Suchen

Sicher ist nicht sicher genug Sicherheit beim Online-Banking – die US-Bankenaufsicht arbeitet nach

| Autor / Redakteur: Tim Cole / Stephan Augsten

Entwicklungen wie BTX und HBCI haben dafür gesorgt, dass deutsche Banken ihren amerikanischen Kollegen beim Online-Banking um Lichtjahre voraus sind. Doch zurzeit schmilzt der historisch bedingte Vorsprung rasant. In diesem Beitrag befassen wir uns mit den aktuellen Entwicklungen im Bereich des sicheren Homebanking.

Firmen zum Thema

Neue Security-Maßnahmen und -Richtlinien sollen in den USA die Vorbehalte gegenüber dem Online-Banking ausräumen.
Neue Security-Maßnahmen und -Richtlinien sollen in den USA die Vorbehalte gegenüber dem Online-Banking ausräumen.
( Archiv: Vogel Business Media )

Schon Mitte der 80er Jahre gab es hierzulande mit BTX die Möglichkeit, Konten online zu verwalten. In den USA wurde Homebanking erst mit dem Siegeszug des Internet in den 90ern überhaupt interessant. Daraus erklärt sich auch der große Abstand, den deutsche Banken in der Sicherheit von Online-Banking haben – oder den sie zumindest für sich reklamieren. Aber erstens ist dieser Anspruch fragwürdig, und zweitens schmilzt der Vorsprung gerade ziemlich schnell.

Es gibt natürlich noch einen zweiten Grund, weshalb Online-Banking in Amerika nicht so sicher ist wie bei uns – nämlich die unterschiedliche Art, wie Banken mit ihren Kunden umgehen. In den USA ist die Konkurrenz der Banken untereinander sehr viel schärfer als in der Alten Welt. Also wird vor allem Wert auf eine einfache Bedienung gelegt.

Alles, was einen Kunden womöglich überfordern könnte, wird vermieden; und zwar aus Angst davor, er könne aus lauter Ärger zur nächsten Bank gehen. TAN-Nummern wie bei uns sind aus US-Sicht nahezu undenkbar, denn sie machen das Homebanking komplizierter.

Es ist schon schwer genug, sich einen Benutzernamen und ein Passwort zu merken. Und wenn ein Gauner es schafft, das Konto eines Kunden zu plündern, dann erstattet die Bank den Schaden lieber, ohne Fragen zu stellen. Hauptsache der Kunde ist glücklich.

  • Amerikanische Sicherheitsoffensive

Doch das wird sich demnächst ändern: Die amerikanische Bankenaufsicht FFIEC (Federal Financial Institutions Examination Council) will neue Richtlinien zum von Verbrauchern vor Phishing, Session Highjacking („Entführung einer Kommunikationssitzung“) und Malware wie den ZeuS-Trojaner oder Spyeye erlassen.

Die Regularien werden es offensichtlich in sich haben. Zwar sind die Banken auch heute schon dazu verpflichtet, ihren Kunden Systeme mit einem vernünftigen Maß an Sicherheit („reasonable security“) zur Verfügung zu stellen. Die FFIEC will jetzt aber – im Gegensatz zu früher – genau festlegen, was ein vernünftiges Maß ist. Und der Teufel steckt wie so oft im Detail.

Für private Endkunden fordert die FFIEC die flächendeckende Verwendung von Multifaktor-Authentifizierung. Diese besteht nach der klassischen Definition aus drei Dingen:

  • etwas, das der User weiß, zum Beispiel ein Passwort oder PIN,
  • etwas, das er besitzt, zum Beispiel ein Token oder ein SmartCard, und
  • etwas, das er ist, also ein biometrisches Attribut wie ein Fingerandruck, Sprach- oder Augenmuster (Iris).

Für welche Technik sich die Bank entschließt, ist der FFIEC egal. Hauptsache es sind mindestens zwei davon, am besten aber alle drei. Für gewerbliche Kunden wird die Behörde sogar die Verwendung eines dedizierten Firmencomputers nur fürs Online-Banking vorschlagen. Sie meinen es also tatsächlich ernst!

Seite 2: Bessere Antworten auf die Haftungsfrage

(ID:2050893)