{"id":313582,"date":"2025-07-16T00:01:17","date_gmt":"2025-07-15T22:01:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313582"},"modified":"2025-07-16T13:00:23","modified_gmt":"2025-07-16T11:00:23","slug":"olg-urteil-s-pushtan-fuer-transaktions-authentifizierung-unzureichend","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/16\/olg-urteil-s-pushtan-fuer-transaktions-authentifizierung-unzureichend\/","title":{"rendered":"OLG-Urteil: S-PushTAN f\u00fcr Transaktions-Authentifizierung unzureichend"},"content":{"rendered":"

\"Paragraph\"Das von Sparkasse beim Online-Banking eingesetzte S-PushTAN-Verfahren ist f\u00fcr die Absicherung von Transaktionen unzureichend. Das hat das OLG-Dresden in einem Urteil festgestellt und einem Phishing-Opfer, welches grob fahrl\u00e4ssig handelte, einen Teil-Schadensersatz zugesprochen.<\/p>\n

<\/p>\n

Das S-PushTAN-Verfahren der Sparkassen<\/h2>\n

\"\"Das S-PushTAN-Verfahren wird beim Online-Banking mit der S-PushTAN-App der Sparkassen zur Absicherung von Transaktionen bei Auftr\u00e4gen verwendet.<\/p>\n

\"S-PushTAN<\/h2>\n

Gem\u00e4\u00df obigem Screenshot von der Seite des Sparkassenverband wird dieses Verfahren als Non-Plus-Ultra mit hoher Sicherheit beim mobilen Banking mit jedem Endger\u00e4t gepriesen. Man kann auch Internet-Kartenzahlungen und telefonische Identifikationen durchf\u00fchren.<\/p>\n

Der Pferdefu\u00df, warum ich pers\u00f6nlich das nicht nutze: Man hat keine Zweifaktor-Absicherung \u00fcber zwei Ger\u00e4te, weil alles in der S-PushTAN-App der Sparkasse erfolgt. Ich nutze daher weiterhin einen separaten TAN-Generator zum Online-Banking. Aber viele Banken segeln mit ihren Banking-Apps auf dieser Schiene.<\/p>\n

Der Sachverhalt: Grob fahrl\u00e4ssiges Kundenverhalten<\/h2>\n

Ein Sparkassen-Kunde war auf einen Phishing-Mail hereingefallen, die ihm suggerierte, dass das Online-Banking aktualisiert werde und daf\u00fcr Anpassungen notwendig seien. Das Opfer glaubte, die Mail sei vom \"Kundenservice\" seiner Sparkasse und folgte dem in der Phishing-Mail angegebenen URL.<\/p>\n

Phishing-Mail und Freigabe von Auftr\u00e4gen<\/h3>\n

Auf einer Fake-Seite, die ein Sparkassen-Login vorgaukelte, gab er die Zugangsdaten f\u00fcr sein Online-Konto bei der Sparkasse an. Die Betr\u00fcger fischten diese Zugangsdaten ab.\u00a0Drei Tage nach dem Besuch der Fake-Anmeldeseite erhielt das Opfer einen ersten Anruf, in denen er vermeintlich Auftr\u00e4ge seiner Sparkasse best\u00e4tigen musste. Die Beschreibung bei Beck<\/a>, die das OLG-Urteil wiedergibt, enth\u00e4lt die Information, dass das Opfer durch die Anrufer veranlasst wurde, zwei Auftr\u00e4ge zu best\u00e4tigen. Mit diesem Vorgang erh\u00f6hten die T\u00e4ter das Tageslimit f\u00fcr \u00dcberweisungen und transferierten 24.422 Euro auf ein unbekanntes Konto. Gleichzeitig wurden die Zugangsdaten f\u00fcr das Online-Banking ge\u00e4ndert.<\/p>\n

