pushTAN doch unsicher? dies meinte das Landegericht HN

Der Formulierung zufolge geht's aber nur um den Sonderfall, wenn sowohl Bankingprogramm als auch TAN-App auf dem selben Gerät laufen. Und das ist ja in der Tat auch hier im Forum schon strittig gewesen.

@hibiscus
das ist ja aber von der Branche bisher so beworben - alles auf einem Gerät = kein Problem - sonst hätte man es ja technisch/Software- bzw. App-basiert unterbunden.

hier hat sich nun ein Gericht der Sache angenommen und es wird spannend, wie sich die Branche verhält
wenn weitere Gerichte sich der Meinung anschließen, muss es ja geändert werden

@Nemo
klar, ist es egal über welchen Weg
aber das ändert ja nichts an der Feststellung/Haltung des Gerichts zu dem Thema pushTAN

Millionen Bankkunden betroffen: Gericht hält TAN-Verfahren für unsicher
https://www.chip.de/news/Milli…81267.html

Onlinebanking: Gericht sieht Risiken bei App-TAN – ein Trick macht es aber sicherer
https://t3n.de/news/onlinebank…k-1582015/

Sehr lustig. Nur zur Info:

Auch die Postbank meidet die Zwei-Geräte-Regel. In der neuen Postbank-App (vormals Finanzassistent) sind Auftrag und Freigabe in EINER App vereint.

https://www.postbank.de/privat…ritte.html

Als Freigabe wird das Signaturverfahren BestSign verwendet. Laut Beschreibung (selbst verwende ich keine Äpps) wird beim Freigeben eines Auftrags nicht mal das BestSign-Passwort verlangt. Vielleicht ist da die Beschreibung noch unvollständig.


mfg Volker

IMHO: GENAU diese neue Firlefanz-App der DKB, an deren Nutzung man immer weniger vorbei kam, gepaart mit der Geschäftstrategie, zugunsten des Branchen-Riesen VISA die Girocard aufgrund des Aufpreises de facto zu beerdigen, war persönlich für mich nach 16 Jahren der Grund, der DKB zu kündigen.

Was soll daran weltfremd sein? Wenn ich das Urteil mir durchlese, hat der Kläger verloren. Das Gericht hat nur festgestellt, dass die Sicherheit bei zwei Apps auf denselben Endgerät, durchaus anzuweifeln ist. Das ist auch völlig korrekt, denn eine wirklich sichere Kanaltrennung liegt nur dann vor, wenn dies durch unterschiedliche Hardware gewährleistet ist. Das ist auch keine neue Erkenntnis.

Sicherlich ist das viel Theoriekram, da in der Praxis das immer noch viel zu aufwendig ist solche Apps zu hacken. Deswegen ist es sicherheitstechnisch gesehen, zumindest so lange man alles auf dem Handy macht, auch völlig Banane ob das ein oder zwei Apps auf dem Gerät sind. Wenn das Handy kompromittiert ist, spielt es keine Rolle auf wie vielen Apps das verteilt ist.

In dem Fall sagt das Gericht aber selber das die Weitergabe der TANs per Telefon grob fahrlässig war. Spannend wird ein solches Urteil dann, wenn da Aussage gegen Aussage steht. Also eine Weitergabe an Dritte so nicht nachweisbar ist. Dann könnte das natürlich durchaus eine Rolle spielen, darauf zu verweisen, dass ein Angriff auf das Smartphone auch ein mögliches Szenario gespielt haben könnte und die Bank keine "echte" Gerätetrennung erzwungen hat.

Ob das so toll für den Endkunden ist, sei mal so dahingestellt. Ist halt wie mit den BGH-Urteil zu den Gebühren. Mit Pech verlieren da am Ende alle und man muss dann doch wieder mit einen TAN-Generator rumfrickeln oder hat kein Banking mehr auf dem Handy.

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung


https://www.heise.de/news/OLG-…77522.html

genaugenommen muss man das Urteil im Detail durchlesen, da in der "Artikel-Fassung bspw. steht:"
+