t-online - Nachrichten für Deutschland
t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon



HomeDigitalAktuelles

Mobiles Banking: pushTAN Verfahren ist ein Sicherheitsrisiko


pushTAN-Verfahren unsicher
Mobiles Banking laut Gerichtsurteil ein Sicherheitsrisiko

Von t-online, mho

Aktualisiert am 23.10.2023Lesedauer: 2 Min.
Ein Mann beim Online-Banking (Symbolbild): In der Ansparphase zahlen die meisten Bausparer Gebühren.Vergrößern des Bildes
Ein Mann beim Onlinebanking (Symbolbild): Millionen Kunden nutzen das pushTAN-Verfahren. (Quelle: Zacharie Scheurer/dpa)

Onlinebanking mit dem Smartphone gehört für viele zum Alltag. Nach einem Gerichtsurteil steht das bekannte pushTAN-Verfahren aber möglicherweise vor dem Aus.

Laut der aktuellen Statista-Umfrage "Consumer Insights" tätigt mehr als die Hälfte der Menschen in Deutschland ihre Bankgeschäfte online – sprich: am PC, Laptop, Handy oder Tablet. Der Kontostand lässt sich jederzeit einsehen, auch Überweisungen, Daueraufträge und andere Transaktionen sind problemlos von unterwegs möglich. Damit sich Unbefugte keinen Zugriff verschaffen können, sorgt die sogenannte TAN (Transaktionsnummer) für die entsprechende Sicherheit.

Bis 2019 kam diese in der Regel in Papierform per Post von der Bank. Aus einer Tabelle musste dann die gewünschte iTAN herausgesucht und übertragen werden. Mittlerweile ist dieses Verfahren aus Sicherheitsgründen per EU-Regelung verboten, da die Zwei-Faktor-Authentifizierung bei diesem Verfahren nicht gewährleistet ist.

pushTAN weist "erhöhtes Gefährdungspotential" auf

Seitdem gibt es mehrere Verfahren, eine TAN zu generieren: Beim mTAN- (smsTAN-)Verfahren verschickt die Bank die Transaktionsnummer per SMS. Diese Methode wird vom BSI (Bundesamt für Sicherheit in der Informationstechnik) zwar als nutzerfreundlich, aber auch als unsicher eingestuft – denn SMS können "mit entsprechendem technischen Vorwissen abgefangen werden".

Als einfachste und nutzerfreundlichste Lösung hat sich in den vergangenen Jahren das sogenannte pushTAN-Verfahren herausgestellt. Hierbei wird die benötigte Transaktionsnummer ganz einfach per App auf dem Smartphone generiert. Doch genau hier liegt das Problem: Laut einem Urteil vom Landgericht Heilbronn weist das Verfahren ein "erhöhtes Gefährdungspotential" auf.

Das Problem: Laut §1 Abs. 24 ZAG (Zahlungsdiensteaufsichtsgesetz) muss die Authentifizierung "von mindestens zwei [...] voneinander unabhängigen Elementen" geschehen. Wenn sich sowohl die Banking-App als auch die App zum Generieren der TAN auf demselben Gerät befinden, sei diese Bedingung nicht erfüllt, so das Gericht.

Kläger fällt Telefonbetrüger zum Opfer

In dem Urteil vom 16. Mai, dessen schriftliche Begründung kürzlich veröffentlicht wurde, ging es um einen Mann, der auf einen Telefonbetrüger hereingefallen und um mehr als 8.000 Euro betrogen worden war. Der Betrüger hatte sich als IT-Mitarbeiter der Bank ausgegeben und unter anderem gesagt, dass zwei Zahlungen durch Dritte getätigt worden seien, woraufhin der Mann dem Anrufer insgesamt drei TAN-Nummern weitergegeben hätte.

Wie es nun weitergeht, bleibt abzuwarten. Möglicherweise steht das bekannte pushTAN-Verfahren, das Millionen von Bankkunden nutzen, vor dem Aus. Für spätere Betrugsverfahren riskieren Banken, durch die Begründung des Gerichts künftig zur Rechenschaft gezogen zu werden. Für Bankkunden könnte die Pflicht zum chipTAN-Verfahren entstehen, bei dem ein zusätzliches Gerät zum Einsatz kommt.

Verwendete Quellen
  • statista.de: "Processes in banking affairs"
  • Landesrecht Baden-Württemberg: Aktenzeichen: Bm 6 O 10/23
  • finanz-szene.de: "Gericht stellt Push-TAN-Verfahren infrage – und versetzt Banken in helle Aufregung"
  • Eigene Recherche
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...



TelekomCo2 Neutrale Website