Das von Sparkasse beim Online-Banking eingesetzte S-PushTAN-Verfahren ist für die Absicherung von Transaktionen unzureichend. Das hat das OLG-Dresden in einem Urteil festgestellt und einem Phishing-Opfer, welches grob fahrlässig handelte, einen Teil-Schadensersatz zugesprochen.
Das S-PushTAN-Verfahren der Sparkassen
Das S-PushTAN-Verfahren wird beim Online-Banking mit der S-PushTAN-App der Sparkassen zur Absicherung von Transaktionen bei Aufträgen verwendet.
Gemäß obigem Screenshot von der Seite des Sparkassenverband wird dieses Verfahren als Non-Plus-Ultra mit hoher Sicherheit beim mobilen Banking mit jedem Endgerät gepriesen. Man kann auch Internet-Kartenzahlungen und telefonische Identifikationen durchführen.
Der Pferdefuß, warum ich persönlich das nicht nutze: Man hat keine Zweifaktor-Absicherung über zwei Geräte, weil alles in der S-PushTAN-App der Sparkasse erfolgt. Ich nutze daher weiterhin einen separaten TAN-Generator zum Online-Banking. Aber viele Banken segeln mit ihren Banking-Apps auf dieser Schiene.
Der Sachverhalt: Grob fahrlässiges Kundenverhalten
Ein Sparkassen-Kunde war auf einen Phishing-Mail hereingefallen, die ihm suggerierte, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Das Opfer glaubte, die Mail sei vom "Kundenservice" seiner Sparkasse und folgte dem in der Phishing-Mail angegebenen URL.
Phishing-Mail und Freigabe von Aufträgen
Auf einer Fake-Seite, die ein Sparkassen-Login vorgaukelte, gab er die Zugangsdaten für sein Online-Konto bei der Sparkasse an. Die Betrüger fischten diese Zugangsdaten ab. Drei Tage nach dem Besuch der Fake-Anmeldeseite erhielt das Opfer einen ersten Anruf, in denen er vermeintlich Aufträge seiner Sparkasse bestätigen musste. Die Beschreibung bei Beck, die das OLG-Urteil wiedergibt, enthält die Information, dass das Opfer durch die Anrufer veranlasst wurde, zwei Aufträge zu bestätigen. Mit diesem Vorgang erhöhten die Täter das Tageslimit für Überweisungen und transferierten 24.422 Euro auf ein unbekanntes Konto. Gleichzeitig wurden die Zugangsdaten für das Online-Banking geändert.
Einen Tag später gab es einen angekündigter weiteren Anruf, bei dem das Opfer wieder zwei Aufträge per S-PushTAN bestätigen musste. Erneut wurde das Tagelimit erhöht und die Täter konnten erneut 24.422 Euro auf ein unbekanntes Konto transferieren.
Wiederholt grob fahrlässiges Verhalten des Kunden
Hier wurde gleich mehrere Male vom Kunden grob fahrlässig gehandelt. Die Kommunikation zwischen Sparkasse und Kunde läuft immer über das Postfach seines Kundenkontos (jedenfalls kenne ich das nicht anders). Er hätte niemals über den Anmeldelink einer Mail auf die "Sparkassen-Seite" gehen dürfen. Dann zum Zugriff auf das Postfach des Kundenkontos muss man in der Sparkassen-App oder beim Online-Banking im Browser angemeldet sein.
Ein Bankmitarbeiter wird meiner Kenntnis nach auch niemals Transaktionen des Kunden auf die oben beschriebene Weise durchführen. Weiterhin ist anzuführen, dass das Opfer nach dem ersten Anruf nicht versuchte, seine Konten per Online-Banking zu überprüfen. Dann wären die geänderten Zugangsdaten und der für das Opfer gesperrte Online-Zugang aufgefallen.
Als letztes geht mir noch der Gedanke: Da hat jemand viel Asche auf seinem Konto liegen gehabt, dass die Betrüger fast 50.000 Euro abbuchen konnten. Und mit der Assoziation "viel Asche" geht mir noch "da kann der Kunde eigentlich nicht so naiv sein" durch den Kopf. Aber wie warb bereits Toyota: "Nichts ist unmöglich".
Betrug fliegt auf, Kunde will Geld von der Sparkasse
Etwa zwei Wochen später habe das Opfer, ein Mann, bemerkt, dass er sich nicht mehr in seiner S-PushTAN-App der Sparkasse einloggen konnte. Er kontaktierte seine Sparkasse, und wurde von dieser über die Kontobewegungen informierte.
Das Opfer wollte sein Geld von der Sparkasse zurück und argumentierte, er habe die Zahlungen nicht autorisiert. Er habe auch nicht grob fahrlässig gehandelt, jedenfalls hafte er der Sparkasse nicht, weil sie beim Einloggen in das Online-Banking keine starke Kundenauthentifizierung verlange.
Juristischer Weg bis zum OLG Dresden
So aus dem hohlen Bauch ging mir der Gedanke: "Da hilft nur lernen durch Schmerzen" durch den Kopf. Denn das Opfer hat mehrfach nicht nur arg blauäugig, sondern auch grob fahrlässig gehandelt. Das Landgericht Chemnitz wies die Klage auf Erstattung des Schaden denn auch ab. Das Opfer legte über seinen Anwalt Berufung gegen dieses Urteil ein, so dass das Verfahren vor dem Oberlandesgericht in Dresden landete.
