Sicher ist nicht sicher genug

Sicherheit beim Online-Banking – die US-Bankenaufsicht arbeitet nach

15.04.2011 | Autor / Redakteur: Tim Cole / Stephan Augsten

Neue Security-Maßnahmen und -Richtlinien sollen in den USA die Vorbehalte gegenüber dem Online-Banking ausräumen.
Neue Security-Maßnahmen und -Richtlinien sollen in den USA die Vorbehalte gegenüber dem Online-Banking ausräumen.

Entwicklungen wie BTX und HBCI haben dafür gesorgt, dass deutsche Banken ihren amerikanischen Kollegen beim Online-Banking um Lichtjahre voraus sind. Doch zurzeit schmilzt der historisch bedingte Vorsprung rasant. In diesem Beitrag befassen wir uns mit den aktuellen Entwicklungen im Bereich des sicheren Homebanking.

Schon Mitte der 80er Jahre gab es hierzulande mit BTX die Möglichkeit, Konten online zu verwalten. In den USA wurde Homebanking erst mit dem Siegeszug des Internet in den 90ern überhaupt interessant. Daraus erklärt sich auch der große Abstand, den deutsche Banken in der Sicherheit von Online-Banking haben – oder den sie zumindest für sich reklamieren. Aber erstens ist dieser Anspruch fragwürdig, und zweitens schmilzt der Vorsprung gerade ziemlich schnell.

Es gibt natürlich noch einen zweiten Grund, weshalb Online-Banking in Amerika nicht so sicher ist wie bei uns – nämlich die unterschiedliche Art, wie Banken mit ihren Kunden umgehen. In den USA ist die Konkurrenz der Banken untereinander sehr viel schärfer als in der Alten Welt. Also wird vor allem Wert auf eine einfache Bedienung gelegt.

Alles, was einen Kunden womöglich überfordern könnte, wird vermieden; und zwar aus Angst davor, er könne aus lauter Ärger zur nächsten Bank gehen. TAN-Nummern wie bei uns sind aus US-Sicht nahezu undenkbar, denn sie machen das Homebanking komplizierter.

Es ist schon schwer genug, sich einen Benutzernamen und ein Passwort zu merken. Und wenn ein Gauner es schafft, das Konto eines Kunden zu plündern, dann erstattet die Bank den Schaden lieber, ohne Fragen zu stellen. Hauptsache der Kunde ist glücklich.

  • Amerikanische Sicherheitsoffensive

Doch das wird sich demnächst ändern: Die amerikanische Bankenaufsicht FFIEC (Federal Financial Institutions Examination Council) will neue Richtlinien zum von Verbrauchern vor Phishing, Session Highjacking („Entführung einer Kommunikationssitzung“) und Malware wie den ZeuS-Trojaner oder Spyeye erlassen.

Die Regularien werden es offensichtlich in sich haben. Zwar sind die Banken auch heute schon dazu verpflichtet, ihren Kunden Systeme mit einem vernünftigen Maß an Sicherheit („reasonable security“) zur Verfügung zu stellen. Die FFIEC will jetzt aber – im Gegensatz zu früher – genau festlegen, was ein vernünftiges Maß ist. Und der Teufel steckt wie so oft im Detail.

Für private Endkunden fordert die FFIEC die flächendeckende Verwendung von Multifaktor-Authentifizierung. Diese besteht nach der klassischen Definition aus drei Dingen:

  • etwas, das der User weiß, zum Beispiel ein Passwort oder PIN,
  • etwas, das er besitzt, zum Beispiel ein Token oder ein SmartCard, und
  • etwas, das er ist, also ein biometrisches Attribut wie ein Fingerandruck, Sprach- oder Augenmuster (Iris).

Für welche Technik sich die Bank entschließt, ist der FFIEC egal. Hauptsache es sind mindestens zwei davon, am besten aber alle drei. Für gewerbliche Kunden wird die Behörde sogar die Verwendung eines dedizierten Firmencomputers nur fürs Online-Banking vorschlagen. Sie meinen es also tatsächlich ernst!

Seite 2: Bessere Antworten auf die Haftungsfrage

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2050893 / Authentifizierung)