Das von Sparkasse beim Online-Banking eingesetzte S-PushTAN-Verfahren ist für die Absicherung von Transaktionen unzureichend. Das hat das OLG-Dresden in einem Urteil festgestellt und einem Phishing-Opfer, welches grob fahrlässig handelte, einen Teil-Schadensersatz zugesprochen.

Das S-PushTAN-Verfahren der Sparkassen

Das S-PushTAN-Verfahren wird beim Online-Banking mit der S-PushTAN-App der Sparkassen zur Absicherung von Transaktionen bei Aufträgen verwendet.

Gemäß obigem Screenshot von der Seite des Sparkassenverband wird dieses Verfahren als Non-Plus-Ultra mit hoher Sicherheit beim mobilen Banking mit jedem Endgerät gepriesen. Man kann auch Internet-Kartenzahlungen und telefonische Identifikationen durchführen.

Der Pferdefuß, warum ich persönlich das nicht nutze: Man hat keine Zweifaktor-Absicherung über zwei Geräte, weil alles in der S-PushTAN-App der Sparkasse erfolgt. Ich nutze daher weiterhin einen separaten TAN-Generator zum Online-Banking. Aber viele Banken segeln mit ihren Banking-Apps auf dieser Schiene.

Der Sachverhalt: Grob fahrlässiges Kundenverhalten

Ein Sparkassen-Kunde war auf einen Phishing-Mail hereingefallen, die ihm suggerierte, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Das Opfer glaubte, die Mail sei vom “Kundenservice” seiner Sparkasse und folgte dem in der Phishing-Mail angegebenen URL.

Phishing-Mail und Freigabe von Aufträgen

Auf einer Fake-Seite, die ein Sparkassen-Login vorgaukelte, gab er die Zugangsdaten für sein Online-Konto bei der Sparkasse an. Die Betrüger fischten diese Zugangsdaten ab. Drei Tage nach dem Besuch der Fake-Anmeldeseite erhielt das Opfer einen ersten Anruf, in denen er vermeintlich Aufträge seiner Sparkasse bestätigen musste. Die Beschreibung bei Beck, die das OLG-Urteil wiedergibt, enthält die Information, dass das Opfer durch die Anrufer genötigt wurde, zwei Aufträge zu bestätigen. Mit diesem Vorgang erhöhten die Täter das Tageslimit für Überweisungen und transferierten 24.422 Euro auf ein unbekanntes Konto. Gleichzeitig wurden die Zugangsdaten für das Online-Banking geändert.

Einen Tag später gab es einen angekündigter weiteren Anruf, bei dem das Opfer wieder zwei Aufträge per S-PushTAN bestätigen musste. Erneut wurde das Tagelimit erhöht und die Täter konnten erneut 24.422 Euro auf ein unbekanntes Konto transferieren.

Wiederholt grob fahrlässiges Verhalten des Kunden

Hier wurde gleich mehrere Male vom Kunden grob fahrlässig gehandelt. Die Kommunikation zwischen Sparkasse und Kunde läuft immer über das Postfach seines Kundenkontos (jedenfalls kenne ich das nicht anders). Er hätte niemals über den Anmeldelink einer Mail auf die “Sparkassen-Seite” gehen dürfen. Dann zum Zugriff auf das Postfach des Kundenkontos muss man in der Sparkassen-App oder beim Online-Banking im Browser angemeldet sein.

Ein Bankmitarbeiter wird meiner Kenntnis nach auch niemals Transaktionen des Kunden auf die oben beschriebene Weise durchführen. Weiterhin ist anzuführen, dass das Opfer nach dem ersten Anruf nicht versuchte, seine Konten per Online-Banking zu überprüfen. Dann wären die geänderten Zugangsdaten und der für das Opfer gesperrte Online-Zugang aufgefallen.

Als letztes geht mir noch der Gedanke: Da hat jemand viel Asche auf seinem Konto liegen gehabt, dass die Betrüger fast 50.000 Euro abbuchen konnten. Und mit der Assoziation “viel Asche” geht mir noch “da kann der Kunde eigentlich nicht so naiv sein” durch den Kopf. Aber wie warb bereits Toyota: “Nichts ist unmöglich”.

Betrug fliegt auf, Kunde will Geld von der Sparkasse

Etwa zwei Wochen später habe das Opfer, ein Mann, bemerkt, dass er sich nicht mehr  in seiner S-PushTAN-App der Sparkasse einloggen konnte. Er kontaktierte seine Sparkasse, und wurde von dieser über die Kontobewegungen informierte.

Das Opfer wollte sein Geld von der Sparkasse zurück und argumentierte, er habe die Zahlungen nicht autorisiert. Er habe auch nicht grob fahrlässig gehandelt, jedenfalls hafte er der Sparkasse nicht, weil sie beim Einloggen in das Online-Banking keine starke Kundenauthentifizierung verlange.

Juristischer Weg bis zum OLG Dresden

So aus dem hohlen Bauch ging mir der Gedanke: “Da hilft nur lernen durch Schmerzen” durch den Kopf. Denn das Opfer hat mehrfach nicht nur arg blauäugig, sondern auch grob fahrlässig gehandelt. Das Landgericht Chemnitz wies die Klage auf Erstattung des Schaden denn auch ab. Das Opfer legte über seinen Anwalt Berufung gegen dieses Urteil ein, so dass das Verfahren vor dem Oberlandesgericht in Dresden landete.