S-Push-TAN-Verfahren nicht sicher
Der Leserschaft dieses Blogs ist klar, dass das S-PushTAN-Verfahren mit einer App, in der Banking-Vorgänge angestoßen und gleichzeitig autorisiert werden, nicht wirklich als sicher zu erachten ist, da der zweite Faktor fehlt.
S-Push-TAN-Verfahren keine starke Kundenauthentifizierung
Nun bin ich kein Jurist – und dort kommt es oft auf Feinheiten an. Vor dem OLG Dresden konnte der Kläger dann einen Teilerfolg verbuchen. Die Richter urteilten am 05.06.2025 (Az. 8 U 1482/24), dass die betreffende Sparkasse trotz grober Fahrlässigkeit des Kunden beim Phishing-Angriff haften muss. Die Begründung: Das Gericht sah eine Mitverantwortung der Bank, da diese beim Login ins Online-Banking keine starke Kundenauthentifizierung implementiert hatte und somit gegen europäische Sicherheitsanforderungen verstieß.
Laut Beck nimmt das OLG Dresden an, dass der Mann die Zahlungen nicht autorisiert hat, sodass er zunächst gemäß § 675u S. 2 BGB einen Anspruch auf Erstattung des vollen, von seinem Konto überwiesenen Betrags habe. Die Richter erkennen zwar an, dass die Sparkasse die Authentifizierung des Klägers durch technische Protokolle nachgewiesen habe (§ 675w Abs. 1 S. 1 BGB). Und dann kommt der juristische Knackpunkt: Einen etwaigen daraus folgenden Anscheinsbeweis für die Autorisierung habe der Mann aber mit der Schilderung des Phishing-Angriffs erschüttert. Sicherheitsmängel im Online-Banking der Bank müssten dafür vom Kläger nicht dargelegt werden.
Dass der Kläger den Schaden nur teilweise von der Sparkasse ersetzt bekommen soll, begründen die Richter mit dem grob fahrlässigen Verhalten und Verletzung der Sorgfaltspflichten des Klägers. Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf (Verifizierung, Anrufe, mehrfache Freigaben in der S-PushTAN-App) hätten den Kläger argwöhnisch machen müssen.
Die Richter argumentieren, dass Phishing bekannt und in den Medien ein präsentes Thema sei. Zudem habe die Sparkasse in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Außerdem müsse es im Allgemeinen jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht für eine angebliche Aktualisierung genutzt werden dürfe.
Das OLG lastet der Sparkasse wegen des Fehlens der aufsichtsrechtlich – auch beim Online-Zugriff – vorgeschriebenen starken Kundenauthentifizierung ein Mitverschulden von 20% an. Die Sparkasse muss ihrem Kunden daher 9.768,80 Euro des entstandenen Schadens ersetzen. Eine Revision des Urteils hat das OLG nicht zugelassen.
Spannend wird es, die Folgen zu beobachten
Aus meiner Sicht drängt sich nun die Frage nach den Folgen dieses Urteils auf. Werden die Banken ihr Online-Banking entsprechend umstellen und auf S-PushTAN oder gleichwertige Verfahren in ihren Online-Banking-Apps verzichten? Man wird es abwarten müssen – es ist eine Einzelfall-Entscheidung und mit einem "Schaden für die Sparkasse" unter 10.000 Euro eigentlich "Peanuts" (um mit Deutsche Bank Vorstand Hilmar Kopper zu sprechen).
Das Urteil des OLG-Dresden kommt übrigens nicht aus dem "luftleeren Raum". Als ich hier erstmals über das Urteil las, ging mir "da war doch mal was" durch den Kopf. Wie so oft wusste mein Blog bei einer kurzen Suche Rat. Im Oktober 2023 hatte ich das Thema schon mal im Blog-Beitrag Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein aufgegriffen. Dort hatte ich die Fallstricke des Push-TAN-Verfahrens der Banken und ein Urteil der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ Bm 6 O 10/23) aufgegriffen. Die Kammer hatte das Push-TAN-Verfahren wegen fehlende Zweifaktor-Authentifizierung als unsicher eingestuft.
Da sich seit diesem Urteil nichts getan hat, sagt mein Bauchgefühl, dass auch das OLG Dresden mit seinem Urteil keine Schockwellen durch die deutschen Banken-Lande geschickt hat. Allerding: Die Zahl der Phishing-Opfer mit entsprechenden Schäden steigt – die Zahl der Fälle, wo Banken dann, trotz fahrlässigem Verhalten ihrer Kunden, haften müssen, könnte steigen.
Das Urteil ist übrigens kein Freibrief für Bankkunden, unachtsam bezüglich Phishing zu werden. Bei jedem Schadensfall wird ein Opfer, zumindest nach meiner Einschätzung nach, klagen müssen.
Für die Betriebswirtschaftler in den Zentralen der Sparkassen ist es dann ein Rechenbeispiel: Wie viele Schäden muss ich im Jahr begleichen, und wie viele Kunden gehen mir als Bank verloren, wenn mein Online-Banking nicht genau so attraktiv wie der Ansatz der vielen Online- und Neobanken ist?
Ähnliche Artikel
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Online-Banking: mTAN und Banking-Apps unsicher
Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2
Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Vorsicht vor App-TANs beim Online-Banking
MVP: 2013 – 2016
100% gehe ich mit Günter mit: BWL'er und "Wie viele Schäden" sind zu erwarten. Ein reines Rechenbespiel.
Dazu noch ein Beschluss hier. Aus Compliance und technischer Sicht bekommt man mE keine "ordentliche" 2FA mit Smartphone umgesetzt. Da darf man sich als Opfer auch einmal fahrlässig anstellen.
