Sicherheit beim Onlinebanking Test

Onlinebanking ist bei 14 von 20 Banken im Test mit sicheren Verfahren möglich. Kunden der Citibank und der readybank sollten aber besser die Finger davon lassen.

Die Citibank hat im Jahr 2006 vom Finanzmagazin „Global Finance“ die Auszeichnung „Beste Privatkunden Internet Bank“ bekommen. Bewertungskriterium war neben der Servicestrategie und Nutzerfreundlichkeit auch die Zahl der Onlinekunden. Von den 1,4 Millionen Girokontokunden sind zurzeit bei der Citibank rund zwei Drittel für Bankgeschäfte per Internet registriert.

Sie begeben sich auf dünnes Eis, denn sie können bei der größten Privatkundenbank Onlinebanking nur mit einem nicht mehr zeitgemäßen System machen, dem einfachen Pin-Tan-Verfahren. Betrüger haben damit leichtes Spiel.

Einfaches Pin-Tan-Verfahren

Für das Onlinebanking muss sich der Kunde in diesem einfachen Verfahren mit einer persönlichen Identifikationsnummer (Pin) legitimieren und jeden Auftrag mit eine Transaktionsnummer (Tan) bestätigen. Die Tan entnimmt er einer Liste, die ihm die Bank geschickt hat.

Jede Tan ist nur einmal nutzbar, kann aber für einen beliebigen Auftrag verwendet werden. Sie ist nicht an eine bestimmte Transaktion gebunden. So kann ein Betrüger mit ergaunerten Nummern Transaktionen seiner Wahl durchführen, auch Geld auf fremde Konten überweisen.

„Bietet ein Institut nur diese Sicherheit an, kann es für das Onlinebanking nicht empfohlen werden“, sagt Hartmut Strube, Jurist bei der Verbraucherzentrale Nordrhein-Westfalen.

Das Urteil gilt auch für die readybank, die ehemalige ABC Privatkundenbank, die ebenfalls nur dieses Verfahren nutzt.

Fast alle Banken arbeiten sicher

Die Banken reden nicht über Schäden beim Onlinebanking durch Phishing und Trojaner (siehe Glossar). Aber viele haben auf die steigende Zahl der Attacken reagiert und in verbesserte Verfahren investiert. Das hat eine Finanztest-Untersuchung bei 20 Banken ergeben.

Mit dem höchsten derzeit möglichen Sicherheitsstandard, dem HBCI, können die Kunden von 10 der 20 Banken im Test arbeiten. Mit HBCI ist sichergestellt, dass die Daten dort ankommen, wo sie hinsollen, dass sie unverändert dort ankommen und kein Fremder die Daten anzapft.

Diese zehn Banken bieten alle außerdem noch ein zumindest als eingeschränkt sicher geltendes Onlinebankingverfahren an (siehe „HBCI“ bis „iTan“). Das hat ganz praktische Gründe: HBCI wollen viele Kunden nicht nutzen, weil es ihnen zu umständlich ist.

Für dieses Verfahren ist eine Diskette oder – in der modernen Version – eine Chipkarte und ein Chipkartenleser notwendig. Den muss sich der Kunde meist erst kaufen. Bankgeschäfte kann er dann nur von dem PC erledigen, an dem das Lesegerät installiert ist. Wer auch mal von Freunden aus eine Überweisung schicken will, bleibt außen vor.

Die Kombination von Pin und Tan ist den Kunden deshalb meist lieber. Solange sie jetzt die verbesserten Pin-Tan-Verfahren wie eTan, eTan plus und mTan nutzen, ist das auch sicher.

Ein Schritt in die richtige Richtung ist die indizierte, also die durchnummerierte Tan-Liste (iTan). Anders als beim einfachen Pin-Tan-Verfahren kann der Kunde nicht mehr selbst seine Tan wählen. Stattdessen gibt ihm der Bankrechner vor, dass er zum Beispiel die Tan auf Platz 17 der Liste nehmen soll. Das System erschwert Phishing und Pharming, aber schließt es nicht aus. Betrüger, die mehrere Tan erbeuten und zufällig die richtige erwischen, können das Kundenkonto plündern.

Mit den neuen Verfahren sind die Bankkunden vor Betrügern sicher – jedenfalls für eine Weile. „Doch die Zeit zwischen höherer Sicherheit bei den Banken und den verbesserten Angriffen der Betrüger wird immer kürzer“, sagt Jürgen Weiß, Chef von Novosec. Das Unternehmen entwickelt Systeme für sichere Geschäftstransaktionen im Internet. „Das ist ein Wettlauf gegen die Zeit.“

Daher ist es für den Bankkunden wichtig zu wissen, was passiert, wenn es doch gelingt, sein Konto leerzuräumen.