S-Push-TAN-Verfahren nicht sicher

Der Leserschaft dieses Blogs ist klar, dass das S-PushTAN-Verfahren mit einer App, in der Banking-Vorgänge angestoßen und gleichzeitig autorisiert werden, nicht wirklich als sicher zu erachten ist, da der zweite Faktor fehlt.

S-Push-TAN-Verfahren keine starke Kundenauthentifizierung

Nun bin ich kein Jurist – und dort kommt es oft auf Feinheiten an. Vor dem OLG Dresden konnte der Kläger dann einen Teilerfolg verbuchen. Die Richter urteilten am 05.06.2025 (Az. 8 U 1482/24), dass die betreffende Sparkasse trotz grober Fahrlässigkeit des Kunden beim Phishing-Angriff haften muss. Die Begründung: Das Gericht sah eine Mitverantwortung der Bank, da diese beim Login ins Online-Banking keine starke Kundenauthentifizierung implementiert hatte und somit gegen europäische Sicherheitsanforderungen verstieß.

Laut Beck nimmt das OLG Dresden an, dass der Mann die Zahlungen nicht autorisiert hat, sodass er zunächst gemäß § 675u S. 2 BGB einen Anspruch auf Erstattung des vollen, von seinem Konto überwiesenen Betrags habe. Die Richter erkennen zwar an, dass die Sparkasse die Authentifizierung des Klägers durch technische Protokolle nachgewiesen  habe (§ 675w Abs. 1 S. 1 BGB). Und dann kommt der juristische Knackpunkt: Einen etwaigen daraus folgenden Anscheinsbeweis für die Autorisierung habe der Mann aber mit der Schilderung des Phishing-Angriffs erschüttert. Sicherheitsmängel im Online-Banking der Bank müssten dafür vom Kläger nicht dargelegt werden.

Dass der Kläger den Schaden nur teilweise von der Sparkasse ersetzt bekommen soll, begründen die Richter mit dem grob fahrlässigen Verhalten und Verletzung der Sorgfaltspflichten des Klägers. Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf (Verifizierung, Anrufe, mehrfache Freigaben in der S-PushTAN-App) hätten den Kläger argwöhnisch machen müssen.

Die Richter argumentieren, dass Phishing bekannt und in den Medien ein präsentes Thema sei. Zudem habe die Sparkasse in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Außerdem müsse es im Allgemeinen jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht für eine angebliche Aktualisierung genutzt werden dürfe.

Das OLG lastet der Sparkasse wegen des Fehlens der aufsichtsrechtlich – auch beim Online-Zugriff – vorgeschriebenen starken Kundenauthentifizierung ein Mitverschulden von 20% an. Die Sparkasse muss ihrem Kunden daher 9.768,80 Euro des entstandenen Schadens ersetzen. Eine Revision des Urteils hat das OLG nicht zugelassen.

Spannend wird es, die Folgen zu beobachten

Aus meiner Sicht drängt sich nun die Frage nach den Folgen dieses Urteils auf. Werden die Banken ihr Online-Banking entsprechend umstellen und auf S-PushTAN oder gleichwertige Verfahren in ihren Online-Banking-Apps verzichten? Man wird es abwarten müssen – es ist eine Einzelfall-Entscheidung und mit einem “Schaden für die Sparkasse” unter 10.000 Euro eigentlich “Peanuts” (um mit Deutsche Bank Vorstand Hilmar Kopper zu sprechen).

Das Urteil des OLG-Dresden kommt übrigens nicht aus dem “luftleeren Raum”. Als ich hier erstmals über das Urteil las, ging mir “da war doch mal was” durch den Kopf. Wie so oft wusste mein Blog bei einer kurzen Suche Rat. Im Oktober 2023 hatte ich das Thema schon mal im Blog-Beitrag Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein aufgegriffen. Dort hatte ich die Fallstricke des Push-TAN-Verfahrens der Banken und ein Urteil  der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ Bm 6 O 10/23) aufgegriffen. Die Kammer hatte das Push-TAN-Verfahren wegen fehlende Zweifaktor-Authentifizierung als unsicher eingestuft.

Da sich seit diesem Urteil nichts getan hat, sagt mein Bauchgefühl, dass auch das OLG Dresden mit seinem Urteil keine Schockwellen durch die deutschen Banken-Lande geschickt hat. Allerding: Die Zahl der Phishing-Opfer mit entsprechenden Schäden steigt – die Zahl der Fälle, wo Banken dann, trotz fahrlässigem Verhalten ihrer Kunden, haften müssen, könnte steigen.

Das Urteil ist übrigens kein Freibrief für Bankkunden, unachtsam bezüglich Phishing zu werden. Bei jedem Schadensfall wird ein Opfer, zumindest nach meiner Einschätzung nach, klagen müssen.

Für die Betriebswirtschaftler in den Zentralen der Sparkassen ist es dann ein Rechenbeispiel: Wie viele Schäden muss ich im Jahr begleichen, und wie viele Kunden gehen mir als Bank verloren, wenn mein Online-Banking nicht genau so attraktiv wie der Ansatz der vielen Online- und Neobanken ist?

Ähnliche Artikel
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Online-Banking: mTAN und Banking-Apps unsicher

Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2

Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen

Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Vorsicht vor App-TANs beim Online-Banking