Empfehlung: Separiertes Auth per dediziertem Offline-Gerät, gern per Cardreader. Glaubt nicht an Smartphones als Single-Point-Solution.
Push-TAN per SMS waren und sind ebenso zu diskutieren. Die Server sind mir zu "offen". Es gibt die letzten 5-10 Jahre einige Beispiele in denen man dort leicht "mit-sniffte".
Es muss noch mehr weh tun! (ein guter Artikel!)
Beim Push-TAN ist nicht Server ein Thema, sondern kannst die SMS auch technisch Abfangen dank dem SS7 Protokoll.
Welche Technik soll das bitte verhindern ?! So lange der Mensch ein Faktor bleibt, bringt die beste Sicherung nichts.
Hatte eine Kundin die ist sogar 2 x in einem Jahr auf solche Betrüger reingefallen, selbe Masche.
Hat die Betrüger aufs Handy gelassen, auf den Rechner usw., die haben gesagt kommen von Microsoft.
Aufklärung ist die einzige Maßnahme die hilft und da stelle ich gerade bei älteren Menschen die Familienmitglieder in die Pflicht.
Liebe Grüße
Patrick
"SMS-Abfangen" in Deutschland? In den USA definitiv technisch möglich, bei uns schließe ich das aus.
Kannst Du das technisch näher erläutern?
Ich empfehle dieses Video zum Thema Manipulationen im Mobilfunknetz.
Ist etwas länger her, dass ich es gesehen habe, aber sieht für mich nach einem Weltweiten Problem aus.
https://youtu.be/wVyu7NB7W6Y?feature=shared
War auch mein Wissensstand, da weltweit die gleichen Protokolle mit Schwachstellen und Unzulänglichkeiten verwendet werden. Aber der OP behauptet ja, dass er SMS abfangen in Deutschland ausschließt – und ich lerne gerne dazu.
PS: Gerade den Artikel eSIM Bug in Millions of Phones Enables Spying, Takeover gesehen – da kommt nochmals neue Freude auf.
Ich meine es völlig egal ist bei welchem Provider der Empfänger in Wirklichkeit ist. Zum SMS Abfangen werden wohl irgendwelche Roaming Funktionen genutzt. Das SS7 Protokoll ist wohl nicht gerade sicher und dann wird einfach vorgegaukelt die SIM sei in einem anderen Netz eingebucht. Wobei ich mich frage ob das mit eSIMs heute nicht sogar viel einfacher ist. Für wenige Euro bekommt auch Hardware mit der man ein eSIM Profil auf eine eSIM im Kartenformat schreiben kann. Dann gibts da noch o2 die gerne SIM Karten aktiviert verschicken die dann aber leider oftmals nicht ankommen!
Trotz berechtigter Kritik an Push-TAN, stelle ich mir die Frage, inwiefern diesem Kunden ein echter zweiter Faktor geholfen hätte? Der hätte doch bei den Rückrufen auch den TAN-Generator gezückt.
korrekt. Wer einem Betrüger grob fahrlässig auf den Leim geht, der diktiert dem Angreifer auch die Zahlen der 2FA Authenticator App oder vom TAN-Generator
. Ein Bekannter hat letztens sogar für den Angreifer, den er auf den Rechner aufgeschaltet hat, zusätzlich zur Durchgabe von Tans noch den Personalausweis auf
den Scanner gelegt. Oft wird während das Angriffs noch ne halbe Stunde per Google Translator mit dem Angreifer gechattet zur Überwindung der Sprachbarriere, ohne Verdacht zu schöpfen.
Oder er hätte im Zeifel das Bargeld einfach in einem Beutel vor die Haustür gelegt um es "überprüfen" zu lassen. Es gibt immer einen Weg.
Der 2. Faktor hat die Sache schon sicherer gemacht, auch wenn dieser auf dem gleichen Gerät war.
Die Kriminellen konnten ja nur die Login Daten ergaunern und mussten für jeden Vorgang telefonieren.
Der Fehler lag darin, dass das Anmelden ohne 2.Faktor gjng.
Damit wäre schon das Phishing gescheitert:
.Der Kunde hätte sich wundern können, dass die Anmeldung auf dem fake Server keinen 2.Faktor erforderte. Aber da die S PSD-Regeln ignorierte um es den Kunden leichter zu machen konnte ihm garnichts auffallen.
Auch als die Täter auf dem Account waren hatte der 2. Faktor, obwohl auf dem selben Gerät den Missbrauch verhindert. Der Diebstahl gelang nur, weil der Kunde dement ist. Wer hätte eine Tan an einem Anrufer gegeben? das ist doch völlig hirnrissig.
Etwas anderes schreint bei der ADAC Kreditkarte passiert zu sein.
Dort scheinen die Täter ein eigenes Handy als 2. Faktor haben anmelden können. Auch da hätte es nichts geholfen, wenn logon und 2fa auf verschieden Geräten hätten sein müssen.
Was geholfen hätte wäre, wenn beim Login das Zertifikat des clients geprüft worden wäre, wie es bei HTTPS wohlweislich vorgesehen ist.
Auch kann man eine 24h Pause einrichten Ehe das neue Limit benutzt werden könnte.
Jedefalls hätte hier eine echter 2. Faktor auf einen RSA Token nichts geholfen, sehr wohl aber dass auch das Anmelden das token erfordert und der Check des client certs
> Der Fehler lag darin, dass das Anmelden ohne 2.Faktor gjng.
