Sicher ist nicht sicher genug

Sicherheit beim Online-Banking – die US-Bankenaufsicht arbeitet nach

Seite: 2/2

Firmen zum Thema

Bessere Antworten auf die Haftungsfrage

Gleichzeitig will die FFIEC neue besser auf die Frage eingehen, wer für die Folgen von Cyberangriffen auf Bankkunden haftet. Bislang haben Banken dies- sowie jenseits des Atlantik traditionell in der Haftungsfrage dem Kunden den Schwarzen Peter zugeschoben. Ihm oblag es zu beweisen, dass er alle notwendigen Maßnahmen ergriffen hatte, um sich vor Missbrauch zu schützen.

Selbst wer Opfer einer raffinierten Trojaner-Attacke wurde, muss bis heute in der Regel den Schaden selber tragen. So ist es eine gerade bei der Russenmafia beliebte Methode, eine komplette Transaktion samt Benutzername, Passwort und TAN abzufangen und umzuleiten. In solchen Fällen wäscht die Bank ihre Hände meistens in Unschuld.

Die Aufsichtsbehörde will den rechtlichen Spieß herumdrehen. Ein Bankensystem, das von Hackern unterlaufen werden kann, wäre nach ihrer neuen Definition von Haus aus unsicher. Da aber die Verwendung eines unsicheren Systems verboten wäre, müsste die Bank für den entstandenen Schaden geradestehen.

Auch wenn diese Klausel in den neuen Richtlinien vermutlich für einen Aufschrei seitens der Banken sorgen wird, so schafft sie doch Tatsachen. Amerikanische Gerichte werden sie für Präzedenzurteile heranziehen – ein juristischer Albtraum für die Finanzdienstleister.

Änderungen am System

In Bankenkreisen wird deshalb inzwischen laut über einen völligen Kurswechsel bei der Sicherheit nachgedacht. Kritiker wie Julian Lovelock von der Firma ActivIdentity, einem Anbieter von Sicherheitslösungen für Banken, fordern eine Abkehr von dem bisherigen Ansatz. Der Schutz der Sitzung („session-based authenication“) müsse einer „customer-managed security“ weichen.

Ein solches System würde es dem Kunden selber überlassen, wie viel Aufwand er für seine Sicherheit investieren will – und damit auch, wie hoch das Risiko ist, das er bereits ist zu tragen. Stellen wir uns beispielsweise einen Kunden vor, der sich aus Bequemlichkeit dazu entschließt, weiterhin mit einem simplen TAN-Verfahren zu arbeiten. In diesem Fall könnte die Bank ein Limit für Beträge setzen, die der Kunde online überweisen darf oder sonst wie den Zugang zum Konto einschränken. Wer dagegen echte Zwei- oder Dreifaktor-Authentifizierung wählt, darf online alles tun, was er will.

Der Kunde könnte in einem solchen System sogar unterschiedliche Profile anlegen, zum Beispiel „unterwegs“, „daheim“ oder „im Büro“, jeweils mit unterschiedlichen Sicherheitsstufen und den korrespondierenden Einschränkungen beim Zugriff. „Statt alle über einen Kamm zu scheren sollten wir dem Kunden selber die Wahl geben, wie viel Sicherheit er haben will“, glaubt Lovelock.

Ob Bankkunden sich für solche Wahlmöglichkeiten begeistern lassen und ob sie sie überhaupt verstehen würden, wäre wohl zu prüfen. Tatsächlich sind ähnliche Systeme inzwischen in sozialen Netzwerken wie Facebook inzwischen gang und gäbe, was vermuten lässt, dass sie auch in anderem Kontext funktionieren könnten. Warum nicht auch beim Online-Banking?

Dafür spricht auch die Tatsache, dass in der breiten Bevölkerung seit Jahren sowohl das Bewusstsein als auch die Bereitschaft wachsen, mehr für die eigene Online-Sicherheit zu tun. Jeder kennt heute jemanden, der jemanden kennt, der ein Opfer von Phishing oder Hackern gewesen ist.

Dass auch der Druck von oben auf die Banken wächst, neue Wege in der Sicherheit zu gehen, ist nicht nur in den USA zu erkennen. Und bis das erste Gericht auch hierzulande die Beweislast umkehrt und den Schwarzen Peter wieder an die Banken zurückgibt, ist nur eine Frage der Zeit. Besser wäre es, sie würden vorher reagieren und nicht erst, wenn es zu spät ist.

Tim Cole ist Mitgründer von KuppingerCole. Er leitet das US-Büro der deutschen Analystengruppe in Boston.

(ID:2050893)