Mein Konto Meine Bibliothek
x
Sicherheit Onlinebanking

Ist die Push-TAN-Authentifizierung wirklich sicher?

Franziska Baum
Redakteurin
Veröffentlicht am: 24.10.2023

Auf einen Blick

  • Für Überweisungen nutzen viele Banken und Sparkassen die Push-TAN-Authentifizierung mithilfe einer zweiten App zum Mobile Banking auf dem Smartphone.
  • Das Landgericht Heilbronn stellt aktuell mit einem Urteil infrage, wie sicher das Push-TAN-Verfahren eigentlich ist.
  • Ausgangspunkt war ein Betrugsfall, bei dem der Kunde einer Bank das verloren gegangene Geld bei der Bank zurückforderte.
100 % unabhängig dank Ihres Klicks
Kaufen Sie ein Produkt über einen mit (*) oder (a) gekennzeichneten Werbelink, erhalten wir eine kleine Provision. Für Sie ergeben sich keine Mehrkosten und Sie unterstützen unsere Arbeit. Vielen Dank!
Mehr erfahren

Das erwartet Sie in diesem Artikel

  1. Konkreter Betrugsfall als Ausgangslage
  2. Gibt es ein Problem mit dem Push-TAN-Verfahren?
  3. Kritik von Sicherheitsexperten

In einem aktuellen Gerichtsurteil wird die Effektivität der Zwei-Faktor-Authentifizierung im Push-TAN-Verfahren infrage gestellt. Das Urteil des Landgerichts Heilbronn könnte weitreichende Konsequenzen für Banken haben.

In einem kürzlich veröffentlichten Urteil (Az. Bm 6 O 10/23) hat das Landgericht Heilbronn Bedenken bezüglich des Push-TAN-Verfahrens geäußert. Es wurde festgestellt, dass dieses Verfahren die notwendige hohe Sicherheit für einen Anscheinsbeweis nicht erfüllt. Dies könnte bedeuten, dass Banken in Betrugsfällen vermehrt für die Schäden ihrer Kundinnen und Kunden verantwortlich gemacht werden.

 

Konkreter Betrugsfall als Ausgangslage

In dem vorliegenden Fall hatte ein Bankkunde einem Betrüger am Telefon geglaubt, der sich als Mitarbeiter seiner Hausbank ausgab. Der Betrüger überzeugte sein Opfer davon, dass auf seinem Konto unbefugte Transaktionen stattgefunden hatten, die rückgängig gemacht werden müssten. Der Kunde generierte daraufhin drei TAN-Nummern über die SecureGo-App der Bank und bestätigte unwissentlich zwei betrügerische Überweisungen.

Das Landgericht Heilbronn wies die Klage gegen die Bank zurück, indem es das Verhalten des Kunden als „grob fahrlässig" einstufte, da er die TAN-Nummern telefonisch weitergab. Das Gericht betonte, dass Onlinebanking ausschließlich online und nicht telefonisch oder schriftlich erfolgen sollte.

 

Gibt es ein Problem mit dem Push-TAN-Verfahren?

Jedoch wies das Gericht darauf hin, dass das Push-TAN-Verfahren, bei dem die TAN auf dem Mobiltelefon in einer anderen App angezeigt wird als der Bankzugang selbst, ein erhöhtes Sicherheitsrisiko darstellt. Dies liegt daran, dass beide Anwendungen auf demselben Gerät genutzt werden und keine getrennten Kommunikationswege existieren. Daher erfülle das Verfahren nicht die Anforderungen an die Authentifizierung aus unabhängigen Elementen, wie sie im Zahlungsdiensteaufsichtsgesetz (ZAG) gefordert werden. So die Meinung des Gerichts. In einem weiteren Artikel auf biallo.de erfahren Sie, was es mit dem Zahlungskontengesetz auf sich hat.

BVR und Atruvia sehen es gelassen

Im konkreten Fall ging es um die „VR Secure Go”-App von Atruvia. Diese wird von den Genossenschaftsbanken eingesetzt. Sowohl Atruvia als auch der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) sehen die Lage eher gelassen. Sie äußern sich dem Nachrichtenportal „FinanzBusiness“ gegenüber, dass das Gericht mit der Einschätzung falschliege. So werde vom Gesetzgeber lediglich gefordert, getrennte Kanäle und nicht getrennte Kommunikationswege zu nutzen. Mit der separaten Push-TAN-Anwendung zum Mobile Banking würde diese Vorgabe erfüllt werden.

