Hacking der pushTAN – Leichter kann man es Kriminellen nicht machen!

Das pushTAN-Verfahren im Online-Banking ist das Unsicherste aller Verfahren! Mittlerweile nutzt die Mehrheit der Deutschen die Möglichkeit des Online-Bankings. Die meisten davon vertrauen dabei auf das pushTAN-Verfahren. Diese Methode besticht zwar durch ihre einfache Handhabung, doch hat das seinen Preis. So ist es von allen etablierten Methoden das Hacking-Anfälligste. Was Sie über die Sicherheitsrisiken des Verfahrens und Ihr Recht gegenüber dem Bankinstitut wissen müssen, erfahren Sie hier.

Das sind die einzelnen Themen:

• Funktionsweise der pushTAN-Methode
• Sicherheitskonzept der push-TAN
• Schwachstellen des pushTAN-Systems
• Hacking begünstigende Verhaltensweisen
• Hacken der pushTAN erschweren
• Verhalten bei gehacktem Online-Banking-Konto
• Schadensübernahme durch Bank bei Cyberangriffen
• Schadensersatzanspruch gegenüber Bank
• Verhalten der Bank bei Schadensersatzforderungen
• Vorwurf des grob fahrlässigen Verhaltens oder der Verletzung der Sorgfaltspflicht
• Schäden die durch Bank übernommen werden können
• Chancen des Kunden auf Schadenserstattung
• Hilfe im Streitfalle mit der Bank

Falls Sie noch weitere Fragen haben, können Sie sich damit gerne direkt via WhatsApp an uns wenden.

Wie funktioniert das push-TAN-System?

Die Zusendung der TAN erfolgt beim pushTAN-Verfahren über eine separate App des jeweiligen Bankinstituts. Das System besteht aus folgenden Grundschritten:

• Überweisungsformular über das Online-Banking-Portal oder die Banking-App ausfüllen
• TAN anfordern, welche an die TAN-App auf Tablet oder Handy gesendet wird
• Eingabe der TAN oder Bestätigung innerhalb der TAN-App, wodurch der Auftrag freigegeben wird

Bei manchen Instituten kann die pushTAN-App auch berechtigt werden, durch bloße Passworteingabe den Vorgang zu legitimieren, ohne dass ein Abgleich der Überweisungsdaten vorgenommen wird.

Welche Sicherheitsvorkehrungen weist das pushTAN-System auf?

Bei dem push-TAN-Verfahren versucht die Bank eine „Zwei-Faktoren-Sicherung“ zu erreichen, indem die Überweisungseingabe und der Empfang der TAN getrennt werden. Das kann durch zwei getrennte Apps, wie Banking-App und TAN-App, oder getrennte Portale, wie im Falle einer Eingabe im Online-Banking-Portal und dem Empfang per App, erfolgen. Des Weiteren werden die einzelnen Apps bzw. Portale mittels Passwort- oder Sensoreingabe, wie bspw. Fingerabdruck, gesichert.

Welche Angriffsmöglichkeiten bietet das pushTAN-Verfahren?

Die push-TAN-Methode ist wie die anderen Systeme auch für allgemeine Datenklau-Methoden, wie  bspw. Phishing-Mails, empfänglich. Doch es gibt auch einige besondere Angriffspunkte und -mittel:

• Einsatz klassischer Trojaner – zum Abgreifen sensibler Daten oder Informationen
• „Man in the Browser“-Attacken – Mimen dem Kunden einen regulären Banking-Prozess vor, manipulieren jedoch die Überweisungsdaten, die an die Bank gesendet werden
• Zusendung manipulierter Daten – Generierung und Zusendung einer TAN für einen anderen Überweisungsauftrag (für den Kunden bei TAN-Bestätigung ersichtlich)
• Angriffe auf Heimnetzwerk (bspw. WLAN-Netz) – Abfangen sensibler und regulär getrennter Informationen

Es lässt sich verallgemeinernd feststellen, dass die Schwächen des Verfahrens in der Kommunikation innerhalb der Triangel Banking-App/-Portal, Banksystem und TAN-App, sowie bei den verwendeten Geräten und Netzwerken liegen.

