![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Fallen die Banken mit ihrem Push-TAN-Verfahren beim Online-Banking auf die Nase? Ein Gerichtsurteil, welches in einem Betrugsfall gefallen ist, k\u00f6nnte die Banken in Bredouille bringen, denn der Ansatz, die Transaktionen per Push-TAN-Verfahren in einer App auf einem Ger\u00e4t freizuschalten, wurde vom Gericht als unsicher eingestuft. Damit k\u00f6nnten Opfer leichter Schadenersatz von Banken einklagen, wenn beim Online-Banking etwas schief geht. <\/p>\n
<\/p>\n
Mir haben sich schon immer die Nackenhaare gestr\u00e4ubt, wenn ich sehe, wie Banken den Kunden ihre Online-Banking-Apps aufs Auge dr\u00fccken. Ein Ger\u00e4t und eine App, um sowohl die Online-Bankkonten einzusehen als auch um die Transaktionen freizuschalten. Aus Sicherheitsaspekten ein absolutes No-Go, aber bei den Banken g\u00e4ngige Praxis. <\/p>\n
Sicherheitsexperten sehen das Push-TAN-Verfahren der Banken seit Jahren als unsicher an – ich hatte 2015 bereits im Blog-Beitrag Online-Banking: mTAN und Banking-Apps unsicher<\/a> auf Probleme mit Banking-Apps hingewiesen. Der Student Vincent Haupert aus Erlangen hatte bereits im Dezember 2015, auf dem 32C3-Kongress, demonstriert, wie er das Push-TAN-Verfahren der Sparkasse mehrfach hacken konnte. Golem hatte in diesem Beitrag<\/a> dar\u00fcber berichtet. Die Sparkassen modifizierten das Verfahren und es wuchs Gras \u00fcber die Sache. <\/p>\n Nun hat ein Gericht die fehlende Zweifaktor-Authentifizierung beim Push-TAN-Verfahren als unsicher eingestuft. Das Ganze geht aus einem Urteil der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ Bm 6 O 10\/23<\/a>) hervor, auf das ich \u00fcber nachfolgenden Tweet und diesen Golem-Beitrag<\/a> gesto\u00dfen bin. <\/p>\n Das Gericht hatte in einem Zivilprozess eines Online-Banking-Kunden gegen seine Bank \u00fcber einen Betrugsfall, bei dem sich der Kunde einer groben Fahrl\u00e4ssigkeit schuldig machte (er hatte TANs generiert und an Betr\u00fcger weitergereicht), zu befinden. Weil der Kunde grob fahrl\u00e4ssig handelte, wurde die Bank aus der Haftung entlassen. Aber eine Feststellung des Gerichts im Urteil l\u00e4sst aufhorchen, den die Richter schrieben im Urteil:<\/p>\n Ist etwas sperriges Juristendeutsch bedeutet aber folgendes: Wenn beim Banking per App – hier SecureGo-App der Volksbanken – am Smartphone etwas schief geht, und die Bank nicht nachweisen kann, dass der Kunde grob fahrl\u00e4ssig gehandelt und z.B. TANs generiert und an Betr\u00fcger weiter gegeben hat, wird die Bank haften. Das war beispielsweise der Fall, bei dem einem Ehepaar unberechtigt Gelder vom Konto durch einen Betr\u00fcger abgebucht wurden, ohne dass dieses TANs herausgegeben hatte. Die Bank konnte den Kunden keine Fahrl\u00e4ssigkeit nachweisen und musste Schadensersatz leisten.<\/p>\n In letzter Konsequenz k\u00f6nnte dies bedeuten, dass die ganzen Banking-Apps, die auf Zweifaktor-Authentifizierung setzen, eingestampft werden m\u00fcssen, weil bei Schadensf\u00e4llen kein Anscheinsbeweis von der Bank erbracht werden kann. Anscheinsbeweis bedeutet, die Bank kann argumentieren \"unsere Banking-App ist sicher, der Fehler muss beim Kunden liegen, der hat die Transaktion, die zum Schadensfall f\u00fchrte, selbst autorisiert\". <\/p>\n Laut Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG)<\/a> erfordert aber eine sichere Authentifizierung wenigstens zwei voneinander unabh\u00e4ngige Elemente, was aber bei einer Banking-App nicht gegeben ist. Da die Richter in obigem Fall das Push-TAN-Verfahren als unsicher im Hinblick auf einen Anscheinsbeweis eingestuft haben, m\u00fcssten die Banken nun von ihren Banking-Apps abr\u00fccken und andere Verfahren zur Transaktionssicherung anbieten. Diese gibt es ja mit den TAN-Generatoren, die beim Online-Banking am Browser genutzt werden k\u00f6nnen und bei vielen Banken zus\u00e4tzlich eine Bankkarte zur Autorisierung am TAN-Generator erfordern (siehe folgende Artikel). <\/p>\n \u00c4hnliche Artikel Fallen die Banken mit ihrem Push-TAN-Verfahren beim Online-Banking auf die Nase? Ein Gerichtsurteil, welches in einem Betrugsfall gefallen ist, k\u00f6nnte die Banken in Bredouille bringen, denn der Ansatz, die Transaktionen per Push-TAN-Verfahren in einer App auf einem Ger\u00e4t freizuschalten, wurde … Weiterlesen Gericht stuft Push-TAN als unsicher ein<\/h2>\n
![\"Push-TAN-Verfahren](\"https:\/\/i.postimg.cc\/ZRyx4PbZ\/image.png\"\/ "\\"Push-TAN-Verfahren")
<\/a><\/p>\n\n
<\/strong>Postbank: App und\/oder SealOne statt chipTAN<\/a> \u2013 Teil 1
<\/a>Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein<\/a> \u2013 Teil 2
<\/a>Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens<\/a> \u2013 Teil 3
<\/a>Online-Banking und Apps: Was die Kunden w\u00fcnschen<\/a> \u2013 Teil 4<\/a>
Online-Banking und die Sicherheit von Banking-Apps<\/a> \u2013 Teil 5
Online-Banking und Absicherung per chipTAN USB<\/a> \u2013 Teil 6
Online-Banking: mTAN und Banking-Apps unsicher<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"