Gerichtsurteil zu unsicherem pushTAN-Verfahren

DKK007 · Gestern um 09:59

LTO berichtet über ein Urteil zum Onlinebanking:
https://www.lto.de/recht/nachrichte...zung-pushtan-online-banking-betrug-4-u-439/23

Betrüger brachten eine Frau dazu, das pushTAN-Verfahren beim Online-Banking durchzuführen. Infolgedessen buchten sie fast 8.000 Euro ab. Diesen Betrag muss die Bank ihr nicht ersetzen, so das OLG Braunschweig.

Was ich nicht so verstehe, wie kann es überhaupt möglich sein, TANs auszulösen, ohne dass der Kunde die selbst im Onlinebanking anfordert?
Da muss doch eine Sicherheitslücke vorliegen.

Smily · Gestern um 10:01

Man hat wohl die Zugangsdaten abgegriffen.
Und wenn die Bank zur Anmeldung eine TAN erfordert, und die Frau sie raus gibt, ist SIE das Sicherheitsrisiko.

OldZocKerGuy · Gestern um 10:07

Leider, da war die Dame das Sicherheits Loch selber.

Ärgerlich, keine Frage, würde auch durch die Decke gehen, 8k ist beides, nicht viel aber eben auch viel Geld. 🙈

DKK007 · Gestern um 10:08

Wobei leider nicht da steht, welche Bank betroffen war und wie da die TANs aussehen.

Also ob da drin steht für was die ist.

kartoffelpü · Gestern um 10:12

Bei pushTAN existiert ja gar keine TAN welche noch im Onlinebanking eingegeben werden muss.
Aus versehen in der App die Anfrage bestätigt und futsch ist das Geld. Allerdings müsste die Dame das dann ja sogar 2x hintereinander aus versehen gemacht haben (Anmeldung und dann Bestätigung der Überweisung).

Child · Gestern um 10:13

Spielt das eine Rolle? Wenn ich den 2. Faktor (was ne gepushte TAN ja ist) übers Telefon "hergebe"
dann bin ich schon selber Schuld. Würde die TAN über ne Sicherheitslücke irgendwie abgefangen, dann sähe das anders aus. Aber dann bräuchten die Diebe aber auch kein persönliches Telefonat mit der Damen führen.

DKK007 · Gestern um 10:16

kartoffelpü schrieb:
Bei pushTAN existiert ja gar keine TAN welche noch im Onlinebanking eingegeben werden muss.
Aus versehen in der App die Anfrage bestätigt und futsch ist das Geld.

Sage doch, dass es das das unsicher ist.

Bei Chip-Tan muss man erstmal den QR-Code auf der Banking-Seite scannen und dann die TAN eingeben.

Bob.Dig · Gestern um 10:17

Gibt es wohl immer öfter, dass Banken sich weigern zu zahlen, selbst wenn möglicherweise eigenes Fehlverhalten nicht ausgeschlossen werden kann (Datenlecks). So deute ich zumindest eine Aussage einer Anwältin eines Opfers...

Independent · Gestern um 10:18

Die Bank wird den schaden shon bezahlen um den Ruf nicht zu verlieren und darüber wird aber ein Stillschweigen vereinbart.

DKK007 · Gestern um 10:19

Independent schrieb:
Die Bank wird den schaden schon bezahlen um den Ruf nicht zu verlieren und darüber wird aber ein Stillschweigen vereinbart.

Wenn es ein Urteil gibt, dass sie nicht muss, wird sie es auch nicht tun.

Sonst hätte man sich auch das Gerichtsverfahren sparen und gleich zahlen können.

Aduasen · Gestern um 10:23

Wenn man selber ein Bankkonto hat, dann lässt man es nicht über eine dritte Person verwalten. Punkt. Aus.

Independent · Gestern um 10:25

Wenn ich was im Geschäfft kaufe, braucht der Händler es auch nicht mehr zurücknehmen, da wir ein Vertrag abgeschlossen haben der erfüllt wurde. Er tut es aber....

Was ich meine: um den Ruf der Bank nicht zu schaden, wird der Schaden "eigentlich" beglichen, weil der Name auf dem Spiel steht, zumindest bei den großen. Die schuld spielt dabei keine Rolle mehr.

Craig1992 · Gestern um 10:48

Bei einer PushTAN bekommt man ja nur eine Benachrichtigung mit Empfänger und Betrag und die Auswahl, ob man es genehmigen möchte oder nicht.
Die Betrüger hatten so wie ich das verstehe den Zugang zum Online-Banking. Sie mussten also nur das Opfer überzeugen auf genehmigen zu drücken.

kachiri · Gestern um 10:55

DKK007 schrieb:
Wobei leider nicht da steht, welche Bank betroffen war und wie da die TANs aussehen.

