Phishing-Studie

Online-Banking-Studie: “Kein System ist optimal”

„Mit rund drei Millionen Konten ist Onlinebanking der bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme eine Basissicherheit besitzen, jedoch kein System optimal ist.“ Österreichs Konsumentenschutzstaatssekretär Sigisbert Dolinschek sagte das am Dienstag bei der Präsentation der Studie „Onlinebanking in Österreich“ und stellt unseren Banken ein beinah schon vernichtendes Urteil aus.

Die seit Ende 2005 massiv auftretenden Phishingattacken mit Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem gegenüber werden Phishing-Attacken technisch perfektioniert und erreichen zielgerichteter ihre Opfer.

Getestet wurde mit Hilfe von Testkonten, wobei nicht bloß technische, sondern auch rechtliche und ablauforganisatorische Aspekte berücksichtigt wurden. Die analysierten Lösungen decken mehr als 99% der in Österreich genutzten Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem Optimalprofil verglichen, das mit gegenwärtiger Technik leicht erreichbar wäre.

Kein System optimal
In keinem Fall wurde ein sicherheitstechnisch optimales, benutzerfreundliches und vertragsrechtlich unbedenkliches System angeboten, kein System erreichte 100%. Die Mindestvoraussetzungen für sichere Internetkommunikation, verschlüsselte Datenübertragung, passwortgesicherter Zugang und Verwendung von Einmalcodes (TANs) bei Transaktionen sind bei allen Banken vorhanden.

Doch schon bei den verwendeten TAN-Verfahren gibt es große Qualitätsunterschiede. „In acht Fällen werden veraltete Verfahren verwendet. Als eigentliche Schwachstelle des Onlinebankings entpuppen sich jedoch weniger die verwendeten TAN-Verfahren, sondern die per Post verschickten Listen, die es Angreifern ermöglichen, auch mehrere TANs in Erfahrung zu bringen. In einem Extremfall wurden einem Konsumenten 20 TANs auf einmal entlockt!“, so Dolinschek.

Keine Bank wird zugeben, dass es nicht (optimal) funktioniert
Wer glaubt, dass sich jetzt etwas ändert, liegt aber daneben. Um Vertrauensverluste zu vermeiden, sind alle Institute gezwungen, ihre bestehenden Verfahren, zu verteidigen und als „sicher“ einzustufen. Sprich: keiner wird zugeben, dass sein System nicht funktioniert und damit ist keine beschleunigte Einführung innovativer Lösungen möglich.

Eine Wende bei der Einführung moderner Sicherheitsverfahren könnte sich nur durch gesetzliche Rahmenbedingungen ergeben. Erst wenn der Gesetzgeber bestimmte Mindeststandards vorschreibt (z.B. eine hardwarebasierte TAN-Generierung ohne Postversand) gäbe es für die Institute einen unverdächtigen Grund, ihre bisherigen alten Systeme vollständig zu ersetzen.

Sperrmaßnahmen und Überweisungs-Limits oft nicht möglich
„Durch eine Fülle oft einfacher Maßnahmen könnte die Phishingresistenz entscheidend gestärkt werden. So könnte die simple Einführung einer Bankservicecard, die alle wichtigen Informationen, wie Webadresse, Zertifikatsdaten, Hotline- und Sperrnummer schon viele Gefährdungen und Verunsicherungen beseitigen. Die Sperrmöglichkeiten des Onlinekontos bei Verdacht eines Missbrauches sind ebenso verbesserungsbedürftig. Insbesondere fehlen klare Vereinbarungen, wie rasch Sperren wirksam werden, weiters ist bei vielen Instituten keine Sperre rund um die Uhr möglich. Auch die Möglichkeit Transaktionslimits festzulegen fehlt weitgehend“, betonte der Staatssekretär.

Banken übertragen Haftung an den Kunden
Bedenklich ist auch die Vorgangsweise vieler Banken, dem Kunden generell jegliche Haftung für Schäden aufzubürden, die aus missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen. Ein Teil der Zustimmungserklärungen ist intransparent gestaltet und vermischt die Zustimmung der Datenweitergabe zu Gläubigerschutz-zwecken mit der Zustimmung zur Weitergabe zu Werbezwecken.

„Es gäbe einige Änderungen, die heute leicht möglich wären, angefangen bei der Anpassung der TAN-Verfahren an den derzeitigen Stand der Technik, der Schaffung von verständlichen Onlinebanking-AGBs, der Einrichtung effizienter Sperr- und Meldestrukturen, über die Entwicklung konkreter Best-Practice-Vorschläge zum Betrieb von Kundencomputern. Weiters sollten Betriebssysteme so ausgestattet sein, dass Trojanerangriffe unwahrscheinlich werden. Dazu wäre ein EU-weites Zulassungs- und Evaluationsverfahren erforderlich, wie es als CE-Kennzeichen bei jeder Art von Konsumgütern mittlerweile selbstverständlich geworden ist“, schloss Dolinschek.