Thema "OLG Urteil zu PushTAN" in Off-Topic

OLG Urteil zu PushTAN

dg2210 — Tue, 08 Jul 2025 08:27:42 GMT

Ein Rechtsanwalt hat hier eine Analyse des Urteils des OLG Dresden ( 05.05.2025, Az.: 8 U 1482/24) veröffentlicht:

https://www.ra-kotz.de/online-banking-betrug-bank-haftet-phishing.htm

Ich halte dies v.A. deshalb für wichtig, weil man in dem Urteil sieht, wie überkomplex die Rechtslage inzwischen geworden ist. Paragraph 675 BGB hat inzwischen Unter-Paragraphen a-z bekommen.

Im Kern: Spaßkassenkunde hat nach Anruf einer 'Bankmitarbeiterin' Aufträge, welche er nicht selbst eingegeben hat, 'testweise' bestätigt. Nun ist das Geld weg. Bank muß 20% des Schadens ersetzen.

Auch interessant:

Der Kunde hat mehr als zwei Wochen vergehen lassen, bevor er sich wieder in sein Konto eingeloggt hat (23.03 - 09.03)

Das Geld ist per Echtzeitüberweisung an die Deutsche Bank geflossen. Trotzdem war offensichtlich der Empfänger nicht mehr zu greifen. Was stimmt mit der Kundenauthentifizierung bei der Deutschen Bank nicht?

Betreff: OLG Urteil zu PushTAN

Floppy85 — Tue, 08 Jul 2025 08:10:46 GMT

Super. Das bedeutet, es gibt quasi keine Selbstverantwortung und die Leute lernen es einfach nicht, weil irgendwer die Rechnung bezahlen wird. 🤔

Betreff: OLG Urteil zu PushTAN

ehemaliger Nutzer — Tue, 08 Jul 2025 08:20:28 GMT

Wer auf eine Schaltfläche in so einer Mail klickt, ist meines Erachtens selbst Schuld. Nicht umsonst warnen die Banken immer wieder davor. Warum hat der Kunde sich nicht einfach auf der Webseite der Bank normal eingeloggt? Dann wäre der Betrug sofort aufgefallen.

Betreff: OLG Urteil zu PushTAN

CurtisNewton — Tue, 08 Jul 2025 10:13:21 GMT

Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen. Bei zwei Banken bei denen ich Kunde bin, ist es tatsächlich so dass bereits beim Login eine TAN abgefragt wird, was die vom Gericht bemängelte Lücke geschlossen hätte.

Betreff: OLG Urteil zu PushTAN

dg2210 — Tue, 08 Jul 2025 11:37:59 GMT

@CurtisNewton schrieb:
Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen.

Ich kann der Argumentation nicht folgen, weil sie praxisferne Annahmen enthält.

Im vorliegenden Fall hat der Kunde (mindestens dreimal) auf Anfrage der 'Bankmitarbeiterin' eine Aktion bestätigt. Hätte die Spaßkasse schon beim Login eine Push-TAN verlangt, hätte der Kunde vier statt drei Push-Anfragen bestätigen müssen.

Ich halte es für weltfremd, anzunehmen, daß der Kunde bei der vierten Push-Anfrage stutzig geworden wäre, das Gespräch abgebrochen und den Schaden vermieden hätte.

Betreff: OLG Urteil zu PushTAN

Marten68 — Tue, 08 Jul 2025 11:44:15 GMT

Genau das war nicht der Punkt. Es wurde nicht bemängelt dass man "einfach" ins Online-Banking gekommen ist ohne 2. Faktor sondern dann ohne 2. Faktor weiter zu den persönlichen Daten bzw. in die Postbox.

Also die Abfrage von Kontoständen oder Depotinhalten ist auch ohne 2. Faktor OK, aber die tieferen "Menüs" bei denen man die persönlichen Daten oder die Postbox einsieht hätte laut Urteil ein 2. Faktor erfordert.

Der Angriffsvektor den Klagenden überhaupt anzugreifen wäre nur deswegen möglich gewesen.

Deswegen hat das Gericht dem Kläger auch die Hauptschuld (ich glaube 90%) gegeben da er grob fahrlässig gehandelt hat, eine Mitschuld der Bank aber auch bejaht.

Hat sich für mich alles schlüssig gelesen.

Ich halte eine Push-Benachrichtigung auf einem Handy welches Internet-Zugang hat sowiso für suboptimal sodass ich ausschließlich, wenn möglich bei allen Banken ein Fototan-Gerät gekauft hat.

