14 Februar 2009 ~ 3 Kommentare

Online-Banking: Handbremse bei der Sicherheit lösen

Mehr als 50% der deutschen Bankkunden sollen bereits Online-Banking nutzen. Das ist eine stolze Zahl, wie ich finde. In einer aktuellen Studie werden die Gründe genannt, welche die restlichen Internet-Nutzer noch vor Online-Banking zurückschrecken lassen.

Gründe für die Ablehnung von Online-Banking
1. Zu hohes Risiko: 64 Prozent
2. Angst vor Phishing: 48 Prozent
3. Banken übernehmen keine Haftung: 41 Prozent
4. Mir ist die persönliche Beratung wichtig: 36 Prozent
5. Geschäfte über die Filiale sind sicherer: 33 Prozent
6. Angst vor Viren und Würmern: 29 Prozent
7. Angst vor Trojaner: 29 Prozent

An der Befragung des Consulting- und Softwarehauses PPI AG haben 859 Endverbraucher teilgenommen.

Soweit zur Studie. Was mir auffällt ist, dass für 36% die persönliche Beratung wichtig zu sein scheint. Immerhin. Schließlich betreiben wir für diesen Kreis unsere Filialen. Die restlichen Nennungen sind ausschließlich Sicherheitsthemen.

Wie könnten Banken diesen Sicherheitsbedenken begegnen?

Viele Bankkunden wissen anscheinend gar nicht, dass die Bank in der Regel für die Schäden aufkommt. Diese aus der Not herausgeborene Verfahrensweise sollten Banken für sich nutzen und deshalb auch besonders offensiv kommunizieren. Damit wird Vertrauen aufgebaut und auch dem Image wird es nicht schaden. Als gutes Beispiel für diese Variante fällt mir die Netbank ein, die eine No-Risk-Garantie ausspricht und die Beweislast des Kunden umdreht.

Parallel dazu können die Banken natürlich ihr eigenes Riskio minimieren. Tatsächlich werden zur Zeit verstärkt Phishing-Angriffe bei Bankkunden festgestellt. In der aktuellen Welle werden Kunden aufgefordert, ihr Passwort und bis zu 10 iTANS in eine nachgemachte Seite einzugeben.  Die Betrüger überweisen dann vom betroffenen Konto per EU-Überweisung Geld auf Auslandskonten. Je nachdem wieviele iTANS noch auf der Liste des Geschädigten vorhanden waren, steigt oder sinkt die Chance der Betrüger auf eine erfolgreiche Überweisung (je kleiner die Anzahl der iTANs auf der Liste, umso höher die Wahrscheinlichkeit das die richtige iTAN dabei ist) .

Banken können hier auf mindestens zwei Wegen gegensteuern. Am effektivsten dürfte die Reduzierung des Limits einer EU-Online-Überweisung sein. Zusätzlich könnten TAN-Listen früher ausgetauscht und bei erfolglosen TAN-Eingaben das Konto früher als bisher gesperrt werden.

Mittelfristige Lösungen setzen auf veränderte technische Verfahren.  So könnte die weit verbreitete iTAN durch bereits am Markt verfügbare Systeme ersetzt werden. Großes Potential steckt dann z.B. in der Mobile TAN. Bei dieser Technik werden TANs per SMS an den User versendet. Auch zahlreiche Token-Lösungen gibt es, bei denen dynamische TAN-Erzeuger an den Kunden ausgegeben werden (z.B. in Form eines Schlüsselanhängers). Doch gerade Hardwarelösungen kosten einiges Geld und ob diese Mehrkosten an den Kunden weitergegeben werden können, ist mehr als fraglich.

Unter Kostengesichtspunkten liegt daher die Mobile-TAN wahrscheinlich vorne, wenngleich die durch den SMS-Versand auch nicht umsonst ist. Eine weitere Alternative dazu stellt die GRID-Karte dar. Das sind Plastikkarten mit einer Tabelle in Koordinatenform. Wie beim Schiffeversenken muss dann die richtige Nummer durch Kombinationen zusammengesetzt werden. In Deutschland nutzt z.B. die indische ICICI das Verfahren.

Ein stimmiges Gesamtkonzept könnte hier eine Differenzierung im Wettbewerb um Kunden bedeuten.

Linktipp:
Mitternachtshacking – Ein Blogbeitrag über Authentisierungsverfahren

Ähnliche Artikel:


Autor:  Thomas Hönscheid berät und unterstützt Finanzdienstleister bei der Neukundengewinnung über das Internet. Bis vor kurzem leitete er das Marketing der OnVista Bank und des Finanzportals OnVista.de. Bei einer großen Genossenschaftsbank war er für klassisches Marketing und Website-Management verantwortlich.


3 Kommentare zu “Online-Banking: Handbremse bei der Sicherheit lösen

  1. FlorianH 28 Juli 2010 um 21:03

    Leider haben sich sichere Verfahren bisher aufgrund des erhöhten Aufwands und aus Kostengründen nicht durchgesetzt, daher ist das PIN/TAN-Verfahren immer noch der Standard. Gerade Kunden von Direktbanken, die sich bewusst für ein kostengünstiges oder kostenloses Girokonto entschieden haben, sind oft nicht bereit die SMS-Gebühren für mTAN zu übernehmen. Damit wäre der Spareffekt bei der Kontoführung wieder dahin. HBCI wird leider von zu wenig Banken angeboten.

    Bleibt also oftmals nur auf der eigenen Seite entsprechende Sicherheitsvorkehrungen zu treffen. Neben den üblichen Tipps wie aktueller Virenscanner, Firewall und aktueller Browser gibt es hier sehr gute und sichere Lösungen. Ein aus meiner Sicht empfehlenswerter Ansatz ist das Bankix-Projekt der Computerzeitschrift c’t (siehe Heise-Website).

  2. Kryptoanalyse 1 Februar 2011 um 22:43

    Die iTAN wird in Ihrem Artikel vollkommen falsch bewertet. Ein Abfragesystem wird in Fragen der Sicherheit viel sicherer bewertet als jegliche durch Codierfunktion erstellte TANs. Das Problem stellt dabei die Codierfunktion dar. Die kann verraten werden, wie beim DVD-Copierschutz und auch bei den PIN für Chipgeldkarten schon geschehen. Auch kann der einmalige Schlüssel (Kreditkarte) erkannt sein und möglicherweise aus diversen Datenbanken aus dem INTERNET abgefragt werden. Ein massenweiser Angriff auf Konten wird dadurch für kriminelle Elemente recht interessant. Einmalschlüssel wie bei iTAN fehlen diese Sicherheitsprobleme. Sicher ist nur iTAN, weil es ohne verräterischer Codierfunktion auskommt.

  3. Thomas 4 Februar 2011 um 11:07

    @Kryptoanalyse

    Vielen Dank für Deine Anmerkung zum Artikel. Ich bin sicher kein Experte für IT-Sicherheit, würde aber gerne verstehen, warum Du die iTAN sicher findest. Damit stellst Du Dich gegen die Erkenntnisse aus der Bankpraxis. Schließlich gibt es hinreichend Fälle, in denen iTANs ausgespäht wurden. Erfolgreiche Manipulationen durch mTANs sind mir nicht bekannt. Viele Banken haben zwischenzeitlich umgerüstet und bieten mindestens beide Verfahren an.


Kommentar hinterlassen