zurück zum Artikel

Kontoinhaber haftet bei Online-Banking-Betrug mit Smart-TAN plus

JĂŒrgen Schmidt

Bislang urteilten Gerichte in FĂ€llen von Online-Banking-BetrĂŒgereien hĂ€ufig zugunsten des Opfers und sahen die Verantwortung primĂ€r bei den Banken. In einem aktuellen Fall bleibt das Opfer jedoch auf einem Schaden von 18.500 Euro sitzen.

Bei Smart-TAN Plus hat der TAN-Generator ein eigens Display und zeigt dort Kontonummer und Betrag an.

Bei Smart-TAN Plus hat der TAN-Generator ein eigenes Display und zeigt dort Kontonummer und Betrag an.

(Bild: Volksbank)

Banken haften nicht, wenn das Opfer einen Online-Banking-Betrug hÀtte erkennen und verhindern können, urteilte das Landgericht Darmstadt. Es weist damit die Klage eines Betrugsopfers ab, dem offenbar durch einen Trojaner 18.500 Euro gestohlen wurden. Die KlÀgerin hatte auf Erstattung des Schadens durch die Bank geklagt.

Der Knackpunkt war, dass bei den fraglichen Transaktionen das sogenannte Smart-TAN-Plus-Verfahren zum Einsatz kam. Dabei zeigt ein TAN-Generator wie der abgebildete zunĂ€chst Betrag und Ziel der Überweisung an. Erst wenn der Anwender diese bestĂ€tigt, wird die zugehörige TAN dafĂŒr erzeugt. Diese muss der Anwender dann in das Online-Banking am PC ĂŒbertragen und dann an die Bank senden. Mit diesem Vorgang sieht die Bank eine dem Anwender zuzurechnende Autorisierung der Überweisung als gegeben an.

Den im Urteil geschilderten Fakten lĂ€sst sich entnehmen, dass das Opfer wohl zunĂ€chst im Online-Banking auf dem PC Überweisungen an GeschĂ€ftspartner angestoßen hatte. Allerdings hat wohl ein Online-Banking-Trojaner oder ein Man-in-the-Middle diese Daten manipuliert und den Vorgang mit einem anderen Zielkonto und einem anderen Betrag versehen. Doch diese manipulierten Daten mĂŒssen danach auf dem Display des TAN-Generators angezeigt und somit von Anwender bestĂ€tigt worden sein, erklĂ€rte die beklagte Bank.

Das Gericht folgte dieser Argumentation offenbar und argumentierte "Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsĂ€chlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden." Insbesondere hĂ€tte "die KlĂ€gerin den „Man-in-the-Middle-Angriff“ [..] erkennen und verhindern können" heißt es in dem Urteil vom 28.8.2014 [1] weiter.

TatsĂ€chlich gilt SmartTAN Plus als sicheres Online-Banking-Verfahren – wenn der Anwender die auf dem Display prĂ€sentierten Überweisungsinformationen kontrolliert. Nach aktuellem Stand der Technik ist kein realistisches Angriffsszenario denkbar, bei dem der TAN-Generator nicht die Kontonummer und den Betrag der von der Bank tatsĂ€chlich durchgefĂŒhrten Überweisung anzeigt. Denn beide gehen so in die erzeugte TAN ein, dass die Bank sie vor DurchfĂŒhrung der Transaktion prĂŒfen kann.

Einfach gesagt sind TAN, Zielkonto und Betrag fest miteinander verkoppelt – technisch gewĂ€hrleisten dies kryptografische Hash-Funktionen. Ändert man etwa nachtrĂ€glich den Betrag, passt die TAN nicht mehr zu der Transaktion. Die wahrscheinlichste ErklĂ€rung des Betrugs ist somit, dass das Opfer diesen Informationen nicht genug Beachtung schenkte. (ju [2])

URL dieses Artikels:
https://www.heise.de/-2356713

Links in diesem Artikel:

  1. http://www.lareda.hessenrecht.hessen.de/jportal/portal/t/s15/page/bslaredaprod.psml?&doc.id=KORE220992014%3Ajuris-r01&showdoccase=1&doc.part=L
  2. mailto:ju@ct.de

Copyright © 2014 Heise Medien