Und das verstehe ich nicht, bzw. kann es nicht nachvollziehen, denn beim Sparkassen Zugang meiner Frau muss jede Anmeldung, egal ob App oder Browser, immer durch die Push-TAN-App freigegeben werden.
Auch Erhöhung von Limits geht nur per Kundenservice und mit 1 Tag Verzögerung (seit Bestand des Kontos so festgelegt), nicht per Online Banking.
@Henry Barson: Auch bei meiner Kreissparkasse: Kein Anmelden ins Online-Banking im Browser OHNE Push-TAN-App auf dem Handy.
Man kann zwar "Dieses Gerät speichern und künftig schneller anmelden" im Browser wählen, aber dann müsste sich der Gauner an meinem Browser/Gerät (ohne 2. Faktor) anmelden.
Irgendetwas stimmt an der Fallbeschreibung nicht?!
Der Vorgang liegt wohl etwas zurück, als es diese Funktion im Browser noch nicht gab, obwohl bereits gefordert. Der Fall wurde nur jetzt erst abschließend verhandelt.
Und Sparkassen sind Teils eigenständig und können in einem gewissen Rahmen auch eigene Regel aufstellen.
Die TAN-Pflicht bei jeder Anmeldung hat die Sparkasse erst …Anfang 2024?… eingeführt. Vorher reichte es, den Schmarrn alle paar Wochen zu machen.
Ich schreibe Schmarrn, weil es wirklich lästig ist, für jeden Blick auf den Kontostand den TAN-Generator und die Karte holen zu müssen, sogar wenn man sich versehentlich zu früh ausgeloggt hat und mit dem selben Gerät im selben Browserfenster nochmal kurz rein will. Das hat bei mir dazu geführt, dass ich jetzt seltener auf meinem Konto nach dem Rechten schaue: Genau das, was dem Kunden auch vorgeworfen wurde.
Für's bloße Reinschauen schon diesen Buhei zu veranstalten finde ich wirklich paranoid. Auf der anderen Seite wird schon mal eine Überweisungen einfach ohne TAN ausgeführt, wenn die Sparkasse den Empfänger für vertrauenswürdig hält, oder für die neue Girokarte ungefragt Zahlen durch Auflegen aktiviert.
Sicherheitsgefühl ist immer subjektiv, daher sollte man dem Kunden individuelle Einstellmöglichkeiten auf eigenes Risiko bieten. Warum soll ich mit meinen Gebühren für unsichere Trend-Technologien mithaften?
Nur ganz zart nachgefragt: Du hast Cookies im Desktop-Browser zugelassen und die Option, das das Gerät als "vertraut" gilt, bei der TAN-Anmeldung gesetzt und löschst auch keine Cookies automatisch? Das von dir geschriebene Verhalten kenne ich nämlich genau so von meiner Sparkasse, wenn ich Cookies sperre. Wollte schon deren IT einen zwischen die Hörner geben, kam vorher aber auf den Trichter, dass die nicht so viele Möglichkeiten haben, dass im Client des Nutzers zu vermerken.
Hier kommt der zeiliche Faktor zum tragen. Der Fall ist vor längerer Zeit passiert (2021/2022). Die "Geräteerkennung" (TAN-Freigabe bei der Anmeldung) kam erst so 2022/23.
Aktuell stellt das Urteil somit für die Sparkassen kein Problem (mehr) dar. Der 2.Faktor bei einer Anmeldung ist gewährleistet/umgesetzt.
@Tobias: Danke für die Bestätigung.
Interessanter Artikel, vielen Dank!
Ich bin auch Kunde der Sparkasse (sowie deren Apps) und benutze für das Banking primär meine stationären PCs/Notebooks.
Beim Browser-Login wird schon seit ca.2 oder 3 Jahren die Login-Freigabe per App (2FA) erzwungen, sonst ist (trotz gültiger Login-Daten) kein Login möglich.
Man kann dann den Haken setzen, sinngemäß "Gerät merken". Das bedeutet, das beim nächsten Login an diesem Gerät mit diesem Browser (und nicht gelöschten Cookies) das Login ohne App-Freigabe erfolgt, aber halt NUR an diesem Gerät!
Anderes Gerät, anderes Browser – App-Abfrage als 2FA. Sieht für mich einwandfrei aus.
Was der Kunde da losgelassen hat, ist schon unterirdisch.
Selbst KEINE AHNUNG von der Materie, aber den Rechtsanwalt loshetzen.
Da war wohl das Ego und die Eitelkeit offensichtlich größer, als die eigene Kompetenz.
Und da bewahrheitet sich mal wieder:
"Die am lautesten schreien (oder auch zu viel Geld haben), haben am wenigsten Ahnung." Stammtisch-Niveau eben.
Ich finde es schade und nicht nachvollziehbar, das die Sparkasse hier in Mithaftung genommen wurde.
Eine gute Bekannte von mir feiert demnächst ihren 79.Geburtstag.
Sie hat mit meiner Hilfe vor knapp über 4 Jahren mit der Smartphone-Nutzung und auch Online-Banking per App angefangen und nutzt Online-Banking seit ca. 15 Jahren am PC.
Auch wenn Sie hie und da etwas unsicher ist, sie hat bisher KEINERLEI Probleme oder gravierende Fehler. Im Banking KEINERLEI.
Wenn etwas unklar ist, wird der Vorgang abgebrochen und ich werde kontaktiert bzgl. Plausibilitäts- und Technikprüfung.