Bei einer Push tan kann nämlich der Betrüger auf einem X-beliebigen Gerät Dinge tun wenn er nur den Handybesitzer dazu bringt die Push-Tan auf seinem Gerät zu akzeptieren. Der Betrüger kann in einem x-beliebigen Land sitzen. Bei der Fototan muss man aber im Internet-Banking eingeloggt sein um die Fototan zu fotografieren. Der Angriffsvektor wäre so gar nicht möglich gewesen.

Betreff: OLG Urteil zu PushTAN

Morgenmond — Tue, 08 Jul 2025 12:00:06 GMT

@dg2210 schrieb:

...
Das Geld ist per Echtzeitüberweisung an die Deutsche Bank geflossen. Trotzdem war offensichtlich der Empfänger nicht mehr zu greifen. Was stimmt mit der Kundenauthentifizierung bei der Deutschen Bank nicht?

Das frage ich mich auch.

Es muss doch möglich sein nachzuvollziehen wem das Konto gehört und ob es evtl. auch gehackt wurde und wohin dann das Geld floss.

Betreff: OLG Urteil zu PushTAN

Glücksdrache — Tue, 08 Jul 2025 12:16:36 GMT

Hallo @Morgenmond, hallo @dg2210,

hallo Community,

zuerst einmal geht mein Glückwunsch an den Jura-Unternehmer, der einen schönen Streitwert = angemessenes Honorar haben dürfte. Alles richtig gemacht. Auch der Weg an die Öffentlichkeit. 😉

Der Empfänger wird wahrscheinlich sehr einfach greifbar sein. Der Medienunternehmer Peter Giesel mit seinem Format "Achtung Abzocke" hatte ja schon diverse Fälle, in denen insbesondere (und dies ist das Gemeine) junge Mütter als "Finanzagenten" angeworben wurden. Diese leiten das Geld weiter und bekommen dann die entsprechenden Geldwäscheanzeigen. Den Erst-Empfänger "haben" und die Forderung realisieren - sind zwei unterschiedliche Dinge.

Das war aber für den beschriebenen Zivilprozess unerheblich. Das Risiko bei angeblich immer sicherere und komplexeren Identifizierungen und Sicherheitsmaschinerien ist: Der abgesicherte Verbraucher denkt immer weniger nach. Dass ein Mitarbeiter einen normalen Kunden am Handy anruft, um ein System zu testen - sollte allmählich jedem klar sein wie hoch die Wahrscheinlichkeit ist.

Jedenfalls sollte der Anlageberater der Bank des Jura-Unternehmers alle Hebel in Bewegung setzen, um diesem Kunden neue Angebote zu machen. Wäre ja auch was für das comdirect first Team.

Liebe Grüße

Gluecksdrache

Betreff: OLG Urteil zu PushTAN

CurtisNewton — Tue, 08 Jul 2025 12:53:54 GMT

@dg2210 schrieb:
@CurtisNewton schrieb:
Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen.
Ich kann der Argumentation nicht folgen, weil sie praxisferne Annahmen enthält.

Im vorliegenden Fall hat der Kunde (mindestens dreimal) auf Anfrage der 'Bankmitarbeiterin' eine Aktion bestätigt. Hätte die Spaßkasse schon beim Login eine Push-TAN verlangt, hätte der Kunde vier statt drei Push-Anfragen bestätigen müssen.

Ich halte es für weltfremd, anzunehmen, daß der Kunde bei der vierten Push-Anfrage stutzig geworden wäre, das Gespräch abgebrochen und den Schaden vermieden hätte.

Der Punkt war dass nach dem Phishing, aber vor dem Gespräch, tage- oder wochenlang sensible Daten wie Überweisungslimits abgegriffen werden konnten ohne dass eine 2FA notwendig war. Und wenn man eine Push Tan bekäme während man im Bett liegt und weder am PC sitzt noch ein Gespräch führt merkt man das eventuell dann doch.

Um das Gespräch ging es bei Entscheidung dass die Bank eine Teilschuld hat gar nicht

Betreff: OLG Urteil zu PushTAN

Krügerrand — Tue, 08 Jul 2025 15:17:24 GMT

Der vermeintliche Mitarbeiter konnte sich ohne TANs einen Überblick über das Konto verschaffen und deshalb glaubhaft machen, dass er ein Mitarbeiter der Bank ist, da er Zugriff auf die Daten hat. Hätte er diese nicht gehabt, hatte der Kunde ~~wahrscheinlich~~ vielleicht schon die erste TAN nicht freigegeben.

Betreff: OLG Urteil zu PushTAN

haxo — Tue, 08 Jul 2025 13:35:51 GMT

@ehemaliger Nutzer schrieb:
Wer auf eine Schaltfläche in so einer Mail klickt, ist meines Erachtens selbst Schuld. Nicht umsonst warnen die Banken immer wieder davor. Warum hat der Kunde sich nicht einfach auf der Webseite der Bank normal eingeloggt? Dann wäre der Betrug sofort aufgefallen.

