Die Süddeutsche Zeitung berichtete am 20. Oktober 2015 von einer größeren Betrugsserie beim Online-Banking der Deutschen Postbank AG. Betroffen sei das Verfahren mit mobilen Transaktionsnummern (mobile Tan), das Millionen Online-Banking-Kunden nutzen würden. Die Täter hätten in Dutzenden Fällen hohe, meist fünfstellige Beträge von den Konten der Geschädigten abgehoben und der geschätzte Schaden summiere sich auf mehr als eine Million Euro. ilex Rechtsanwälte sprach hierüber mit Dr. Ulrich Schulte am Hülse, der diese Fälle seit Jahren aus der anwaltlichen Praxis kennt.

Überblick:

• Der aktuelle Bericht der Süddeutschen Zeitung
• Erhalten Bankkunden bei jedem Betrugsfall im mobile TAN ihr Geld ersetzt?
• Wie funktioniert das mobile TAN Verfahren auf reguläre Weise?
• Wann funktioniert das zwei Wege Verfahren nicht?
• Wie läuft der irreguläre Weg ab?
• Was machen die Täter, um das mobileTAN Verfahren auszuhebeln?
• Wie kommen die Täter an die SMS mit der TAN?
• Welche unterschiedlichen Fälle gibt es beim mobileTAN?
• Wie kann man weitere Fälle verhindern?
• Ist das mobile TAN-Verfahren sicher oder unsicher?
• Wer haftet für den Schaden?
• Welchen Beitrag leistet die höchstrichterliche Rechtsprechung?
• Welche Online-Banking Verfahren sind sicher?
• Welche Lehren können Banken ziehen?
• Was ist einer Bank als Systemanbieter zu empfehlen?
• Wie funktioniert das Katze und Maus-Spiel zwischen Tätern und Banken?
• Wann haftet die Bank?
• Wie vollzieht sich der Generationen-Sprung bei den Online-Banking Systemen?
  
  

ilex: „Die Deutsche Postbank AG und die Deutsche Telekom AG wurden mit einer umfangreichen Presseberichterstattung zu den Sicherheitslücken beim mobilen Tan-Verfahren (mobile TAN) bzw. beim SMS-TAN Verfahren des Online-Banking bzw. bei unautorisierten Mobilfunkaufträgen konfrontiert. Den Anfang machte der Journalist Harald Freiberger in der Süddeutschen Zeitung mit seinem Bericht vom 20. Oktober 2015. Es folgten Berichte im Wirtschaftsteil des Spiegel („Telekom Kunden betroffen: Betrüger hacken Online-Banking“), auf n-TV („Neue Betrugsmasche: Hacker knacken Online Banking“) und in regionalen Zeitungen, wie beispielsweise der Hannoverschen Allgemeinen („Betrüger hacken Online-Banking von Telekom-Kunden“). Was hat es damit auf sich?“

Dr. Schulte am Hülse: „Die Süddeutsche Zeitung hat einen ihr bekanntgewordenen Fall, bei dem unautorisiert 30.000,- EUR abgebucht worden seien, herausgegriffen und exemplarisch daran geschildert, wie es den Tätern gelingt, dass mobile TAN Verfahren (mobile TAN) oder das sogenannte SMS-TAN Verfahren auszuhebeln. Für die davon betroffene Deutsche Postbank AG, die sich als eine der „Pioniere für Banking im Internet“ versteht und auch für den Mobilfunkanbieter Telekom Deutschland GmbH, die das dazugehörige Mobilfunkgerät anbot, ist dies eine unangenehme Berichterstattung, die in der Tat Versäumnisse offenlegt. Allerdings sind diese Versäumnisse seit Jahren bekannt und mit dieser Berichterstattung war zu rechnen. Der Ablauf der Betrugsmasche ist jedenfalls alles andere als neu. Wir kennen die Fälle mit den Angriffen auf die Sicherheit des mobilen TAN Verfahren (SMS-TAN) seit mehreren Jahren und stehen längst mit einer Vielzahl solcher Verfahren vor Gericht. Auch ist die Deutsche Postbank AG nicht der einzige Anbieter von mobilen TAN Verfahren.“

ilex: „Heißt dies, dass die Aussage in der Süddeutschen Zeitung, die betroffenen Bankkunden hätten stets „auch in früheren Betrugsfällen mit mTan ihr Geld ersetzt“ bekommen, so nicht richtig ist?“

