- Die digitale Transformation hat Online-Banking beliebt, aber auch Sicherheitsbedenken verstärkt.
- Ein Urteil des Landgerichts Heilbronn bewertet die Nutzung von Banking- und PushTAN-Apps auf demselben Gerät als unzureichend.
- Die Zwei-Faktor-Authentifizierung (2FA) erfordert zwei unabhängige Elemente aus verschiedenen Kategorien für die Authentifizierung.
- Wenn beide Apps auf demselben Gerät sind, ist die Unabhängigkeit der Authentifizierungselemente fraglich.
- Ein kompromittiertes Smartphone kann beide Apps gefährden, was das Risiko unbefugten Zugriffs erhöht.
- Banken müssen möglicherweise ihre Sicherheitsprotokolle überarbeiten und separate Geräte empfehlen.
- Das Urteil fordert alle Beteiligten auf, die Sicherheitspraktiken im Online-Banking kritisch zu hinterfragen.
Einleitung:
Die digitale Transformation hat das Online-Banking zu einer beliebten und bequemen Methode gemacht, um die Finanzen zu verwalten. Doch mit dem Anstieg der Online-Transaktionen steigt auch die Anzahl der Sicherheitsbedenken und rechtlichen Herausforderungen. In meiner Praxis erfahre ich derzeit einen deutlichen Anstieg an Mandaten und Mandatsanfragen, die sich mit unrechtmäßigen Abbuchungen im Rahmen des Online-Bankings beschäftigen. Ein wiederkehrendes Thema dabei ist die Frage, ob die Nutzer fahrlässig gehandelt haben oder ob die Systeme der Banken einen unzureichenden Schutz boten. Ein kürzlich ergangenes Urteil des Landgerichts Heilbronn bringt interessante Erkenntnisse in diese Diskussion und wirft ein Licht auf die Praxis der Verwendung von Banking-Apps und PushTAN-Apps auf dem gleichen Gerät.
Hauptteil:
In der Entscheidung des Landgerichts Heilbronn (siehe Urteil des LG Heilbronn) wurde die Nutzung einer Banking-App zusammen mit einer PushTAN-App auf demselben Smartphone als unzureichend bewertet. Dieses Urteil beruht auf den Grundsätzen der Zwei-Faktor-Authentifizierung (2FA), die in der Verordnung (EU) Nr. 2018/389, besser bekannt als „Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung und sichere Kommunikation“, festgelegt sind.
Die RTS legen fest, dass zwei unabhängige Elemente für die Authentifizierung erforderlich sind, die aus zwei unterschiedlichen Kategorien stammen müssen: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist). Wenn jedoch sowohl die Banking-App als auch die PushTAN-App auf dem gleichen Gerät installiert sind, stellt sich die Frage, ob diese Elemente tatsächlich unabhängig voneinander sind.
Die Bedenken des Gerichts sind klar: Wenn das Smartphone kompromittiert wird, z.B. durch Malware, könnten beide Apps gleichzeitig betroffen sein, was das Risiko eines unberechtigten Zugriffs auf das Bankkonto erheblich erhöht.
Die Implikationen dieses Urteils könnten weitreichend sein. Banken könnten nun gezwungen sein, ihre Sicherheitsprotokolle zu überarbeiten und Nutzer dazu zu ermutigen, separate Geräte für Banking und TAN-Generierung zu verwenden. Diese neue Anforderung könnte besonders für diejenigen herausfordernd sein, die die Bequemlichkeit des mobilen Bankings schätzen und nun ihre Sicherheitspraktiken neu bewerten müssen.
Abschluss:
Das Urteil des Landgerichts Heilbronn ist ein klarer Hinweis darauf, dass die Sicherheitsprotokolle im Online-Banking kritisch hinterfragt und gegebenenfalls angepasst werden müssen. Sowohl Banken als auch Kunden sollten bereit sein, die notwendigen Schritte zu unternehmen, um ein sicheres Online-Banking-Erlebnis zu gewährleisten, auch wenn dies mit einem gewissen zusätzlichen Aufwand verbunden sein mag.