Was erleichtert den Hackern den Zugriff auf das Banking-Konto bei der pushTAN?

Bei allen Systemschwächen machen einige Verhaltensweisen der Kunden es den Kriminellen sehr einfach. Vor diesen typischen Nachlässigkeiten sollte man sich daher hüten:

• beide Apps auf einem Gerät verwenden – Anfälligkeit für Trojaner-Angriffe
• Verwendung einfacher oder gleicher Passwörter für die Banking-Zugänge
• Kopplung von Handy/Tablet/PC – zusammengehörige Geräte sind so einfach also solche erkennbar
• Nutzung beider Geräte über ein WLAN-Netzwerk – gesendete Daten können zusammen abgefangen werden
• fehlende Kontrolle des Überweisungsauftrags in der TAN-App – Manipulierte Daten können erkannt werden

Es sollte grundsätzlich versucht werden die Identifizierung der verwendeten Geräte zu erschweren und die Zugänge so gut wie möglich zu sichern. Eine aufmerksame Kontrolle der Daten kann darüber hinaus einfache Angriffe aufdecken.

Was kann man für mehr Sicherheit im Online-Banking tun?

Sie sollten also zur Sicherung des Online-Bankings möglichst:

• zwei verschiedene Geräte nutzen
• dabei verschiedene Internetzugänge (bspw. WLAN + mobile Daten) verwenden
• das WLAN-Netz sichern (bspw. Kompliziertes, sporadisch wechselndes Passwort)
• Geräte möglichst nicht koppeln oder nie/selten gekoppelte Geräte verwenden
• Überweisungsdaten bei der Auftragsfreigabe aufmerksam lesen
• anerkannte Antivirensoftware nutzen und Firewall einschalten

Diese Schritte bieten zwar keinen absoluten Schutz, minimieren aber das Risiko eines erfolgreichen Angriffs und sichern im Ernstfall einen festen rechtlichen Stand gegenüber der Bank.

Wie soll man sich bei einem gehackten Konto verhalten?

Wenn man nun aber dennoch gehackt wurde, ist schnelles Handeln gefragt. Es ist folgende Vorgehensweise anzuraten:

• Informieren Sie das Bankinstitut – das Konto muss zur Verhinderung weiterer Schäden gesperrt werden
• Schalten Sie die Polizei ein – sie klärt die strafrechtliche Relevanz und sammelt Beweise
• Ziehen Sie einen Anwalt zur Rate – er hilft Ihnen bei den weiteren Schritten und klärt die Rückzahlungsansprüche gegenüber der Bank

Auf diese Weise kann der Schaden minimiert und die beste rechtliche Ausgangslage für Schadensersatzansprüche eingenommen werden.

Übernimmt die Bank Schäden bei einem gehackten Konto?

Die Regelung des Schadensersatzanspruches beim Onlinebanking findet sich im §675 BGB geschrieben. Es wird dort dem Kunden der Anspruch auf Schadensersatz eingeräumt, erbringt dieser den Nachweis, dass der Betrüger und nicht er selbst die Zahlung autorisiert hat.

Wie leicht aber die Bank sich zur Zahlung des Schadensersatzes bewegen lässt, hängt vom Institut ab. Manche Banken erstatten umgehend den Schaden, während andere Geldhäuser auf den Anscheinsbeweis setzen und dem Kunden grob fahrlässiges Verhalten oder eine Vernachlässigung der Sorgfaltspflicht vorwerfen. Im zweiten Fall hofft die Bank auf ein Einknicken des Kunden, da sich dieser meist in einer rechtlich schwächeren Position sieht.

Wann wird der Schaden von der Bank übernommen?

Die Bank muss den Schaden übernehmen, wenn diese keine Fahrlässigkeit oder Verletzung der Sorgfaltspflicht nachweisen kann. Die Bank obliegt zusätzlich der Kontrollpflicht und muss bei außergewöhnlichen Geldbewegungen diesen nachgehen und eine gesonderte Autorisierung des Kunden einfordern. Da bei den meisten Hackingangriffen größere Beträge auf ausländische Konten überwiesen werden, sind solche Ereignisse als kontrollbedürftig anzusehen und die Bank ist ihrer Kontrollpflicht nicht nachgekommen.