Es ist doch egal welche Bank betroffen ist. Die Betrüger haben sich Zugang zum Online-Banking verschafft und dann die pushTAN bei der betroffenen Kundin besorgt. Die Kundin hat die pushTAN rausgegeben und damit die Überweisung legitimiert. Unter welchen Umständen auch immer.
Die Bank ist hier halt aus der Haftung. Das besagt das Urteil. Mehr eigentlich nicht.

Und unsicher ist in dem Kontext quasi jeder zweite Faktor. Wenn ich den "unbeholfen" herausgebe.

Zu ihrem Entsetzen musste die Frau aber feststellen, dass nach dem Telefonat vier Abbuchungen vorgenommen wurden, die sie nicht autorisiert hatte.

Den Satz im Artikel finde ich prima. Er ist nämlich faktisch falsch. Sie hat diese Abbuchungen autorisiert

Es wird doch an jeder Stelle hingewiesen, dass Bank X niemals nach bestimmten Daten fragt und man diese auch niemals am Telefon oder sonst wie rausgeben sollte...
Eigenverschulden. Ich kann dem Urteil komplett folgen und hätte wohl genauso geurteilt. Die Kundin ist sicher selbst geschädigt. Die Bank ist hier aber nicht verantwortlich.

DKK007 · Gestern um 11:01

kachiri schrieb:
Den Satz im Artikel finde ich prima. Er ist nämlich faktisch falsch. Sie hat diese Abbuchungen autorisiert

Nein hat sie nicht.
Sie hatte nie den willen eine Abbuchung freizugeben.

Also waren die auch nicht autorisiert.

kachiri · Gestern um 11:04

Sie hat mit der Weitergabe der TAN die Abbuchung freigegeben. Ob Sie den Willen hatte, steht dabei gar nicht zur Debatte. Sie hat die Abbuchungen autorisiert. Wenn auch unter Vortäuschung falscher Tatsachen durch die Betrüger.

Am Ende ist und bleibt es aber ihr Fehler. Sie muss für den Schaden einfach selbst aufkommen.

Das ist im Grunde wie die "verlorene" Bankkarte mit der per Post-It angeklebten PIN. Da haftet auch keine Bank.

Steht ja am Ende auch so im Artikel und so begründen auch Land- und Oberlandesgericht.

DKK007 · Gestern um 11:06

kachiri schrieb:
Und unsicher ist in dem Kontext quasi jeder zweite Faktor. Wenn ich den "unbeholfen" herausgebe.

Aber das ist bei Chip-Tan eben nicht so einfach möglich.

1.) EC Karte muss gerade griffbereit sein
2.) Lesegerät muss gerade da sein
3.) QR Code muss auf der Banking-Seite gescannt werden
4.) Abgleich der Daten auf dem Lesegerät mit dem auf der Webseite. Danach erst wird die TAN auf dem Lesegerät erzeugt und angezeigt
5.) Eingabe der TAN.

Also ohne Zugriff auf Onlinebanking, Karte und Lesegerät gibt es gar nicht erst eine TAN, die jemand am Telefon erfragen könnte.

Man könnte es sogar noch sicherer machen, wenn das Lesegerät beim Einstecken der Karte die PIN abfragen würde.

Smily · Gestern um 11:07

DKK007 schrieb:
Sie hatte nie den willen eine Abbuchung freizugeben.

In der App steht aber was mit dieser TAN ausgelöst wird. Kann natürlich nicht für alle sprechen.

Ich habe den Artikel so verstanden, dass sie die TAN rausgegeben hat. Also am Telefon wahrscheinlich.

kartoffelpü schrieb:
Aus versehen in der App die Anfrage bestätigt und futsch ist das Geld.

Ja, stimmt, aber hier wohl nicht der Fall.

DKK007 · Gestern um 11:10

Smily schrieb:
In der App steht aber was mit dieser TAN ausgelöst wird. Kann natürlich nicht für alle sprechen.

Daher wäre ja die Frage, was da drin stand.

Manche Banken haben auch so kryptische Bezeichnungen wie "Startcode" womit alles mögliche gemeint sein könnte.

Smily · Gestern um 11:10

Das unsicherste ist nunmal der Mensch. Nicht umsonst sind böse Viren und Trojaner ziemlich ausgestorben. Die Systeme sind sicher. Sowas zu entwickeln kostet auch richtig Ressourcen, know how und beim nächsten Patch ist alles für die Katz.
Leute finden, die freiwillig Zugangsdaten und TANs rausgeben, ist viel einfacher und klappt immer

.

Gerichtsurteil zu unsicherem pushTAN-Verfahren

Lt. Commander

███▒▒▒▒▒▒▒ Pro

Lt. Commander

Lt. Commander

Admiral

Commander

Lt. Commander

Commodore

Lieutenant

Lt. Commander

Fleet Admiral Pro

Lieutenant

Ensign

Fleet Admiral

Lt. Commander

Fleet Admiral

Lt. Commander

███▒▒▒▒▒▒▒ Pro

Lt. Commander

███▒▒▒▒▒▒▒ Pro

Ähnliche Themen