Home | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Jura | Kontakt
 
 
Navigation
»Arbeitsrecht
»Baurecht und Architektenrecht
»Erbrecht
»Familienrecht
»Handels- und Gesellschaftsrecht
»Insolvenzrecht
»Internetrecht - Onlinerecht - Ebay
»Medizinrecht
»Mietrecht und Pachtrecht
»Sozialrecht
»Steuerrecht
»Strafrecht
»Transport- und Speditionsrecht
»Urheber- und Medienrecht
»Verkehrsrecht
»Versicherungsrecht
»Verwaltungsrecht

»Abfallrecht
»Agrarrecht
»Aktienrecht
»Architekten- und Ingenieurrecht
»Arzt- und Kassenrecht
»Arzthaftungsrecht - Arzthaftung
»Bank- und Börsenrecht
»Baurecht, privates
»Binnenschifffahrtsrecht
»Datenschutzrecht
»Deutsch-spanisches Recht
»Energiewirtschaftsrecht
»Familienrecht, internationales
»Forderungseinzug
»Gewerberecht
»GmbH-Recht
»Haftungsrecht, freie Berufe
»Haftungsrecht, Steuerberater
»Handels- und Wirtschaftsrecht
»Immobilienrecht
»Internationales Privatrecht
»Internationales Recht
»Jagd- und Waffenrecht
»Jugendstrafrecht
»Kapitalanlagenrecht
»Kapitalstrafrecht
»Kaufrecht
»Leasingrecht
»Maklerrecht
»Marken- und Domainrecht
»Medienrecht
»Nachbarrecht
»Opferschutzrecht
»Pferderecht
»Presserecht
»Printmedienrecht
»Produkthaftungsrecht
»Recht des öffentlichen Dienstes
»Reiserecht
»Rentenrecht
»Schadenersatzrecht
»Schuldrecht
»Sportrecht
»Steuerstrafrecht
»Strafverfahrensrecht
»Strafvollzugsrecht
»Telekommunikationsrecht
»Verbraucherinsolvenz
»Vereins- und Verbandsrecht
»Vergaberecht
»Verkehrsstrafrecht
»Verkehrsverwaltungsrecht
»Vermögensrecht
»Vertragsrecht
»Wehrrecht
»Wettbewerbsrecht - Werberecht
»Wirtschaftsrecht
»Wirtschaftsstrafrecht
»Wohnungseigentumsrecht
»Zivilrecht, allgemein
»Zwangsvollstreckungs-Recht
 
Sie befinden sich hier: Startseite / Fachartikel / Bank- und Börsenrecht / Betrugsserie beim mobile TAN Verfahren der Deutschen Postbank AG
   Bank- und Börsenrecht
Betrugsserie beim mobile TAN Verfahren der Deutschen Postbank AG
 
Autor: Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse
Kanzlei: ilex Rechtsanwälte
Ort: 14469 Potsdam
erstellt am: 29.10.15
 
Profil anzeigen
mehr Fachartikel dieses Autors
mehr Bank- und Börsenrecht
Artikel drucken
     

Betrugsserie beim mobile TAN Verfahren der Deutschen Postbank AG

Der Journalist Harald Freiberger berichtete in der Süddeutschen Zeitung am 20. Oktober 2015 von der Betrugsserie beim Online-Banking in dessen Mittelpunkt das Verfahren mit mobilen Transaktionsnummern (mobile Tan) steht. Von der Berichterstattung betroffen sind die Deutsche Postbank AG und der Mobilfunkanbieter Deutsche Telekom AG, die Opfer von Sicherheitslücken beim mobilen Tan-Verfahren bzw. beim unautorisierten Zugriffe auf Mobilfunkgeräte geworden seien. Die Täter hätten in Dutzenden Fällen hohe, meist fünfstellige Beträge von den Konten der Geschädigten abgehoben. Grund genug für ilex Rechtsanwälte die sich stellenden Rechtsfragen beim Phishing (Passwörter fischen) und bei der Nutzung des mobile TAN Verfahren zu beantworten.

Was passierte in dem konkreten Fall?

Die Süddeutsche Zeitung hat einen ihr bekanntgewordenen Fall, bei dem unautorisiert 30.000,- EUR abgebucht worden seien, herausgegriffen und exemplarisch daran geschildert, wie es den Tätern gelingt, dass mobile TAN Verfahren (mobile TAN) oder das sogenannte SMS-TAN Verfahren auszuhebeln. Für die davon betroffene Deutsche Postbank AG und auch für den Mobilfunkanbieter Telekom Deutschland GmbH, die das dazugehörige Mobilfunkgerät anbot, ist dies eine unangenehme Berichterstattung, die in der Tat Versäumnisse offenlegt. Allerdings sind diese Versäumnisse schon seit längerer Zeit bekannt und mit dieser Berichterstattung war zu rechnen. Der Ablauf der Betrugsmasche ist jedenfalls nicht neu. Ilex kennt die Fälle mit den Angriffen auf die Sicherheit des mobilen TAN Verfahren (SMS-TAN) seit mehreren Jahren und steht längst mit einer Vielzahl solcher Verfahren vor Gericht.

