Man-in-the-Middle: Bank haftet nicht bei Hack mit Smart-TAN-Plus-Verfahren

Wer beim Onlinebanking Opfer einer Man-in-the-Middle-Attacke wird und das Smart-TAN-Plus-Verfahren einsetzte, bekommt den Schaden nicht von der Bank erstattet. Das hat das Landgericht Darmstadt entschieden.

Artikel veröffentlicht am ,
Onlinebanking sollte mit Smart-TAN-Plus eigentlich sicher sein.
Onlinebanking sollte mit Smart-TAN-Plus eigentlich sicher sein. (Bild: BB Bank)

Eine Bank haftet nicht bei manipulierten Überweisungen, wenn das Smart-TAN-Plus-Verfahren eingesetzt wurde. Über ein aktuelles Urteil des Landgerichts Darmstadt vom 28. August 2014 zu dieser Frage (Aktenzeichen: 28 O 36/14) berichtet der Fachanwalt für IT-Recht Thomas Stadler in seinem Blog. Bei dem Smart-TAN-Plus-Verfahren werden die Transaktionsnummern (TAN) über ein spezielles externes Kartenlesegerät generiert.

Stellenmarkt
  1. Cloud DevOps Engineer (m/w/d)
    OEDIV KG, Bielefeld
  2. IT-Administrator (m/w/d)
    Klöckner Pentaplast Europe GmbH & Co. KG, Montabaur
Detailsuche

Das Smart-TAN-Plus-Verfahren biete laut einem Sachverständigen eine ausreichende Systemsicherheit, um einen "Vertrauenstatbestand zu begründen". Aus technischer Sicht sei es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden. Soweit Manipulationsmöglichkeiten in Betracht kämen, könne "die Ausführung des manipulierten Zahlungsvorganges durch Kontrolle der auf dem Display des TAN-Generators angezeigten Überweisungsdaten vermieden werden".

Die Klägerin könne daher von der Bank weder die Erstattung des Schadens in Höhe von 18.500 Euro noch der vorgerichtlichen Rechtsanwaltskosten in Höhe von 562 Euro verlangen.

Die Klägerin habe ihr Einverständnis zu den beiden Zahlungsvorgängen zwar nicht selbst erteilt, sondern wurde Opfer eines Man-in-the-Middle-Angriffs. Entweder wurde der Angriff durch eine Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. In der Urteilsbegründung heißt es: "Ihr ist die mittels des Zahlungsauthentifizierungsinstruments PIN und TAN erteilte Zustimmung des 'Angreifers' zu den manipulierten Zahlungsvorgängen jedoch nach Rechtsscheinsgrundsätzen zuzurechnen." Es herrsche die nötige Gewissheit, dass die Klägerin die Zahlungen autorisiert habe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 15. Feb 2017

optic dürfte auch 100% sicher sein wenn man nicht blöd genug ist die Daten nicht zu...

My1 15. Feb 2017

einer der Vorteile der Iban. die 2 zahlen nach dem Ländercode sind prüfzahlen. und da...

My1 15. Feb 2017

naja es ist schon extrem sicher wenn men ein verfahren mit Airgap hat wo man mur über...

Tesmont 09. Sep 2014

Den kompletten Weg Überweisungsdaten -> TAN kannst du aber als Angreifer gar nicht...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Bluetooth-Tracker: Airtag-Firmware lässt sich komplett austauschen
    Bluetooth-Tracker
    Airtag-Firmware lässt sich komplett austauschen

    Die Apple Airtags lassen sich nicht nur klonen. Forscher können auch beliebige Sounds auf dem Bluetooth-Tracker abspielen.

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /