Eigentlich stellt das Push-TAN Verfahren eine sichere Lösung für das Online-Banking dar – vorausgesetzt, es wird über zwei verschiedene Geräte genutzt. Befinden sich Banking-App und Push-TAN auf demselben Mobilgerät, ist die Sicherheit eingeschränkt - das entschied jetzt ein Gerichtsurteil.
Push-TAN Verfahren in der Kritik
Ein Gerichtsurteil des Landgerichts Heilbronn zweifelt die Wirksamkeit der Zwei-Faktor-Authentifizierung beim Push-TAN-Verfahren an. - Quelle: Shutterstock.com
Viele Banken verwenden für das Online-Banking ein TAN-Verfahren per App. Denn die gesetzlich vorgeschriebene Zwei-Faktor-Authentifizierung erlaubt bestimmte ältere Verfahren von TAN-Liste bis iTAN nicht mehr. Häufig befinden sich die Banking-App und die Push-TAN-Lösung auf ein und demselben Smartphone oder anderem mobilen Endgerät. Diese Praxis könnte gegen den Grundsatz der Zwei-Faktor-Authentifizierung verstoßen, hat jetzt das Landgericht Heilbronn entschieden.
Laut Gericht ist es problematisch, dass die Banken nicht dafür sorgen, dass Kunden die TAN-App nicht auf ein und demselben Gerät mit der jeweiligen Banking-App installiert haben. Nach diesem Gerichtsurteil könnte die Nutzung einer Zwei-Faktor-Authentifizierung ohne separate Geräte für Banken künftig zum Problem werden.
Urteil des Landgerichts Heilbronn
Konkret urteilte das Landgericht Heilbronn: “Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotenzial auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.”
In dem Fall ging es um einen Social-Engineering-Betrug, bei dem sich der Betrüger als angeblicher Mitarbeiter einer Bank ausgab und vom Betrogenen telefonisch mehrere TANs erfragte.
Zwei-Faktor-Authentifizierung nicht gwährleistet
Das Problem: Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen im Sinne von Paragraf 1 Absatz 24 Zahlungsdiensteaufsichtsgesetz (ZAG) vor. Für die Banken könnte das Gerichtsurteil Handlungsbedarf mit sich bringen, denn sie müssten die Nutzung des Push-TAN-Verfahrens auf ein und demselben Gerät gegebenenfalls unterbinden. Tun sie das nicht, könnte es für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.
