Die Sparkasse ist in einem Phishing-Fall mitschuldig gesprochen worden. Die Bank muss einem Kunden Schadensersatz bezahlen. Das Urteil hat das OLG Dresden gefällt.
Durch die Medien geht gerade ein Gerichtsurteil, das das Oberlandesgericht (OLG) Dresden gefällt hat. Die Sparkasse wurde in einem besonderen Fall für mitschuldig befunden und muss Schadensersatz leisten. Das Gericht kam zu dem Schluss, dass die Sparkasse Sicherheitslücken im PushTAN-Verfahren aufweist, ohne die der Schaden nicht entstanden wäre.
Konkret geht es darum, dass ein Kunde der Sparkasse Opfer einer Phishing-Attacke geworden ist und nun auf einer hohen Schadenssumme sitzt. Die Sparkasse muss dem Kläger laut Gerichtsurteil 20 Prozent seiner Schadenssumme erstatten. Im Urteil vom 5. Mai 2025 (Az. 8 U 1482/24) steht geschrieben, dass der Mann grob fahrlässig gehandelt hat, weil er seine persönlichen Daten gegenüber Fremden preisgegeben hat. Doch die Bank sei auch beteiligt, weil sie den Log-in nicht mit einer starken Kundenauthentifizierung geschützt habe.
Was ist passiert?
Im Grunde genommen geht es um einen Mann, der für seine Bank-Aktivitäten das sogenannte S-pushTAN-Verfahren der Sparkasse in Anspruch genommen hat. Kriminelle legten ihn mit einer Phishing-Mail herein und fragten darüber seine persönlichen Log-in-Daten ab.
Durch geschickte telefonische Gesprächsführung schafften sie es tatsächlich, ihn Anfang des Jahres dazu zu bewegen, seinen Höchstbetrag für Überweisungen nach oben zu setzen. Daraufhin überredeten sie ihn, dass er ihnen eine Summe von 49.421,44 Euro in Echtzeit freigab, schreibt Techbook.
Im Gerichtssaal sagte der Mann aus, dass die S-pushTAN-App ihm keine Informationen zu den Transaktionen preisgegeben habe. Er habe weder die genaue Summe noch den Empfänger bei der Freigabe sehen können. Lediglich die Freigabeaufforderungen seien ihm angezeigt worden. Das Gericht traute dieser Aussage nicht, stufte die Situation der TAN-Freigabe am Telefon laut Techbook aber als "ungewöhnlich" ein.
Warum trägt die Sparkasse eine Mitschuld?
Zunächst einmal muss sich der Kunde den Schuh anziehen, grob fahrlässig gehandelt zu haben. Denn er hat einfach so auf einer Fakeseite im Internet seine persönlichen Daten eingetippt und die Zahlungen freigegeben.
Im Urteil steht geschrieben: "Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen" (Auszug aus dem Urteil 8 U 1482/24).
Doch auch die Bank trifft eine Mitschuld. Denn der Log-in sei nicht durch eine starke Kundenauthentifizierung geschützt geworden. So hätten die Täter leichtes Spiel gehabt, Daten wie Geburtsdatum und Kartennummer auszulesen, die sie für das Ausführen der Überweisungen genutzt haben. Nur durch diese Sicherheitslücke war den Kriminellen diese Tat überhaupt möglich.
Welche Sicherheitslücken bestehen beim PushTAN-Verfahren der Sparkasse?
Generell sieht das OLG Dresden kein Problem darin, dass das pushTAN-Verfahren der Bank die Ansprüche einer starken Authentifizierung gerecht werden kann. Dies ist gegeben, wenn die Sicherheit ausreichend ist. Doch der Fall habe gezeigt, dass eine zusätzliche Authentifizierung erforderlich gewesen wäre, um Schlimmeres zu verhindern. Somit hat die Bank ihre aufsichtsrechtlichen Pflichten verletzt.
Beispielsweise hätte die Bank gesichtsbiometrische Daten abfragen oder weitere hinterlegte Daten verlangen können, um die Transaktion zu genehmigen und den Kunden ausreichend zu schützen. Laut Techbook ist der Schluss, zu dem das OLG Dresden gekommen ist, nichts Neues.
Schon zwei Jahre zuvor hatte das Landgericht Heilbronn sich damit auseinandergesetzt, wie sicher das pushTAN-Verfahren ist. Es kam zu dem Urteil, "dass das sog. pushTAN-Verfahren […] ein erhöhtes Gefährdungspotenzial" aufweist. Besonders bedenklich sei es, wenn für die TAN- und Banking-App dasselbe Gerät genutzt werde.
Welche Summe muss die Sparkasse zahlen?
Die Sparkasse muss nun tief in die Tasche greifen und dem Mann eine Entschädigung zahlen. Denn die Mitschuld sah das OLG Dresden als erwiesen an. Somit erhält der Mann immerhin einen Teil seines verlorenen Geldes zurück.
20 Prozent der gezahlten Summe muss die Bank ihm gutschreiben. Der genaue Betrag entspricht9884,29 Euro. Ebenfalls wurde die Sparkasse dazu verpflichtet, die vorgerichtlichen Anwaltskosten des Klägers zu begleichen. Diese belaufen sich auf 1119,79 Euro. Das Urteil ist bereits in Kraft getreten, eine Revision wurde abgewiesen.
Wenn du dich jetzt fragst, wie sicher das Online-Banking deiner Bank ist, dann empfehlen wir dir einen Artikel des Verbraucherschutzes. Dort erfährst du, wie sicher welches TAN-Verfahren ist und warum du unbedingt eine Zwei-Faktor-Authentifizierung nutzen solltest.
Artikel enthält Affiliate Links
*Hinweis: In der Redaktion sind wir immer auf der Suche nach nützlichen Produkten für unsere Leser. Es handelt sich bei den in diesem Artikel bereitgestellten und mit einem Einkaufswagen-Symbol beziehungsweise einem Sternchen gekennzeichneten Links um sogenannte Affiliate-Links/Werbelinks. Wenn du auf einen dieser Links klickst bzw. darüber einkaufst, bekommen wir eine Provision vom Händler. Für dich ändert sich dadurch nichts am Preis. Unsere redaktionelle Berichterstattung ist grundsätzlich unabhängig vom Bestehen oder der Höhe einer Provision.