Ehrlich zu sich und anderen sein: "Was kann ich (wirklich) oder was kann ich nicht" und im Zweifelsfall jemanden fragen der (mehr) Ahnung hat, als ich. Sie hat keine Probleme damit, viele andere schon …
Um auf den obigen Kunden im Artikel zurück zu kommen:
Aber sowas geht natürlich nicht.
Manchen steht sein Ego und Eitelkeit im Weg … Lernen durch Schmerz – berechtigterweise!
@Gertrud: Du warst schneller – siehe mein Beitrag weiter oben:
Auch bei meiner Kreissparkasse: Kein Anmelden ins Online-Banking im Browser OHNE Push-TAN-App auf dem Handy.
Man kann zwar "Dieses Gerät speichern und künftig schneller anmelden" im Browser wählen, aber dann müsste sich der Gauner an meinem Browser/Gerät (ohne 2. Faktor) anmelden.
Irgendetwas stimmt an der Fallbeschreibung nicht?!
>>> Ehrlich zu sich und anderen sein: "Was kann ich (wirklich) oder was kann ich nicht" und im Zweifelsfall jemanden fragen der (mehr) Ahnung hat, als ich. Sie hat keine Probleme damit, viele andere schon …
Schon mal überlegt, das es gar nicht so wenige Menschen gibt, denen das dafür erforderliche mentale Niveau fehlt?
Viele Details sind ja nicht bekannt. Vielleicht ist das Opfer alleine schon beim Gedanken an Online Banking innerlich in Rage und würde viel lieber wieder in seine Bankfiliale gehen, wenn es die noch geben würde. Solche Menschen glauben dann einfach alles was diese "Kiste" ihnen sagt.
Ab gesehen davon gibt es ständige Änderungen, ständig neue Versionen, GUI Wechsel sind ja fast schon täglicher Wahnsinn, usw. usf. – am besten noch zwei Banken mit völlig widersprüchlichen Anforderungen usw.
Ne Leute – 20% bei der Bank ist noch viel zu wenig – hier geht es um wirklich elementare Dinge. Da hat eine Bank sehr viel mehr Aufwand zu treiben und wenn dann raus kommt, das es zu teuer ist oder nicht geht eben wieder zurück zur guten alten Bankfiliale zu wechseln mit Bankberatern die dort ewig arbeiten und ihre Kunden persönlich sehr gut kennen.
Anstatt sich – wie es hier wieder passiert – in technische Detail zu verrennen, muss man vielleicht einfach mal anerkennen das es viele Menschen gibt die mit diesem digitalen Mist hoffnungslos überfordert sind und die deshalb eine Lösung geboten bekommen MÜSSEN die ihnen entspricht ->Bankfiliale mit langjährigen Angestellten. Eine Bank ist kein x-beliebiges Unternehmen. Banken sind Unternehmen mit einer extremen Verantwortung wie es extremer kaum geht. Das muss sich daher in ihrer Arbeitsweise wiederfinden.
Endlich ein bis oben durchgeklagter Fall. Aber kein Grund zur Entspannung.
Das ganze Sicherheitstheater der Banken dient doch nicht der Sicherheit. Es war und ist einzig und allein eine Haftungsumkehr. Wo vorher pauschal ohne wenn und aber eine Bank bei Schaden einspringen musste, werden die Dinge jetzt im Einzelfall bis ganz oben durchgeklagt. Der BWLer wird da weiterhin Recht behalten, weil das alles günstiger für eine Bank ist. Der User ist dann – wenn auch teilweise – Mitschuld. Die Masse der User wird wegen 2,50 oder 100,- oder 500,- EUR nicht klagen…
Zur Lösung müssten wir politisch wieder dorthin, wo wir in den 90ern standen. EIne Bank ist vollumfänglich für die Sicherheit Ihrer Plattformen verantwortlich und kann nicht einfach pauschal und grundlos sagen: Der Kunde sei schuld. Das muss sie im Einzelfall erst mal beweisen.
Wie soll das praktiv funktionieren, bei grundnaiven Kunden, die auf jeden Link klicken, überall Passwörter eintragen und sensible Codes auch am Telefon preisgeben? Das Urteil ist dahingehend richtig: Die Bank machte einen kleinen, der Kunde mehrere große Fehler. 20/80 Schadenaufteilung.
Solange
1) Banken nicht in der Lage sind DMARC sauber zu implementieren
2) Email Clients die tatsächlichen Absender nicht anzeigen (z.B. iOS Mail, Outlook),
3) solange Banken selbst komplett phishy Mailings- und regelrechten Marketing-Dreck über 3rd Party Dienste und Anbieter über Ihre Kundschaft lassen, von Domains, die nichts mit der Bank zu tun haben.
4) Punkt 2 in der Vergangenheit inkl. phishy Anrufen (ich meine bei der Postbank)
5) Solange Banken ihre eigenen Portale voller 3rd Party Müll von komplett verschiedenen Servern und fremden Domains unterschieben – da ist die Sparkasse btw. noch einer der Wenigen, die sauber arbeiten. Geh mal zu den tollen hippen Internetbanken wie z.B: Qonto – da kann sogar Google sehen, was so bei Dir passiert
6) Solange Banken selbst zur Eingabe von PINs und Passwörtern auffordern, wenn man mehrere Konten in einem Dashboard führen möchte z.B.
… kann ich mit dem billigen User-Bashing nichts anfangen und nicht mitgehen. Der Urteilsbegründung zufolge wird die Fahrlässigkeit offenbar nur auf den Sachverhalt abgestellt, dass die Rechtschreibfehler der Mail auffallen hätten müssen. IMHO ganz dünnes Eis und Stoff für das nächste Einzelverfahren, wenn in einer Mail keine Fehler vorkommen.
