LG Heilbronn: PushTAN-Verfahren weist erhöhtes Gefährdungspotential auf

Wenn schon zwei Apps auf einem Gerät gegen das ZAG verstossen.

Wie sieht es dann bei nur einer App womit man alles machen kann (wie bei ING, DKB u.a.) aus?

Schätze man hat im Falle des Falles gute Karten dass die Bank den Schaden trägt.

Ist jetzt aber nur die Meinung eines Richters.

Juristisch kann ich das zwar nicht beurteilen, aber technisch hat das für den verhandelten Fall mMn keine Relevanz, da die TANs fernmündlich an Dritte weitergegeben wurden. Bei so einem Verhalten kann es techn. ja so sicher wie irgendmöglich sein, es hilft nix. Und wäre das TAN Verfahren unsicher, wäre es immer noch nicht der Grund für den Schaden gewesen - auf dem der Kunde sitzen bleibt, wenn das Urteil rechtskräftig wird.

Und in den angeführten Gesetzen steht mal nix von Gerätetrennung. Keine Ahnung, wie man da jetzt überhaupt darauf gekommen ist.

Zitat von HavilandTuf

Wie sieht es dann bei nur einer App womit man alles machen kann (wie bei ING, DKB u.a.) aus?

Da kann man gar keine TANs generieren und telefonisch erfragen. Gegen Social Engineering könnte ein Ein App Lösung aber sogar besser schützen, als eine auf 2 Apps basierende.

Zitat von tobmobile

Ist jetzt aber nur die Meinung eines Richters.

LG Heilbronn 6. Zivilkammer

Es sind also drei Richter schonmal. Und da wird auch nicht Ende sein, das OLG Stuttgart wird sich sicher damit beschäftigen (dürfen) und da haben dann, je nach Senat, 4 oder 5 Richter eine Meinung dazu.

Zitat von HavilandTuf

Wenn schon zwei Apps auf einem Gerät gegen das ZAG verstossen.

Wie sieht es dann bei nur einer App womit man alles machen kann (wie bei ING, DKB u.a.) aus?

Dürfte interessant werden, wenn da jemand klagt. Solange das nicht passiert, bleibts.

Ich z.b. nutze den 2. Faktor auf meinem vorhergehenden Smartphone, auf meine jetzigen habe ich nur die Banking-App.

Zitat von GreenBay

LG Heilbronn 6. Zivilkammer

Es sind also drei Richter schonmal.

Sicher?

Zitat von https://www.landesrecht-bw.de/bsbw/document/JURE235009494

19

Hinsichtlich des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen sowie auf das Protokoll der mündlichen Verhandlung vom 16.5.2023, aus dem sich auch die ausführliche Anhörung des Klägers ergibt. Der Rechtsstreit wurde durch Beschluss der Kammer vom 23.1.2023 dem Einzelrichter zur Entscheidung übertragen.

Zitat von GreenBay

Und da wird auch nicht Ende sein, das OLG Stuttgart wird sich sicher damit beschäftigen (dürfen) und da haben dann, je nach Senat, 4 oder 5 Richter eine Meinung dazu.

Meinst du, der Kläger (Kunde) geht diesen Weg?

Oder kann die Bank das auch, obwohl die Klage gegen sie ja abgewiesen wurde?

Zitat von GreenBay

Dürfte interessant werden, wenn da jemand klagt. Solange das nicht passiert, bleibts.

So richtig interessant dürfte es ja mal werden, wenn auch ein Schaden dadurch ursächlich entstanden worden wäre, und nicht durch Social Engineering.

Aber ich fürchte, in den Fällen lenkt die Bank eh ein und es kommt dann zu gar keinem Urteil. (Und mit einem NDA als Teil der Einigung hört man dann öff. auch gar nichts davon.)

Zitat von tobmobile

Meinst du, der Kläger (Kunde) geht diesen Weg?

Naja wer wegen rund 8500 Euro die Klage einreicht in so einem Fall, wo er ja selber gröbsten Mist gebaut hat, dem traue ich das zu, dass er noch weiter geht.

Es sollte ja bekannt sein, dass die Bank keinerlei Daten braucht, um irgendwas an deinem Konto zu machen. Wer dann einfach ohne Verifizierung TANs rausgibt und dann klagt, der wills auf jeden Fall wissen. Da wird auch keine Versicherung dahinstehen, also ist das privat finanziert.

Zum Einzelrichter: Normalerweise wäre hier die Kammer zuständig gewesen, da es sich um eine Streitigkeit aus einem Bankgeschäft handelt.

Zitat

Oder kann die Bank das auch, obwohl die Klage gegen sie ja abgewiesen wurde?

Ne, sie sind ja nicht beschwert. Auswirkungen hat das Urteil jetzt auch gar keine. Dazu müsste halt jemand selber klagen, oder ein Verband. Deswegen, wie oben für die Ein-App-Sache: Solange keiner klagt passiert nichts.

Zitat von GreenBay

Dazu müsste halt jemand selber klagen, oder ein Verband. Deswegen, wie oben für die Ein-App-Sache: Solange keiner klagt passiert nichts.

So ein Urteil will wohl keine Bank riskieren. Da ein Kunde ja i.d.R. die Motivation hat seinen Schaden ersetzt zu bekommen, und wenn er das erreicht hat, ohne Urteil, zufrieden "aufgibt", wird solch ein Urteil wahrscheinlich nie aufgrund einer Kundenklage zustande kommen.

Da bleibt eigentl. nur ein Verband. Und ohne Gutachten wird dann da wohl auch nichts entscheiden werden.

Na vielleicht sind jetzt dort ein Paar Leute geweckt worden, und prüfen jetzt, was bei diesem Thema möglich ist. - Ich hoffe es sogar.

Was immer dann dabei herauskommt. Selbst wenn es dann eine Klage gäbe, die dann doch abgeweisen würde, hätte es mMn was Gutes. Denn das Thema Banking Sicherheit bzw. IT Sicherheit würde schon dadurch mehr in den Fokus geraten.

Zitat von tobmobile

So ein Urteil will wohl keine Bank riskieren. Da ein Kunde ja i.d.R. die Motivation hat seinen Schaden ersetzt zu bekommen, und wenn er das erreicht hat, ohne Urteil, zufrieden "aufgibt", wird solch ein Urteil wahrscheinlich nie aufgrund einer Kundenklage zustande kommen.

Kommt immer auf den Streitwert und die Umstände an. Wie im obigen Fall, wo es eigentlich recht eindeutig ist. Für mich hätte es da die Auschweifungen zur Sicherheit von Push-Tan gar nicht gebraucht, da sie für den vorliegenden Fall komplett irrelevant waren, da der Kläger ja die TANs weitergegeben hat. Das wäre ja auch passiert bei Tan-Liste, iTan-Liste, SMS-/mTan und ChipTan. Ich unterstelle mal selbst bei einem tanlosen Verfahren wo man in der Auth-Ap bestätigt, da hätte er dann den Auftrag bestätigt. Faktor Mensch ist der unsicherste Faktor.

Geht es natürlich nur um weniger Geld, und die Sache betrifft tatsächlich das Tan-Verfahren, und es ist tatsächlich etwas dabei schief gelaufen, dann wird die Bank das vielleicht im stillen Kämmerlein klären, und dich dann kündigen.