Das Oberlandesgericht (OLG) Dresden hat mit einem jetzt veröffentlichten Urteil vom 5. Mai Klarstellungen zur Sicherheit des pushTAN-Verfahren und zu Ersatzansprüchen bei einer betrügerischen Cyberattacke vorgenommen (Az. 8 U 1482/24). Laut dem Beschluss des 8. Zivilsenats muss eine Sparkasse einem Kunden, der Opfer eines Phishing-Angriffs wurde und dabei grob fahrlässig handelte, einen Teil des entstandenen Schadens erstatten. Die Richter begründen das vor allem durch ein Mitverschulden des Zahlungsdienstleisters rund um die Ausgestaltung des Logins in das Online-Banking mit der S-push-TAN-App, die keine „starke Kundenauthentifizierung“ biete.

Mit dem Beschluss hat das OLG ein früheres Urteil des Landgerichts Chemnitz vom 24. Oktober 2024 aufgehoben und neu gefasst. Dem Kläger, dessen Girokonto durch zwei unautorisierte Überweisungen von insgesamt 49.421,44 Euro belastet wurde, sprachen sie Anspruch auf Wiedergutschrift zu. Die Sparkasse muss ihm 9884,29 Euro zuzüglich Zinsen erstatten sowie vorgerichtliche Rechtsanwaltskosten in Höhe von 1119,79 Euro nebst Zinsen zahlen.

Hintergrund des Streits

Der Kläger nutzte das Online-Banking der Sparkasse mit dem S-pushTAN-Verfahren. Er erhielt eine Phishing-E-Mail, die eine Aktualisierung des Online-Bankings ankündigte und ihn auf eine gefälschte Sparkassen-Website leitete. Dort gab er seine Zugangsdaten ein. Anschließend erhielt er Telefonanrufe von einer angeblichen Sparkassenmitarbeiterin, die ihn unter dem Vorwand einer technischen Neuinstallation dazu brachte, „Aufträge“ in der S-pushTAN-App zu bestätigen. Diese Bewilligungen führten zur Erhöhung des Tageslimits und zu zwei Echtzeitüberweisungen auf ein ihm unbekanntes Konto.

In der pushTAN-App seien ihm keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, führte der Kläger dazu aus. Ihm seien lediglich unbestimmte „Aufträge“ zur Freigabe vorgelegt worden. Nach Bekanntwerden der Unregelmäßigkeiten informierte er die Sparkasse und erstattete Strafanzeige.

Eigentlich verlangte der Übertölpelte die Wiedergutschrift des gesamten Betrages, da die Zahlungen nicht von ihm autorisiert worden seien und die Sparkasse ihren Pflichten zur „starken Kundenauthentifizierung“ nicht nachgekommen sei. Er stellte dabei vor allem auf das Einloggen ins Online-Banking und die Anzeige von Zahlungsempfängern in der pushTAN-App ab. Der Kläger argumentierte, dass das Login lediglich mit Anmeldename und statischer PIN erfolgte und sensible Zahlungsdaten ohne weitere Authentifizierung einsehbar waren. Dies stelle einen Verstoß gegen Paragraf 55 Zahlungsdiensteaufsichtsgesetz (ZAG) dar. Zudem bemängelt er, dass in der Sparkassen-App unstreitig nie der Name des Zahlungsempfängers, sondern nur dessen IBAN angezeigt werde, was gegen EU-Recht verstoße.

Die Beklagte hielt dem entgegen, der Kläger habe seine Sorgfaltspflichten grob fahrlässig verletzt, indem er auf die Phishing-Mail und die „Fake-Anrufe“ reagierte und die Aufträge in der pushTAN-App freigab. Sie behauptete, das S-pushTAN-Verfahren sei sicher und TÜV-geprüft und eine Manipulation der Anzeige sei technisch ausgeschlossen. Der Kläger hätte die Sicherheitshinweise der Sparkasse beachten müssen.

Die EU machte fürs Online-Banking mit der Zahlungsdienste-Richtlinie PSD2 eine Zwei-Faktor-Authentifizierung obligatorisch. Beim pushTAN-Verfahren wird eine Transaktionsnummer als Push-Nachricht an eine spezielle Mobilanwendung auf dem Smartphone gesendet, was teils Angriffe ermöglicht.

Richterspruch

Das OLG bestätigte zunächst, dass die Zahlungen vom Kläger nicht autorisiert wurden: Ihm sei zum Zeitpunkt der Freigaben nicht bewusst gewesen, dass er Echtzeit-Überweisungen bestätigte. Zugleich sah das Gericht bei ihm auch ein „grob fahrlässiges“ Verhalten. Er habe seine gesetzliche Sorgfaltspflicht aus Paragraf 675l BGB verletzt, indem er „unbekannten Tätern durch die Freigabe von Aufträgen in der S-pushTAN-App ‚auf Zuruf‘ mittelbar Zugang gewährt“ und sensible Daten nach einem Phishing-Angriff preisgegeben habe. Die Kammer unterstrich, der Kläger habe die angezeigten Daten in der S-pushTAN-App nicht überprüft, was eine vehemente Pflichtverletzung darstelle.

