Jetzt Mitglied werden
IT

Nur aufgeklärte User sind mündige User

Von Redaktion - 27. Oktober 2014

Bildnachweis: szelmek über istockphoto.de

Sicherheit beim Onlinebanking spielt seit eh und je eine Rolle. Die Computerzeitschrift CHIP testete verschiedene Banken und Sicherheitssysteme. Im BANKINGNEWS-Interview beantwortet Benjamin Hartlmaier die wichtigsten Fragen.

BANKINGNEWS: Gibt es Unterschiede bei der Online-Sicherheit zwischen Online- und Filialbanken?

Intuitiv ist man verleitet zu glauben, dass Direktbanken, sich der Risiken dieses Raumes bewusst sind und deshalb besonders in Sicherheit investieren. Dem ist aber nicht so. Im Gegenteil: Bei unserem Bankentest hat es in der Kategorie Sicherheit nur eine Direktbank in die TOP 5 geschafft – und zwar die netbank auf Platz fünf. Das Sicherheitsniveau der übrigen Direktbanken befindet sich eher im mittleren bis unteren Drittel des Testfeldes. Die ersten vier Plätze werden ausschließlich von Filialbanken belegt, angeführt vom Online-Angebot der Sparkassen. Diese Sicherheit hat aber auch ihren Preis, denn bei den Kosten dreht sich das Ergebnis um: Hier liegen die Direktbanken klar vorne.
Die Benutzung von mobilen Endgeräten für Onlinebanking ist noch relativ neu. Welche Sicherheitsprobleme treten hier auf?

Da Smartphones und Tablets kleine Computer sind, können theoretisch auch die gleichen Sicherheitsprobleme, durch Trojaner oder Phishing entstehen.

Interesse hängt von Verbreitung ab
Ob mobile Geräte allerdings auch ins Visier von Kriminellen geraten, hängt davon ab, wie hoch ihre Verbreitung in der Bevölkerung ist und wofür sie genutzt werden. Werden mobile Geräte zunehmend fürs Banking eingesetzt, werden sie auch lukrativer für Hacker, die sich immer fragen: Wie hoch ist mein Aufwand und wie viele potenzielle Opfer gibt es? Ist die theoretische Opferzahl relativ hoch, wird sich der Aufwand für einen Angriff eher lohnen.
Smartphones haben darüber hinaus ein spezielles Problem: Mit ihnen lässt sich die für die Sicherheit wichtige Kanaltrennung theoretisch leicht umgehen, da sie sowohl TANs empfangen, als auch Überweisungen damit autorisieren können. Für einen Hacker heißt das: Er muss im Zweifelsfall nur ein Gerät unter Kontrolle bringen und nicht zwei, wie es der Fall ist, wenn man die TAN auf dem Handy empfängt und anschließend über den Laptop eingibt.

Lange galt der mTAN als sicher. Mittlerweile häufen sich auch hier Schadensmeldungen. Gibt es überhaupt eine sichere TAN?

Ein TAN-Verfahren ist dann sicher, wenn es sich für einen Angreifer nicht lohnt, es zu umgehen oder zu brechen. Je mehr Sicherheitsfeatures ein TAN-Verfahren beinhaltet, desto höher wird der Aufwand für einen Angreifer, alle Features unter seine Kontrolle zu bringen.

Ein nicht verbreitetes TAN-Verfahren ist auch sicher
Für die Sicherheit im Online-Banking sind generell vier Dinge wichtig: ein vertrauenswürdiges Display und Eingabemethode, Kanaltrennung beim TAN-Verfahren und Zwei-Faktor-Authentifizierung. Sollte ein TAN-Verfahren noch besonders neu und nicht sehr weitverbreitet sein, kann das auch eine gewisse Sicherheit bedeuten, da es sich mangels zahlreicher Opfer für Kriminelle nicht lohnen würde, dieses Verfahren anzugreifen. Aber weil ein Verfahren alt ist, heißt das nicht, dass es auch schlecht sein muss: Das manuelle chipTAN-Verfahren, bei dem man die EC-Karte in einen TAN-Generator steckt, gilt nach wie vor als sehr sicher, weil ein Angreifer in diesem Fall die Karte unter seine Kontrolle bringen müsste, um das Verfahren zu knacken. Dazu müsste er sie stehlen, was viel aufwändiger ist als ein rein virtueller Angriff.

