Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Handy - Navigation Erhöhtes Gefährdungspotential: PushTAN- und Banking-App auf einem Smartphone

Interessante Diskussion vor dem Landgericht Heilbronn. Die Richter haben entschieden, dass die Banking-App und die pushTAN-App auf einem Handy bezüglich der Sicherheitsaspekte unzureichend sind. Hintergrund: Ein Bankkunde wurde über das Telefon mithilfe von Social Engineering dazu gebracht, persönliche Dateien preiszugeben:

Der Anrufer stellte sich als Mitarbeiter der IT-Abteilung der Beklagten vor, der Anruf erfolgte von einer Festnetznummer aus dem Bereich Heilbronn. Der vermeintliche Mitarbeiter der Bank teilte dem Kläger nach dessen Angaben telefonisch mit, ein Dritter habe unbefugter Weise versucht, den Kreditrahmen des Klägers auf 10.000 € zu erhöhen und zwei Zahlungen seien durch Dritte getätigt worden. Der Anrufer habe dabei vorgegeben, es würde eine TAN für die Rückführung des Kreditrahmens und jeweils eine für das Rückgängigmachen der Zahlungen benötigt werden. Der Kläger nahm an, mit einem Angestellten der Beklagten zu telefonieren und gab daher telefonisch die angeforderten TAN an den Anrufer weiter.

Danach fehlte jede Menge Geld auf dem Konto des Angerufenen, er erstattete Anzeige und bat die Bank um Übernahme des Schadens. Die Bank lehnte ab, der Kunde habe die erforderlichen Sorgfaltspflichten nicht eingehalten. Beide Apps würden laut Auslegung des Gerichts auf einem Smartphone ein erhöhtes Gefährdungspotential aufweisen, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt. Daher liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen vor. Das genutzte Verfahren sei daher nicht besser als das traditionelle TAN-Verfahren.

Gericht-520x292.jpg

Quelle; caschy
 
Zum Vergrößern anklicken....
Meine Güte, jede Software ist nur so sicher wie der, der diese benutzt.
Dummheit kann man nicht absichern, zumal immer wieder davor gewarnt wird, das niemals Bankangestellte von einem Kunden telefonisch persönliche Daten, wie Tan oder Pin verlangen!
Außerdem müssten mit gesundem Menschenverstand alle Warnglocken angehen, wenn jemand, den man nicht einmal kennt, am Telefon eine Tan verlangt, um angeblich eine Rückbuchung zu tätigen.
 
Bei diesem Urteil geht es um eine grundsätzlichere Frage:

Wenn man ein Gerät, welches sich prinzipiell und sogar aus der Ferne durch eine bösartige App hacken lässt, nämlich ein Smartphone, zur Generierung der TANs verwendet, und auf dem gleichen Gerät dann auch noch die Banking-App nutzt, handelt man grob fahrlässig. Und diese Fahrlässigkeit fiel dem hier betroffenen Verbraucher vor die Füße. Zur Generierung von TANs sollte ausschließlich ein Gerät verwendet werden, welches auf keine Art und Weise von außen manipuliert werden kann, ohne das man dies, zum Beispiel durch ein gebrochenes Siegel, bemerken würde. Und diese Vorraussetzung erfüllen nur separate und aus seriösen Quellen gekaufte TAN-Generatoren. Leider gibt es immer noch Bankmitarbeiter als auch Verbraucher, welche aus falscher Sparsamkeit stattdessen eine App auf dem Smartphone zur TAN-Generierung empfehlen bzw. nutzen.
 
Ich habe auf meinem Handy auch beides installiert, allerdings funktioniert die App meiner Bank, die für Tan zuständig ist, erstens nur mit Fingerabdruck und zweitens, muss ich erst die Abbuchung oder Überweisung bestätigen, danach kann ich erst, wieder mit Fingerabdruck, die Tan dafür generieren!
Im Übrigen kommt die App, von der Bank!
 
Für die Dummheit des Kunden …
Aber das 2 Banking Apps auf dem gleichen Gerät grundsätzlich eine grobes fahrlässiges handeln darstellen ist erstmal nicht haltbar. Es muss sich auch angeschaut werden, wie die einzelnen Apps abgesichert sind. Wenn jede App individuell abgesichert Ist schon beim öffnen, dann ist es Grundsätzlich sicher.
 
Es soll ja alles einfacher werden. Nur die Taschen für die vielen Handys werden größer weil ja jede App auf einem anderen Handy sein soll. Wenn wenigstens vernünftige kleine tragbare Tan Generatoren entwickelt werden die man der holden in die Handtasche schmeißen kann, aber stopp... ich glaube das Ding bräuchte unterwegs auch noch Internet und wäre anfällig für ... ihr wisst schon.
 
Ich habe nur mal eine Frage zu dem Fall.
Auch wenn der Geschädigte beide Apps auf dem Handy hatte, hat es doch nichts mit der Dummheit des Geschätigten zu tun.
Aus dem oberen Text entnehme ich das jemand bei ihm Angerufen hat und er ihm telefonisch die TAN gegeben hat.
Das ist grob Fahrlässig !!!!
Warum müssen dann noch Richter bemüht werden.
Er hätte die TAN auch weiter gegeben wenn er einen Externen TAN Generator gehabt hätte.
 
Ja, das ist etwas verwirrend dargestellt.
Eigentliches Thema war eben die Geschichte mit der Weitergabe einer Tan über das Telefon.
Das Gericht legte ja nur die "Erhöhte Gefährdungspotenzial" dar, wenn man beide App auf dem gleichen Handy hat, was ich quatsch finde, wenn es richtig abgesichert ist und der Mensch, der es bedient, nicht so dumm ist und leichtgläubig eine Tan, einer wildfremden Person weiter gibt.
 
