Handy - Navigation Erhöhtes Gefährdungspotential: PushTAN- und Banking-App auf einem Smartphone

edgonzo · 11. Oktober 2023

Meine Güte, jede Software ist nur so sicher wie der, der diese benutzt.
Dummheit kann man nicht absichern, zumal immer wieder davor gewarnt wird, das niemals Bankangestellte von einem Kunden telefonisch persönliche Daten, wie Tan oder Pin verlangen!
Außerdem müssten mit gesundem Menschenverstand alle Warnglocken angehen, wenn jemand, den man nicht einmal kennt, am Telefon eine Tan verlangt, um angeblich eine Rückbuchung zu tätigen.

Picobot · 12. Oktober 2023

Bei diesem Urteil geht es um eine grundsätzlichere Frage:

Wenn man ein Gerät, welches sich prinzipiell und sogar aus der Ferne durch eine bösartige App hacken lässt, nämlich ein Smartphone, zur Generierung der TANs verwendet, und auf dem gleichen Gerät dann auch noch die Banking-App nutzt, handelt man grob fahrlässig. Und diese Fahrlässigkeit fiel dem hier betroffenen Verbraucher vor die Füße. Zur Generierung von TANs sollte ausschließlich ein Gerät verwendet werden, welches auf keine Art und Weise von außen manipuliert werden kann, ohne das man dies, zum Beispiel durch ein gebrochenes Siegel, bemerken würde. Und diese Vorraussetzung erfüllen nur separate und aus seriösen Quellen gekaufte TAN-Generatoren. Leider gibt es immer noch Bankmitarbeiter als auch Verbraucher, welche aus falscher Sparsamkeit stattdessen eine App auf dem Smartphone zur TAN-Generierung empfehlen bzw. nutzen.

edgonzo · 12. Oktober 2023

Ich habe auf meinem Handy auch beides installiert, allerdings funktioniert die App meiner Bank, die für Tan zuständig ist, erstens nur mit Fingerabdruck und zweitens, muss ich erst die Abbuchung oder Überweisung bestätigen, danach kann ich erst, wieder mit Fingerabdruck, die Tan dafür generieren!
Im Übrigen kommt die App, von der Bank!

conga · 12. Oktober 2023

Für die Dummheit des Kunden …
Aber das 2 Banking Apps auf dem gleichen Gerät grundsätzlich eine grobes fahrlässiges handeln darstellen ist erstmal nicht haltbar. Es muss sich auch angeschaut werden, wie die einzelnen Apps abgesichert sind. Wenn jede App individuell abgesichert Ist schon beim öffnen, dann ist es Grundsätzlich sicher.

Mounti · 12. Oktober 2023

Es soll ja alles einfacher werden. Nur die Taschen für die vielen Handys werden größer weil ja jede App auf einem anderen Handy sein soll. Wenn wenigstens vernünftige kleine tragbare Tan Generatoren entwickelt werden die man der holden in die Handtasche schmeißen kann, aber stopp... ich glaube das Ding bräuchte unterwegs auch noch Internet und wäre anfällig für ... ihr wisst schon.

Garfield51 · 12. Oktober 2023

Früher gab es TAN Listen, die waren sicher und gut.
Dieser ganze neumoderne Kram ist Müll.
Mein Mobiltelefon bekommt die erste zu gesendete TAN schon mal nicht, muss immer erneut anfordern.
Auch wenn es nicht wie 99% der Zeit im Flugmodus ist.

andigerni · 12. Oktober 2023

Ich habe nur mal eine Frage zu dem Fall.
Auch wenn der Geschädigte beide Apps auf dem Handy hatte, hat es doch nichts mit der Dummheit des Geschätigten zu tun.
Aus dem oberen Text entnehme ich das jemand bei ihm Angerufen hat und er ihm telefonisch die TAN gegeben hat.
Das ist grob Fahrlässig !!!!
Warum müssen dann noch Richter bemüht werden.
Er hätte die TAN auch weiter gegeben wenn er einen Externen TAN Generator gehabt hätte.

edgonzo · 12. Oktober 2023

Ja, das ist etwas verwirrend dargestellt.
Eigentliches Thema war eben die Geschichte mit der Weitergabe einer Tan über das Telefon.
Das Gericht legte ja nur die "Erhöhte Gefährdungspotenzial" dar, wenn man beide App auf dem gleichen Handy hat, was ich quatsch finde, wenn es richtig abgesichert ist und der Mensch, der es bedient, nicht so dumm ist und leichtgläubig eine Tan, einer wildfremden Person weiter gibt.

conga · 13. Oktober 2023

Schon eigenartig wie Themen miteinander verknüpft werden. [Ironie AN] Warnung! Wenn Sie über den Zebra Streifen gehen, besteht die Gefahr, dass Sie angefahren werden. [Ironie Aus]

Deleted member 1100339 · 13. Oktober 2023

Pass* Geheim tipp.
Einfach der DispoLimit ausreizen,dann ist 1000% sicher,das es NICHTS,aber garnicht abgebucht wird, egal welche TAN Verfahren

edgonzo · 13. Oktober 2023

Noch besserer Geheim Tipp.

