Bank haftet nicht bei manipulierter Überweisung im Online-Banking beim Smart-TAN-plus Verfahren
Das Landgericht Darmstadt geht in einem neuen Urteil vom 28.08.2014 (Az.: 28 O 36/14) davon aus, dass dem Bankkunden eine manipulierte Autorisierung im Online-Banking bei Nutzung des Smart-TAN-plus Verfahrens nach Rechtsscheinsgrundsätzen zuzurechnen ist und er deshalb gegen die Bank keinen Anspruch auf Rückzahlung besitzt.
Das Landgericht wählt allerdings eine aus meiner Sicht umständliche und nicht notwendige Begründung über die Grundsätze der Rechtsscheinshaftung.
Der entscheidende Aspekt bei der Benutzung eines TAN-Generators mit dem sog. Smart-TAN-Plus Verfahren besteht nämlich daran, dass die am Bildschirm angezeigte Überweisungsmaske zwar durch eine Man-In-The-Middle-Attacke manipuliert sein kann. Allerdings werden auf dem Display des TAN-Generator selbst in diesem Fall die korrekten Überweisungsdaten angezeigt. Da die Überweisung anschließend mit einer korrekten TAN ausgeführt wird, nachdem am TAN-Generator die korrekten Daten des Zahlungsempfängers und der Überweisungsbetrag angezeigt wurden, handelt es sich deshalb um eine autorisierte Überweisung des Bankkunden, für die man entgegen der Ansicht des Landgerichts Darmstadt auch nicht auf Rechtsscheinsgrundsätze zurückgreifen muss. Vielmehr erteilt der Bankkunde durch die aktive Freigabe mit einer korrekt erzeugten TAN der Bank eine wirksame Anweisung. Er hätte an dieser Stelle, die noch nicht ausgeführte Überweisung jederzeit auch abbrechen können. Diese Willenserklärung des Kunden ist allenfalls anfechtbar, gegenüber der Bank aber nur unter den Voraussetzungen des § 123 Abs. 2 BGB.
Die Sicherheitsaspekte dieses Verfahrens sind bei Wikipedia anschaulich erläutert.
Das Urteil des Landgerichts ist im Ergebnis zutreffend, überzeugt in seiner Begründung aber nur teilweise.
Ergänzung:
Die Überweisung wird nicht am TAN-Generator ausgeführt, wie es in der ersten Fassung hieß.
„Da die Überweisung erst am TAN-Generator durch den Bankkunden durch Betätigung der OK-Taste ausgeführt wird […]“ – Eher nicht. Der Kunde führt die Überweisung natürlich nicht durch einen Tastendruck am TAN-Generator aus – wie auch? Der ist ja gerade offline.
Der Kunde gibt vielmehr am TAN-Generator die Kontonummer und den Betrag für die Überweisung ein bzw. liest diese per Flickerbild ein, worauf sie ihm angezeigt werden. Aus diesen angezeigten Daten generiert das Gerät eine TAN, die auch nur für eine Überweisung mit diesen Daten gültig ist. Egal also, was dem Kunden auf dem Rechner vorgegaukelt wird: entweder, der TAN-Generator zeigt ihm die realen Zieldaten an oder die generierte TAN passt nicht.
Drückt der Kunde am TAN-Generator OK, gibt er damit nicht die Überweisung frei, sondern erzeugt die TAN, die er jetzt in den Rechner Truppen muss.
Comment by -thh — 3.09, 2014 @ 19:42
Die Bankhacker schalten sich in die Internetverbindung zwischen Kunde und Bank ein. Der Kunde und die Bank bekommen das im Prozess des Online-Banking nicht mit.
Die Hacker geben der Bank einen falsche Bankverbindung des Empfängers an. Die Rückmeldung der Bank wird abgefangen, rückmanipuliert und der Bankkunde kann die Fälschung erst erkennen, wenn er sich den Kontoauszug ansieht.
Das tut man in der Regel nach einer Online-Überweisung nicht.
Smart-TAN-plus Verfahrens erschwert zwar den Hackern das Manipulieren, dient aber hauptsächlich dazu, die Banken von der Verantwortung freizuhalten.
Die tatsächlich Verantwortlichen verschieben ihre Verantwortung immer mehr auf die, die keinen Einfluss auf die Ereignisse haben.