Einen Tag sp\u00e4ter gab es einen angek\u00fcndigter weiteren Anruf, bei dem das Opfer wieder zwei Auftr\u00e4ge per S-PushTAN best\u00e4tigen musste. Erneut wurde das Tagelimit erh\u00f6ht und die T\u00e4ter konnten erneut 24.422 Euro auf ein unbekanntes Konto transferieren.<\/p>\n

Wiederholt grob fahrl\u00e4ssiges Verhalten des Kunden<\/h3>\n

Hier wurde gleich mehrere Male vom Kunden grob fahrl\u00e4ssig gehandelt. Die Kommunikation zwischen Sparkasse und Kunde l\u00e4uft immer \u00fcber das Postfach seines Kundenkontos (jedenfalls kenne ich das nicht anders). Er h\u00e4tte niemals \u00fcber den Anmeldelink einer Mail auf die \"Sparkassen-Seite\" gehen d\u00fcrfen. Dann zum Zugriff auf das Postfach des Kundenkontos muss man in der Sparkassen-App oder beim Online-Banking im Browser angemeldet sein.<\/p>\n

Ein Bankmitarbeiter wird meiner Kenntnis nach auch niemals Transaktionen des Kunden auf die oben beschriebene Weise durchf\u00fchren. Weiterhin ist anzuf\u00fchren, dass das Opfer nach dem ersten Anruf nicht versuchte, seine Konten per Online-Banking zu \u00fcberpr\u00fcfen. Dann w\u00e4ren die ge\u00e4nderten Zugangsdaten und der f\u00fcr das Opfer gesperrte Online-Zugang aufgefallen.<\/p>\n

Als letztes geht mir noch der Gedanke: Da hat jemand viel Asche auf seinem Konto liegen gehabt, dass die Betr\u00fcger fast 50.000 Euro abbuchen konnten. Und mit der Assoziation \"viel Asche\" geht mir noch \"da kann der Kunde eigentlich nicht so naiv sein\" durch den Kopf. Aber wie warb bereits Toyota: \"Nichts ist unm\u00f6glich\".<\/p>\n

Betrug fliegt auf, Kunde will Geld von der Sparkasse<\/h3>\n

Etwa zwei Wochen sp\u00e4ter habe das Opfer, ein Mann, bemerkt, dass er sich nicht mehr\u00a0 in seiner S-PushTAN-App der Sparkasse einloggen konnte. Er kontaktierte seine Sparkasse, und wurde von dieser \u00fcber die Kontobewegungen informierte.<\/p>\n

Das Opfer wollte sein Geld von der Sparkasse zur\u00fcck und argumentierte, er habe die Zahlungen nicht autorisiert. Er habe auch nicht grob fahrl\u00e4ssig gehandelt, jedenfalls hafte er der Sparkasse nicht, weil sie beim Einloggen in das Online-Banking keine starke Kundenauthentifizierung verlange.<\/p>\n

Juristischer Weg bis zum OLG Dresden<\/h2>\n

So aus dem hohlen Bauch ging mir der Gedanke: \"Da hilft nur lernen durch Schmerzen\" durch den Kopf. Denn das Opfer hat mehrfach nicht nur arg blau\u00e4ugig, sondern auch grob fahrl\u00e4ssig gehandelt. Das Landgericht Chemnitz<\/span> wies die Klage auf Erstattung des Schaden denn auch ab.\u00a0Das Opfer legte \u00fcber seinen Anwalt Berufung gegen dieses Urteil ein, so dass das Verfahren vor dem Oberlandesgericht in Dresden landete.<\/p>\n

S-Push-TAN-Verfahren nicht sicher<\/h3>\n

Der Leserschaft dieses Blogs ist klar, dass das S-PushTAN-Verfahren mit einer App, in der Banking-Vorg\u00e4nge angesto\u00dfen und gleichzeitig autorisiert werden, nicht wirklich als sicher zu erachten ist, da der zweite Faktor fehlt.<\/p>\n

