Wirtschaft: Künftig Verschlüsselung und Chipkarte

Wer Online-Banking nutzt, wickelt seine Bankgeschäfte wie Abbuchungen, Überweisungen und Einrichtung von Daueraufträgen und Lastschriften über Computernetze wie das Internet ab. Das Geschäft boomt. Nach Recherchen der Fachzeitschrift "Die Bank" wurden Ende letzten Jahres etwa zehn Millionen Konten in Deutschland online geführt. Doch viele Internet-Nutzer haben Bedenken. Ein neuer Sicherheitsstandard und geänderte Geschäftsbedingungen der Banken sollen das Vertrauen in den Online-Dienst stärken.

Online-Kunden benötigen üblicherweise drei Nummern, um auf ihr Konto zugreifen zu können: die Kontonummer, eine persönliche, gleichbleibende Identifikationsnummer (PIN) und die sogenannte Transaktionsnummer (TAN). Im Gegensatz zur PIN, die den Nutzer als legitimen Kontoinhaber ausweist, ist eine TAN, die für den Sicherheitsnachweis einer Online-Transaktion steht, immer nur einmal verwendbar. Internet-Kunden erhalten deshalb lange Listen mit zahlreichen TANs, die allmählich verbraucht werden. Das führt häufig dazu, dass Bankkunden die PIN und TAN am selben Ort verwahren, was wiederum ein Sicherheitsrisiko ist. Der neue Sicherheitsstandard des Zentralen Kredit-Ausschusses (ZKA) mittels Verschlüsselung heißt "HBCI" (Home Banking Computer Interface). Der Kunde gibt neben der Kontonummer nur noch eine einzige Nummer oder ein Passwort ein, das aus bis zu acht Zeichen bestehen kann.

Zusätzlich sind eine spezielle Chipkarte und ein Lesegerät notwendig, um auf das Konto zuzugreifen. Dabei steht ein spezielles Verfahren, die Kryptographie, für das Sicherheitskonzept. Diese Methode wandelt einen Klartext beim Sender in eine scheinbar sinnlose Zeichenfolge. Auf der Empfängerseite wird die verschlüsselte Nachricht wieder entschlüsselt. Es gebe jedoch Computerviren und -programme die versuchen, Verschlüsselungen aufzubrechen, warnt das Bundesamts für Sicherheit in der Informationstechnik (BSI). Dennoch sei HBCI als Schnittstelle zwischen Kunde und Bank sicherer als das bisherige System.

Die Schwachstelle von HBCI ist der Verbraucher, der die PIN beziehungsweise das Passwort selbst bestimmen darf. "Ein gewisser Teil der Verantwortung wird sicher in die Hand des Benutzers gelegt", heißt es beim BSI. Dies sei aber immer noch besser, als wenn Nutzer sich PINs auf die Scheckkarte schrieben, weil sie sich die Nummer nicht merken könnten.