Comment by Rolf Schälike — 3.09, 2014 @ 22:53
Die Entscheidung sieht für mich als Hacker solide aus. Wahrscheinlich hat der Kläger bei der Überweisung nach dem Einscannen der Kontodaten und des Betrags diese nicht auf dem TAN Generator kontrolliert. Andernfalls hätte die TAN, wie von @-thh schon erklärt, nicht auf den Auftrag gepasst.
Zu dem Thema fällt allerdings sofort auf, dass die Online Hilfestellungen zum Thema Smart-TAN-Plus verschiedener Banken reine Werbeseiten ohne tatsächliche Anleitungen oder Erklärungen darstellen. Eine Seite wird gar komplett als flash-Applikation betreiben und ist z.B. über mobile Geräte nicht nutzbar. Hier sollten die Banken nachbessern und das simple Smart-TAN-Plus System besser erklären, um solche Fälle in Zukunft zu vermeiden.
@Rolf Schälike: Ich würde von der Bezeichnung „Hacker“ in diesem Zusammenhang Abstand nehmen. Es handelt sich hier offenbar um Verbrecher. Man sollte diese auch so bezeichnen. In der wissenschaftlichen Literatur wird üblicherweise von „Angreifer“ gesprochen.
Comment by Basti — 4.09, 2014 @ 09:26
Grundsätzlich ist es auch beim Smart-TAN-Plus- Verfahren dringend angeraten, das Zertifikat der im Browser angezeigten Bank-Website zu prüfen: stimmt der Fingerabdruck des angezeigten HTPPS-Zertifikats auch tatsächlich dem originären Bank-Zertifikat überein (den Hashwert der Bank-Überweisungs-Website hat man natürlich lange zuvor und unabhängig von der jetzigen Überweisung irgendwo ausgedruckt). Stimmen der angezeigte Hashwert nicht überein, dann ist man wohl Opfer eines MiM-Angriffs geworden.
Comment by Jon Müller — 4.09, 2014 @ 20:07
Der in [2.] skizzierte Man-In-The-Middle Angriff funktioniert allerdings nur solange es sich um den gleichen Betrag und die gleiche Ziel-Kontonummer (z.B. bei einem anderen Institut) handelt. Andernfalls sollte dem Kunden auffallen, daß diese Werte nicht zu der von ihm beabsichtigten Überweisung passen.
Comment by Nikolas Lotz — 4.09, 2014 @ 21:32
Das akutere Problem sind sogenannte Rücküberweisungstrojaner oder gefälschte Tests. Diese zeigen keine gefälschte Überweisungsmaske mehr an, sondern simulieren vermeintlich irrtümlich gebuchte Geldeingänge im infizierten Browser oder fordern die Nutzer/innen zu „Banksystem-Tests“ auf. Wenn hier naiv die dazu passende TAN erzeugt und in den Browser eingegeben wird, geht echtes Geld auf den Weg.
Das in diesen Fällen eigentliche Problem scheint mir einerseits das Unwissen über die von den Banken angebotenen Sicherheitsverfahren zu sein, aber auch andererseits das von mir kaum nachvollziehbare völlig blinde Vertrauen in die angezeigten Inhalte.
Comment by Raimund — 5.09, 2014 @ 00:12
@Nikolas Lotz: Das scheint von der Softwareversion der Karte abzuhängen.
Ich selbst habe eine ältere Karte, die mir nur die zweite hälfte der IBAN anzeigt, womit ein solcher Angriff durchaus denkbar wäre. Bei der neueren Karte der PSD-Bank erstellt man die Tan aber auf Basis des Betrages und der gesamten IBAN. Somit ist es noch ein Stück schwerer bis unmöglich, das Geld umzuleiten.
Comment by Tobias — 5.09, 2014 @ 01:21
@Tobias: ich präzisiere mal etwas, weil es nicht von der Karte selbst abhängt. Die Einstellung wird im Banksystem vorgegeben, setzt aber einen geeigneten Kartenleser (Version 1.4) voraus. Was die Bank an Prüfdaten an den Chip übermittelt, ist eine Einstellungsfrage der Banktechnik. Wer also ein neues Kartengerät hat und die erweiterte Sicherheit haben möchte, sollte den Bankzugang umstellen lassen oder dies im Onlinebanking selbst durchführen. Nicht alle Banken bieten diese verbesserte Sicherheit aktiv an, da wesentlich mehr Prüfdaten übertragen werden, ist nämlich die optische Lesetechnik etwas störungsempfindlicher und der Kundenfrust häufiger.
