LG Heilbronn: Angebot von Banken-App und Zugangs-App auf gleichem Smartphone ist unsicher

Das Landgericht Heilbronn (Bm 6 O 10/23) hat entschieden, dass das sog. pushTAN-Verfahren, bei dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das auch den Zugang zur Bank über die auf demselben Smartphone installierte Bank-App (SecureGo-App) vermittelt, ein erhöhtes Gefährdungspotential aufweist, da statt der Nutzung getrennter Kommunikationswege nur noch zwei Apps auf einem Gerät verwendet werden.

Konsequenz: Nach Auffassung des Landgerichts liegt damit keine Authentifizierung aus mindestens zwei voneinander unabhängigen Elementen im Sinne des § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung eines Zahlungsauftrags im Sinne des § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

Weiterhin konnte sich das Gericht zur groben Fahrlässigkeit bei der telefonischen Weitergabe von TAN im Rahmen eines Social Engineering beim pushTAN-Verfahren im Online-Banking äußern. Hierzu ist anzumerken, dass der Zahler gemäß § 675l Abs. 1 S. 1 BGB verpflichtet ist, unverzüglich nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugten Zugriffen zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG – in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung – personalisierte Merkmale, die der Zahlungsdienstleister dem Zahlungsdienstnutzer zum Zwecke der Authentifizierung zur Verfügung stellt. Darunter fallen insbesondere TAN, die einmalig zur Autorisierung einer ganz bestimmten Transaktion verwendet werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für einen kurzen Zeitraum gültig sind.

Nicht autorisiert ist speziell jede Nutzung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und damit auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist. Der Bankkunde hat daher generell dafür Sorge zu tragen, dass Dritte nicht unkontrolliert mittels Zugangsdaten und TAN Zugang zu seinem Online-Banking oder seiner Banking-App erhalten und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten auslösen können. Die dem Zahlungsdienstnutzer obliegenden Sorgfaltspflichten sind zudem nach der Art des konkreten Angriffs zu bestimmen, wobei es sich im vorliegenden Fall um Social Engineering handelte. Das Gericht dazu:

Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls.

Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 – XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 – 35, juris).


Unter Berücksichtigung aller Umstände des Einzelfalls war das Verhalten des Bankkunden nach Auffassung des erkennenden Gerichts als grob fahrlässig zu bewerten:

Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste.

Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. 

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.