Gericht beurteilt SecureGo-Verfahren als unsicher

  

Das SecureGo-Verfahren bietet nicht die sehr hohe Wahrscheinlichkeit für einen Anscheinsbeweis, so das LG Heilbronn. Die Weitergabe von TAN per Telefon ist dennoch grob fahrlässig. 

Bankkunde wird Opfer eines Betruges im sog. Social Engineering

Der Kläger war Opfer eines Betruges geworden. Ein vermeintlicher Mitarbeiter der Bank kontaktierte ihn telefonisch und behauptete, ein Unbefugter habe versucht, den Kreditrahmen des Klägers zu erhöhen, und es seien unautorisierte Zahlungen getätigt worden. Der Anrufer gab vor, Transaktionsnummern (TANs) zu benötigen, um den Kreditrahmen zurückzusetzen und die Zahlungen rückgängig zu machen. Der Kläger glaubte, mit einem echten Bankmitarbeiter zu sprechen, und gab die angeforderten TANs telefonisch an den Anrufer weiter.

Später erfuhr der Kläger, dass der Täter zwei Überweisungen über insgesamt rund 8.000 € ausgeführt hatte. Ein Rückruf der Transaktionen war nicht mehr möglich, die Polizei konnte die Täter nicht ermitteln.

So funktioniert SecureGo oder pushTAN

Die Bank setzte das als SecureGo oder pushTAN bekannte Verfahren ein. Dabei wird jede Überweisung, die ein Kunde über sein Konto auf der Website der Bank auslöst, zusätzlich gesichert. Dazu muss die Transaktion mit einer Transaktionsnummer (TAN) bestätigt werden, die der Kunde in der SecureGo-App der Bank erhält, die auf demselben Smartphone wie die Bank-App installiert ist, aber unabhängig von dieser funktioniert. Der Kunde erhält in der SecureGo-App eine einmalige TAN für die jeweilige Online-Banking-Transaktion und gibt diese dann in der Bank-App ein, um den Überweisungsauftrag endgültig freizugeben.

Die Bank verweigerte die Rückerstattung mit der Begründung, der Kläger habe seine Sorgfaltspflichten verletzt. Er hätte den betrügerische Charakter des Anrufs erkennen und entsprechend reagieren müssen, um den Schaden abzuwenden.

pushTAN-Verfahren bietet keine hinreichende Sicherheit für einen Anscheinsbeweis

Nach Auffassung des Gerichts bietet das im vorliegenden Fall verwendete pushTAN-Verfahren, bei dem die TAN auf demselben Mobiltelefon, aber in einer anderen App (hier der SecureGo-App) angezeigt wird, nicht die sehr hohe Wahrscheinlichkeit eines Anscheinsbeweises. Denn bei diesem Verfahren wird die für die Sicherheit wichtige Trennung der Kommunikationswege aufgehoben. Die Übermittlung des Zahlungsauftrags und die Übermittlung der TAN erfolgen beim pushTAN-Verfahren über denselben Kommunikationskanal, nämlich das Smartphone. Dies mindert nach Auffassung des Gerichts die Sicherheit dieses Verfahrens.

Weitergabe der TAN an den Anrufer war grob fahrlässig

Im konkreten Fall änderte dies jedoch nichts am Ergebnis für den geschädigten Kunden. Die Weitergabe der TAN an den Anrufer sei grob fahrlässig gewesen, so das Gericht weiter. Social-Engineering-Angriffe erfordern eine erhebliche Mitwirkung des Opfers. Von ihm wird die Sorgfalt verlangt, seine Zugangsdaten niemandem anzuvertrauen, unabhängig davon, ob die Anfrage telefonisch, per E-Mail oder über das Internet erfolgt. Im vorliegenden Fall hätte es für den Nutzer offensichtlich sein müssen, dass es sich nicht um einen normalen Vorgang handelt. Sein grob fahrlässiges Verhalten könne die Bank ihm entgegenhalten.

Ein Mitverschulden der Bank verneint das Gericht und führt aus, eine Bank sei grundsätzlich nicht verpflichtet, die Abwicklung von Zahlungsvorgängen auf Risiken für die Beteiligten zu überprüfen oder Kontobewegungen ohne konkrete Anhaltspunkte zu überwachen. Eine Warnpflicht der Bank entstehe erst dann, wenn sich bei der Abwicklung eines Zahlungsvorgangs ohne nähere Prüfung aufgrund offensichtlicher und massiver Verdachtsmomente der Verdacht einer Veruntreuung aufdränge. Auslandsüberweisungen, die Verwendung runder Beträge und daraus resultierende Kontoüberziehungen seien ohne weitere Anhaltspunkte kein ausreichender Anlass für eine Überprüfung.

LG Heilbronn, Urteil vom 16.05.2023 – 6 O 10/23

Rechtsanwalt Dr. Henning Kahlert ist Fachanwalt für Bank- und Kapitalmarktrecht in Karlsruhe.