Comment by Raimund — 5.09, 2014 @ 08:02
Interessant.
Das würde im Umkehrschluss bedueten, dass -angenommen- wenn die Dame auf den TAN-Gen. guckte, dort auch die richtigen Daten gestanden haben müssen?
Wird das erörtert?
Vielleicht hat sie nicht auf das Device geguckt, mag sein.
Gehen wir aber mal davon aus, dass die auch einen Blick drauf geworfen hat – die Frage stellt sich daher, ob nicht vielleicht da auch schon Manipulationsmöglichkeiten bestehen derartige Geräte zu beeinflussen.
(Der vermeintliche „Sachverständige“ – das Gerichct soll mir bitte seinen *proven* Track-Record im Bereich IT-Sicherheit & Hacking etc. vorlegen, ansonsten muss ich als IT-Spezialist annehmen, dass das möglicherweise nur ein engagierter Hobbybastler ist, der gute Connections zum Richter hat)
Grüße
Comment by Vomitorium — 5.09, 2014 @ 08:11
@Vomitorium Aus meiner Praxis als Electronic-Banking-Berater heraus kann ich dir verraten, dass ich bislang noch keine manipulierten TAN-Anzeigen erlebt habe und es bei Phishing-Betrügereien (Stand heute) stets darauf hinausläuft, dass die Opfer die Daten auf dem Display ihres TAN-Generators (alternativ der SMS) schlicht nicht beachtet oder ignoriert haben.
Ich möchte gar nicht ausschließen, dass so etwas eines Tages möglich sein wird, aber so lange sich auch ohne diesen Aufwand noch genügend Opfer finden lassen, dürfte es für die Betrüger schlicht effizienter sein, weiterhin einfach auf die Unachtsamkeit und/oder Naivität ihrer Opfer zu setzen.
Comment by Sven — 5.09, 2014 @ 08:53
@ Thomas Stadler und alle Kommentatoren: herzlichen Dank für die durchweg hilfreiche Darstellung des Sachverhalts und die Kommentare.
Wie hätte der Sachverhalt und das Urteil wohl ausgesehen, wenn stattdessen das mTAN-Verfahren (TAN wird per SMS an eine festgelegte Handynummer gesendet) gewählt worden wäre und der Angriff durch Abfangen/Umlenken/Manipulieren der SMS ausgesehen?
Comment by tho_schmitz — 5.09, 2014 @ 18:04
Das ist ein anderer Fall. Hier muss man sich ansehen, wie die Umleitung möglich wurde. Hat der Handynutzer z.B. sein Smartphone gerootet, also die Firmware manipuliert und aus dubiosen Quellen Programme installiert, dann sollte dies die Schuldfrage klären. Anders sieht es z.B. aus, wenn der Provider eine Simdoublette ohne Prüfung verschickt hat…
@9 & 10: natürlich muss die Dame auf das Display geschaut haben: Sie hat dort ja schließlich die TAN abgetippt.
Das die TAN die Empfänger-Kontodaten der Überweisung repräsentiert, davon können wir ausgehen, dies wird auch mathematisch beweisbar sein. Nennt sich Hash und kann man sichlich bei Wikipedia nachlesen.
Comment by Raimund — 6.09, 2014 @ 14:51
Eine sehr interessante Diskussion. Da mein Vater auch Opfer einer manipulierten Überweisung geworden ist, wir allerdings einen anderen Sachverhalt haben, möchte ich Ihnen einmal unseren Sachverhalt unten schildern.
Um gerichtlich eine Chance zu haben, müssten wir beweisen können, dass es möglich ist, eine TAN auch ohne TAN-Generator „künstlich“ generieren zu können. Daher bitte ich alle Online-Banking Experten um ihr Know-how, bekannte Fälle bzw. Gerichtsurteile, die unseren Fall mit Argumenten stützen. Vielen Dank im Voraus!!
Der Sachverhalt:
Mein Vater (Telekom-Rechnung) hat die gefälschte Telekom Email im Juni 2014 geöffnet (inkl. pdf Dokument) und leider direkt geantwortet, um der falschen Rechnung zu widersprechen. Die Warnmeldungen der Banken wurden leider erst danach ausgesprochen und der Virus war bereits auf seinem PC.
