SECURITY17. Oktober 2023

„Erhöhtes Gefährdungs­potenzial“: Gericht hält App-TAN für unsicher – Banken müssen handeln

SuperOhMo / Bigstock

Eine Praxis zahlreicher Banken, die Banking-App und die Push-TAN-Lösung auf ein und demselben Smartphone oder anderem mobilen Endgerät zu erlauben, könnte gegen den Grundsatz der Zwei-Faktor-Authentifizierung verstoßen. Das zumindest stellt – eher nebenbei in einem Prozess um einen Social-Engineering-Betrug – das Landgericht Heilbronn fest. Für die Banken könnte das Handlungsbedarf mit sich bringen, denn sie müssten dies ggf. unterbinden.

Bei den meisten Online-Banking-Konten wird zur Sicherheit ein TAN-Verfahren per App verwendet, nachdem die Zwei-Faktor-Authentifizierung bestimmte ältere Verfahren von TAN-Liste bis iTAN nicht mehr erlaubt. Problematisch ist es, das hat jetzt das LG Heilbronn entschieden, dass die Banken nicht Sorge dafür tragen, dass Kundinnen und Kunden die TAN-App, die ja funktional in einigen Fällen mit einer Photo-TAN-App kombiniert ist, nicht auf ein und demselben Gerät mit der jeweiligen Banking-App installiert ist.

Ein Fall von Social Engineering

Der Kläger verlangte von seiner Bank die Rückzahlung einer Überweisung, die allerdings auf der Basis von Social Engineering erbeutet worden war, also insofern gar nichts mit dem eigentlichen TAN-Verfahren zu tun hatte. Dabei erfolgte ein Anruf von einer Festnetznummer aus dem Raum Heilbronn, wobei sich der Anrufer als Mitarbeiter der EDV-Abteilung der Beklagten ausgab.

Der angebliche Bankmitarbeiter teilte dem Kläger nach dessen Angaben telefonisch mit, dass von dritter Seite versucht wurde, den Kreditrahmen des Klägers unbefugt auf 10.000 Euro zu erhöhen und dass zwei Zahlungen von dritter Seite erfolgt seien. Dabei habe der Anrufer vorgegeben, dass eine TAN für die Rückführung des Kreditlimits und jeweils eine TAN für die Stornierung der Zahlungen benötigt würden. In der Annahme, es handele sich um einen Mitarbeiter der Beklagten, habe der Kläger dem Anrufer die gewünschten TAN telefonisch mitgeteilt.

Gerichtsurteil wirft Fragen für Banken auf

Spannender als die eigentliche Beurteilung des Sachverhalts, die wohl relativ eindeutig aufgrund von Social Engineering sein dürfte, ist ein Sachverhalt, den das Gericht in der Urteilsbegründung ausführt:

Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotenzial auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.”

Aus dem Urteil des LG Heilbronn 

Die regulatorischen technischen Standards (RTS) besagen bekanntermaßen, dass zwei unabhängige Elemente aus zwei Bereichen vorhanden sein müssen (Wissen, Besitz und Inhärenz) und dass erst hier die 2FA gewahrt wird. Sind beide Apps auf demselben Device installiert, wirft das folglich die Frage auf, ob diese Elemente tatsächlich unabhängig voneinander sind. Denn wird das Smartphone beispielsweise durch Malware oder einen Virus kompromittiert, würde das möglicherweise beide Apps betreffen und einen unerlaubten Zugriff auf das Konto erlauben.

Rechtsunsicherheit für Banken, aber auch für Kunden

Bigstock

Doch was bedeutet das jetzt für die Banken? Sie müssen sich fragen lassen, ob das bisherige Verhalten, das ja in der Vergangenheit mehrfach durch IT-Sicherheitsexperten in Zweifel gezogen wurde, in Ordnung und rechtssicher ist. Denn zumindest müssten sie vom Verbraucher verlangen, separate Geräte für Banking und TAN-Generierung zu nutzen. Das wiederum widerspricht der Convenience, ähnlich wie auf dem Gerät gespeicherte Passwörter.

Unklar ist allerdings noch, ob es damit getan ist, die Verbraucher zu einem solchen Verhalten aufzufordern oder ob es nicht vielmehr erforderlich ist, hier einen Riegel im Sinne des Verbraucherschutzes vorzuschieben. Banken sollten hier tätig werden, wollen sie in späteren Situationen nicht riskieren, für Betrugsdelikte zur Rechenschaft gezogen zu werden. Doch auch die Kunden müssen hier auf der Hut sein, auch wenn sich hieraus ein weniger bequemer Service erwächst.

Das Urteil im Gesamttext: LG Heilbronn, Urt. v. 16.05.2023 – Az.: Bm 6 O 10/23.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert