https://www.landesrecht-bw.de/bsbw/document/JURE235009494
LG Heilbronn 6. Zivilkammer - Aktenzeichen: Bm 6 O 10/23

Hinweis:
es geht nicht um den individuellen Fall, dh. die weiteren Ausführungen in dem Urteil (Freigabe TAN per Telefon o.ä.).


Kommentar:
LG Heilbronn: Banking-App und pushTAN-App auf einem Handy ist unzureichend
https://www.dr-bahr.com/news/b…chend.html

https://www.ferner-alsdorf.de/…-unsicher/

Der Formulierung zufolge geht's aber nur um den Sonderfall, wenn sowohl Bankingprogramm als auch TAN-App auf dem selben Gerät laufen. Und das ist ja in der Tat auch hier im Forum schon strittig gewesen.

Der Kläger hatte die TAN's telefonisch weitergegeben. Damit ist es vollkommen gleichgültig, mit welchem Verfahren die TAN's generiert wurden.

@hibiscus
das ist ja aber von der Branche bisher so beworben - alles auf einem Gerät = kein Problem - sonst hätte man es ja technisch/Software- bzw. App-basiert unterbunden.

hier hat sich nun ein Gericht der Sache angenommen und es wird spannend, wie sich die Branche verhält
wenn weitere Gerichte sich der Meinung anschließen, muss es ja geändert werden

@Nemo
klar, ist es egal über welchen Weg
aber das ändert ja nichts an der Feststellung/Haltung des Gerichts zu dem Thema pushTAN

Es ist aus meiner Sicht auch in der Tat eine gute Sache, dass dieses Vorgehen mal gerichtlich eingeordnet wurde.

Millionen Bankkunden betroffen: Gericht hält TAN-Verfahren für unsicher
https://www.chip.de/news/Milli…81267.html

Onlinebanking: Gericht sieht Risiken bei App-TAN – ein Trick macht es aber sicherer
https://t3n.de/news/onlinebank…k-1582015/

T3N wieder mit Clickbait vom Feinsten ;)
Der "Trick", um PushTAN und Banking-App auf einem Gerät zu betreiben heisst: Zwei Geräte verwenden ;)

Sehr lustig. Nur zur Info:

Auch die Postbank meidet die Zwei-Geräte-Regel. In der neuen Postbank-App (vormals Finanzassistent) sind Auftrag und Freigabe in EINER App vereint.

https://www.postbank.de/privat…ritte.html

Als Freigabe wird das Signaturverfahren BestSign verwendet. Laut Beschreibung (selbst verwende ich keine Äpps) wird beim Freigeben eines Auftrags nicht mal das BestSign-Passwort verlangt. Vielleicht ist da die Beschreibung noch unvollständig.


mfg Volker

Auftrag und Freigabe in einer App: ist bei der neuen DKB-App auch so.
Und abschalten kann man das wohl nicht.
Da ich nur bis 50€ hafte und die DKB nur als Zweitkonto habe, ist es mir egal. Aber mehr als nur ein Stirnzunzeln hat es mir schon abgerungen.

Die Apobank-Avaloq-Banking-App ließ sich zumindest in der ersten Version garnicht erst nutzen, wenn nicht auf dem gleichen Gerät auch eine aktivierte TAN-App war. Keine Ahnung, ob es mit der aktuellen Version auch noch so ist.

IMHO: GENAU diese neue Firlefanz-App der DKB, an deren Nutzung man immer weniger vorbei kam, gepaart mit der Geschäftstrategie, zugunsten des Branchen-Riesen VISA die Girocard aufgrund des Aufpreises de facto zu beerdigen, war persönlich für mich nach 16 Jahren der Grund, der DKB zu kündigen.

