Zum Inhalt springen
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
Laut Gericht

Log-in der Sparkasse offenbar nicht sicher genug

Das OLG Dresden hat einen Phishing-Fall verhandelt – und der Sparkasse eine Mitschuld bescheinigt
Das OLG Dresden hat einen Phishing-Fall verhandelt – und der Sparkasse eine Mitschuld bescheinigt Foto: Getty Images
Rita Deutschbein, Redaktionsleiterin TECHBOOK
Redaktionsleiterin

9. Juli 2025, 15:16 Uhr | Lesezeit: 4 Minuten

Ein Urteil des OLG Dresden sorgt aktuell für Aufsehen. Trotz grober Fahrlässigkeit eines Bankkunden bei einem Phishing-Betrug muss die Sparkasse einen Teil des Schadens erstatten. Der Grund: Die Sicherheitsmaßnahmen der Bank reichten laut Gericht nicht aus, um den Angriff zu verhindern.

Artikel teilen

Nach einem Phishing-Angriff auf einen Sparkassenkunden hat das Oberlandesgericht Dresden entschieden, dass die Bank 20 Prozent des entstandenen Schadens tragen muss. Zwar habe der Kunde grob fahrlässig gehandelt, indem er seine Zugangsdaten preisgab und TAN-Freigaben leichtfertig erteilte. Doch auch die Sparkasse trage eine Mitschuld, da sie beim Log-in keine starke Kundenauthentifizierung eingesetzt habe, so das Urteil vom 5. Mai 2025 (Az. 8 U 1482/24).

Übersicht

Phishing-Angriff mit dramatischen Folgen

Im Zentrum des Falls steht ein Sparkassenkunde, der das S-pushTAN-Verfahren nutzte. Über eine Phishing-Mail gelangten Betrüger an seine Zugangsdaten. In mehreren Telefongesprächen brachten sie ihn im Februar dieses Jahres dazu, in der TAN-App die Erhöhung seines Überweisungslimits sowie zwei Zahlungen in Höhe von insgesamt 49.421,44 Euro in Echtzeit freizugeben.

Der Kunde erklärte vor Gericht, die S-pushTAN-App habe keine Details zu den Transaktionen – etwa zur Höhe der Beträge oder zum Empfänger – angezeigt. Er habe lediglich generische Freigabeaufforderungen für „Aufträge“ erhalten. Das OLG sah diese Aussage als unglaubwürdig an, verwies jedoch auf die ungewöhnliche Situation der Freigaben während eines laufenden Telefonats.

Gericht erkennt Mitschuld der Sparkasse

Das Gericht stufte das Verhalten des Klägers eindeutig als grob fahrlässig ein. Er habe seine Zugangsdaten auf einer gefälschten Website eingegeben und sensible Zahlungen freigegeben, ohne die Angaben ausreichend zu prüfen. Im Detail heißt es im Urteil: „Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt
gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und
Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking
veranlasst werden sollen, als allgemeines Wissen vorauszusetzen.“

Das Gericht räumte allerdings auch ein Mitverschulden der Sparkasse ein. Die Richter bemängelten, dass beim Online-Log-in keine starke Kundenauthentifizierung verwendet wurde. Dadurch sei es möglich gewesen, sensible Daten wie Geburtsdatum oder Kartennummer einzusehen – Informationen, die die Betrüger nutzten, um die betrügerischen Überweisungen vorzubereiten.

Das Fehlen einer gesetzlich vorgeschriebenen „starken Kundenauthentifizierung“ auch beim Log-in zum Online-Banking habe hier erkennbar dazu beigetragen, dass die Täter durch eine Spear-Phishing-Mail, eine gefälschte Webseite und das Mitlesen der PIN überhaupt Zugriff auf das Online-Banking erhalten hätten.

Dort seien – wiederum ohne eine starke Kundenauthentifizierung abzuverlangen – sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG abrufbar gewesen (Verfügungsrahmen, Tageslimit, IBANs der verschiedenen Kontonummern des Klägers, Kontostand und Buchungen im Soll und Haben, Geburtsdatum und Handynummer des Klägers etc.).

Auszug aus dem Urteil 8 U 1482/24

Lesen Sie auch: Deutsche Bank schafft beliebtes Banking-Verfahren ab

Sicherheitslücken beim pushTAN-Verfahren der Sparkasse

Das OLG Dresden stellte klar, dass das pushTAN-Verfahren der Sparkasse grundsätzlich den Anforderungen an eine starke Authentifizierung genügen kann – wenn ausreichende Schutzmaßnahmen implementiert sind. Im konkreten Fall fehlte jedoch die zusätzliche Authentifizierung beim Log-in, etwa durch einen zweiten Faktor wie Biometrie oder Gerätebindung. Dies verletze aufsichtsrechtliche Pflichten der Bank.

Das Urteil überrascht nicht. Bereits im Jahr 2023 beschäftigte sich ein anderes Gericht mit der Sicherheit des pushTAN-Verfahrens. Damals urteilte das Landgericht Heilbronn, dass „das sog. pushTAN-Verfahren […], ein erhöhtes Gefährdungspotenzial“ aufweise. Insbesondere sei dies der Fall, wenn TAN- und Banking-App auf demselben Gerät installiert sind.

Mehr zum Thema

Sparkasse muss knapp 10.000 Euro erstatten

Aufgrund des genannten Mitverschuldens der Sparkasse konnte der um sein Geld gebrachte Kunde immerhin einen Teilerfolg erzielen. Das OLG Dresden sprach ihm einen Schadenersatzanspruch von 20 Prozent zu, den die Sparkasse zahlen muss – dies entspricht 9884,29 Euro. Auch die vorgerichtlichen Anwaltskosten des Kunden in Höhe von 1119,79 Euro muss die Bank übernehmen. Das Urteil ist rechtskräftig, eine Revision wurde nicht zugelassen.

Themen Betrug News Online-Banking Recht

Sie haben erfolgreich Ihre Einwilligung in die Nutzung unseres Angebots mit Tracking und Cookies widerrufen. Damit entfallen alle Einwilligungen, die Sie zuvor über den (Cookie-) Einwilligungsbanner bzw. über den Privacy-Manager erteilt haben. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit Tracking und Cookies entscheiden.

Bitte beachten Sie, dass dieser Widerruf aus technischen Gründen keine Wirksamkeit für sonstige Einwilligungen (z.B. in den Empfang von Newslettern) entfalten kann. Bitte wenden Sie sich diesbezüglich an datenschutz@axelspringer.de.