Wer kommt für die Schäden der betroffenen Bankkunden auf?

In der Praxis ist es leider nicht so, dass die betroffenen Bankkunden ihren Schaden in jedem Fall von der Bank erstattet bekommen. Ansonsten gäbe es die Gerichtsverfahren bei den Angriffen auf das mobile TAN Verfahren gar nicht. Aktuell sind mehrere allein von der Kanzlei ilex betreute Gerichtsverfahren zum Abgreifen beim mobilen TAN Verfahren bei unterschiedlichen Gerichten anhängig; zum Teil schon seit Monaten.

Wie läuft solch ein mobiles TAN Verfahren ab?

Bei dem mobilen TAN Verfahren handelt es sich um ein sogenanntes Zwei-Wege-TAN-Verfahren. Möchte der Bankkunde eine SEPA-Überweisung vornehmen, stellt er zunächst die Online-Verbindung über das Internet zu seiner Bank her. Er tippt die Überweisungsdaten in das Online Banking ein und fordert zur Freigabe dieser konkreten Überweisung die darauf abgestimmte TAN an. Es entsteht dann ein zweiter Kommunikationsweg, der gesondert über das Mobilfunkgerät läuft. Der Server der Bank sendet nun auf die vom Bankkunden einmal hinterlegte Mobilnummer eine SMS in der die indizierte Transaktionsnummer (TAN) zu finden ist, damit der Bankkunde die für den konkreten Zahlungsvorgang gedachte Banküberweisung freigeben kann. Diese TAN soll der Bankkunde nun wieder auf dem ersten Weg, dem Online Banking eingeben, um die von ihm gewollte Überweisung freizugeben.

Wie gelingt es die Täter das mobile TAN Verfahren und den Server der Bank zu überlisten?

Grundsätzlich fangen die Täter immer damit an, das Verhalten des betroffenen Bankkunden auszuspähen und wesentliche Daten abzugreifen. Prinzipiell sind hierzu drei Varianten möglich. Die am meisten verbreitete Variante besteht darin, sich mit einer Schadsoftware in den Computer des Bankkunden einzuhacken (trojanisches Pferd). Eine weniger verbreitete Variante besteht darin, die Internetknotenrechner zu scannen. Es ist auch die seltene Variante vorstellbar, dass es sich um eine Innentäterattacke handelt und die Täter den Server der Bank manipuliert haben. In jedem Fall aber haben die Täter Zugriff irgendwo in der Mitte zwischen dem Server der Bank und dem Bankkunden. Auf diese Weise kotrollieren sie den Datenverkehr und man spricht von einem „Man-in-the-Middle-Angriff“; also von dem „dritten Mann“ mitten im Datenverkehr zwischen dem Server der Bank und dem Bankkunden.

Was machen die Täter dabei ganz genau?

Die Täter kundschaften mit Hilfe einer Schadsoftware (trojanisches Pferd) die Zugangsdaten zum Online-Konto aus; d. h. sie lesen das Zugangspasswort mit. Außerdem beschaffen sie sich die Mobilnummer des Kunden, die möglicherweise irgendwo im Impressum einer Mail des Kunden zu finden ist und sie lesen ggf. das Zugangskennwort beim Mobilfunkanbieter aus. Sobald die Täter die gesamten Daten beisammen haben, ist es keine allzu große Hürde sich mitten in einer regulären Online-Banking-Sitzung in den Datenverkehr zwischen Bank und Bankkunde einzumischen. Der Bankkunde möchte beispielsweise eine autorisierte SEPA Überweisung an A über 50 EUR vornehmen und diese wandeln die Täter nun in eine nichtautorisierte SEPA Überweisung an B über 15.000 EUR um. Nur die nichtautorisierte Überweisung an B über 15.000 EUR kommt dann am Server der Deutschen Postbank AG an. Dann schickt der Server der Bank nach der Überprüfung der Zugangsparameter eine dazu individuell und nur für diese eine Zahlungsanweisung indizierte TAN per SMS auf die hinterlegte Mobilnummer des Bankkunden.

Wie kommen die Täter dabei an die SMS für den Bankkunden?