Gibt es kein System das solche Anomalien erkennt? Es entspricht wohl nicht dem normalen Verhalten, das Übeweisungslimit bis zum Anschlag zu drehen und dann dieses dann für eine Überweisung auszuschöpfen. Spätestens da sollten doch System zuschlagen und durch einen Menschen bei der Bank evaluieren lassen.
Geldwäschegesetzt hat doch auch eine Schallmauer von 10.000€ welche auch bei Überweisungen greifen kann, spätestens da hätte doch was passieren müssen und wenn der Empfänger dann noch außerhalb von Deutschland wäre aber naja…
Das kann sehr wohl einem normalen Verhalten entsprechen z.B. um Geld von einer Bank zur nächsten zu überweisen weil man da mehr Zinsen auf dem Tagesgeld-Konto bekommt :) Aber ja ich habe mich auch gewundert das man Beträge von über 100 000 € von einer Bank wegüberweisen kann ohne das die nachfragt was da los ist!
Seit wann bekommt man nennenswerte Zinsen auf einem Tagesgeldkonto eine Bank? Die Sparkasse bei uns bietet lausige 0,5%. Selbst der schlechteste Index ETF bietet da deutlich mehr.
Das Geschäftsmodell der Banken besteht aus dem opportunistischen Informationsvorsprung, oder um es deutlich zu sagen: Die Banken leben von der Dummheit der Anwender. Das gehört zum Geschäftsrisiko würde ich sagen. Leider haben die Banken eine bessere Lobby als der Verbraucherschutz.
Ich will keine ETFs und außerdem gibt deutlich mehr als 0,5% Zinsen auf dem Tagesgeld. Ich bin nicht bereit irgendein Risiko einzugehen und hab auch kein Bock mich damit zu beschäftigen, dann kann ich auch einfach arbeiten gehen und dabei noch mehr Geld verdienen! Also keine Dummheut sondern ein Abwägen zwischen Kosten und Nutzen aber vorallem Risiko! Ich nehme einfach mit was möglich ist, bleibe flexibel und das ohne Risiko.
Die Aussage, PushTAN sei „kein zweiter Faktor", ist sachlich falsch. Der Login ins Online-Banking (1. Faktor: Wissen) wurde hier per Social Engineering erschlichen – die eigentliche Schwachstelle war also menschliches Verhalten, nicht die Technik. Die PushTAN-Freigabe (2. Faktor) erfolgt über ein registriertes Gerät mit separater App, gesichert durch Face ID oder App-PIN – nicht durch die Geräte-PIN, wie gern behauptet wird. Gerade Sparkassen und Raiffeisenbanken setzen hier hohe Standards.
Es ist entlarvend, wenn man diese Sicherheit schlechtredet, nur weil jemand sich grob fahrlässig oder schlicht naiv verhalten hat.
Man kann wohl wirklich nichts idiotensicher machen, weil Idioten so genial sind – die knacken einfach alles.
Dann empfehle ich dir mal dem betreffenden Senat des OLG Dresden eine entsprechende Schulung zu geben ;-).
@Günter: Nicht, dass hier unnötig Streit entsteht ;-)
Die Aussage von @Benjamin Köberl ist – Stand heute – richtig:
Die PushTAN-Freigabe (2. Faktor) erfolgt über ein registriertes Gerät mit separater App, gesichert durch Face ID oder App-PIN – nicht durch die Geräte-PIN, wie gern behauptet wird.
Das kann ich aus eigener Erfahrung bestätigen.
Im Original-Text von Beck steht ja auch:
"weil für das Login Passwort und PIN genügten."
"Irgendwie" scheint der Sachverhalt des Gerichtsurteils wohl schon einige Zeit zurückzuliegen, wo es den 2. Faktor S-PushTan-App für's Online-Banking noch nicht gab.
Benjamin Köberl argumentiert auf technischer Seite, aber sehr pauschal – der Senat des OLG Dresden hat für den betreffenden Fall juristisch festgelegt, dass die PSD-Vorgaben der EU zu Sicherheitsvorgaben nicht erfüllt wurden und weist der Sparkasse eine Mithaftung zu.
Persönliche Erfahrung: Ich bin Kunde einer Sparkasse und einer Online-Bank, nutze aber Zwei-Faktor-Authentifizierung (teilweise mit TAN-Generator). Die Sparkassen-App habe ich mal auf das Smartphone installiert, um das Thema EPC-QR-Code auf Rechnungen zu testen. Erfahrung:
– die App-Anmeldung erfolgt per Kennwort und PIN, was ich beides speichern lassen könnte
– beim TAN-Generator (für Desktop-Online-Banking) bin ich a) offline, und brauche b) meine Debit-Karte – die freigeschaltet sein muss – für den Betrieb
Ich hoffe, jeder erkennt den gravierenden Unterschied in der 2FA dieser beiden Varianten.
– Möchte ich in der Sparkassen-App Überweisungen tätigen, benötige ich den TAN-Generator (echte 2FA) – ist so eingestellt
– Soll eine Rechnung mit QR-Code überwiesen werden, ist der Vorgang so komplex, dass ich es nicht verwende (manchmal muss ich IBAN und Betrag nochmals angeben, manchmal wird etwas anderes abgefragt – am Desktop habe ich dann längst die Überweisungsdaten eingetippt).
