Online Banking deutscher Banken noch immer unsicher

EnterpriseSicherheit

Nur 14 der 20 von der Zeitschrift Finanztest überprüften Banken boten ausreichend sichere Verfahren für das Online Banking an.

Sicherheit sei beim Online Banking noch immer nicht Standard, hieß es von den Testern der Zeitschrift, die zur Stiftung Warentest gehört. Bei sechs überprüften Banken seien die Online-Geschäfte nur eingeschränkt sicher – beziehungsweise nach dem heutigen Stand der Technik unsicher.

Diese Banken böten meist nur einfache PIN-TAN-Verfahren an, die nicht mehr den aktuellen Sicherheitsstandards entsprächen. Betrüger könnten daher mit einer gestohlenen Transaktionsnummer (TAN) Geld auf ein fremdes Konto überweisen. Für die Online-Kunden der Citibank und der Readybank sei dies besonders fatal: Beide Banken böten nur dieses Verfahren an.

Ein wenig besser, aus heutiger Sicht jedoch nur eingeschränkt sicher, sei das iTan-Verfahren. Hier gibt die Bank vor, mit welcher TAN eine Überweisung freigegeben wird. Ein Betrüger müsse mehrere TANs erbeuten, damit die Richtige dabei sei. 

Das Home Banking Computer Interface (HBCI) sei derzeit das sicherste Verfahren für das Online Banking, so die Tester. Es stelle sicher, dass die Daten unverändert dort ankommen, wo sie hin sollen und dass kein Fremder die Daten anzapfen kann. Im Test boten 10 von 20 Banken dieses Verfahren an.

Mittlerweile gebe es auch verbesserte PIN-TAN-Verfahren, mit denen das Online Banking sicher sei. Dazu gehörten eTAN, eTAN Plus und mTAN. Bei letzterer sende die Bank die TAN auf das Handy des Kunden. Beim eTAN-Verfahren erhalte der Kunde eine PIN (Identifikationsnummer) und ein elektronisches Gerät. Dieser TAN-Generator generiert für jeden Auftrag eine TAN. Da diese speziell für einen Auftrag erzeugt wird, könnten Betrüger sie nicht einfach stehlen.

Trotz aller Vorsichtsmaßnahmen könne es Bankkunden passieren, dass es Betrügern gelingt, ihr Online-Konto leerzuräumen. Nicht immer hafte dann die Bank. Sie verlange, dass die Kunden die Sorgfaltspflichten einhalten, um Schäden zu vermeiden. Was die Banken im Einzelfall darunter verstehen, stehe in den Allgemeinen Geschäfts- und Sonderbedingungen.

Im Test habe es aber auch Sorgfaltspflichten gegeben, die für Kunden kaum zumutbar seien – etwa wenn sie Aufgaben übernehmen sollen, die für technische Laien kaum verständlich oder ausführbar sind. Negatives Beispiel sei hier wiederum die Citibank: Die Kunden müssten beim Erscheinen des Begrüßungsbildschirms prüfen, ob die Onlineadresse stimmt. Betrüger könnten die Webadresse jedoch so gestalten, dass Laien Original und Fälschung nicht unterscheiden können.