comdirect.de
Hilfe
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

OLG Urteil zu PushTAN

dg2210
Legende
7.777 Beiträge

‎08.07.2025 10:08 - bearbeitet ‎08.07.2025 10:27

‎08.07.2025 10:08 - bearbeitet ‎08.07.2025 10:27

 

Ein Rechtsanwalt hat hier eine Analyse des Urteils des OLG Dresden (  05.05.2025, Az.: 8 U 1482/24) veröffentlicht:

 

https://www.ra-kotz.de/online-banking-betrug-bank-haftet-phishing.htm

 

Ich halte dies v.A. deshalb für wichtig, weil man in dem Urteil sieht, wie überkomplex die Rechtslage inzwischen geworden ist. Paragraph 675 BGB hat inzwischen Unter-Paragraphen a-z bekommen.

 

Im Kern: Spaßkassenkunde hat nach Anruf einer 'Bankmitarbeiterin' Aufträge, welche er nicht selbst eingegeben hat, 'testweise' bestätigt. Nun ist das Geld weg. Bank muß 20% des Schadens ersetzen.

 

 

Auch interessant: 

Der Kunde hat mehr als zwei Wochen vergehen lassen, bevor er sich wieder in sein Konto eingeloggt hat (23.03 - 09.03)

 

Das Geld ist per Echtzeitüberweisung an die Deutsche Bank geflossen. Trotzdem war offensichtlich der Empfänger nicht mehr zu greifen. Was stimmt mit der Kundenauthentifizierung bei der Deutschen Bank nicht?

 

 

Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
13 ANTWORTEN

haxo
Legende
3.787 Beiträge
Als Antwort auf ehemaliger Nutzer

am ‎08.07.2025 15:35

am ‎08.07.2025 15:35

@ehemaliger Nutzer  schrieb:

Wer auf eine Schaltfläche in so einer Mail klickt, ist meines Erachtens selbst Schuld. Nicht umsonst warnen die Banken immer wieder davor. Warum hat der Kunde sich nicht einfach auf der Webseite der Bank normal eingeloggt? Dann wäre der Betrug sofort aufgefallen.

Habe ich mich zuerst auch gefragt, dann aber wieder verworfen:

Nicht jeder misst seinen IT-Aktionen gleich viel Aufmerksamkeit zu, zufällig musste ich gerade heute mein "Adobe-Abo" ändern, weil irgendeine Abo-Version ausgelaufen ist und ... bin natürlich über den Link der Mail in mein Konto gegangen, weil ich überhaupt nicht mehr gewusst hätte, welche Web-Site, Anmeldung, Konto, was-weiß-denn-ich ?!? Wusste nicht einmal mehr, dass ich überhaupt eines besitze.

 

Nicht jeder loggt sich wie wir täglich in seine Finanz-Portale ein und ehrlich gesagt hat das noch nicht einmal was mit Intelligenz oder finanziellem Erfolg zu tun, ich kenne einige intelligente Großverdiener, die mit den angeblich so selbstverständlichen Sicherheitsvorkehrungen völlig auf dem Kriegsfuß stehen. Mit einer bin ich verheiratet. :cat-wink:

MCGA - Make Community Great Again

dg2210
Legende
7.777 Beiträge

am ‎08.07.2025 19:58

am ‎08.07.2025 19:58

@Glücksdrache : Ich dachte auch kurz an Finanzagenten. Leider steht dazu nichts im Artikel. Ich weiß nicht, ob eine Klage gegen die Bank überhaupt möglich gewesen wäre, wenn man den Finanzagenten greifen kann.

 

@CurtisNewton , @Marten68 , @Krügerrand : ihr macht denselben Denkfehler wie das Gericht

 

Explizit:

Die Betrügerinnen haben die ohne TAN auslesbaren Daten (z.B. Name, Telefonnummer) benutzt um eine Legende für den Anruf zu haben.

 

Das Gericht sagt: Hätte die Bank eine TAN verlangt, wäre dies nicht möglich gewesen.

 

Der Denkfehler: Die Betrügerinnen haben die Login-Seite bzw. den Login-Vorgang der Bank täuschend echt nachgebaut.

Hätte die Bank eine TAN-Abfrage in den Login-Prozess integriert, dann hätten die Betrügerinnen mit an Sicherheit grenzender Wahrscheinlichkeit ebenso eine TAN-Abfrage in ihre gefälschte Login-Seite eingebaut und damit ebenso Zugang zu den Stammdaten des Kunden bekommen.

 

Der Betrug wäre damit in identischer Weise abgelaufen.

 

 

 

Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
0 Danke

CurtisNewton
Legende
4.845 Beiträge

‎08.07.2025 20:18 - bearbeitet ‎08.07.2025 20:52

‎08.07.2025 20:18 - bearbeitet ‎08.07.2025 20:52

Der relevante Teil ist für mich

 

In diesem Moment haben die Betrüger bereits, was sie für den ersten Schritt benötigen: die Zugangsdaten zum Online-Banking-Konto. In den folgenden Tagen, am 20., 22. und 23. Februar, loggen sich die Täter unbemerkt in das Konto ein. Ihr Ziel ist reine Informationsbeschaffung.Sie benötigen weitere persönliche Daten des Klägers (Geburtsdatum und Kartennummer), um das verfügbare Überweisungslimit einzusehen

 

Neben dem eigentlichen Phishing, welches, egal ob mit oder ohne TAN, in der Verantwortung des Nutzer liegt, wäre das wiederholte Einloggen und das Abgreifen der Daten nicht möglich gewesen. Der Kunde hätte immer wieder TAN Anfragen bekommen, ohne selbst gerade in einem vermeintlichen Login Prozess zu stecken.

--------------------
"I am a dwarf and I'm digging a hole. Diggy diggy hole, diggy diggy hole. I am a dwarf and I′m digging a hole. Diggy diggy hole, digging a hole" - Wind Rose

dg2210
Legende
7.777 Beiträge
Als Antwort auf CurtisNewton

‎08.07.2025 21:43 - bearbeitet ‎08.07.2025 21:47

‎08.07.2025 21:43 - bearbeitet ‎08.07.2025 21:47

@CurtisNewton  schrieb:

Der relevante Teil ist für mich

 

In diesem Moment haben die Betrüger bereits, was sie für den ersten Schritt benötigen: die Zugangsdaten zum Online-Banking-Konto. In den folgenden Tagen, am 20., 22. und 23. Februar, loggen sich die Täter unbemerkt in das Konto ein. Ihr Ziel ist reine Informationsbeschaffung.Sie benötigen weitere persönliche Daten des Klägers (Geburtsdatum und Kartennummer), um das verfügbare Überweisungslimit einzusehen

 

Das mehrfache Anmelden ist wahrscheinlich nur Bequemlichkeit oder ein Test darauf, ob das potentielle Opfer misstrauisch geworden ist und die Zugangsdaten geändert hat; denn die Daten ändern sich zwischen den einzelnen Anmeldungen nicht. Die Betrügerinnen hätten daher ohne weiteres alle benötigten Daten schon  bei der ersten Anmeldung abgreifen können. 

Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)