gewesen. Da sowohl die TAN-App als auch die Banking-App auf demselben Smartphone installiert gewesen seien, hätte „keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen“ im Sinne von § 1 Abs. 24 ZAG (Zahlungsdiensteaufsichtsgesetzes) stattgefunden.
Online-Banking Große Änderung bei Sparkassen und Volksbanken! Kunden müssen sich umstellen
Online-Banking Alle TAN-Verfahren im Überblick und wie sie funktionieren
Online-Banking ING stellt Login um und drängt Bankkunden zu neuer App
Das sagen die Banken
Im Grunde würde das bedeuten, dass die Banken vom Kunden zwei voneinander unabhängige Geräte für Banking und TAN-Generierung fordern müssten, um im Schadensfall nicht womöglich haftbar gemacht zu werden. Denn wenn ein Betrüger oder Hacker das Smartphone per Malware kapern würde, könnte er theoretisch auf beide Apps Zugriff erlangen. Die Sicherheit, die das pushTAN-Verfahren liefern sollte, wäre dann nicht mehr gegeben.
TECHBOOK hat sowohl bei der ING als auch der DKB nachgefragt und um eine Einschätzung der Anmerkung des Gerichts gebeten. Die ING gab uns dazu folgendes Statement:
Wir können nur zu unserer „Banking to go“-App sprechen, und diese ist durch mehrere Sicherheitsfaktoren gut geschützt. Zum einen muss das Smartphone des Kunden in unseren Systemen registriert sein. Der zweite Sicherheits-Faktor ist Wissen oder Biometrie, entweder also die mobilePIN oder ein biometrisches Merkmal (Fingerprint oder Face ID). Darüber wird durch eine Gerätebindung sichergestellt, dass die App mit der zugehörigen PIN bzw. dem biometrischen Merkmal auf kein anderes Gerät übertragen werden kann. Ebenso ist die Verbindung der App mit unseren Bankservern mehrfach abgesichert: Sämtliche Daten werden zweifach verschlüsselt und die App wird automatisch auf Manipulationen durch Dritte geprüft.
Sprecherin der ING zu TECHBOOK
Sie wollen keine wichtigen News im Bereich Technik und Smart Finance mehr verpassen? Dann folgen Sie uns bei WhatsApp!
Die DBK sagte gegenüber TECHBOOK, dass eine Bewertung des juristischen Verfahrens eher schwer bzw. nicht zielführend sei. Dennoch verwiesen sie auf die einschlägigen Anforderungen an Authentifizierungselemente, die sich aus Artikel 9 der Zahlungsdienstrichtlinien/technischen Regulierungsstandards ergeben würden (Art.9 der PSD2-RTS zu SCA und SCC). Demnach müssten die Authentifizierungselemente voneinander unabhängig sein, sprich die Verletzung eines Elements dürfe nicht die Zuverlässigkeit eines anderen Elements beeinträchtigen. Weiter heißt es, dass nach Art. 9 Abs. 2 Authentifizierungselemente von einem Mehrzweckgerät verwendet werden können (sprich: über ein Gerät können mehrere Elemente geprüft werden).
„Das Seal One-Modul läuft über einen eigenen, separaten Kanal getrennt vom Banking-Kanal. Auf beiden Kanälen erfolgt eine starke Verschlüsselung, die alle Prozesse auf Basis regulatorischer Anforderungen absichert“, so die DKB abschließend in ihrem Statement.
