Die Warnung der Experten ist eindeutig, die Zahlen sind alarmierend: Rund eine Milliarde Android-Smartphones weltweit gelten als technisch veraltet und erhalten keine Sicherheitsupdates mehr. Doch was für den Gelegenheitsnutzer lediglich wie ein technisches Detail wirkt, entwickelt sich für Bankkunden zu einem massiven rechtlichen Risiko. Wer seine Bankgeschäfte auf einem unsicheren Gerät abwickelt, spielt nicht nur mit der Sicherheit seiner Daten, sondern riskiert im Schadensfall, auf den Kosten sitzenzubleiben.
In der modernen Rechtsprechung zum Online-Banking verschieben sich die Maßstäbe. Während Banken verpflichtet sind, ihre Systeme gegen Angriffe zu härten, trifft den Kunden eine sogenannte Mitwirkungspflicht. Auf unserem Portal Bankrecht-Ratgeber.de weisen wir regelmäßig darauf hin, dass die Sorgfaltspflicht des Kunden nicht am Geldautomaten endet, sondern tief in die technische Konfiguration seines Smartphones hineinreicht. Die aktuelle Sicherheitslage bei Android zwingt uns, dieses Thema neu zu bewerten: Ist die Nutzung eines alten Smartphones mittlerweile als grob fahrlässig einzustufen?
Das technische Problem: Wenn der Support endet
Wie CHIP in einem aktuellen Bericht und unter Berufung auf aktuelle Marktanalysen meldet, sind weltweit schätzungsweise 40 Prozent aller aktiven Android-Geräte mit Versionen unterwegs, die keine kritischen Sicherheitsupdates mehr erhalten. Google und die Smartphone-Hersteller garantieren Updates oft nur für einen begrenzten Zeitraum – bei günstigen Modellen oft nur zwei bis drei Jahre, bei Flaggschiffen mittlerweile bis zu sieben Jahre.
Sobald ein Gerät den „End-of-Life“-Status (EOL) erreicht, werden neu entdeckte Sicherheitslücken (Exploits) nicht mehr geschlossen. Für Cyberkriminelle sind solche Geräte „Low Hanging Fruits“ – leicht erreichbare Ziele. Eine einzige manipulierte Website, eine infizierte PDF-Datei oder eine App aus einer dubiosen Quelle reichen aus, um Schadsoftware zu installieren, die tief im System verwurzelt ist und Passwörter sowie TANs abgreift.
Die Evolution der Banking-Trojaner
Die Bedrohungslage hat sich qualitativ verändert. Moderne Banking-Trojaner nutzen sogenannte „Overlay-Attacken“. Dabei legt sich ein unsichtbares Fenster über die echte Banking-App. Tippt der Nutzer seine Zugangsdaten ein, landen diese nicht bei der Sparkasse oder Deutschen Bank, sondern direkt auf den Servern der Betrüger.
Auf aktuellen Android-Versionen (ab Android 13/14) greifen hier strenge Schutzmechanismen. Das Betriebssystem verhindert, dass Apps den Bildschirminhalt anderer sensitiver Apps auslesen oder überlagern können. Veraltete Versionen wie Android 9 oder 10 verfügen oft nicht über diese granularen Rechteverwaltungen. Wer hier Banking betreibt, nutzt quasi einen Tresor, dessen Türangeln bereits verrostet sind.
Die rechtliche Dimension: § 675v BGB und die grobe Fahrlässigkeit
Hier verlassen wir die Technik und betreten das Bankrecht. Im Falle eines unautorisierten Zahlungsvorgangs (z. B. eine Überweisung durch Hacker) haftet grundsätzlich erst einmal die Bank (§ 675u BGB). Sie muss dem Kunden den abgebuchten Betrag erstatten.
Aber: Diese Haftung entfällt, wenn der Kunde in betrügerischer Absicht gehandelt hat oder seine Sorgfaltspflichten vorsätzlich oder grob fahrlässig verletzt hat (§ 675v BGB).
Ist ein altes Handy „grob fahrlässig“?
Bisher definierten Gerichte grobe Fahrlässigkeit oft über das Verhalten: PIN auf die Karte geschrieben, TAN am Telefon weitergegeben oder auf offensichtliche Phishing-Mails geklickt. Doch die Argumentation der Banken wandelt sich.
Wenn bekannt ist, dass ein Betriebssystem hunderte ungepatchte Sicherheitslücken aufweist, und der Nutzer dieses Gerät dennoch für hochsensible Transaktionen nutzt, kann dies als Außerachtlassung der erforderlichen Sorgfalt gewertet werden. Ein Richter könnte argumentieren: „Es liegt auf der Hand, dass man für Bankgeschäfte ein sicheres Endgerät benötigt. Wer Warnungen ignoriert und ein fünf Jahre altes System ohne Patches nutzt, nimmt den Schaden billigend in Kauf.“
Noch gibt es keine flächendeckende höchstrichterliche Rechtsprechung, die allein das alte Android-OS als grobe Fahrlässigkeit einstuft. Doch die Indizienkette wird für Bankkunden immer ungünstiger. Je mehr über die Risiken berichtet wird (wie im oben zitierten CHIP-Artikel), desto weniger kann sich der Verbraucher auf Unwissenheit berufen.