Noch besserer Geheim Tipp. ;)
Kein Limit und kein Geld auf dem Konto lassen.
Limit kostet Geld in form von Überziehung {Zinsen} und das Geld gehört einen erst wenn man es in den Händen haltet.
Problem gelöst. :)
 
Onlinebanking: Gericht hält Push-TAN-Verfahren für unsicher

Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an.

178689-407947-407946_rc.jpg
Von jeder Bank aus Geldgeschäfte zu tätigen, kann gefährlich sein. (Symbolbild) (Bild: Pixabay)

Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.

Im konkreten Fall war ein Kunde auf einen Telefonbetrüger hereingefallen, der sich als Mitarbeiter der IT-Abteilung von dessen Bank ausgegeben hatte. Der Betrüger behauptete, dass auf dem Konto des Kunden das Überweisungslimit erhöht und zwei hohe Zahlungen vorgenommen worden seien. Daher benötigte er drei TAN-Nummern, um diese Vorgänge wieder rückgängig zu machen. Der Kunde generierte die drei TAN-Nummern anschließend auf der SecureGo-App der Bank und bestätigte zwei betrügerische Überweisungen.

In seinem Urteil vom 16. Mai 2023, dessen schriftliche Begründung vor kurzem veröffentlicht wurde, wies das Landgericht Heilbronn die Klage des Kunden gegen die Bank zurück. Dieser habe sich "grob fahrlässig" verhalten, weil er die TAN-Nummern telefonisch weitergegeben habe. Es leuchte "jedem ein, dass Onlinebanking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet", schreibt das Gericht zur Begründung.

Keine "sehr hohe Sicherheit"

Allerdings stellt es auch fest: "Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt."

Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen im Sinne von Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von Paragraf 675w Bürgerliches Gesetzbuch (BGB) erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

Experten kritisierten Push-TAN-Verfahren

Der Anscheinsbeweis spielt eine wichtige Rolle bei Streitfragen im Onlinebanking. Einem Urteil des Bundesgerichtshofs (BGH) vom Januar 2016 zufolge ist die Voraussetzung für die Anwendung eines solches Beweises, "dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen".

Sicherheitsexperten haben jedoch vor einigen Jahren das Push-TAN-Verfahren als unsicher bezeichnet. So erläuterte der Erlanger Student Vincent Haupert auf dem 32C3 im Dezember 2015, wie er zum wiederholten Male das Push-TAN-System der Sparkasse hackte.

Allerdings ist aus dem Prozess vor dem Landgericht Heilbronn nicht hervorgegangen, wie die Betrüger an die Zugangsdaten des Kunden gelangten, wozu unter anderem eine sechsstellige Pin gehört. "Direkt nach dem vorgenannten Vorfall habe er sein Smartphone nach entsprechender Schadsoftware untersuchen lassen, Schadsoftware sei dort allerdings nicht zu erkennen gewesen", schreibt das Gericht. Der Kunde behauptete demnach, die Betrüger hätten die Kenntnis der Zugangsdaten "lediglich aufgrund eines Datenlecks bei der Beklagten erlangen können".

Dass Gerichte in solchen Fällen auch anders urteilen können, zeigt ein aktueller Fall des Amtsgerichts Gifhorn.

Sparkasse kann fahrlässige Nutzung nicht nachweisen

Nach Angaben der Rechtsanwältin Angelika Jackwerth rief bei einem Ehepaar aus Gifhorn ebenfalls ein Telefonbetrüger an. Doch das Ehepaar behauptete, gleich misstrauisch geworden zu sein und das Gespräch abgebrochen zu haben.

"Kurz danach leuchtete die S-Push-Tan, die im Onlinebanking zur Authentifizierung von Überweisungen genutzt wird, auf dem Smartphone der Betroffenen auf. Dabei wurde ein Betrag in Höhe von 4.491,25 Euro angezeigt. Das Paar schloss die App sofort und verneinte eine Freischaltung für eine Überweisung des angezeigten Betrags", schreibt die Anwältin. Dennoch sei Geld abgebucht worden.

Das Gericht gab der Klage des Ehepaars gegen die Bank statt. Die Sparkasse könne sich nicht auf den sogenannten Anscheinsbeweis berufen, da der Empfänger den Betroffenen gänzlich unbekannt gewesen sei, heißt es. Auch habe die Sparkasse nicht beweisen können, dass das Ehepaar die Pin oder TAN fahrlässig weitergegeben habe, so dass diese kein Verschulden treffe. Das Urteil vom 9. Oktober 2023 (Az. 33 C 575/22) ist jedoch noch nicht rechtskräftig.

Quelle; golem
 

Ähnliche Themen

josef.13
  • Artikel
Handy - Navigation LKA-Warnung: Betrüger stehlen Kreditkarten-Infos für Zahlungen per Handy
Antworten
2
Aufrufe
870
jungblume2005
jungblume2005
josef.13
  • Artikel
PC & Internet Online-Banking-Betrug: Opfern jeweils ca. 100.000 Euro abgebucht
Antworten
1
Aufrufe
1K
Mounti
M
josef.13
  • Artikel
Handy - Navigation Google erzwingt Zwei-Faktor-Authentifizierung für alle - das müssen Sie wissen
Antworten
0
Aufrufe
2K
josef.13
josef.13
josef.13
  • Artikel
PC & Internet Online-Shopping – So reklamieren Sie richtig
Antworten
0
Aufrufe
2K
josef.13
josef.13
josef.13
  • Artikel
PC & Internet Neue Regeln für Online-Zahlungen: Was auf Bankkunden zukommt
Antworten
4
Aufrufe
7K
barste
B
Zurück
Oben