Dies ist möglich, wenn die Täter mit Hilfe der zuvor abgegriffenen Zugangsdaten beim Mobilfunkanbieter kurzfristig eine Umleitung der SMS auf ein unter falschem Namen laufendes Prepaid-Handy der Täter einrichten konnten. Dann landet die SMS mit der TAN in diesem Augenblick bei den Tätern. Sie füttern nun ihre Schadsoftware mit dieser Information der indizierten TAN und die Schadsoftware autorisiert innerhalb von Sekunden die nicht nichtautorisierte Zahlungsanweisung an B gegenüber dem Server der Bank. Sodann führt der Server die Zahlungsanweisung aus und das Geld ist vorläufig als Soll in das Konto des Bankkunden gebucht.

Wie gingen die Täter in dem von der Süddeutschen Zeitung geschilderten Fall vor?

Konkret soll es in dem Fall, von dem die Süddeutsche Zeitung berichtet hat, so gewesen sein, dass die Straftäter mit den ausgespähten Daten des Bankkunden den nächsten Telekom-Shop aufgesucht hätten, sich dort fälschlich als betroffener Kunde ausgegeben hätten und den angeblichen Verlust der SIM-Karte des betroffen Kunden gemeldet hätten. Auf diese Weise konnten sie offenbar mit Hilfe eines zuvorkommenden Kundenberaters unproblematisch eine Ersatz-Karte aktivieren. Die Folge war, dass alle per SMS übersandten TAN bei den Tätern landeten. Laut der Süddeutschen Zeitung soll die Telekom Deutschland GmbH als Reaktion auf diesen Vorfall mittlerweile ihre „Maßnahmen zur Händleridentifikation verschärft“ verschärft haben.

Ist das mobile TAN Verfahren nach den Reaktionen der Bank nun sicherer?

Die Garantie eines hundertprozentig sicheren mobile TAN Verfahrens können die Banken auch für die Zukunft nicht geben. Durch gezielte Reaktionen auf die Straftaten können zwar zukünftige Fälle vermindert, aber keineswegs restlos ausgeschlossen werden. Die Täter finden zudem immer wieder neue Wege das Online Banking anzugreifen. Der Fall, von dem die Süddeutsche Zeitung berichtet hatte, ist nur eine einzige Variante einer Vielzahl von Möglichkeiten, wie man Angriffe auf das mobile TAN Verfahren angehen kann. Allerdings ist zugunsten der Bank hinzufügen, dass das mobile TAN Verfahren oder SMS-TAN Verfahren ursprünglich einmal, jedenfalls im Zeitpunkt seiner Einführung, noch einen deutlichen Sicherheitsgewinn mit sich gebracht hat. Ursprünglich hat das mobile TAN Verfahren oder SMS-TAN Verfahren eine Verbesserung im Vergleich zu dem noch weitaus unsicheren indizierten TAN Verfahren oder iTAN-Verfahren mit sich gebracht hat.

Unter welchen Voraussetzungen haftet die Bank für die entstandenen Schäden?

Grundsätzlich haftet die Bank für den Schaden, wenn der Bankkunde die Überweisung nicht autorisiert hat, er die nicht autorisierte Zahlungsanweisung unverzüglich seiner Bank nach der Entdeckung meldet und ihm auch kein sonstiger wenigstens grob fahrlässiger Verstoß gegen die Pflicht zur Geheimhaltung der Bankzugangsdaten anzulasten ist. In der Praxis sind dabei die genauen Einzelheiten des konkreten Falles zu beachten.

Hat der Bundesgerichtshof zu dem Thema schon entschieden?

Im Bereich des Abgreifens von Zugangsdaten im Online Banking sind sehr viele ungeklärte Rechtsfragen noch gar nicht zu den höchsten Gerichten gelangt. Und die wenigen Urteile des für das Bankrecht zuständigen 11. Zivilsenat des Bundesgerichtshofes in Karlsruhe betreffen leider nicht die derzeit aktuellen Tatvarianten. Bis ein Fall vor dem Bundesgerichtshof anhängig ist und entschieden wird, vergehen mitunter Jahre. Insofern behandelt der Bundesgerichtshof gegenwärtig nur die Fälle, deren Tathandlungen schon vor vielen Jahren stattfanden und die aufgrund der Schnelllebigkeit bei der Einführung und Außerkraftsetzung neuer Online Banking Verfahren teilweise überholt sind. Sicherlich ist es aber nur eine Frage der Zeit bis auch der Bundesgerichtshof einen Fall des Abgreifens von Bankzugangsdaten beim mobile TAN Verfahren zu entscheiden hat.

