"Kein Online-Banking-System ist optimal"
Verbraucher- und Datenschützer stellen österreichischen Online-Banking-Systemen bescheidene Noten aus. Viele Banken arbeiten laut einer aktuellen Studie mit veralteten Sicherheitsstandards und wälzen die Haftung auf ihre Kunden ab.
"Mit rund drei Millionen Kunden ist Online-Banking der bisher erfolgreichste E-Commerce-Dienst in Österreich", sagte Hans Zeger, Mitglied des Datenschutzrates im Bundeskanzleramt und Obmann der Arge Daten - Österreichische Gesellschaft für Datenschutz, bei der Präsentation der Studie "Online-Banking in Österreich" im Wirtschaftsministerium.
Grundsicherheit gegeben
Alle 19 mittels Testkonten untersuchten Banken böten durchaus eine gewisse Grundsicherheit, aber kein Online-Banking-System in Österreich sei optimal.
"Vieles ist verbesserungswürdig", sagte Zeger. "Wir haben es mit einem technologischen Wettlauf zwischen Hackern und Dienstanbietern zu tun."
200.000 Euro Schaden
Heuer werden die Phishing-Schäden in Österreich voraussichtlich etwa 200.000 Euro betragen - mit Einzelschäden von über 9.000 Euro. Nur eine von einer Million Online-Transaktionen ist betroffen.
Phishing sei in Österreich sicherlich kein quantitatives Problem, meinte Zeger, aber es trage zur Verunsicherung der Leute bei.
Schwachstelle TAN
Verschlüsselte Datenübertragung sowie die Verwendung von Zugangspasswörtern und Einmalkennungen (TANs) seien zwar üblich. Doch bei den TAN-Verfahren gebe es erhebliche Qualitätsunterschiede.
So sind TAN-Verfahren, bei denen die Einmalkennungen in beliebiger Reihenfolge verwendet werden können, leichter angreifbar als Token-Code-Verfahren. Bei den Token-Code-Verfahren wird mit Hilfe einer scheckkartengroßen Hardware jede Minute ein neuer TAN erzeugt, der nur 60 Sekunden lang gilt.
Was ist Phishing?
Der Begriff Phishing ist eine Kombination aus den Wörtern Passwort und Fishing und beschreibt die Vorgangsweise der Täter: Sie fischen nach den Passwörtern ihrer Opfer.
Mit gefälschten E-Mails wird der Benutzer zu falschen Websites geführt, die dem Aussehen nach jenen von tatsächlichen Banken ähneln oder ähnliche Domain-Namen haben. Dann werden dem Opfer Kontonummer, Kreditkontonummer, Passwörter oder der TAN herausgelockt.
Umstellung gefordert
Die Token-Code-Verfahren werden derzeit jedoch nur von zwei Banken eingesetzt, bei den Testsiegern BKS Bank und der Bank für Tirol und Vorarlberg [BTV] aus der 3-Banken-Gruppe.
"Die Banken müssten ihre veralteten Systeme rasch auf generierte Token-Code-Verfahren umstellen, wie sie in Deutschland und den Niederlanden bereits weit verbreitet sind", empfiehlt der Datenschützer.
Eine Schwachstelle sind auch die per Post verschickten TAN-Listen.
Eine Forschungsgruppe an der Universität Wien arbeitet an einem Verfahren, das Phishing-Mails schon auf dem E-Mail-Server entsorgen soll.
Software mit Mängeln
Nicht nur ärgerlich, sondern auch gefährlich sei oftmals auch die schlecht funktionierende Software für das Online-Banking. "Nur bei drei Banken funktionierten die Internet-Überweisungen mit einem hochsicheren Browser", so Zeger. Bei allen anderen zeigte der Browser bei der Hochsicherheitsstufe die Online-Banking-Seite gar nicht an.
Einige Banken-Helpdesks, die daraufhin von den Testpersonen angerufen wurden, empfahlen den Hilfe Suchenden, die Firewall und den Virenscanner abzuschalten und den Browser auf niedrige Sicherheit zu stellen, wundert sich der Studienautor. "Wir haben hier einen großen Widerspruch zwischen Sicherheitsbedürfnis und Funktionstüchtigkeit", so Zeger.
Haftung liegt beim Kunden
Ebenfalls bedenklich sei die weit verbreitete Praxis vieler Banken, die Haftung für illegale Konto-Attacken, die aus missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen, auf den Bankkunden zu überwälzen.
Zudem sei es für den Konsumenten oft nicht nachvollziehbar, wofür er sich beim Online-Banking verpflichtet. Zum Teil haftet der Kunde sogar für Fehler bei der Postzustellung der TANs. "Das ist natürlich nicht zulässig und muss Folgewirkung haben", sagt Zeger, der für eine Änderung dieser kundenfeindlichen Bestimmungen eintritt.
Sperrmöglichkeiten verbesserungswürdig
Die Sperrmöglichkeiten des Online-Kontos bei Verdacht eines Missbrauchs seien ebenso verbesserungsbedürftig. "Es gibt keine Bank, die wirklich klare Richtlinien hat, bei welcher Stelle ich eine Sperre machen kann", so Zeger. Insbesondere fehlten klare Vereinbarungen, wie rasch Sperren wirksam werden. Weiters sei bei vielen Instituten keine Sperre rund um die Uhr möglich. Auch die Möglichkeit, Transaktionslimits festzulegen, fehlt weitgehend.
Durch eine Fülle oft einfacher Maßnahmen könnte die Phishing-Abwehr laut Zeger kurzfristig entscheidend gestärkt werden. So könnte die simple Einführung einer Bank-Servicecard, die alle wichtigen Informationen wie Web-Adresse, Zertifikatsdaten, Hotline- und Sperrnummer enthält, schon weiterhelfen.
(APA | futurezone)