Banken fragen niemals nach einer PIN. Dennoch geben viele Menschen bei einer Phishingmail gerne Auskunft. Wie sicher kann Onlinebanking gestaltet werden, wenn die sichersten Maßnahmen meistens am Faktor Mensch scheitern?

Phishing-Mails setzten auf die Unerfahrenheit der Nutzer. Hier könnte noch mehr Aufklärung seitens der Banken vielleicht helfen. Oder die Bank nimmt dem Nutzer einfach die Möglichkeit, sensible Daten unwissentlich in die falschen Hände zu geben, indem sie die Daten selbst eliminiert. Auf diesem Ansatz basiert ein neues Verfahren der Postbank. Beim sogenannten BestSign-Verfahren wird eine Überweisung durch einen Kopfdruck an einem Krypto-USB-Stick freigegeben, der mit dem PC verbunden ist. Eine TAN kommt gar nicht mehr vor. Deshalb kann sie der Nutzer im Zweifelsfall auch nicht auf einer gefälschten Phishing-Seite eingeben.
Um die Sicherheit bei Banküberweisungen via mTAN zu gewährleisten, gibt es mehrere Ratschläge. Wie soll dies funktionieren, wenn vielen Kunden die technischen Ausdrücke nicht kennen.
Die sicherste Methode ist es, die Nutzung von mTANs auf mobilen Banking-Seiten und in Banking-Apps technisch zu unterbinden. Wenn der Nutzer eine mTAN schlichtweg nicht für eine Überweisung auf dem Smartphone nutzen kann, muss er sich auch um Begriffe wie Kanaltrennung keine Gedanken machen.

Viele Banken unterbinden mTANs bei Smartphones
Die meisten Banken, die wir getestet haben, wählen diesen Weg. Nur die DAB Bank lässt die Nutzung von mTANs zu. Bei der comdirect lässt sich eine mTAN zwar auf der mobilen Seite nutzen, der Empfang der mTAN wird aber auf demselben Gerät unterbunden. Bei der 1822direkt und einem Teil der Volksbanken- und Raiffeisenbanken ist die Nutzung von mTANs auf der mobilen Webseite ebenfalls nicht unterbunden. In den Apps der beiden Banken wurden immerhin diesbezüglich Sicherheitsmaßnahmen ergriffen: In der 1822direkt-Banking App werden nur iTANs verwendet, bei der vr.de-App funktionieren mTANs nur in der iPad-Version. Das ist kein Problem, weil das iPad mangels SIM-Karte keine mTANs empfangen kann, da diese per SMS verschickt werden.
Was sollten Banken Ihrer Meinung nach tun, um die Sicherheit im Online-Banking zu gewährleisten?

Einerseits sollten sie verstärkt aufklären, denn nur ein mündiger User fällt nicht auf Tricks wie Phishing-Mails herein. Andererseits sollten sie fortwährend in neue TAN-Verfahren investieren, denn nur so behalten sie im Wettrüsten gegen Cyber-Kriminelle die Nase vorn. Manche Banken, wie die ING-DiBa und die Targobank versprechen für den Fall, dass Daten missbraucht werden, den finanziellen Schaden zu ersetzen. Wenn das für den Kunden unkompliziert und reibungslos klappt, kann auch das ein funktionierendes Sicherheitskonzept sein. Denn letztendlich geht es ja immer darum, die Kunden vor Schaden zu bewahren.

 

Lesen Sie auch

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende[…]

Gerald Spiegel

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der[…]

Gerald Spiegel

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt

Digitalisierung konsequent umsetzen, gerade bei alltäglichen Prozessen.

Die Digitalisierung hat uns alle und unser alltägliches[…]

Christian Grosshardt

„The Amazon moment for banking!“

Andauernd reden wir von der fortschreitenen Digitalisierung. Fakt[…]

Christian Grosshardt

Titelverteidigung – „MBVO.de“ gewinnt erneut

Und täglich grüßt das Murmeltier! Nachdem das Verbraucherportal[…]

Christian Grosshardt