Guido Schiemann: „Diese Aussage stimmt in der Tat nicht. Sonst gäbe es die Gerichtsverfahren bei den Angriffen auf das mobile TAN Verfahren gar nicht. Aktuell sind mehrere allein von uns betreute Gerichtsverfahren zum Abgreifen beim mobilen TAN Verfahren bei unterschiedlichen Gerichten anhängig; zum Teil schon seit Monaten.“

ilex: „Wie funktioniert das mobile TAN Verfahren auf reguläre Weise ohne Betrug?“

Dr. Schulte am Hülse: „Dazu muss man wissen, dass das mobile TAN Verfahren ein sogenanntes Zwei-Wege-TAN-Verfahren ist. Möchte der Bankkunde eine SEPA-Überweisung vornehmen, stellt er zunächst die Online-Verbindung über das Internet zu seiner Bank her. Er tippt die Überweisungsdaten in das Online Banking ein und fordert zur Freigabe dieser konkreten Überweisung die darauf abgestimmte TAN an. Nun gibt es einen zweiten Kommunikationsweg, der gesondert über das Mobilfunkgerät läuft. Der Server der Bank sendet nun auf die vom Bankkunden einmal hinterlegte Mobilnummer eine SMS in der die indizierte Transaktionsnummer (TAN) zu finden ist, damit der Bankkunde die für den konkreten Zahlungsvorgang gedachte Banküberweisung freigeben kann. Diese TAN soll der Bankkunde wiederrum auf dem zweiten Weg, dem Online Banking eingeben, um die von ihm gewollte Überweisung freizugeben.“

ilex: „Wann funktioniert dieses zwei Wege Verfahren nicht?“

Guido Schiemann: „Wenn man beispielsweise ein Smartphone oder einen Tablett PC nutzt und mit diesem Gerät sowohl Mobilfunk betreibt, als auch einen Internetzugang für das Online-Banking über dieses Gerät nutzt, dann gibt es denknotwendig keinen zweiten Weg. Alle Daten landen wieder auf einem und demselben Gerät und können dort von Straftätern mit Hilfe einer Schadsoftware (trojanisches Pferd) abgegriffen werden.“

ilex: „Und wie läuft nun der irreguläre Weg ab und wie gelingt es den Tätern das mobile TAN Verfahren und den Server der Bank zu überlisten?“

Dr. Schulte am Hülse: „Die Süddeutsche Zeitung hat den Ablauf der irregulären Tathandlung in ihrem Bericht vom 20. Oktober 2015 an einem Beispielfall exemplarisch geschildert, bei dem vor wenigen Wochen eine nichtautorisierte Abbuchung von mehr als 30.000,- EUR bekanntgewordenen war. Zu diesem Beispielsfall beim Angriff auf das mobile TAN Verfahren existieren Variationen. Allgemein gesprochen besteht der erste Schritt stets darin, das Verhalten des betroffenen Bankkunden auszuspähen und wesentliche Daten abzugreifen. Grundsätzlich sind hierzu drei Varianten vorstellbar. Die am meisten verbreitete Variante besteht darin, sich mit einer Schadsoftware in den Computer des Bankkunden einzuhacken (trojanisches Pferd). Eine seltene Variante besteht darin, die Internetknotenrechner zu scannen. Theoretisch ist es auch vorstellbar, dass es sich um eine Innentäterattacke handelt und die Täter den Server der Bank manipuliert haben. In jedem Fall aber haben die Täter Zugriff irgendwo in der Mitte zwischen dem Server der Bank und dem Bankkunden. Auf diese Weise kotrollieren sie den Datenverkehr und man spricht von einem „Man-in-the-Middle-Angriff“; also von dem „dritten Mann“ mitten im Datenverkehr zwischen dem Server der Bank und dem Bankkunden.“

ilex: „Herr Schiemann, wie die Täter nun genau vorgehen, um das mobile TAN Verfahren auszuhebeln?“