Fazit: Ich mache Online-Banking am Desktop und halte es durch den standalone TAN-Generator und den Zwang zur Verwendung der Debit-Karte für sehr sicher. Die Sparkassen-App verwende ich aus Komfort- und Sicherheitsgründen nicht für Transaktionen, sondern höchstens, um mal einen QR-Code in Rechnungen zu prüfen oder die Kontostände abzufragen. Alle "Komport-Funktionen" und Automatismen, die mir beim Desktop- und App-Banking vorgeschlagen werden, sind aus Sicherheitsgründen deaktiviert. Als zusätzliche Sicherheit muss das verwendete Gerät alle drei Monate per TAN-Generator bestätigt werden. Diese Absicherung wird übrigens über Cookies des Browsers verwaltet.
Bei der Online-Bank habe ich mich aus bestimmten Gründen für die App (und nicht für den TAN-Generator) entschieden. Da reicht eine PIN zur Anmeldung und auch bei Überweisungen auf interne Konten muss die Transaktion per PIN bestätigt werden. Wie es bei Änderungen der externen Referenzkonten ausschaut, habe ich nie probiert. In der Regel nutze ich Online-Banking dort am Desktop und die App nur zur Authentifizierung – aber ich würde nicht postulieren, dass dies die gleiche Sicherheit bietet wie die Sparkassen-Lösung mit separatem TAN-Generator und Debit-Karte (wobei ich bei der Online-Bank keine Debit-Karte habe und einen speziellen TAN-Generator benötige).
Von daher gehe ich damit konform, dass man sich immer die Lösung der Bank im Einzelfall anschauen muss. Es ist ja nicht das erste Mal, dass ich Banken nachweise, wo in ihren Prozessen beim Banking geschlampt wird (z.B. Abläufe für Transaktionen, in der App angestoßen, werden über den Desktop-Banking-Prozess abgewickelt und sind auch nur dort in Gänze nachzuverfolgen).
@Günter: Jetzt verstehe ich Dein Argument endlich:
Beim Anmelden im Browser muss ich Anmeldename, Online-Banking-PIN und 2. Faktor (=S-Pushtan) nutzen –> sehr sicher.
Beim Anmelden in der Sparkasse-APP auf dem SmartPhone genügt tatsächlich das App-Password, um sich die Kontenbewegungen anzuschauen -> unsicher!
Allerdings mein Einwand: Der Betrüger kann sich doch ohne Aktivierungsbrief der Sparkasse die Sparkassen-APP gar nicht auf seinem Handy einrichten. Also hat er keinen Zugang, selbst wenn er das App-Password "abgefischt" hat.
Ich muss ein App-Passwort und eine PIN in der App eingeben, um mein Konto einsehen zu können. Aber für beides wird mir unter Android "ein speichern" angeboten. Drei Mal darf man raten, was die Leute machen. Die App ist letztendlich nur ein gekapselter Browser, der die Mobilseite der Sparkasse anzeigt. Ich habe, alleine aus Sicherheitsgründen, der Speicherung der Anmeldedaten und der Transaktionssicherung ohne TAN-Generator nie zugestimmt, weil ich mir in diesem Bereich keine Experimente erlaube. Zusätzliche Sicherung ist, dass ich die Geräte alle drei Monate per TAN-Generator autorisieren muss (auch die App). Aber es braucht nicht viel Phantasie, sich die möglichen Implikationen vorzustellen. In diesem Modell darf sich die Bank keinen Implementierungsfehler erlauben.
PS: Ich konnte meine Sparkassen-App problemlos ohne Aktivierungsbrief auf dem Smartphone einrichten – mein TAN-Generator reichte erinnerungsmäßig. Ich weiß aber von Banken, wo ich in einer Banking-App die Banking App für ein weiteres Gerät autorisieren kann.
PPS: Ich nehme die Kritik an, dass das Urteil des OLG Dresden auf einen Altfall abstellt – hätte ich im Text besser herausstellen müssen. Aber ich hoffe, dass mein Bauchgefühl, dass solche Ansätze – möglicherweise in Varianten – auch 2025 noch bei manchen Banken über Apps möglich sein dürften, schlicht trügt. Wir haben eine sehr ungute Entwicklung, die dem Zeitgeist geschuldet ist, dass alles per App auf dem Smartphone erledigt werden muss. Alleine vom Sicherheitsaspekt, aber auch von der Haptik her, aus meiner Sicht ein Alptraum.
@Günter: zu Deinem PPS. Dann kann ich heute Nacht beruhigt schlafen ;-)
https://xkcd.com/386/
@Günter: Dein Artikel hat mir vor Augen geführt, dass es beim Zugriff auf das Online-Banking im Browser (z.B. Anzeige der Girokonten-Bewegungen) Unterschiede zwischen den Banken gibt. Sparkassen wie von Benjamin und mir beschrieben, eine andere Bank schreibt mir das NACH erfolgreichem Login ohne 2. Faktor:
"Beim Login ohne TAN sind sensible Informationen (z.B. Ihre Adresse) und Transaktionen die älter sind als 90 Tage, nicht direkt verfügbar.
Durch TAN-Eingabe jetzt vollständigen Zugriff erhalten."
Meine Sparkasse sichert beim Online-Banking viele sensible Informationen durch TANs ab (z.B. auch Kontobewegungen älter als 3 Monate).
Besser ist es keine Apps zu nutzen oder wenn möglich einen externen Tan-Generator. Sicherer ist es allemal.
Ich nutze keine Banking-Apps, wegen dieser Unsicherheiten und erledige Bankgeschäfte online über den PC mit Tan-Generator.
