Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für
Optionen
- RSS-Feed abonnieren
- Thread durchsuchen
- Thema als neu kennzeichnen
- Thema als gelesen kennzeichnen
- Thema für aktuellen Benutzer floaten
- Lesezeichen
- Abonnieren
- Stummschalten
- Drucker-Anzeigeseite
OLG Urteil zu PushTAN
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 10:08 - bearbeitet 08.07.2025 10:27
Ein Rechtsanwalt hat hier eine Analyse des Urteils des OLG Dresden ( 05.05.2025, Az.: 8 U 1482/24) veröffentlicht:
https://www.ra-kotz.de/online-banking-betrug-bank-haftet-phishing.htm
Ich halte dies v.A. deshalb für wichtig, weil man in dem Urteil sieht, wie überkomplex die Rechtslage inzwischen geworden ist. Paragraph 675 BGB hat inzwischen Unter-Paragraphen a-z bekommen.
Im Kern: Spaßkassenkunde hat nach Anruf einer 'Bankmitarbeiterin' Aufträge, welche er nicht selbst eingegeben hat, 'testweise' bestätigt. Nun ist das Geld weg. Bank muß 20% des Schadens ersetzen.
Auch interessant:
Der Kunde hat mehr als zwei Wochen vergehen lassen, bevor er sich wieder in sein Konto eingeloggt hat (23.03 - 09.03)
Das Geld ist per Echtzeitüberweisung an die Deutsche Bank geflossen. Trotzdem war offensichtlich der Empfänger nicht mehr zu greifen. Was stimmt mit der Kundenauthentifizierung bei der Deutschen Bank nicht?
Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
13 ANTWORTEN
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 08.07.2025 10:10
Super. Das bedeutet, es gibt quasi keine Selbstverantwortung und die Leute lernen es einfach nicht, weil irgendwer die Rechnung bezahlen wird. 🤔
ehemaliger Nutzer
ohne Rang
0 Beiträge
08.07.2025 10:18 - bearbeitet 08.07.2025 10:20
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 10:18 - bearbeitet 08.07.2025 10:20
Wer auf eine Schaltfläche in so einer Mail klickt, ist meines Erachtens selbst Schuld. Nicht umsonst warnen die Banken immer wieder davor. Warum hat der Kunde sich nicht einfach auf der Webseite der Bank normal eingeloggt? Dann wäre der Betrug sofort aufgefallen.
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 08.07.2025 12:13
Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen. Bei zwei Banken bei denen ich Kunde bin, ist es tatsächlich so dass bereits beim Login eine TAN abgefragt wird, was die vom Gericht bemängelte Lücke geschlossen hätte.
--------------------
"I am a dwarf and I'm digging a hole. Diggy diggy hole, diggy diggy hole. I am a dwarf and I′m digging a hole. Diggy diggy hole, digging a hole" - Wind Rose
"I am a dwarf and I'm digging a hole. Diggy diggy hole, diggy diggy hole. I am a dwarf and I′m digging a hole. Diggy diggy hole, digging a hole" - Wind Rose
08.07.2025 13:35 - bearbeitet 08.07.2025 13:37
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 13:35 - bearbeitet 08.07.2025 13:37
@CurtisNewton schrieb:Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen.
Ich kann der Argumentation nicht folgen, weil sie praxisferne Annahmen enthält.
Im vorliegenden Fall hat der Kunde (mindestens dreimal) auf Anfrage der 'Bankmitarbeiterin' eine Aktion bestätigt. Hätte die Spaßkasse schon beim Login eine Push-TAN verlangt, hätte der Kunde vier statt drei Push-Anfragen bestätigen müssen.
Ich halte es für weltfremd, anzunehmen, daß der Kunde bei der vierten Push-Anfrage stutzig geworden wäre, das Gespräch abgebrochen und den Schaden vermieden hätte.
Bettina Orlopp : „Wir haben kein Erkenntnis-, sondern ein Umsetzungsproblem.“ (Focus online 24.06.2025)
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 08.07.2025 13:44
Genau das war nicht der Punkt. Es wurde nicht bemängelt dass man "einfach" ins Online-Banking gekommen ist ohne 2. Faktor sondern dann ohne 2. Faktor weiter zu den persönlichen Daten bzw. in die Postbox.
Also die Abfrage von Kontoständen oder Depotinhalten ist auch ohne 2. Faktor OK, aber die tieferen "Menüs" bei denen man die persönlichen Daten oder die Postbox einsieht hätte laut Urteil ein 2. Faktor erfordert.
Der Angriffsvektor den Klagenden überhaupt anzugreifen wäre nur deswegen möglich gewesen.
Deswegen hat das Gericht dem Kläger auch die Hauptschuld (ich glaube 90%) gegeben da er grob fahrlässig gehandelt hat, eine Mitschuld der Bank aber auch bejaht.
Hat sich für mich alles schlüssig gelesen.
Ich halte eine Push-Benachrichtigung auf einem Handy welches Internet-Zugang hat sowiso für suboptimal sodass ich ausschließlich, wenn möglich bei allen Banken ein Fototan-Gerät gekauft hat.