Guido Schiemann: „Die Täter kundschaften mit Hilfe einer Schadsoftware (trojanisches Pferd) die Zugangsdaten zum Online-Konto aus; d. h. sie lesen das Zugangspasswort mit. Ferner beschaffen sie sich die Mobilnummer des Kunden, die möglicherweise irgendwo im Impressum einer Mail des Kunden zu finden ist und sie lesen ggf. das Zugangskennwort beim Mobilfunkanbieter aus.“

ilex: „Und wie geht es nun weiter?“

Dr. Schulte am Hülse: „Sobald die Täter diese Daten beisammen haben, ist es keine allzu große Hürde sich mitten in einer regulären Online-Banking-Sitzung in den Datenverkehr zwischen Bank und Bankkunde einzumischen. Der Bankkunde möchte beispielsweise eine autorisierte SEPA Überweisung an A über 50 EUR vornehmen und diese wandeln die Täter nun in eine nichtautorisierte SEPA Überweisung an B über 15.000 EUR um. Nur die nichtautorisierte Überweisung an B über 15.000 EUR kommt dann am Server der Deutschen Postbank AG an.“

ilex: „Und was passiert jetzt?“

Guido Schiemann: „Der Server der Bank schickt nach der Überprüfung der Zugangsparameter eine dazu individuell und nur für diese eine Zahlungsanweisung indizierte TAN per SMS auf die hinterlegte Mobilnummer des Bankkunden.“

ilex: „Aber die SMS kommt doch nicht bei den Straftätern an, sondern auf dem Handy des Bankkunden?“

Dr. Schulte am Hülse: „Normalerweise sollte das so sein, aber nicht dann, wenn die Täter mit Hilfe der zuvor abgegriffenen Zugangsdaten beim Mobilfunkanbieter kurzfristig eine Umleitung der SMS auf ein unter falschem Namen laufendes Prepaid-Handy der Täter einrichten konnten. Dann landet die SMS mit der TAN in diesem Augenblick bei den Tätern. Sie füttern nun ihre Schadsoftware mit dieser Information der indizierten TAN und die Schadsoftware autorisiert innerhalb von Sekunden die nicht nichtautorisierte Zahlungsanweisung an B gegenüber dem Server der Bank. Und schon führt der Server die Zahlungsanweisung aus und das Geld ist vorläufig als Soll in das Konto des Bankkunden gebucht.“

ilex: „Warum sind die Fälle des Abgreifens von Bankzugangsdaten beim mobileTAN so unterschiedlich?“

Guido Schiemann: „Die Fälle des Abgreifens von Bankzugangsdaten beim mobileTAN verlaufen nach keinem einheitlichen Schema, weil die betroffene Bank und die Mobilfunkanbieter auf die Fälle des erfolgreichen Abgreifens von Bankzugangsdaten reagieren und hier und dort kleine Stellschrauben betätigen, um solche Fälle zukünftig wenigstens zu erschweren. Verhindert werden die Fälle von nichtautorisierten Zahlungsanweisungen beim mobilen TAN Verfahren dadurch aber erfahrungsgemäß nicht. Konkret soll es in dem Fall, von dem die Süddeutsche Zeitung berichtet hat, so gewesen sein, dass die Straftäter mit den ausgespähten Daten des Bankkunden den nächsten Telekom-Shop aufgesucht hätten, sich dort fälschlich als betroffener Kunde ausgegeben hätten und den angeblichen Verlust der SIM-Karte des betroffen Kunden gemeldet hätten. Auf diese Weise konnten sie offenbar mit Hilfe eines zuvorkommenden Kundenberaters unproblematisch eine Ersatz-Karte aktivieren. Die Folge war, dass alle per SMS übersandten TAN nun bei den Tätern landeten. Nun haben die Täter leichtes Spiel. Die Reaktion auf die bekanntgewordenen Fälle dieser Tatvariante soll laut Süddeutscher Zeitung darin bestanden haben, dass die Telekom Deutschland GmbH mittlerweile ihre „Maßnahmen zur Händleridentifikation verschärft“ haben soll.“

ilex: „Verhindert dies nun alle weiteren Fälle des Abgreifens von Bankzugangsdaten beim mobileTAN Verfahren?“