Was ist denn das wieder für ein weltfremdes Gerichtsurteil?
Zunächst ist ja evident, dass der hier verhandelte Schadensfall ausschließlich auf Social Engineering zurückzuführen ist.
Aber wie kommt das Gericht zu dieser neuen Bewertung der gemeinsamen Nutzung von Banking- und PushTan App auf einem Divice?
Die Banken stellen genau das schließlich als empfohlene und komfortable Nutzung dar.
Die einzige Voraussetzung für eine garantierte Kanaltrennung sei es, dass das Mobilgerät nicht gerootet worden ist.
Anderenfalls bemerken das die Apps und stellen den Dienst ein.

Liegen dem LG denn dokumentierte Fälle vor, bei denen es einem Trojaner gelungen ist die Kanaltrennung zu überwinden, eine betrügerische Überweisung auf der Banking App zu generieren, und sich diese dann auch gleich durch Zugriff auf die PushTan App zu genehmigen?
Habe von einem solchen dokumentierten Fall jedenfalls noch nie gehört.

Was soll daran weltfremd sein? Wenn ich das Urteil mir durchlese, hat der Kläger verloren. Das Gericht hat nur festgestellt, dass die Sicherheit bei zwei Apps auf denselben Endgerät, durchaus anzuweifeln ist. Das ist auch völlig korrekt, denn eine wirklich sichere Kanaltrennung liegt nur dann vor, wenn dies durch unterschiedliche Hardware gewährleistet ist. Das ist auch keine neue Erkenntnis.

Sicherlich ist das viel Theoriekram, da in der Praxis das immer noch viel zu aufwendig ist solche Apps zu hacken. Deswegen ist es sicherheitstechnisch gesehen, zumindest so lange man alles auf dem Handy macht, auch völlig Banane ob das ein oder zwei Apps auf dem Gerät sind. Wenn das Handy kompromittiert ist, spielt es keine Rolle auf wie vielen Apps das verteilt ist.

In dem Fall sagt das Gericht aber selber das die Weitergabe der TANs per Telefon grob fahrlässig war. Spannend wird ein solches Urteil dann, wenn da Aussage gegen Aussage steht. Also eine Weitergabe an Dritte so nicht nachweisbar ist. Dann könnte das natürlich durchaus eine Rolle spielen, darauf zu verweisen, dass ein Angriff auf das Smartphone auch ein mögliches Szenario gespielt haben könnte und die Bank keine "echte" Gerätetrennung erzwungen hat.

Ob das so toll für den Endkunden ist, sei mal so dahingestellt. Ist halt wie mit den BGH-Urteil zu den Gebühren. Mit Pech verlieren da am Ende alle und man muss dann doch wieder mit einen TAN-Generator rumfrickeln oder hat kein Banking mehr auf dem Handy.

Anmerkung zu LG Heilbronn, Urt. v. 16.05.23 - Bm 6 O 10/23
https://payment-law.eu/artikel…e-starken/

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung


https://www.heise.de/news/OLG-…77522.html

Das betrifft aber wohl nur das Login auf deren Webseite, nicht das Verfahren an sich.

genaugenommen muss man das Urteil im Detail durchlesen, da in der "Artikel-Fassung bspw. steht:"
+

Eine Echtzeit-Überweisung wird in der pushTAN App in der Überschrift deklariert (im Gegensatz zur Einzelüberweisung). Man weiß also bei Freigabe stets was man freigibt. Im Übrigen steht auch immer Betrag und Ziel IBAN dabei. Ein Empfängername ist ohne Verpflichtung zur Prüfung auf Richtigkeit (vgl VOP) nicht sinnvoll und daher nicht dargestellt, da er von der wichtigeren Prüfung der IBAN ablenkt.

Der Fall war noch vor der Einführung der "Geräteerkennung" mit der auch eine Freigabe bei Anmeldung auf einem unbekannten Gerät gefordert wird. Somit ist ein einfaches Einloggen mit User und Passwort ohne 2FA seit über einem Jahr nicht mehr möglich auf einem neuen Gerät.