Sorgfältig handeln

Die Banken weisen die Kunden darauf hin, dass sie sorgfältig handeln sollen, damit kein Schaden eintritt. Was sie darunter verstehen, formulieren sie in den Sorgfaltspflichten. Solange der Kunde diese Pflichten erfüllt, muss er bei einem Schaden nicht haften.

Wir haben geprüft, was die Banken vom Kunden erwarten und ob ihm das zuzumuten ist oder nicht. Normal ist es zum Beispiel, wenn die Bank verlangt, dass der Kunde eine veränderte Anschrift meldet und er alle Mitteilungen der Bank – zum Beispiel Kontoauszüge – prüft und mögliche Einwände unverzüglich erhebt.

Viele Banken verlangen im Rahmen des Pin-Tan-Verfahrens noch etwas mehr. Das ist in Ordnung, wenn ein durchschnittlicher PC-Nutzer die Pflichten ohne weiteres erfüllen kann.

Es ist akzeptabel, wenn zum Beispiel Kunden der Dresdner Bank aufgefordert werden, Pin und Tan nicht elektronisch zu speichern oder in anderer Form zu notieren. Sie sollen ihre Tan-Liste sicher verwahren und bei der Eingabe der Nummern sicherstellen, dass Dritte diese nicht ausspähen können.

Negativ haben wir aber bewertet, wenn der Kunde Aufgaben übernehmen soll, die für einen technischen Laien kaum verständlich oder kaum auszuführen sind.

Die Citibank, die nur ein unsicheres Verfahren für das Onlinebanking anbietet, formuliert gleichzeitig Sorgfaltspflichten, die keiner erfüllen kann: Der Nutzer muss beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse richtig ist. Doch inzwischen können Betrüger die Webadresse schon so gestalten, dass ein Laie Original und Fälschung nicht unterscheiden kann.

Bei der comdirect bank steht in den Bedingungen, der Kunde habe „... im Internet den Cache des verwendeten Browsers zu deaktivieren oder nach der Nutzung zu löschen“. Außerdem soll der Kunde sich „das Zertifikat des Servers nach den Vorgaben des von ihm verwendeten Browsers anzeigen lassen“. Selbst wenn er weiß, dass er dazu auf das Schloss-Symbol unten im Browserfenster klicken muss, weiß er doch meist nicht, was er mit den Angaben darin anfangen kann. Und nicht jeder weiß, dass der Cache ein Zwischenspeicher ist und wo er ihn löschen kann.

„Onlinebanking richtet sich an technische Laien aller Bevölkerungs- und Altersgruppen“, meint auch Verbraucherschützer Hartmut Strube. „Von diesen zu fordern, sich fortwährend auf dem höchsten Stand der Technik zu halten, ist unrealistisch.“ Tritt dann ein Schaden ein, müssen oft die Gerichte entscheiden, wer in welchem Maße haftet.

Banken wollen Haftung abwälzen

Wann die Bank und wann der Kunde haftet, ist im Bürgerlichen Gesetzbuch geregelt: Jeder haftet in dem Maß, wie er einen Schaden verschuldet hat. Die gesetzliche Regelung haben alle 20 befragten Banken in ihre allgemeinen Geschäftsbedingungen übernommen. In den Sonderbedingungen für das Onlinebanking weichen fünf Banken zum Nachteil des Kunden davon ab: 1822direkt, Hamburger Sparkasse, Haspa- Direkt, Deutsche Bank und SEB.

Die Deutsche Bank und die SEB haben verschiedene Haftungsregelungen, je nachdem, ob der Kunde das Pin-Tan-Verfahren nutzt oder HBCI. Die Deutsche Bank hat nur für die Pin-Tan-Nutzer ungünstige Haftungsregelungen, weil sie die Sorgfaltspflichten zum Maßstab macht.

Bei der SEB trifft es die Nutzer von HBCI. Dort soll der Kunde für Schäden haften, die aus nicht deutlich oder unverständlich übermittelten Aufträgen herrühren. Doch solche Aufträge muss eigentlich die Bank zurückweisen.

Die Hamburger Sparkasse und die Haspa-Direkt machen die Übernahme des Schadens davon abhängig, dass der Kunde eine Strafanzeige gegen den Betrüger stellt. Wir meinen, dass das die Bank tun muss, wenn eine Abbuchung nicht vom Kunden veranlasst wurde.

Dieser Artikel ist hilfreich. 4181 Nutzer finden das hilfreich.