Dr. Schulte am Hülse: „Nein, durch die eine oder andere kleine Stellschraube werden zwar zukünftige Fälle vermindert, aber keineswegs restlos ausgeschlossen. Außerdem finden die Täter immer wieder neue Wege das Online Banking anzugreifen. Der Fall, von dem die Süddeutsche Zeitung berichtet hatte, ist nur eine einzige Variante einer Vielzahl von Möglichkeiten, wie man Angriffe auf das mobile TAN Verfahren angehen kann. Außerdem bietet nicht nur die Telekom Deutschland GmbH Mobilfunk an und nicht jeder Postbankkunde ist zugleich mit seinem Handy dort Kunde. Um nur diese eine Tatvariante zu verhindern, müssten alle Mobilfunkanbieter ihre „Maßnahmen zur Händleridentifikation“ deutlich verschärfen und am Ende hängt der Erfolg der Tathandlung davon ab, ob der einzelne Kundenbetreuer des Mobilfunkanbieters vor Ort, die Vorgaben des Konzerns auch umsetzt und für diesen Bereich des Betruges aus dem Cybercrime bereits sensibilisiert ist. Das setzt einen erheblichen Schulungsaufwand der eigenen Mitarbeiter im Bereich der Betrugsprävention voraus.“

ilex: „Ist das mobile TAN-Verfahren sicher oder unsicher?“

Guido Schiemann: „Das mobile TAN Verfahren oder SMS-TAN Verfahren stellt für kluge Straftäter und professionelle Hacker keine große Hürde mehr dar, um nichtautorisierte Zahlungsverfügungen von fremden Konten illegal vorzunehmen. In diesem Sinne ist das mobile TAN Verfahren heute kein sicheres Online-Banking-Verfahren mehr. Allerdings muss man zugunsten der Bank hinzufügen, dass das mobile TAN Verfahren oder SMS-TAN Verfahren ursprünglich einmal, jedenfalls im Zeitpunkt seiner Einführung, noch einen deutlichen Sicherheitsgewinn mit sich gebracht hat. Sie müssen bedenken, dass das mobile TAN Verfahren oder SMS-TAN Verfahren ursprünglich eine Verbesserung im Vergleich zu dem noch weitaus unsicheren indizierten TAN Verfahren oder iTAN-Verfahren mit sich gebracht hat. Immerhin war die Deutsche Postbank AG eine der ersten, die dieses Verfahren eingeführt hatte und die ursprüngliche Idee des mobileTAN Verfahrens war die Einführung eines zweiten Datenweges, d. h. die Kommunikation zwischen Bank und Bankkunde fand nicht mehr nur über eine einzige Internetleitung statt, sondern es wurde der zweite Weg hinzugefügt, der aus einer Mobilfunkverbindung und aus einer Internet-Datenleitung besteht. Im Vergleich zu der früheren Alternative des iTAN Verfahrens war dies ein deutlicher Fortschritt. Allerdings und dieser Realität müssen sich Banken stellen: heute ist selbst das mobile TAN Verfahren längst angreifbar geworden, weil die Täter raffinierter vorgehen.“

ilex: „Wer haftet für den Schaden, wenn Täter beim mobileTAN Verfahren Überweisungen tätigen?“

Dr. Schulte am Hülse: „Grundsätzlich haftet die Bank für den Schaden, wenn der Bankkunde die Überweisung nicht autorisiert hat, er die nicht autorisierte Zahlungsanweisung unverzüglich seiner Bank nach der Entdeckung meldet und ihm auch kein sonstiger wenigstens grob fahrlässiger Verstoß gegen die Pflicht zur Geheimhaltung der Bankzugangsdaten anzulasten ist. In der Praxis kommt es auf die genauen Einzelheiten des konkreten Falles an. Es stellt sich stets die Frage, wie die Täter die SMS möglicherweise umleiten konnten? Schon hier sind mehrere Variationen denkbar. Nutzt der Bankkunde ggf. ein Smartphone oder gar ein Tablet PC, bei der die SMS gar nicht mehr auf dem klassischen Mobilfunkgerät landet, sondern gleich auf dem Tablet PC, von dem der Bankkunde auch Online-Banking betreibt? Handelt es sich um den anders gelagerten Fall eines sogenannten „Rücküberweisung-Trojaner“? In diesem Fall wird dem Bankkunden eine Fehlüberweisung vorgespielt, deren Rückzahlung er veranlassen soll. Dies alles sind nur eine kleine Auswahl an Fragen, die sich in jedem Einzelfall unterschiedlich stellen.“

ilex: „Welchen Beitrag leistet die höchstrichterliche Rechtsprechung zu der Klärung von Haftungsfragen beim Abgreifen von Bankzugangsdaten im Online Banking?“