Das hätte in dem Fall aber auch nichts genutzt, da der Betroffene ja artig alle Anweisungen der Betrüger befolgt hat.
Sinnvoll ist es aber allemal, Banking und TAN auf 2 getrennten Geräten zu verwalten. Deshalb werden (anders als im obigen Artikel suggeriert) Banking und Push-TAN in 2 verschiedenen Apps gehandled.
Moin, kenne so manchen Kunden bei dem Thema und setzte noch einen drauf, habe sogar einige Kunden, die haben keine Mail bekommen, sondern einen gezielten Anruf inkl. Telefonnummer der Örtlichenbank mit Bearbeiternamen, Bankdaten und TAN Abfrage. Und zu denken sollte einem Geben das bei vielen Banken das Onlinebanking und TAN Generator als App auf einem Endgerät möglich sind und es oft praktiziert wird.
Welche Technik soll das bitte verhindern ?! So lange der Mensch ein Faktor bleibt, bringt die beste Sicherung nichts.
Hatte eine Kundin die ist sogar 2 x in einem Jahr auf solche Betrüger reingefallen, selbe Masche.
Hat die Betrüger aufs Handy gelassen, auf den Rechner usw., die haben gesagt kommen von Microsoft.
Aufklärung ist die einzige Maßnahme die hilft und da stelle ich gerade bei älteren Menschen die Familienmitglieder in die Pflicht.
Liebe Grüße
Patrick
Genau – grundsätzlich ist das "grob fahrlässige (Kunden-)Verhalten" eben leider erstmal der von Menschen unstillbare Drang nach Bequemlichkeit. Am Besten alles aus einer Hand vollautomatisiert per Gedankeninitiierung wäre doch der menschliche Traum! 🤷♂️
Und im Lebensalltag kommt dann leider auch noch eine gewisse "Unbedarftheit" dazu. Es muß unabdingbar zwingend sowohl frühestmöglich im Schulunterricht als natürlich auch in anderen Lebens- und familiären Konstellationen Digital-/Medienkompetenz vermittelt werden – die "Gesellschaft" ist gefragt!
Meiner Ansicht nach ist die Überschrift und Zusammenfasssung des Urteils:
S-PushTAN für Transaktions-Authentifizierung unzureichend
in dieser Form falsch.
Der Mangel lag ja gerade darin, dass sich die Kriminellen mit den erbeuteten Zugangsdaten im Konto einloggen konnten, weil für dieses Einloggen über ein neues fremdes Gerät DAMALS noch KEINE S-PushTAN verlangt wurde.
Nur so konnten sie Namen, Telefonnummer und Kontostände erfahren und mit dem Betrug weiter machen.
Mittlerweile wird beim Einloggen mit einem neuen Gerät oder Browser immer dieser 2. Faktor S-PushTAN verlangt, so dass diese Art von Betrug so nicht mehr möglich ist.
@Doc_WP: Exakt!! Der Vorgang muss aus einer Zeit vor S-PushTAN stammen. Das will ich Günter die ganze Zeit klarmachen ;-)
Dann nötigt ein Anrufer zur Weitergabe der S-PushTAN? Und dann?
Soweit wäre es dann gar nicht gekommen, da der Angreifer keinen Zugriff auf die Konten und persönlichen Daten hätte.
Ich melde mich aus dem Urlaub zurück und komme deswegen etwas zu spät zur Diskussionsparty.
Also, der der 20%-Mitschuld-Knackpunkt war, dass beim Login kein zweiter Faktor abgefragt wurde (ist mittlerweile der Fall).
In Günters Text steht, "dass das Opfer durch die Anrufer veranlasst wurde, zwei Aufträge zu bestätigen. Mit diesem Vorgang erhöhten die Täter das Tageslimit für Überweisungen und transferierten 24.422 Euro auf ein unbekanntes Konto."
Das heißt, dass das Opfer über die Push-TAN-App zwei Aktionen (Tageslimiterhöhung und Überweisung) freigegeben hat.
Was ich nicht verstehe ist, warum sollte das Opfer – hätte es den 2FA-Login bereits gegeben – nicht drei Aktionen (Login, Tageslimiterhöhung und Überweisung) freigeben.
Meiner Meinung nach, hätte er sich das Geld in dem Fall genau so aus der Tasche ziehen lassen, hatte aber Glück, dass 2FA eben nicht für das Einloggen eingerichtet war und das hat das Gericht (zu Recht, wie ich finde) moniert und berücksichtigt.
Bei der C24 Bank gibt es nur eine App für alles.
Da wird die PSD2 Vorschrift mit Füßen getreten und die Bafin tut nichts, trotz meiner Nachfrage!
Auf der Seite der Bundesbank gibt es eine gute Grafik. Dort sind ganz klar zwei Geräte zu sehen.
Das es technisch kein Problem ist wenn App A installiert ist, App B den Dienst verweigert weiß jeder der hier auf der Seite unterwegs ist.
Diese ganze schöne neue TAN App Welt ist, nach meiner Erfahrung, ein EU weites Problem.
Danke für die Bestätigung – meine praktische Erfahrungen beschränken sich nur auf wenige Banken.
Das Betrugsopfer wurde zur Autorisierung (Überwindung MFA) nicht "genötigt", er gab die Daten freiwillig preis (wegen Täuschung).
Ich habe jetzt "genötigt" in "veranlasst" geändert, um die Diskussionen um ein Wort auf einem Nebenkriegsschauplatz zu beenden.