Warum Banking-Apps den Dienst verweigern
Viele Nutzer bemerken das Problem erst, wenn ihre Banking-App den Start verweigert. Dies ist keine Schikane der Banken, sondern eine regulatorische Notwendigkeit. Die PSD2-Richtlinie (Payment Services Directive 2) der EU fordert eine „starke Kundenauthentifizierung“ (SCA) und sichere Kommunikationskanäle.
Banken nutzen zunehmend die „Play Integrity API“ von Google, um den Sicherheitsstatus des Geräts vor dem App-Start zu prüfen. Meldet das System:
- Veraltetes Sicherheits-Patch-Level
- Root-Zugriff (Manipulation der Systemrechte)
- Unbekannte Quellen
…dann blockiert die App den Zugriff. Dies ist ein Schutzmechanismus für beide Seiten. Kunden, die versuchen, diese Sperren durch „Sideloading“ (Installation alter App-Versionen) zu umgehen, begeben sich auf direktem Weg in die volle Haftung. Wer Sicherheitsbarrieren seiner Bank aktiv umgeht, handelt zweifellos grob fahrlässig.
Die wirtschaftliche Abwägung: Neukauf vs. Risiko
Für viele Verbraucher ist es ärgerlich, ein funktionierendes Smartphone ausmustern zu müssen, nur weil die Software veraltet ist. Dies steht im Konflikt mit dem Wunsch nach Nachhaltigkeit. Doch im Kontext von Finanztransaktionen muss die Sicherheit Vorrang haben.
Ein Schaden durch Online-Banking-Betrug beläuft sich oft auf mehrere Tausend Euro – weit mehr als die Kosten für ein modernes Mittelklasse-Smartphone, das für 300 Euro bereits fünf Jahre Update-Garantie bietet (z. B. Samsung Galaxy A-Serie oder Google Pixel a-Serie).
Alternative: Zweitgerät für Banking?
Eine pragmatische Lösung für Nutzer, die ihr altes Gerät lieben: Nutzen Sie das alte Smartphone weiterhin für Telefonie, WhatsApp und Fotografie, aber verbannen Sie alle Finanz-Apps (Banking, PayPal, Trade Republic) davon.
Für Bankgeschäfte kann ein separates, günstiges, aber aktuelles Tablet oder Smartphone angeschafft werden, das ausschließlich zu Hause im sicheren WLAN genutzt wird. Dies minimiert das Risiko eines Verlusts und reduziert die Angriffsfläche durch andere Apps drastisch. Dies wird von IT-Sicherheitsexperten oft als „Hygiene-Strategie“ bezeichnet.
Checkliste: Ist Ihr Gerät noch banktauglich?
Um rechtlich und technisch auf der sicheren Seite zu sein, sollten Sie folgende Punkte prüfen:
- Sicherheits-Patch-Ebene: Gehen Sie in die Einstellungen -> Telefoninfo -> Softwareinformationen. Das Datum des letzten Sicherheitspatches sollte nicht länger als 3-6 Monate zurückliegen. Ist das Datum älter als ein Jahr, ist das Gerät für Banking definitiv ungeeignet.
- Android-Version: Prüfen Sie, welche Version läuft. Alles unter Android 10 ist heute als hochkritisch einzustufen. Viele Banken setzen mittlerweile Android 11 oder 12 als Minimum voraus.
- App-Updates: Werden Ihre Apps im Play Store noch aktualisiert? Wenn der Play Store meldet „Diese App ist mit deinem Gerät nicht mehr kompatibel“, ist das ein finales Warnsignal.
Ausblick: Die Verantwortung verschiebt sich
Die Ära, in der das Smartphone ein „Black Box“ war, für deren Sicherheit allein der Hersteller zuständig schien, ist vorbei. Im Bankrecht sehen wir eine Tendenz zur stärkeren Eigenverantwortung des digitalen Nutzers. Die Bank stellt den Tresor (die App), aber der Kunde muss sicherstellen, dass er diesen Tresor nicht in einem brennenden Haus (dem veralteten Betriebssystem) aufstellt.
Ein Neukauf oder Wechsel des Geräts ist daher keine reine Konsumfrage mehr, sondern eine Maßnahme der persönlichen Vermögenssicherung. Wer hier spart, spart am falschen Ende – und riskiert, im Ernstfall vor Gericht schlechte Karten zu haben, wenn das Konto leergeräumt wurde.