Guido Schiemann: „Der höchstrichterlichen Rechtsprechung zu den Haftungsfragen bei nicht autorisierten Zahlungsanweisung im Online Banking kommt natürlich eine wichtige Leitbildfunktion zu, die zur Rechtssicherheit verhilft. Aber im Bereich des Abgreifens von Zugangsdaten im Online Banking sind sehr viele Rechtsfragen noch gar nicht zu den höchsten Gerichten gelangt. Und die wenigen Urteile des für das Bankrecht zuständigen 11. Zivilsenat des Bundesgerichtshofes in Karlsruhe betreffen leider nicht die derzeit aktuellen Tatvarianten. Bis ein Fall vor dem Bundesgerichtshof anhängig ist und entschieden wird, vergehen mitunter Jahre. Insofern behandelt der Bundesgerichtshof gegenwärtig nur die Fälle, deren Tathandlungen schon vor vielen Jahren stattfanden und die aufgrund der Schnelllebigkeit bei der Einführung und Außerkraftsetzung neuer Online Banking Verfahren teilweise überholt sind. Auch machen die Berufungsgerichte restriktiv von der Möglichkeit Gebrauch, die Revision vor dem Bundesgerichtshof bei unklarer Rechtslage zuzulassen. Sicherlich ist es nur eine Frage der Zeit bis auch der Bundesgerichtshof einen Fall des Abgreifen von Bankzugangsdaten beim mobile TAN Verfahren zu entscheiden hat. Doch, ob zukünftig überhaupt noch alle Banken auf das mobile TAN Verfahren vertrauen und dieses zukünftig noch anbieten werden, ist dann eine ganz andere Frage.“

ilex: „Welche Online-Banking Verfahren sind sicher?“

Dr. Schulte am Hülse: „Ich kenne derzeit kein einziges Online Banking Verfahren mit der Garantie von 100% Sicherheit und angesichts den technisch teils sehr ausgereiften Tathandlungen, dürfte es trügerisch sein, dem Kunden eine solche Sicherheit vorzugaukeln. Richtig ist aber, dass sich die Täter in der Masse nur auf die am wenigstens sicheren Online-Banking Verfahren stürzen. Zu den am leichtesten angreifbaren Verfahren gehört meines Erachtens nicht das mobile TAN Verfahren, denn hier muss der Täter immerhin die Hürde überwinden, eine SMS umzuleiten. Mein Tipp: sie fahren als Bankkunde gut damit, sich für ein solches Online Banking zu entscheiden, welches in der aktuellen und seriösen Testbericht-Erstattung von anerkannten Prüfinstituten gut abschneidet. Sie sollten dabei aber wissen, dass aufgrund der Schnelllebigkeit der Tatvarianten die mehrere Jahre alten Testberichte heute schon überholt sein dürften.“

ilex: „Welche Lehren können Banken hieraus ziehen?“

Guido Schiemann: „Die Banken sind und bleiben die Systemanbieter für das Online-Banking und die Verpflichtung der Bank für ein sicheres Online Banking zu sorgen, kann nicht auf den Bankkunden abgewälzt werden. Das Abgreifen von Bankzugangsdaten im Online Banking ist der Bankraub des 21. Jahrhunderts und besteht bis auf weiteres aus einem Katze und Maus Spiel zwischen dem Systemanbieter Bank und den hochprofessionellen Straftätern. Wenn der Systemanbieter Bank den technischen Vorsprung vor den Tätern wahrt, sind die Bank und die Bankkunden die Gewinner. Jedes Hinterherhinken hinter den technisch versierten Straftätern wird jedoch gnadenlos bestraft. Die aktuelle Presseberichterstattung ausgehend von dem Bericht der Süddeutschen Zeitung ist dazu nur ein Beispiel.“

ilex: „Was ist Banken als Systemanbieter des Online-Banking zu empfehlen?“

Guido Schiemann: „Ich empfehle einer Bank in die eigene IT-Sicherheit zu investieren und bereits vorhandene Systeme beständig und kritisch zu hinterfragen. Das ist eine Aufgabe des Managements der Bank, der sich von den System-Anbietern nichts aufschwatzen lassen sollte. Beim Online Banking sollte sich die Bank nicht in Sicherheit wiegen und die Fälle des Abgreifens von Bankzugangsdaten nicht als lästiges Übel und einen nicht zu verhindernden Schaden im unteren Prozentbereich abtun, den man zur Not versichern kann. Genau darauf warten die Straftäter nur, die bei den am meisten unsicheren Systemen auch in der Zukunft in einer einzigen Welle enorme Beträge abgreifen können. Die dann absehbare Presseberichterstattung stellt oftmals einen wesentlich höheren Schaden dar, weil sie die Bank dem Ruf aussetzt, zu wenig für die Sicherheit ihrer Kunden getan zu haben. Nun entstehen neue Kosten für ein zielführendes Reputationsmanagement und man gerät in eine Defensivhaltung, bei der man im Vorfeld präventiv viele unnötigen Kosten hätte verhindern können.“

ilex: „Wie muss man sich dieses ewige Katze und Maus-Spiel zwischen Tätern mit Programmiererfahrung und Banken konkret vorstellen?“

