Online-Banking laut Studie mangelhaft:
TAN-Verfahren stark verbesserungsfähig

Die Annehmlichkeiten des Rund-um-die-Uhr-Schalterbetriebs am eigenen PC beim Online-Banking stehen außer Frage. Allerdings müssten die Banken ihre Kunden verstärkt gegen einen unbefugten Zugriff auf ihre Konten durch Phishing-Attacken, Trojaner und Würmer schützen. Hier orten die Datenschützer österreichweit Mängel. Vor allem die TAN-Verfahren seien in vielen Fällen veraltet.

"Wir haben es mit einem technologischen Wettlauf zwischen Hackern und Dienstanbietern zu tun", sagte Hans Zeger, Mitglied des Datenschutzrates im Bundeskanzleramt und Obmann der "Arge Daten - Österreichische Gesellschaft für Datenschutz", im Rahmen einer Pressekonferenz. So böten alle 19 mittels Testkonten untersuchten Banken durchaus eine gewisse Grundsicherheit für die rund 3 Mio. Online-Konten in Österreich, kein Online-Banking-System in Österreich sei jedoch optimal. Heuer werden die Phishing-Schäden in Österreich voraussichtlich etwa 200.000 Euro betragen - mit Einzelschäden von über 9.000 Euro. Nur eine von einer Million Online-Transaktionen ist betroffen.

Unterschiedliche TAN-Verfahren gängig
Verschlüsselte Datenübertragung sowie die Verwendung von Zugangspasswörtern und Einmalkennungen (TANs) seien zwar üblich. Doch bei den TAN-Verfahren gebe es erhebliche Qualitätsunterschiede. So sind alte TAN-Verfahren, bei denen die Einmalkennungen in beliebiger Reihenfolge verwendet werden können, leichter angreifbar als interaktive TAN, für die der Anwender Zusatzinformationen braucht. Eine Schwachstelle sind auch die per Post verschickten TAN-Listen.

Banking-Software oft fehlerhaft
Nicht nur ärgerlich, sondern auch gefährlich sei oftmals auch die schlecht funktionierende Software für das Online-Banking. "Nur bei drei Banken funktionierten die Internet-Überweisungen mit einem hochsicheren Browser", so Zeger. Bei allen anderen zeigte der Browser bei der Hochsicherheitsstufe die Online-Banking-Seite gar nicht an. Einige Bank-Supports, die daraufhin von den Testern angerufen wurden, empfahlen die Firewall und den Virenscan, also alle Sicherheitsmaßnahmen, abzuschalten bzw. den Browser auf niedrige Sicherheit zu stellen, wundert sich der Studienautor. "Wir haben hier einen großen Widerspruch zwischen Sicherheitsbedürfnis und Funktionstüchtigkeit", so Zeger.

Grauzone "Haftung"
Ebenfalls bedenklich sei die weit verbreitete Praxis vieler Banken, die Haftung für illegale Konto-Attacken auf den Bankkunden zu überwälzen, die aus missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen. Zudem sei es für den Konsumenten oft nicht nachvollziehbar, wofür er sich beim Online-Banking verpflichtet. Zum Teil haftet der Kunde sogar für Fehler bei der Postzustellung der TANs. "Das ist natürlich nicht zulässig und muss Folgewirkung haben", plädiert Zeger für eine Änderung.

Sperrmöglichkeiten nicht ausreichend
"Es gibt keine Bank, die wirklich klare Richtlinien hat, bei welcher Stelle ich eine Sperre machen kann", bemängelt Zeger. Insbesondere fehlten klare Vereinbarungen, wie rasch Sperren wirksam werden. Weiters sei bei vielen Instituten keine Sperre rund um die Uhr möglich. Auch die Möglichkeit Transaktionslimits festzulegen fehlt weitgehend. Durch eine Fülle oft einfacher Maßnahmen könnte die Phishing-Abwehr laut Zeger kurzfristig entscheidend gestärkt werden. So könnte die simple Einführung einer Bank-Servicecard, die alle wichtigen Informationen wie Web-Adresse, Zertifikatsdaten, Hotline- und Sperrnummer enthält, schon weiterhelfen. (apa/red)