Im Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) wird gefordert, dass die Authentifizierung mit mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht:

  1. Kategorie Wissen, also etwas, das nur der Nutzer weiß,
  2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
  3. Kategorie Inhärenz, also etwas, das der Nutzer ist.

 

Kritik von Sicherheitsexperten

Bereits in der Vergangenheit wurde das Push-TAN-Verfahren von Sicherheitsexperten als unsicher angesehen. Ein Student aus Erlangen demonstrierte 2015 auf einer Konferenz, wie er das Push-TAN-System der Sparkasse mehrfach hackte.

Dennoch bleibt unklar, wie die Betrüger in dem konkret genannten Fall Zugang zu den Kundendaten erlangten, einschließlich einer sechsstelligen PIN. Der Kunde behauptete, dass die Daten aufgrund eines Daten-Lecks bei der Bank in die falschen Hände geraten sein könnten. Möglich wäre aber auch, dass er auf eine Phishing-Nachricht hereingefallen ist.

Allgemein lässt sich aber sagen, dass das Push-TAN-Verfahren deutlich sicherer als das mTAN-Verfahren ist. Eine SMS kann von Dritten abgefangen und mitgelesen werden. Die Verbraucherzentrale bewertet das Push-TAN-Verfahren wie folgt:

„Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden."

Dennoch weist die Verbraucherzentrale darauf hin, dass man auch beim mobilen TAN-Verfahren am besten mehrere Geräte nutzen sollte. Dann wäre das Banking am sichersten.

Es bleibt abzuwarten, wie sich die rechtliche Lage in Bezug auf die Push-TAN-Authentifizierung weiterentwickeln wird.

Für wie sicher halten Sie das Push-TAN-Verfahren? Gern können Sie uns Ihre Meinung an redaktion@biallo.de senden. Möchten Sie aktuelle Informationen und Entwicklungen aus der Finanzwelt erhalten und keine Neuigkeiten mehr verpassen? Registrieren Sie sich jetzt für unseren kostenlosen Newsletter.

Über die Redakteurin Franziska Baum

Alle Artikel der Redakteurin Franziska Baum ansehen
Bereits in ihrer Schulzeit war Franziska für die Jugendredaktion der Sächsischen Zeitung tätig. Nach ihrem Germanistik-Studium in Dresden sammelte sie weitere Erfahrungen als Online-Redakteurin bei führenden Technik-Magazinen und später im Verbraucherschutz. Seit 2016 war Franzi (so ihr Spitzname) als Redakteurin am Aufbau des Onlineportals verbraucherschutz.com (früher onlinewarnungen.de) beteiligt. Dort betreute sie unter anderem den Social Media Bereich, plante und verfasste eigene Tipps, News und Anleitungen zu aktuellen Themen. Durch diese Arbeit hat Franzi sich ein ausgeprägtes Wissen im Bereich Verbraucherschutz angeeignet. Bei biallo.de bringt sie genau dieses Wissen ein. Außerdem ist Franziska in der Leserbetreuung tätig. Ihr Ziel ist es, den Leserinnen und Lesern zu helfen und ein gutes Gefühl zu geben. 

So verdient Ihr Geld mehr

Der Newsletter von biallo.de ist eine exzellente Entscheidung, wenn es um Ihre Finanzen geht.

Wir freuen uns darauf, Ihnen mit Ihrer Zustimmung interessante Inhalte, Empfehlungen und Werbung von uns und unseren Partnern zu schicken, die genau auf Ihre Interessen zugeschnitten sind. Um dies zu ermöglichen, analysieren wir, wie Sie unsere Website nutzen (z.B. Seitenaufrufe, Verweildauer) und wie Sie mit unseren E-Mails interagieren (z. B. Öffnungs- und Klickraten). So erstellen wir ein Nutzungsprofil, das Ihnen die relevantesten Inhalte liefert, und ordnen Sie in passende Werbezielgruppen ein. Ihre Zustimmung können Sie jederzeit widerrufen, z. B. über den Abmeldelink im Newsletter. Weitere Informationen finden Sie in unserer Datenschutzerklärung.