Der Bundesgerichtshof (BGH) hat aktuell ein Urteil im Hinblick auf erhobene Gebühren für das Verwenden sogenannter SMS-TANs gesprochen. Die Erhebung der Gebühren durch Banken ist nur in bestimmten Fällen zulässig.
Anzeige
Geklagt hatte die Verbraucherzentrale Bundesverband (vzbv), weil die Kreissparkasse in Groß-Gerau zehn Cent für jede von ihr verschickte SMS-TAN forderte. Die Argumentation der vzbv: Dies sei nicht rechtens, weil deren Sparkassen-Kunden mit einer Pauschalgebühr von 2 Euro pro Konto bereits Gebühren zahlten.
Das BGH entschied nun (Az. XI ZR 260/15), dass die SMS-TAN, die auf das Handy des Kunden geschickt und dann zur Freigabe der Transaktion auf dem Konto verwendet wird, nur dann berechnet werden darf, wenn die TAN auch für diesen Fall verbraucht wird. Verwirft der Kunde die SMS-TAN, weil er beispielsweise Phishing befürchtet, es technische Probleme gibt oder die Transaktion wegen Zeitüberschreitung abgebrochen wird, darf die SMS mit der TAN nicht berechnet werden.
Zum Hintergrund – SMS-TAN vermeiden!
Beim SMS-TAN-Verfahren (auch mTAN für Mobile-TAN genannt) führt der Kunde sein Online-Banking in einem Browser am Computer aus. Um eine Überweisung oder eine andere Transaktion zu authentifizieren, ist eine Transaktionsnummer (kurz TAN) erforderlich. Diese TAN erhält der Online-Banking-Kunde per SMS auf eine von ihm angegebene Handy-Nummer. Die TAN ist vom Gerät abzulesen und im Browser im Online-Banking-Eingabeformular einzutippen. Nur dann wird die sogenannte Transaktion ausgeführt.
Durch die getrennten Geräte (Computer für Online-Banking, Handy zum Empfang der TAN) kommt eine sogenannte Zwei-Faktor-Authentifizierung zum Einsatz, was als besonders sicher angepriesen wird. In der Praxis ist dieser Sicherheitsaspekt aber eine Mär und ich rate von deren Verwendung ab (siehe auch Online-Banking: mTAN und Banking-Apps unsicher).
- Einmal gibt es leider die Tendenz, dass sogenannte Banking-Apps angepriesen werden. Dort ist das Smartphone für die Überweisung zuständig, erhält aber gleichzeitig die SMS-TAN. Damit wird die Zwei-Faktor-Authentifizierung unterbrochen.
- Die zweite Schwachstelle liegt darin, dass die SMS-Übertragung zum Handy durch Sicherheitslücken manipuliert und die Nachricht umgeleitet oder gefälscht werden kann.
In der Vergangenheit kam es dadurch immer wieder zu Fällen, wo dieser Sicherheitsmechanismus ausgehebelt wurde (siehe beispielsweise meinen Blog-Beitrag Online-Banking: Finger weg von mTANs – Konten gehackt).
Was beim Online-Banking verwenden?
Wer Online-Banking macht, das ist schon recht komfortabel, sollte einen wirklich sicheren Ansatz wählen, bei dem auch ein Virenbefall auf dem Buchungsrechner die Transaktionen vor Manipulationen schützt. Hier empfehle ich den Einsatz eines TAN-Generators in Verbindung mit der EC-Karte. Was dahinter steckt, habe ich im Blog-Beitrag Online-Banking: mTAN und Banking-Apps unsicher erklärt. Das leidige Thema Gebühren für SMS-TANs hat man damit auch umgangen und man braucht kein Handy zum Online-Banking. Ob man auf HBCI-Lesegeräte setzt, muss jeder selbst entscheiden – nach meinem Dafürhalten hat sich dieser Ansatz bisher nicht wirklich durchgesetzt und ist in vielen Fällen zu aufwändig. Nachtrag: Gerade gesehen, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) ähnliche Empfehlungen ausspricht. In diesem Artikel finden sich diesbezüglich einige Hinweise.
Ähnliche Artikel:
Ratgeber und Informationen
Online-Banking: mTAN und Banking-Apps unsicher
Online-Banking: Finger weg von mTANs – Konten gehackt
Warnung: Phishing-Angriff auf Online-Banking-Kunden
Online-Banking: App-TANs (u.a. der Sparkassen) unsicher
Online-Banking-Betrug bei Telekom-Mobilfunkkunden
Timba: Trojaner prellt Online-Banking-Kunden
Warnung vor Banking-Trojanern
