Aus dem Schneider

Haftung beim Missbrauch des mTAN-Verfahrens

Wissen | Recht

Kriminelle haben die Sicherheitsvorkehrungen des mTAN-Verfahrens überwunden und Bankkonten per Online-Überweisung abgeräumt. Der Schaden soll sich insgesamt auf etliche hunderttausend Euro belaufen. Für die Kunden stellt sich die Frage, ob sie auf dem Schaden sitzen bleiben, denn bislang galt das Verfahren als sicher.

Online-Banking ist verbreitet und wird von unzähligen Kunden eingesetzt. In den meisten Fällen bieten die Banken Privatkunden die Nutzung des PIN/TAN-Verfahrens an, wobei der Kunde mit der PIN den Zugriff aufs Konto erhält und mit der TAN (Transaktionsnummer) den jeweiligen Auftrag – also vor allem die Überweisung – bestätigt. Allerdings gibt es unterschiedliche Wege, wie der Kunde zu den TANs kommt. In der Vergangenheit kam es immer wieder zu erfolgreichen Angriffen darauf. Die Banken reagierten und besserten die Methoden nach.

Beim klassischen TAN-Verfahren erhält der Kunde eine Liste von TANs auf Papier. Auch beim neueren iTAN-Verfahren mit nummerierten TANs ist das noch so, allerdings muss der Kunde hier eine von der Bank bestimmte TAN verwenden, wenn er dazu aufgefordert wird, womit das Phishing, also das Abgreifen beliebiger TANs über gefälschte Nachrichten oder Webseiten, verhindert wird. Im noch neueren mTAN-Verfahren („m“ steht für mobile) erhält der Kunde die TAN für den jeweiligen Auftrag transaktionsgebunden per SMS und kann diese in einem engen Zeitfenster nutzen. Die Kunden werden dadurch flexibler – statt der TAN-Liste müssen sie nur noch ihr Handy dabeihaben. Und mTAN verbessert gegenüber dem iTAN-Verfahren die Sicherheit, weil es nicht möglich ist, die TANs im Vorfeld systematisch abzugreifen. Das klassische Pharming, bei dem die Nutzer auf eine Seite der Betrüger geleitet werden und dort eine Reihe von TANs eingeben sollen, führt Kriminelle hier nicht mehr zum Ziel. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

Anzeige
Anzeige