Zeitung Heute : Online-Banking: Überweisung mit beschränkter Haftung - Mehr Sicherheit kostet mehr Geld

Dürk Müller

Angesichts zahlreicher Medienberichte über Sicherheitslücken im Internet sollte es einmal erwähnt werden. Vorsichtigen Zeitgenossen verspricht das Homebanking nicht nur Zeitersparnis. Es hat auch den Vorteil, dass bei virtuellen Bankgeschäften in den eigenen vier Wänden die Wahrscheinlichkeit gering ist, gleichzeitig in der Bankfiliale einem Überfall beizuwohnen und als Geisel genommen zu werden. Allerdings hat das Internet seine eigenen Risiken, und nicht immer müssen es in Kettenbriefen versteckte Viren sein. So warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Monaten vor dem Einsatz von "aktiven Inhalten" wie Java und JavaScript - Funktionen, die bei herkömmlichen Verfahren des Online-Bankings über die sogenannten PIN- und TAN-Kennummern häufig aktiviert sein müssen. Mit Hilfe aktiver Inhalte können Hacker Daten auf der Festplatte ausspähen.

Schon vor Jahren beschlossen die Banken einen erhöhten Sicherheitsstandard namens HBCI (Home Banking Computer Interface). Der Nachteil des Systems: Man braucht eine Chipkarte, und die kostet Geld. Nach schleppendem Anlauf verzeichne man nun einen starken Anstieg des Absatzes von Kartenlesern für HBCI, heißt es beim führenden deutschen Hersteller Towitoko electronics in Ottobrunn.

Von der HBCI-Norm versprechen sich auch die BSI-Experten Besserung. Für die Sicherheit der Technik sollte insbesondere sprechen, dass manche Banken erklärt haben, beim HBCI die Beweislast umzukehren. Anders als früher muss nicht mehr der Kunde beweisen, dass ein Angreifer aus dem Internet das Konto geplündert hat, sondern die Bank, dass es der Kunde war. Allerdings: In den Allgemeinen Geschäftsbedingungen können Mogelpackungen verborgen sein. So warnt die Arbeitsgemeinschaft der Verbraucherverbände (AgV) beispielsweise vor der öffentlichen Ankündigung der BfG-Bank, bei ihr gelte mit HBCI die Beweislastumkehr. Tatsächlich müsse die Bank nur nachweisen, dass sie "alles Erforderliche getan habe", um für Sicherheit zu sorgen, sagt AgV-Experte Manfred Westphal.

Obendrein wird nun auch die Sicherheit des HBCI öffentlich bezweifelt. HBCI sei gegenüber dem PIN/TAN-Verfahren ein Rückschritt, wurde in einem Fernsehbericht des Hessischen Rundfunks behauptet - und ein Mitglied des Hamburger Chaos Computer Clubs beim fröhlichen Hacken eines HBCI-PC gezeigt. Dass ein solcher Angriff prinzipiell möglich ist, bestreitet nicht einmal der Zentrale Kreditausschuss (ZKA) der Banken.

Auch die BSI-Expertin Isabel Münch hält HBCI nach wie vor für die sicherere Alternative. Der Aufwand für den gezeigten Angriff sei hoch und das Risiko gering, wenn man die Chipkarte nur während der Überweisung im PC lässt. Beim BSI ist man schon froh, wenn sich HBCI überhaupt gegenüber dem PIN/TAN-Verfahren durchsetzt.

Das sehen Chipkartenhersteller natürlich genauso. "Für das PIN/TAN-Hacking gibt es bereits Knack-Anleitungen im Internet", sagt ein Towitoko-Mitarbeiter. Es bestehe ein ständiger Wettlauf zwischen Hackern und Sicherheitssystem-Herstellern. Auch der Ottobrunner Elektronik-Hersteller baut bereits intelligentere und somit sicherere Kartenleser. "Aber wir können die erst auf den Markt bringen, wenn sie vom ZKA zertifiziert sind."

Hinzu kommen die zusätzlichen Kosten. Geräte, die mehrere hundert Mark kosten, würde wohl kaum ein Privatkunde bezahlen. Die Banken wiederum profitieren zwar vom Online-Banking, weil Kunden Arbeiten übernehmen, die früher Angestellte am Schalter gemacht haben. Sie scheuen aber vor allzu hohen Subventionen für die HBCI-Pakete zurück. Möglicherweise setzen sich die neuen, teureren Geräte aber als Lesegeräte für Geldkarten durch. Die für Geldkarten vorgesehenen technisch aufwändigeren Kartenleser mit eigenem Display, die dem Kunden eine Kontrolle der tatsächlich getätigten Überweisungen ermöglichen, wären dann auch voll HBCI-tauglich.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar
      Kommentar schreiben