pushTAN-Verfahren unsicher Mobiles Banking laut Gerichtsurteil ein Sicherheitsrisiko
Onlinebanking mit dem Smartphone gehört für viele zum Alltag. Nach einem Gerichtsurteil steht das bekannte pushTAN-Verfahren aber möglicherweise vor dem Aus.
Laut der aktuellen Statista-Umfrage "Consumer Insights" tätigt mehr als die Hälfte der Menschen in Deutschland ihre Bankgeschäfte online – sprich: am PC, Laptop, Handy oder Tablet. Der Kontostand lässt sich jederzeit einsehen, auch Überweisungen, Daueraufträge und andere Transaktionen sind problemlos von unterwegs möglich. Damit sich Unbefugte keinen Zugriff verschaffen können, sorgt die sogenannte TAN (Transaktionsnummer) für die entsprechende Sicherheit.
Bis 2019 kam diese in der Regel in Papierform per Post von der Bank. Aus einer Tabelle musste dann die gewünschte iTAN herausgesucht und übertragen werden. Mittlerweile ist dieses Verfahren aus Sicherheitsgründen per EU-Regelung verboten, da die Zwei-Faktor-Authentifizierung bei diesem Verfahren nicht gewährleistet ist.
pushTAN weist "erhöhtes Gefährdungspotential" auf
Seitdem gibt es mehrere Verfahren, eine TAN zu generieren: Beim mTAN- (smsTAN-)Verfahren verschickt die Bank die Transaktionsnummer per SMS. Diese Methode wird vom BSI (Bundesamt für Sicherheit in der Informationstechnik) zwar als nutzerfreundlich, aber auch als unsicher eingestuft – denn SMS können "mit entsprechendem technischen Vorwissen abgefangen werden".
Als einfachste und nutzerfreundlichste Lösung hat sich in den vergangenen Jahren das sogenannte pushTAN-Verfahren herausgestellt. Hierbei wird die benötigte Transaktionsnummer ganz einfach per App auf dem Smartphone generiert. Doch genau hier liegt das Problem: Laut einem Urteil vom Landgericht Heilbronn weist das Verfahren ein "erhöhtes Gefährdungspotential" auf.
Das Problem: Laut §1 Abs. 24 ZAG (Zahlungsdiensteaufsichtsgesetz) muss die Authentifizierung "von mindestens zwei [...] voneinander unabhängigen Elementen" geschehen. Wenn sich sowohl die Banking-App als auch die App zum Generieren der TAN auf demselben Gerät befinden, sei diese Bedingung nicht erfüllt, so das Gericht.
Kläger fällt Telefonbetrüger zum Opfer
In dem Urteil vom 16. Mai, dessen schriftliche Begründung kürzlich veröffentlicht wurde, ging es um einen Mann, der auf einen Telefonbetrüger hereingefallen und um mehr als 8.000 Euro betrogen worden war. Der Betrüger hatte sich als IT-Mitarbeiter der Bank ausgegeben und unter anderem gesagt, dass zwei Zahlungen durch Dritte getätigt worden seien, woraufhin der Mann dem Anrufer insgesamt drei TAN-Nummern weitergegeben hätte.
Wie es nun weitergeht, bleibt abzuwarten. Möglicherweise steht das bekannte pushTAN-Verfahren, das Millionen von Bankkunden nutzen, vor dem Aus. Für spätere Betrugsverfahren riskieren Banken, durch die Begründung des Gerichts künftig zur Rechenschaft gezogen zu werden. Für Bankkunden könnte die Pflicht zum chipTAN-Verfahren entstehen, bei dem ein zusätzliches Gerät zum Einsatz kommt.
- statista.de: "Processes in banking affairs"
- Landesrecht Baden-Württemberg: Aktenzeichen: Bm 6 O 10/23
- finanz-szene.de: "Gericht stellt Push-TAN-Verfahren infrage – und versetzt Banken in helle Aufregung"
- Eigene Recherche