Wann zahlt die Bank keinen Schadensersatz?

Ein Schadensersatz kann von der Bank abgewiesen werden, wenn:

• der Zahlungsvorgang in betrügerischer Absicht vom Kunden ermöglicht wurde
• die Sorgfaltspflicht durch den Kunden verletzt wurde
• der Kunde grob fahrlässig gehandelt hat

Erfüllt man also einen dieser Vorwürfe, sollte eine defensive Haltung gegenüber der Bank eingenommen werden. Diese kann nämlich, ebenfalls auf §675 BGB fußend, Schadenersatzansprüche gegenüber dem Kunden geltend machen.

Wann handelt man beim Online-Banking grob fahrlässig oder vernachlässigt die Sorgfaltspflicht?

Man handelt grob fahrlässig oder nicht sorgfältig, wenn man es unterlässt zumutbare Sicherheitsvorkehrungen zu treffen. Das kann sein:

• ausbleibende Nutzung einer anerkannten Antiviren-Software
• Abschalten der Firewall
• Nutzung des gleichen Passworts für mehrere Apps oder Portale
• fehlende Sicherung der Geräte im Allgemeinen (bspw. kein Passwort für Handy)
• Herausgabe der PIN oder/und TAN auf telefonische oder e-postalische Anforderung (Phishing)
• unzureichend Sicherung des Heimnetzwerks
• ausbleibende Kontrolle der Überweisungsdaten bei der TAN-Übermittlung

Im weitesten Sinne können auch die Installation und Nutzung beider Apps auf einem Gerät den Vorwürfen genügen. Selbst wenn es technisch möglich ist, kann in den Nutzungsbedingungen dieses Vorgehen von der Bank untersagt werden.

Auch eine verzögerte Informierung der Bank oder Polizeibehörden dient als Nachweis eines nachlässigen Verhaltens. Dies ist mit einer verspäteten Kontrolle der Kontoauszüge o.ä. nicht zu entschuldigen.

Welche Schäden werden übernommen?

Kann dem Kunden kein Fehlverhalten nachgewiesen werden, ist die Bank zur Übernahme des Schadens gezwungen. Ihr wird jedoch das Recht eingeräumt vom Kunden dennoch 150 € Selbstbeteiligung bzw. Schadensersatz zu fordern.

Sind dem Kunden Nachlässigkeiten nachzuweisen, bleibt dieser auf dem Schaden sitzen und er kann nur noch die Erstattung von Schäden, die nach der Kontosperrung auftraten, einfordern.

Wie gut stehen die Chancen den Schaden über die Bank erstattet zu bekommen?

In den meisten Fällen stehen die Chancen auf einen Schadensersatz durch die Bank gut. Selbstredend ist jedoch jeder Fall einzeln zu betrachten. Man soll sich grundsätzlich nicht zu leichtfertig den Risiken des Online-Bankings aussetzen. Beherzigt man die oben genannten Verhaltensregeln, ist es für die Bank äußerst schwer dem Kunden taugliche Vorwürfe zu machen.

Wann ist ein rechtlicher Beistand erforderlich?

Es ist grundsätzlich dazu zu raten einen Anwalt einzuschalten. Nur er kann durch Akteneinsicht und Betrachtung des Sachverhalts eine belastbare Aussage über die rechtlichen Ansprüche und Wege treffen. Kunden, die auf eigene Faust versuchen gegen Banken Ihr Recht durchzusetzen, erliegen meist dem Blendwerk der Geldhäuser oder bieten ihnen leichtfertig Angriffsfläche. Ziehen Sie daher frühzeitig einen fachkundigen Rechtsanwalt hinzu. Die Verteidiger von Dr. Brauer Rechtsanwälte stehen Ihnen hierbei bundesweit zur Seite. Nehmen Sie einfach über das anliegende Kontaktformular oder die hinterlegte Telefonnummer, auch über WhatsApp, mit uns Kontakt auf.