Ca. 1,5 Wochen später hat er eine Gruppenüberweisung erstellt und mit einer TAN freigegeben. Hierbei wurde 8 Min. BEVOR er die TAN-Nummer mit dem optischen TAN-Verfahren für die Gruppenüberweisung generiert hat, bereits eine Überweisung der Hacker in Höhe von 9989 € getätigt. Auf dem Protokoll ist ersichtlich, dass vor der eigentlichen TAN (die mein Vater auch auf dem TAN-Generator freigegeben hat) bereits 8 Min. zuvor eine zweite „künstliche“ bzw. ohne TAN-Generator Gerät eine andere TAN-Nummer generiert wurde. Hierzu schreibt der IT-Blog-News auch folgendes:
„Es sind bereits Angriffe im Bezug auf Gruppenüberweisungen bekannt, bei denen die einzelnen Empfänger-Kontonummern nicht überprüft werden können, doch kann es nicht auch andere Angriffe geben. Angenommen ein Angreifer ermittelt den vollständigen Algorithmus zur Generierung einer TAN mit einem chipTAN-Gerät:
Nun ergibt sich folgendes Szenario: Offensichtlich wird eine TAN mithilfe von Informationen wie dem zu überweisenden Betrag und der Empfänger-Kontonummer sowie ggf. Zeitangaben generiert. Bei einer sechs Stellen langen, ausschließlich nummerischen TAN ergeben sich dabei für eine einzelne TAN 10⁶ = 1.000.000 (1 Mio) Möglichkeiten. Wenn man betrachtet, dass es alleine in Deutschland mehr als 90 Millionen Konten gibt, ist klar, dass es hier Überlappungen geben muss, d.h. dass man ohne weiteres zwei Überweisungen erzeugen kann, die zur gleichen TAN führen. Ein Angreifer könnte somit anhand der Daten die an das TAN-Gerät übermittelt werden, eine zweite Überweisung generieren (das wäre wegen der wenigen Stellen wohl in Echtzeit möglich), die zu exakt derselben TAN führt und anschließend die vom Benutzer eingegebene TAN für seine Überweisung verwenden. Damit würde der Benutzer in dem Glauben gelassen, er hätte eine ganz andere Überweisung ausgeführt und der Angreifer hätte einen weitestgehend beliebig großen Geldbetrag erbeutet. Diese Überlegungen geben zu denken. Womöglich sollten die Banken in Zukunft Verfahren wählen, die bei ihrer Sicherheit nicht nur darauf bauen, dass verwendete Sicherheitstechniken geheim bleiben, sondern sich vielmehr darauf konzentrieren, nachweislich sichere Verfahren zu verwenden.“
Quelle: http://it-news-blog.org/63/online-banking-wie-sicher-kann-das-verfahren-sein/
Allerdings reicht dieser Auszug nicht aus. Wir müssen weitere unterstützende Belege oder bestenfalls Gerichtsurteile, Nachweise etc. für diese Art der Manipulation des optischen TAN-Verfahrens finden.
Vielen Dank im Voraus, wir sind für jegliche Tipps, Quellen, etc. dankbar.
Mit besten Grüßen
Comment by Rebecca — 17.09, 2014 @ 22:18
Kann eine TAN Generator durch Trojaner manipuliert werden?
PC war nachweislich durch Trojaner manipuliert.
SEPA, IBAN, sowie Betrag sollen durch 3 mal Drücken
der ok-Taste bestätigt worden sein.
IBAN nach Ungarn
Betrag in beträchtlicher Höhe.
Beides für mich nicht vorstellbar. Hätte sofort die Bank verständigt.
Wer kann helfen?
Comment by Bürgy — 4.05, 2015 @ 15:15
Hallo, ich wurde ebenfalls Opfer eines Phishings. Ich hatte in meiner Push Tan App der Sparkasse noch nie! Empfänger, Betrag, etc.gesehen, sondern nur die reine Tan Nummer, also auch nicht bei der Phishing Attacke.
Viele meiner Freunde sahen ebenfalls nur die Tan ohne weitere Infos.
Wie sieht es in diesem Fall mit der Haftung aus? Wie ging es in Eurem Fall weiter?
Liebe Grüße
Comment by Nicole — 10.09, 2020 @ 02:20