S-Push-TAN-Verfahren keine starke Kundenauthentifizierung<\/span><\/h3>\n

Nun bin ich kein Jurist – und dort kommt es oft auf Feinheiten an. Vor dem OLG Dresden konnte der Kl\u00e4ger dann einen Teilerfolg verbuchen. Die Richter urteilten am\u00a005.06.2025 (Az. 8 U 1482\/24), dass die betreffende Sparkasse trotz grober Fahrl\u00e4ssigkeit des Kunden beim Phishing-Angriff haften muss. Die Begr\u00fcndung: <\/span>Das Gericht sah eine Mitverantwortung der Bank, da diese beim Login ins Online-Banking keine starke Kundenauthentifizierung implementiert hatte und somit gegen europ\u00e4ische Sicherheitsanforderungen verstie\u00df.<\/span><\/p>\n

Laut Beck nimmt das OLG Dresden an, dass der Mann die Zahlungen nicht autorisiert hat, sodass er zun\u00e4chst gem\u00e4\u00df\u00a0\u00a7\u00a0675u\u00a0S. 2 BGB<\/span> einen Anspruch auf Erstattung des vollen, von seinem Konto \u00fcberwiesenen Betrags habe. Die Richter erkennen zwar an, dass die Sparkasse die Authentifizierung des Kl\u00e4gers durch technische Protokolle nachgewiesen\u00a0 habe (\u00a7\u00a0675w\u00a0Abs.\u00a01\u00a0S. 1 BGB<\/span>). Und dann kommt der juristische Knackpunkt: Einen etwaigen daraus folgenden Anscheinsbeweis f\u00fcr die Autorisierung habe der Mann aber mit der Schilderung des Phishing-Angriffs ersch\u00fcttert. Sicherheitsm\u00e4ngel im Online-Banking der Bank m\u00fcssten daf\u00fcr vom Kl\u00e4ger nicht dargelegt werden.<\/p>\n

Dass der Kl\u00e4ger den Schaden nur teilweise von der Sparkasse ersetzt bekommen soll, begr\u00fcnden die Richter mit dem grob fahrl\u00e4ssigen Verhalten und Verletzung der Sorgfaltspflichten des Kl\u00e4gers. Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf (Verifizierung, Anrufe, mehrfache Freigaben in der S-PushTAN-App) h\u00e4tten den Kl\u00e4ger argw\u00f6hnisch machen m\u00fcssen.<\/p>\n

Die Richter argumentieren, dass Phishing bekannt und in den Medien ein pr\u00e4sentes Thema sei. Zudem habe die Sparkasse in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Au\u00dferdem m\u00fcsse es im Allgemeinen jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht f\u00fcr eine angebliche Aktualisierung genutzt werden d\u00fcrfe.<\/p>\n

Das OLG lastet der Sparkasse wegen des Fehlens der aufsichtsrechtlich – auch beim Online-Zugriff – vorgeschriebenen starken Kundenauthentifizierung ein Mitverschulden von 20% an. Die Sparkasse muss ihrem Kunden daher 9.768,80 Euro des entstandenen Schadens ersetzen. Eine Revision des Urteils hat das OLG nicht zugelassen.<\/p>\n

Spannend wird es, die Folgen zu beobachten<\/h2>\n

Aus meiner Sicht dr\u00e4ngt sich nun die Frage nach den Folgen dieses Urteils auf. Werden die Banken ihr Online-Banking entsprechend umstellen und auf S-PushTAN oder gleichwertige Verfahren in ihren Online-Banking-Apps verzichten? Man wird es abwarten m\u00fcssen – es ist eine Einzelfall-Entscheidung und mit einem \"Schaden f\u00fcr die Sparkasse\" unter 10.000 Euro eigentlich \"Peanuts\" (um mit Deutsche Bank Vorstand Hilmar Kopper zu sprechen).<\/p>\n