Welche Online-Banking Verfahren sind zu empfehlen?

Derzeit kann für kein einziges Online Banking Verfahren eine hundertprozentige Sicherheit garantiert werden und angesichts der technisch teils sehr ausgereiften Tathandlungen, dürfte es trügerisch sein, dem Kunden eine solche Sicherheit vorzugaukeln. In der Praxis stürzen sich die Täter in der Masse allerdings nur auf die am wenigsten sicheren Online-Banking Verfahren. Zu den am leichtesten angreifbaren Verfahren gehört das mobile TAN Verfahren aber grundsätzlich nicht, denn hier muss der Täter immerhin die Hürde überwinden, eine SMS umzuleiten. Als Bankkunde fährt man gut damit, sich für ein solches Online Banking zu entscheiden, welches in der aktuellen und seriösen Testbericht-Erstattung von anerkannten Prüfinstituten gut abschneidet.

Wie können die Banken das Abgreifen von Bankzugangsdaten verhindern?

Die Banken sind und bleiben die Systemanbieter für das Online-Banking und haben die Verpflichtung, für ein sicheres Online Banking zu sorgen. Die Banken sollten daher vor allem in die eigene IT-Sicherheit investieren und bereits vorhandene Systeme beständig und kritisch hinterfragen. Die Gefahr bei Nachlässigkeiten in der Sicherheit besteht in der absehbaren Presseberichterstattung, die einen hohen Schaden darstellen kann, weil sie die Bank dem Ruf aussetzt, zu wenig für die Sicherheit ihrer Kunden getan zu haben. Dann können neue Kosten für ein zielführendes Reputationsmanagement entstehen, die im Vorfeld hätten verhindert werden können.

Sind die Online-Banking Systeme in den letzten Jahren sicherer geworden?

Die ersten Betrugsfälle betrafen 2007 noch den Bereich von Aktiendepots mittels einer sogenannten Sitzungs-TAN. Hierbei gab man eine nichtindizierte TAN aus seiner Liste als einmaliges Zugangskennwort ein und konnte dann bis zur Ausreizung des Verfügungsrahmens und bis zum Ende der Online-Sitzung alle möglichen Verfügungen quasi ungebremst vornehmen. Für Straftäter war es ein Kinderspiel dieses System zu überwinden und nichtautorisierte Zahlungsverfügungen mit dem Resultat eines erheblichen Gesamtschadens durchzuführen. Als Reaktion darauf wurden die Systeme verbessert und es gab dann für jede Transaktion zunächst die nichtindizierte PIN/TAN-Lösung. Auch dieses System war jedoch missbrauchsanfällig und so hatte sich das Landgericht Nürnberg-Fürth im Jahre 2008 mit der Frage auseinandergesetzt, ob Banken im Jahre 2005 nicht bereits verpflichtet gewesen wären, das nichtindizierte PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen Eine Entscheidung traf jedoch erst das Kammergericht in einem von der Kanzlei ilex erwirkten Urteil (Az. 26 U 159/09) am 29.11.2010. Dort wurde klargestellt, dass Banken eine Verpflichtung haben sichere Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren müssen, Bankzugangsdaten abzugreifen. In dem Urteil stand eindeutig drin, dass das ältere PIN/TAN-Verfahren zum damaligen Zeitpunkt überholt war.

Autor (ViSdP): Rechtsanwalt Dr. iur. Ulrich Schulte am Hülse, ilex Rechtsanwälte, 14469 Potsdam


Das Datum, an dem dieser Artikel eingestellt wurde, entspricht nicht zwingend dem Tag der Erstellung dieses Artikels. Bitte informieren Sie sich im Zweifel beim Autor oder einem anderen Fachmann über die Aktualität und Richtigkeit der Inhalte.


Anzeige: Ihre Reitsportartikel können sie prima im Onlineshop von Mobur - der Reitersport Shop kaufen. Dort finden Sie ein ausgewogenes Sortiment rund um den Reitsport.


 
SeitenanfangSeitenanfang
 

Anwaltzentrale.de – Ein Service der cemore GmbH
Lindenstraße 102a | 49393 Lohne | Deutschland
Tel.: +49 4442/8027-0 | Fax.: +49 4442/8027-29 | E-Mail: info@cemore.de

Impressum | Anwaltsuche | Fachartikel | Autoren | Für Anwälte | Über uns | Kontakt | Fachartikel Sitemap

Anwaltzentrale.de führt keine Rechtsberatung durch.
Alle verwendeten Markennamen und Bezeichnungen sind eingetragene Warenzeichen und Marken der jeweiligen Eigentümer.