„Erhöhtes Gefährdungspotenzial“: Gericht hält App-TAN für unsicher – Banken müssen handeln
SuperOhMo / Bigstock
Ein Fall von Social Engineering
Der Kläger verlangte von seiner Bank die Rückzahlung einer Überweisung, die allerdings auf der Basis von Social Engineering erbeutet worden war, also insofern gar nichts mit dem eigentlichen TAN-Verfahren zu tun hatte. Dabei erfolgte ein Anruf von einer Festnetznummer aus dem Raum Heilbronn, wobei sich der Anrufer als Mitarbeiter der EDV-Abteilung der Beklagten ausgab.
Der angebliche Bankmitarbeiter teilte dem Kläger nach dessen Angaben telefonisch mit, dass von dritter Seite versucht wurde, den Kreditrahmen des Klägers unbefugt auf 10.000 Euro zu erhöhen und dass zwei Zahlungen von dritter Seite erfolgt seien. Dabei habe der Anrufer vorgegeben, dass eine TAN für die Rückführung des Kreditlimits und jeweils eine TAN für die Stornierung der Zahlungen benötigt würden. In der Annahme, es handele sich um einen Mitarbeiter der Beklagten, habe der Kläger dem Anrufer die gewünschten TAN telefonisch mitgeteilt.
Gerichtsurteil wirft Fragen für Banken auf
Spannender als die eigentliche Beurteilung des Sachverhalts, die wohl relativ eindeutig aufgrund von Social Engineering sein dürfte, ist ein Sachverhalt, den das Gericht in der Urteilsbegründung ausführt:
Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotenzial auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.”
Aus dem Urteil des LG Heilbronn
Die regulatorischen technischen Standards (RTS) besagen bekanntermaßen, dass zwei unabhängige Elemente aus zwei Bereichen vorhanden sein müssen (Wissen, Besitz und Inhärenz) und dass erst hier die 2FA gewahrt wird. Sind beide Apps auf demselben Device installiert, wirft das folglich die Frage auf, ob diese Elemente tatsächlich unabhängig voneinander sind. Denn wird das Smartphone beispielsweise durch Malware oder einen Virus kompromittiert, würde das möglicherweise beide Apps betreffen und einen unerlaubten Zugriff auf das Konto erlauben.
Rechtsunsicherheit für Banken, aber auch für Kunden
Bigstock
Doch was bedeutet das jetzt für die Banken? Sie müssen sich fragen lassen, ob das bisherige Verhalten, das ja in der Vergangenheit mehrfach durch IT-Sicherheitsexperten in Zweifel gezogen wurde, in Ordnung und rechtssicher ist. Denn zumindest müssten sie vom Verbraucher verlangen, separate Geräte für Banking und TAN-Generierung zu nutzen. Das wiederum widerspricht der Convenience, ähnlich wie auf dem Gerät gespeicherte Passwörter.
Unklar ist allerdings noch, ob es damit getan ist, die Verbraucher zu einem solchen Verhalten aufzufordern oder ob es nicht vielmehr erforderlich ist, hier einen Riegel im Sinne des Verbraucherschutzes vorzuschieben. Banken sollten hier tätig werden, wollen sie in späteren Situationen nicht riskieren, für Betrugsdelikte zur Rechenschaft gezogen zu werden. Doch auch die Kunden müssen hier auf der Hut sein, auch wenn sich hieraus ein weniger bequemer Service erwächst.
Das Urteil im Gesamttext: LG Heilbronn, Urt. v. 16.05.2023 – Az.: Bm 6 O 10/23.tw
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/162559
Schreiben Sie einen Kommentar