Das Händlerbund Infoportal bei Google 767 Rezensionen
Werben Support Login Mitglied werden
Support & Hilfe
Newsletter Bei uns werben

Gericht hält Zwei-Faktor-Authentifizierung beim Online-Banking für zu unsicher

Veröffentlicht: 24.10.2023
imgAktualisierung: 24.10.2023
Geschrieben von: Hanna Hillnhütter
Lesezeit: ca. 2 Min.
24.10.2023
img 24.10.2023
ca. 2 Min.
Zwei-Faktor-Authentifizierung
© KT Stock photos / Shutterstock.com
Das Landgericht Heilbronn stellt die Sicherheit des pushTAN-Verfahrens in Frage.
Inhaltsverzeichnis

1. TAN-Weitergabe per Telefon

2. Hohes Gefährdungspotenzial

Inhaltsverzeichnis
1. TAN-Weitergabe per Telefon
2. Hohes Gefährdungspotenzial

Die Zwei-Faktor-Identifizierung gilt als besonders sicher und wird daher auch regelmäßig fürs Online-Banking verwendet. Doch wenn für die Identifizierung kein extra Gerät, sondern lediglich eine andere App verwendet wird, besteht ein erhöhtes Gefährdungspotenzial, entschied das Landgericht Heilbronn jüngst in einem Urteil (Bm 6 O 10/23). 

In dem Fall, den das Landgericht Heilbronn zu entscheiden hatte, klagte ein Kunde einer Bank auf die Rückzahlung von rund 8.400 Euro. Er wurde Opfer eines Betrügers, der sich per Telefon als Mitarbeiter der Bank ausgegeben hatte.  

TAN-Weitergabe per Telefon

Der Kläger war von einem vermeintlichen Bankmitarbeiter angerufen worden, der unter Vortäuschung falscher Tatsachen dafür sorgte, dass der Kläger ihm mehrere TAN-Nummern über das Telefon weitergab. Der Anrufer behauptete, dass das Überweisungslimit des Kontos erhöht worden sei und zwei Zahlungen vorgenommen wurden, was der Kläger ihm glaubte. Mit den TAN-Nummern würde er die Überweisung wieder rückgängig machen, so der Anrufer zum Kläger. In Wahrheit nahm der Betrüger allerdings Abbuchungen in Höhe von 8.400 Euro vor. 

Der Kläger verlangte daraufhin von der Bank die Summe zurück, da er der Auffassung war, der Betrüger sei nur durch ein Datenleck der Bank an die Login-Daten zu seinem Online-Banking Account gelangt. Denn zusätzlich zu den TAN-Nummern musste der Betrüger sich in das Banking-Portal des Klägers einloggen. 

Das Gericht wies die Klage allerdings ab, da es das Verhalten des Klägers als grob fahrlässig einstufte. Das Gericht führte dazu aus: „Dabei leuchtet jedem ein, dass Online-Banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet.“

Hohes Gefährdungspotenzial

Das Gericht führte allerdings auch aus, dass eine Zwei-Faktor-Identifizierung, bei der kein zweites Gerät, sondern lediglich eine zweite App verwendet wird, ein hohes Gefährdungspotenzial aufweist. Denn die besondere Sicherheit einer Zwei-Faktor-Identifizierung entsteht gerade durch die Trennung der Kommunikationswege. Sind beide Apps auf dem Smartphone installiert, liegt gerade keine Trennung der Kommunikationswege vor. 

Diese Einschätzung kann in anderen Betrugsfällen zu einer früheren Haftung der Banken führen, wenn nicht, wie in diesem Fall, eine grob fahrlässige Handlung des Geschädigten vorliegt. 

Veröffentlicht: 24.10.2023
img Letzte Aktualisierung: 24.10.2023
Lesezeit: ca. 2 Min.
Artikel weiterempfehlen
Hanna Hillnhütter

Hanna Hillnhütter

Hanna hat die juristischen Entwicklungen im Blick – mit Fokus auf Abmahnungen, Wettbewerbsrecht und aktuelle EU-Verordnungen.

KOMMENTARE
2 Kommentare
Kommentar schreiben
gunnar
25.10.2023

Antworten

und wenn 20 -Faktor-Identif izierung da ist.
man braucht doch nur enkeltrick und sonstwas anschauen.
da wird seid 50 jahren massiv gewarnt und es gibt immernoch massen die auf sowas reinfallen.
würde also sinnlos sein.
Mathias Wegener
24.10.2023

Antworten

Anders als es vielleicht das Lesen der Überschrift vermuten lässt, hat das Gericht keinerlei Aussage über die Zulässigkeit des einen oder anderen Verfahrens gegeben. Also auch Verfahren, die mit zwei Apps auf einem Gerät oder auch anderen Konstellationen arbeiten, sind natürlich zulässig.

Der Artikel führt korrekt aus, dass das Gericht lediglich angedeutet hat, dass bei der Verwendung von Verfahren, die nach Meinung des Gerichts unsicherer sind, gegebenenfalls die Bank früher in der Haftung ist.

In der Praxis ist es in aller Regel aber so, dass explizit oder zumindest implizit die Bank den Kunden von der Haftung freistellt, sofern er wesentliche Sicherheitsgrun dlagen beachtet hat. Es geht insbesondere bei der Verwendung von von der Bank vorgegebenen Verfahren.

Im vorliegenden Fall verhält sich der Kunde aber derart grob fahrlässig, dass die Bank ihn hier auch in der Haftung sehen wollte. Das ist allerdings zugegebenermaße n ein recht exotischer Fall.

In der Praxis war und ist es so, dass wenn ein Kunde die grundlegenden Sicherheitsbest immungen beim Online Banking beachtet hat und dennoch etwas passiert, er aus der Haftung ist und die Bank den Schaden trägt. Manche Banken haben das etwas klarer in ihren Bedingungen formuliert als andere. Und es wäre schön, wenn alle Banken klare Definitionen verwenden würden. Nichtsdestotrot z war und ist die Praxis aber, dass von exotischen Fällen abgesehen ein Bankkunde nicht haftet bei Schäden, die ihm aufgrund des Online Banking widerfahren.