Bei einer Push tan kann nämlich der Betrüger auf einem X-beliebigen Gerät Dinge tun wenn er nur den Handybesitzer dazu bringt die Push-Tan auf seinem Gerät zu akzeptieren. Der Betrüger kann in einem x-beliebigen Land sitzen. Bei der Fototan muss man aber im Internet-Banking eingeloggt sein um die Fototan zu fotografieren. Der Angriffsvektor wäre so gar nicht möglich gewesen.
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
am 08.07.2025 14:00
@dg2210 schrieb:...
Das Geld ist per Echtzeitüberweisung an die Deutsche Bank geflossen. Trotzdem war offensichtlich der Empfänger nicht mehr zu greifen. Was stimmt mit der Kundenauthentifizierung bei der Deutschen Bank nicht?
Das frage ich mich auch.
Es muss doch möglich sein nachzuvollziehen wem das Konto gehört und ob es evtl. auch gehackt wurde und wohin dann das Geld floss.
08.07.2025 14:15 - bearbeitet 08.07.2025 14:16
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 14:15 - bearbeitet 08.07.2025 14:16
Hallo @Morgenmond, hallo @dg2210,
hallo Community,
zuerst einmal geht mein Glückwunsch an den Jura-Unternehmer, der einen schönen Streitwert = angemessenes Honorar haben dürfte. Alles richtig gemacht. Auch der Weg an die Öffentlichkeit. 😉
Der Empfänger wird wahrscheinlich sehr einfach greifbar sein. Der Medienunternehmer Peter Giesel mit seinem Format "Achtung Abzocke" hatte ja schon diverse Fälle, in denen insbesondere (und dies ist das Gemeine) junge Mütter als "Finanzagenten" angeworben wurden. Diese leiten das Geld weiter und bekommen dann die entsprechenden Geldwäscheanzeigen. Den Erst-Empfänger "haben" und die Forderung realisieren - sind zwei unterschiedliche Dinge.
Das war aber für den beschriebenen Zivilprozess unerheblich. Das Risiko bei angeblich immer sicherere und komplexeren Identifizierungen und Sicherheitsmaschinerien ist: Der abgesicherte Verbraucher denkt immer weniger nach. Dass ein Mitarbeiter einen normalen Kunden am Handy anruft, um ein System zu testen - sollte allmählich jedem klar sein wie hoch die Wahrscheinlichkeit ist.
Jedenfalls sollte der Anlageberater der Bank des Jura-Unternehmers alle Hebel in Bewegung setzen, um diesem Kunden neue Angebote zu machen. Wäre ja auch was für das comdirect first Team.
Liebe Grüße
Gluecksdrache
08.07.2025 14:48 - bearbeitet 08.07.2025 14:53
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 14:48 - bearbeitet 08.07.2025 14:53
@dg2210 schrieb:
@CurtisNewton schrieb:Wenn man den Artikel liest wird durchaus klar warum die Bank hier eine Teilschuld bekommt. Der Argumentation kann man durchaus folgen ohne in eine Vollkaskomentalität zu verfallen.
Ich kann der Argumentation nicht folgen, weil sie praxisferne Annahmen enthält.
Im vorliegenden Fall hat der Kunde (mindestens dreimal) auf Anfrage der 'Bankmitarbeiterin' eine Aktion bestätigt. Hätte die Spaßkasse schon beim Login eine Push-TAN verlangt, hätte der Kunde vier statt drei Push-Anfragen bestätigen müssen.
Ich halte es für weltfremd, anzunehmen, daß der Kunde bei der vierten Push-Anfrage stutzig geworden wäre, das Gespräch abgebrochen und den Schaden vermieden hätte.
Der Punkt war dass nach dem Phishing, aber vor dem Gespräch, tage- oder wochenlang sensible Daten wie Überweisungslimits abgegriffen werden konnten ohne dass eine 2FA notwendig war. Und wenn man eine Push Tan bekäme während man im Bett liegt und weder am PC sitzt noch ein Gespräch führt merkt man das eventuell dann doch.
Um das Gespräch ging es bei Entscheidung dass die Bank eine Teilschuld hat gar nicht
--------------------
"I am a dwarf and I'm digging a hole. Diggy diggy hole, diggy diggy hole. I am a dwarf and I′m digging a hole. Diggy diggy hole, digging a hole" - Wind Rose
"I am a dwarf and I'm digging a hole. Diggy diggy hole, diggy diggy hole. I am a dwarf and I′m digging a hole. Diggy diggy hole, digging a hole" - Wind Rose
08.07.2025 14:58 - bearbeitet 08.07.2025 17:17
Optionen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- Stummschalten
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
08.07.2025 14:58 - bearbeitet 08.07.2025 17:17
Der vermeintliche Mitarbeiter konnte sich ohne TANs einen Überblick über das Konto verschaffen und deshalb glaubhaft machen, dass er ein Mitarbeiter der Bank ist, da er Zugriff auf die Daten hat. Hätte er diese nicht gehabt, hatte der Kunde wahrscheinlich vielleicht schon die erste TAN nicht freigegeben.
