In einem aktuellen Gerichtsurteil wird die Effektivität der Zwei-Faktor-Authentifizierung im Push-TAN-Verfahren infrage gestellt. Das Urteil des Landgerichts Heilbronn könnte weitreichende Konsequenzen für Banken haben.
In einem kürzlich veröffentlichten Urteil (Az. Bm 6 O 10/23) hat das Landgericht Heilbronn Bedenken bezüglich des Push-TAN-Verfahrens geäußert. Es wurde festgestellt, dass dieses Verfahren die notwendige hohe Sicherheit für einen Anscheinsbeweis nicht erfüllt. Dies könnte bedeuten, dass Banken in Betrugsfällen vermehrt für die Schäden ihrer Kundinnen und Kunden verantwortlich gemacht werden.
Konkreter Betrugsfall als Ausgangslage
In dem vorliegenden Fall hatte ein Bankkunde einem Betrüger am Telefon geglaubt, der sich als Mitarbeiter seiner Hausbank ausgab. Der Betrüger überzeugte sein Opfer davon, dass auf seinem Konto unbefugte Transaktionen stattgefunden hatten, die rückgängig gemacht werden müssten. Der Kunde generierte daraufhin drei TAN-Nummern über die SecureGo-App der Bank und bestätigte unwissentlich zwei betrügerische Überweisungen.
Das Landgericht Heilbronn wies die Klage gegen die Bank zurück, indem es das Verhalten des Kunden als „grob fahrlässig" einstufte, da er die TAN-Nummern telefonisch weitergab. Das Gericht betonte, dass Onlinebanking ausschließlich online und nicht telefonisch oder schriftlich erfolgen sollte.
Gibt es ein Problem mit dem Push-TAN-Verfahren?
Jedoch wies das Gericht darauf hin, dass das Push-TAN-Verfahren, bei dem die TAN auf dem Mobiltelefon in einer anderen App angezeigt wird als der Bankzugang selbst, ein erhöhtes Sicherheitsrisiko darstellt. Dies liegt daran, dass beide Anwendungen auf demselben Gerät genutzt werden und keine getrennten Kommunikationswege existieren. Daher erfülle das Verfahren nicht die Anforderungen an die Authentifizierung aus unabhängigen Elementen, wie sie im Zahlungsdiensteaufsichtsgesetz (ZAG) gefordert werden. So die Meinung des Gerichts. In einem weiteren Artikel auf biallo.de erfahren Sie, was es mit dem Zahlungskontengesetz auf sich hat.
BVR und Atruvia sehen es gelassen
Im konkreten Fall ging es um die „VR Secure Go”-App von Atruvia. Diese wird von den Genossenschaftsbanken eingesetzt. Sowohl Atruvia als auch der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) sehen die Lage eher gelassen. Sie äußern sich dem Nachrichtenportal „FinanzBusiness“ gegenüber, dass das Gericht mit der Einschätzung falschliege. So werde vom Gesetzgeber lediglich gefordert, getrennte Kanäle und nicht getrennte Kommunikationswege zu nutzen. Mit der separaten Push-TAN-Anwendung zum Mobile Banking würde diese Vorgabe erfüllt werden.
Im Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) wird gefordert, dass die Authentifizierung mit mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht:
- Kategorie Wissen, also etwas, das nur der Nutzer weiß,
- Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
- Kategorie Inhärenz, also etwas, das der Nutzer ist.
Kritik von Sicherheitsexperten
Bereits in der Vergangenheit wurde das Push-TAN-Verfahren von Sicherheitsexperten als unsicher angesehen. Ein Student aus Erlangen demonstrierte 2015 auf einer Konferenz, wie er das Push-TAN-System der Sparkasse mehrfach hackte.
Dennoch bleibt unklar, wie die Betrüger in dem konkret genannten Fall Zugang zu den Kundendaten erlangten, einschließlich einer sechsstelligen PIN. Der Kunde behauptete, dass die Daten aufgrund eines Daten-Lecks bei der Bank in die falschen Hände geraten sein könnten. Möglich wäre aber auch, dass er auf eine Phishing-Nachricht hereingefallen ist.
Allgemein lässt sich aber sagen, dass das Push-TAN-Verfahren deutlich sicherer als das mTAN-Verfahren ist. Eine SMS kann von Dritten abgefangen und mitgelesen werden. Die Verbraucherzentrale bewertet das Push-TAN-Verfahren wie folgt:
„Hohe Sicherheit, wenn für App und Onlinebanking verschiedene Apps oder Geräte verwendet werden."
Dennoch weist die Verbraucherzentrale darauf hin, dass man auch beim mobilen TAN-Verfahren am besten mehrere Geräte nutzen sollte. Dann wäre das Banking am sichersten.
Es bleibt abzuwarten, wie sich die rechtliche Lage in Bezug auf die Push-TAN-Authentifizierung weiterentwickeln wird.
Für wie sicher halten Sie das Push-TAN-Verfahren? Gern können Sie uns Ihre Meinung an redaktion@biallo.de senden. Möchten Sie aktuelle Informationen und Entwicklungen aus der Finanzwelt erhalten und keine Neuigkeiten mehr verpassen? Registrieren Sie sich jetzt für unseren kostenlosen Newsletter.