Das Urteil des OLG-Dresden kommt \u00fcbrigens nicht aus dem \"luftleeren Raum\". Als ich hier<\/a> erstmals \u00fcber das Urteil las, ging mir \"da war doch mal was\" durch den Kopf. Wie so oft wusste mein Blog bei einer kurzen Suche Rat. Im Oktober 2023 hatte ich das Thema schon mal im Blog-Beitrag\u00a0Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein<\/a> aufgegriffen. Dort hatte ich die Fallstricke des Push-TAN-Verfahrens der Banken und ein Urteil\u00a0 der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ\u00a0Bm 6 O 10\/23<\/a>) aufgegriffen. Die Kammer hatte das Push-TAN-Verfahren wegen fehlende Zweifaktor-Authentifizierung als unsicher eingestuft.<\/p>\n

Da sich seit diesem Urteil nichts getan hat, sagt mein Bauchgef\u00fchl, dass auch das OLG Dresden mit seinem Urteil keine Schockwellen durch die deutschen Banken-Lande geschickt hat. Allerding: Die Zahl der Phishing-Opfer mit entsprechenden Sch\u00e4den steigt – die Zahl der F\u00e4lle, wo Banken dann, trotz fahrl\u00e4ssigem Verhalten ihrer Kunden, haften m\u00fcssen, k\u00f6nnte steigen.<\/p>\n

Das Urteil ist \u00fcbrigens kein Freibrief f\u00fcr Bankkunden, unachtsam bez\u00fcglich Phishing zu werden. Bei jedem Schadensfall wird ein Opfer, zumindest nach meiner Einsch\u00e4tzung nach, klagen m\u00fcssen.<\/p>\n

F\u00fcr die Betriebswirtschaftler in den Zentralen der Sparkassen ist es dann ein Rechenbeispiel: Wie viele Sch\u00e4den muss ich im Jahr begleichen, und wie viele Kunden gehen mir als Bank verloren, wenn mein Online-Banking nicht genau so attraktiv wie der Ansatz der vielen Online- und Neobanken ist?<\/p>\n

\u00c4hnliche Artikel
\n<\/strong>Postbank: App und\/oder SealOne statt chipTAN<\/a>\u00a0\u2013 Teil 1
\n<\/a>Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein<\/a>\u00a0\u2013 Teil 2
\n<\/a>Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens<\/a>\u00a0\u2013 Teil 3
\n<\/a>Online-Banking und Apps: Was die Kunden w\u00fcnschen<\/a>\u00a0\u2013 Teil 4<\/a>
\nOnline-Banking und die Sicherheit von Banking-Apps<\/a>\u00a0\u2013 Teil 5
\nOnline-Banking und Absicherung per chipTAN USB<\/a>\u00a0\u2013 Teil 6
\nOnline-Banking: mTAN und Banking-Apps unsicher<\/a><\/p>\n

Der Fail der Banken beim Online-Banking \u2013 Teil 1<\/a>
\nFail der Ing beim Online-Banking \u2013 Teil 2<\/a><\/p>\n

Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein<\/a>
\nDatenleck bei Postbank und Deutscher Bank; ING und Comdirect<\/a>
\nMOVEit-Datenleck: Neben Postbank\/Deutscher Bank auch ING und Comdirect betroffen<\/a><\/p>\n

Geh\u00e4rteter Online-Banking-Browser S-Protect, ein Totalausfall?<\/a>
\nNachlese: Geh\u00e4rteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse<\/a>
\nOnline-Banking: mTAN \u00fcber SS7\/UMTS gehackt, Konten abger\u00e4umt<\/a>
\nVorsicht vor App-TANs beim Online-Banking<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Das von Sparkasse beim Online-Banking eingesetzte S-PushTAN-Verfahren ist f\u00fcr die Absicherung von Transaktionen unzureichend. Das hat das OLG-Dresden in einem Urteil festgestellt und einem Phishing-Opfer, welches grob fahrl\u00e4ssig handelte, einen Teil-Schadensersatz zugesprochen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3727,4328],"class_list":["post-313582","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-banking","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313582","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313582"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313582\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313582"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313582"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313582"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}