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu. Dies begründete es mit einem Verstoß gegen aufsichtsrechtliche Vorschriften: Die Sparkasse habe es versäumt, eine „starke Kundenauthentifizierung“ im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort „sensible Zahlungsdaten“ einsehbar waren. Das Gericht stellte fest: „Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten.“

Die Ausnahmevorschriften, die eine einfache Authentifizierung für den reinen Abruf des Kontostandes erlauben, griffen hier nicht, heben die Richter hervor. Es seien nämlich weitere sensible Daten zugänglich gewesen. Die Argumente des Klägers, dass die Transaktionsüberwachung unzureichend gewesen sei oder das S-pushTAN-Verfahrens nicht dem Stand der Technik entspreche, berücksichtigte das OLG nicht. Diese Behauptungen hielt es für nicht belegt.

(olb)

Die Umweltschutzgruppierung Extinction Rebellion (XR) hat einen Farbanschlag auf den wohl ikonischsten Apple-Laden der Vereinigten Staaten verübt. Bereits am Sonntag kam einer der Aktivisten zu dem bekannten Glaskubus an der Fifth Avenue und beschmierte diesen mit grüner Sprayfarbe. Die Gruppierung wollte damit auf eine ihrer Ansicht nach klimafeindliche Politik von Apple aufmerksam machen sowie gegen Konzernchef Tim Cook demonstrieren, der bei der Amtseinführung von US-Präsident Donald J. Trump anwesend war.

„Dump Trump“

Die Sprüche von Extinction Rebellion lauteten: „Boykottiert Apple“, „Wirf Trump weg, Apple!“ („Dump Trump“) sowie „Tim [Cook] + Trump = toxisch“. Die Aktion lief sehr schnell ab – so schnell, dass Sicherheitsleute nicht eingreifen konnten. Der Apple Store Fifth Avenue ist 24 Stunden am Tag an sieben Tagen die Woche geöffnet und dementsprechend eigentlich gut abgesichert.

Extinction Rebellion publizierte auf dem sozialen Netzwerk Bluesky ein Video der Aktion und wiederholte die aufgesprühten Sprüche. „Warum haben wir das gemacht? Weil Tim Cook sich lächelnd bei der Amtseinführung von Trump 2025 gezeigt hat – und seither kein Wort sagte, während die Regierung Klimaschutzmaßnahmen zerlegt“, so die Aktivisten. „Das ist Verrat am Klima.“

Extinction Rebellion: Klimabetrug durch Apple

In einer Pressemitteilung schrieb die New Yorker Abteilung von Extinction Rebellion, man sehe einen „Klimabetrug“ vonseiten von Big Tech. In der ersten Amtszeit Trumps hätten Apple, Google und Meta Klimaschutzmaßnahmen noch verteidigt. Das sei in der zweiten Amtszeit nicht mehr so. Auch hätten sich die Konzerne nicht mehr für das Pariser Klimaabkommen engagiert.

Extinction Rebellion war in der Vergangenheit mit teils umstrittenen Aktionen aufgefallen, etwa mit dem Aufhalten des Londoner Nahverkehrs durch Personen, die sich an Züge klebten oder der Beschädigung von Kunstwerken. Apple hat die Aktion an seinem Ladengeschäft nicht kommentiert, ließ die Sprüche mittlerweile entfernen. Der Konzern betont selbst sein Klimaengagement, will bis 2050 im Rahmen seiner Lieferkette klimaneutral werden, auch wenn dies umstrittene Aufforstungsmaßnahmen einschließt.

(bsc)

Intel soll sich bei der gemutmaßten Neuauflage seiner aktuellen Desktop-Prozessoren Core Ultra 200S alias Arrow Lake-S erneut umentschieden haben. Galt der Arrow-Lake-Refresh kürzlich noch als eingestellt, steht inzwischen wieder eine Vorstellung bis zum Jahresende im Raum. Das Hin und Her würde in Anbetracht der letzten Führungswechsel nicht überraschen.

Demnach will Intel zum einen die Taktfrequenzen etwas erhöhen und zum anderen ein neues sogenanntes SoC-Tile einsetzen. Dieses Chiplet beherbergt unter anderem die KI-Einheit (Neural Processing Unit, NPU), Speicher-Controller und I/O-Interfaces wie USB und PCI Express.

Die NPU des Arrow-Lakes-Refreshs soll deutlich stärker werden. Darüber berichtete bereits im März „金猪升级包“ auf der chinesischen Plattform Weibo. Er gilt bei Desktop-Hardware als gut vernetzt. ZDNet Korea schlug jüngst in dieselbe Kerbe.

Neues Chiplet

Die bisherigen Core Ultra 200S wie der Core Ultra 9 285K müssen sich mit dem SoC-Tile der mobilen Meteor-Lake-Prozessoren (Core Ultra 100U/H) begnügen. Die NPU darin schafft 11 Billionen INT8-Rechenoperationen pro Sekunde (11 Tops), was nur für seichte Aufgaben reicht. Der Arrow-Lake-Refresh soll die NPU der Lunar-Lake-Familie (Core Ultra 200V) erben, also 45 Tops erreichen. Das würde für eine Qualifizierung gemäß Microsofts Copilot+ reichen.

Für so eine Kombination müsste Intel wahrscheinlich ein neues SoC-Tile entwerfen. Lunar Lake hat kein reines SoC-Tile, sondern integriert die NPU im Compute-Chiplet zusammen mit den CPU-Kernen. Damit taugt es nicht für einen Arrow-Lake-Refresh

Bei der Gelegenheit böten sich weitere Upgrades an, etwa für Thunderbolt 5 und Wi-Fi 7. Die Neuauflage könnte bereits als Core Ultra 300S erscheinen. Die nächste echte Generation kommt derweil erst Ende 2026 und heißt Nova Lake.

(mma)