Habe ich mich zuerst auch gefragt, dann aber wieder verworfen:

Nicht jeder misst seinen IT-Aktionen gleich viel Aufmerksamkeit zu, zufällig musste ich gerade heute mein "Adobe-Abo" ändern, weil irgendeine Abo-Version ausgelaufen ist und ... bin natürlich über den Link der Mail in mein Konto gegangen, weil ich überhaupt nicht mehr gewusst hätte, welche Web-Site, Anmeldung, Konto, was-weiß-denn-ich ?!? Wusste nicht einmal mehr, dass ich überhaupt eines besitze.

Nicht jeder loggt sich wie wir täglich in seine Finanz-Portale ein und ehrlich gesagt hat das noch nicht einmal was mit Intelligenz oder finanziellem Erfolg zu tun, ich kenne einige intelligente Großverdiener, die mit den angeblich so selbstverständlichen Sicherheitsvorkehrungen völlig auf dem Kriegsfuß stehen. Mit einer bin ich verheiratet.

Betreff: OLG Urteil zu PushTAN

dg2210 — Tue, 08 Jul 2025 17:58:08 GMT

@Glücksdrache : Ich dachte auch kurz an Finanzagenten. Leider steht dazu nichts im Artikel. Ich weiß nicht, ob eine Klage gegen die Bank überhaupt möglich gewesen wäre, wenn man den Finanzagenten greifen kann.

@CurtisNewton , @Marten68 , @Krügerrand : ihr macht denselben Denkfehler wie das Gericht

Explizit:

Die Betrügerinnen haben die ohne TAN auslesbaren Daten (z.B. Name, Telefonnummer) benutzt um eine Legende für den Anruf zu haben.

Das Gericht sagt: Hätte die Bank eine TAN verlangt, wäre dies nicht möglich gewesen.

Der Denkfehler: Die Betrügerinnen haben die Login-Seite bzw. den Login-Vorgang der Bank täuschend echt nachgebaut.

Hätte die Bank eine TAN-Abfrage in den Login-Prozess integriert, dann hätten die Betrügerinnen mit an Sicherheit grenzender Wahrscheinlichkeit ebenso eine TAN-Abfrage in ihre gefälschte Login-Seite eingebaut und damit ebenso Zugang zu den Stammdaten des Kunden bekommen.

Der Betrug wäre damit in identischer Weise abgelaufen.

Betreff: OLG Urteil zu PushTAN

CurtisNewton — Tue, 08 Jul 2025 18:52:07 GMT

Der relevante Teil ist für mich

In diesem Moment haben die Betrüger bereits, was sie für den ersten Schritt benötigen: die Zugangsdaten zum Online-Banking-Konto. In den folgenden Tagen, am 20., 22. und 23. Februar, loggen sich die Täter unbemerkt in das Konto ein. Ihr Ziel ist reine Informationsbeschaffung.Sie benötigen weitere persönliche Daten des Klägers (Geburtsdatum und Kartennummer), um das verfügbare Überweisungslimit einzusehen

Neben dem eigentlichen Phishing, welches, egal ob mit oder ohne TAN, in der Verantwortung des Nutzer liegt, wäre das wiederholte Einloggen und das Abgreifen der Daten nicht möglich gewesen. Der Kunde hätte immer wieder TAN Anfragen bekommen, ohne selbst gerade in einem vermeintlichen Login Prozess zu stecken.

Betreff: OLG Urteil zu PushTAN

dg2210 — Tue, 08 Jul 2025 19:47:26 GMT

@CurtisNewton schrieb:
Der relevante Teil ist für mich

In diesem Moment haben die Betrüger bereits, was sie für den ersten Schritt benötigen: die Zugangsdaten zum Online-Banking-Konto. In den folgenden Tagen, am 20., 22. und 23. Februar, loggen sich die Täter unbemerkt in das Konto ein. Ihr Ziel ist reine Informationsbeschaffung.Sie benötigen weitere persönliche Daten des Klägers (Geburtsdatum und Kartennummer), um das verfügbare Überweisungslimit einzusehen

Das mehrfache Anmelden ist wahrscheinlich nur Bequemlichkeit oder ein Test darauf, ob das potentielle Opfer misstrauisch geworden ist und die Zugangsdaten geändert hat; denn die Daten ändern sich zwischen den einzelnen Anmeldungen nicht. Die Betrügerinnen hätten daher ohne weiteres alle benötigten Daten schon bei der ersten Anmeldung abgreifen können.