Dr. Schulte am Hülse: „Diese Frage führt in die vergleichsweise kurze Geschichte des Online-Banking zurück, die innerhalb einer sehr kurzen Zeit eine unglaubliche Veränderung erfahren hat. Mein erster Fall des Abgreifens von Bankzugangsdaten im Online-Banking betraf im Jahre 2007 noch den Bereich von Aktiendepots mittels einer sogenannten Sitzungs-TAN. Das heißt hier gab man eine nichtindizierte TAN aus seiner Liste als einmaliges Zugangskennwort ein und konnte dann bis zur Ausreizung des Verfügungsrahmens und bis zum Ende der Online-Sitzung alle möglichen Verfügungen quasi ungebremst vornehmen. Für Straftäter war es ein Kinderspiel, dieses System zu überwinden und nichtautorisierte Zahlungsverfügungen mit dem Resultat eines erheblichen Gesamtschadens, der deutlich über dem Schaden von 30.000 EUR lag, vorzunehmen. Danach wurden die Systeme dann verbessert und es gab für jede Transaktion zunächst die nichtindizierte PIN/TAN-Lösung. Als die Täter auch diese Hürde scheinbar mühelos überwanden, hatte sich das Landgericht Nürnberg-Fürth im Jahre 2008 mit der Frage auseinandergesetzt, ob Banken im Jahre 2005 nicht bereits verpflichtet gewesen wären, das nichtindizierte PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen? Damit war schon einmal die Richtung vorgegeben, auch wenn die Antwort auf diese Frage damals nicht entschieden wurde, da sie in dem konkreten Fall nicht entscheidungserheblich war.“

ilex: „Wann wurde die Frage geklärt, ob Banken noch das nichtindizierte TAN-Verfahren verwenden dürfen?“

Dr. Schulte am Hülse: „Diese Frage wurde erstmals in dem von uns erwirkten Urteil des Kammergerichtes vom 29.11.2010 geklärt (Az. 26 U 159/09). Dort findet sich erstmals die Aussage, dass Banken eine Verpflichtung haben, sichere Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren muss, Bankzugangsdaten abzugreifen. Das war damals wegweisend und in dem damaligen Urteil steht eindeutig drin, dass das ältere PIN/TAN-Verfahren zum damaligen Zeitpunkt überholt war.“

ilex: „Doch beim nichtindizierten PIN/TAN-Verfahren reden wir von dem Online-Banking System vor der Einführung des iTAN-Verfahrens. Dies war noch vor der Einführung des mobile TAN Verfahrens und heute sprechen wir davon, dass bereits das mobile TAN Verfahren überholt sei. Insofern sind wir doch schon drei Generationen weiter.“

Dr. Schulte am Hülse: „Ganz genau! Das ist ja gerade das fatale. Innerhalb eines vergleichsweise kurzen Zeitraumes gelingt es den Tätern, ein Online-Banking-System nach dem anderen zu überlisten. Die Banken laufen hinterher, nur stehenbleiben und zusehen dürfen sie nicht. Und die Rechtsprechung entscheidet naturgemäß nur die Rechtsfragen zu den Fällen aus der Vergangenheit, während die neueren Fälle schon wieder einen neuen Sachverhalt aufweisen.“

ilex: „Und diese Diskussion steht vor dem Hintergrund, das vereinzelte Banken heute immer noch das veraltete und indizierte TAN Verfahren (iTAN) anbieten, oder?“

Guido Schiemann: „Richtig, aber das sind hoffentlich Einzelfälle. Das es heute immer noch Banken gibt, die das hoffnungslos veraltete indizierte TAN Verfahren (iTAN) anbieten, ist für mich unverständlich.“

ilex: „Herzlichen Dank für das Gespräch.“

Die Fragen stellte Rechtsanwalt Karsten Kietzmann