Kein Limit und kein Geld auf dem Konto lassen.
Limit kostet Geld in form von Überziehung {Zinsen} und das Geld gehört einen erst wenn man es in den Händen haltet.
Problem gelöst.

josef.13 · 22. Oktober 2023

Onlinebanking: Gericht hält Push-TAN-Verfahren für unsicher

Ein Gerichtsurteil zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an.

Du musst Regestriert sein, um das angehängte Bild zusehen.

Von jeder Bank aus Geldgeschäfte zu tätigen, kann gefährlich sein. (Symbolbild) (Bild: Pixabay)

Die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte könnte für Banken künftig zum Problem werden. Denn das Landgericht Heilbronn erklärte in einem Urteil zu einem Betrug beim Onlinebanking, dass das sogenannte Push-TAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" (Bm 6 O 10/23). Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.

Im konkreten Fall war ein Kunde auf einen Telefonbetrüger hereingefallen, der sich als Mitarbeiter der IT-Abteilung von dessen Bank ausgegeben hatte. Der Betrüger behauptete, dass auf dem Konto des Kunden das Überweisungslimit erhöht und zwei hohe Zahlungen vorgenommen worden seien. Daher benötigte er drei TAN-Nummern, um diese Vorgänge wieder rückgängig zu machen. Der Kunde generierte die drei TAN-Nummern anschließend auf der SecureGo-App der Bank und bestätigte zwei betrügerische Überweisungen.

In seinem Urteil vom 16. Mai 2023, dessen schriftliche Begründung vor kurzem veröffentlicht wurde, wies das Landgericht Heilbronn die Klage des Kunden gegen die Bank zurück. Dieser habe sich "grob fahrlässig" verhalten, weil er die TAN-Nummern telefonisch weitergegeben habe. Es leuchte "jedem ein, dass Onlinebanking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet", schreibt das Gericht zur Begründung.

Keine "sehr hohe Sicherheit"

Allerdings stellt es auch fest: "Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt."

Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen im Sinne von Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von Paragraf 675w Bürgerliches Gesetzbuch (BGB) erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

Experten kritisierten Push-TAN-Verfahren

Der Anscheinsbeweis spielt eine wichtige Rolle bei Streitfragen im Onlinebanking. Einem Urteil des Bundesgerichtshofs (BGH) vom Januar 2016 zufolge ist die Voraussetzung für die Anwendung eines solches Beweises, "dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen".

Sicherheitsexperten haben jedoch vor einigen Jahren das Push-TAN-Verfahren als unsicher bezeichnet. So erläuterte der Erlanger Student Vincent Haupert auf dem 32C3 im Dezember 2015, wie er zum wiederholten Male das Push-TAN-System der Sparkasse hackte.

Allerdings ist aus dem Prozess vor dem Landgericht Heilbronn nicht hervorgegangen, wie die Betrüger an die Zugangsdaten des Kunden gelangten, wozu unter anderem eine sechsstellige Pin gehört. "Direkt nach dem vorgenannten Vorfall habe er sein Smartphone nach entsprechender Schadsoftware untersuchen lassen, Schadsoftware sei dort allerdings nicht zu erkennen gewesen", schreibt das Gericht. Der Kunde behauptete demnach, die Betrüger hätten die Kenntnis der Zugangsdaten "lediglich aufgrund eines Datenlecks bei der Beklagten erlangen können".

Dass Gerichte in solchen Fällen auch anders urteilen können, zeigt ein aktueller Fall des Amtsgerichts Gifhorn.

Sparkasse kann fahrlässige Nutzung nicht nachweisen

Nach Angaben der Rechtsanwältin Angelika Jackwerth rief bei einem Ehepaar aus Gifhorn ebenfalls ein Telefonbetrüger an. Doch das Ehepaar behauptete, gleich misstrauisch geworden zu sein und das Gespräch abgebrochen zu haben.

"Kurz danach leuchtete die S-Push-Tan, die im Onlinebanking zur Authentifizierung von Überweisungen genutzt wird, auf dem Smartphone der Betroffenen auf. Dabei wurde ein Betrag in Höhe von 4.491,25 Euro angezeigt. Das Paar schloss die App sofort und verneinte eine Freischaltung für eine Überweisung des angezeigten Betrags", schreibt die Anwältin. Dennoch sei Geld abgebucht worden.

Das Gericht gab der Klage des Ehepaars gegen die Bank statt. Die Sparkasse könne sich nicht auf den sogenannten Anscheinsbeweis berufen, da der Empfänger den Betroffenen gänzlich unbekannt gewesen sei, heißt es. Auch habe die Sparkasse nicht beweisen können, dass das Ehepaar die Pin oder TAN fahrlässig weitergegeben habe, so dass diese kein Verschulden treffe. Das Urteil vom 9. Oktober 2023 (Az. 33 C 575/22) ist jedoch noch nicht rechtskräftig.

Quelle; golem

Suche

Suche

Handy - Navigation Erhöhtes Gefährdungspotential: PushTAN- und Banking-App auf einem Smartphone

edgonzo

Super Elite User

Picobot

Ist oft hier

edgonzo

Super Elite User

conga

Premium

Mounti

Hacker

Garfield51

Hacker

andigerni

Premium

edgonzo

Super Elite User

conga

Premium

Deleted member 1100339

Guest

edgonzo

Super Elite User

josef.13

Anhänge

Ähnliche Themen

Spenden Unterstützung