Zeitung Heute : Probleme mit Internet-Banking: Eine Panne kommt selten allein

Martin Hartwig

"Oh Schreck, gerade hat schon jemand angerufen, der sich beschwerte, dass er auf einem falschen Konto gelandet ist". Die Betreuerin für die Kunden des Onlinebankings der Berliner Sparkasse bedankt sich für den Warnhinweis, verspricht, dass bald wieder alles funktioniert und macht Anstalten, das Gespräch zu beenden. Woran es liegt, kann sie allerdings nicht sagen. Sie vermutet, dass mit dem neu eingeführten "Brokerage Service", der Einführung des Online-Aktienhandels, irgend etwas durcheinander geraten sei. "Daran lag es auf keinen Fall", erklärt Frank Weidner, Pressesprecher der Bankgesellschaft Berlin, dem Mutterkonzern der Sparkasse zur Homebaning-Panne (der Tagesspiegel berichtete). Das war am Montag. Inzwischen ist klar, dass das Problem gar nicht bei der Sparkasse lag, sondern bei einem externen Dienstleister, der das Onlinebanking technisch abwickelt.

Es waren heikle, unbedingt private Informationen, die man am Montag Vormittag auf der Homepage der Berliner Sparkasse ungewollt erhielt. Das Bundesaufsichtsamt für das Kreditwesen (BAKred) kennt nur einen vergleichbaren Fall in Deutschland. Vor rund einem Jahr konnte man auf der Homepage einer kleinen Wertpapier-Handelsbank ebenfalls in fremde Konten schauen. Frank Weidner vergleicht das Problem mit den weggeworfenen Kontoauszügen, die man manchmal in den Räumen der Geldautomaten oder in Mülleimern in der Nähe von Bankfilialen findet. "Ich gehe nicht davon aus, dass ein Schaden entstanden ist. Uns liegen keine Schadensmeldungen vor. Ein Missbrauch war nicht möglich." Tatsächlich konnte man von den fremden Konten keine Überweisungen oder andere Transaktionen vornehmen. Dies ändert jedoch nichts am Imageschaden für die Bank. Dies musste im November letzten Jahres die Schweizer Bank Credit Suisse erfahren. Tagelang konnte man über die Homepage der Bank erfahren, wie hoch die Interpretenbeträge waren, die die Schweizer Verwertungsgesellschaft an Stars wie Roger Moore, Udo Jürgens oder DJ Bobo auszahlte.

Mehr Regel als Ausnahme

Im Januar 2000 konnte man über die Homepage der amerikanischen Onlinebank X.com einen Monat lang einfach Geld von fremden Konten überweisen. Man benötigte nur die Kontonummer und die Bankleitzahl eines Kunden, um das entsprechende Formular auszufüllen und die Transaktion zu tätigen. Bei der britischen Barclays Bank war es im letzten Jahr möglich, dass jeder, der einen Computer benutzte, auf dem zuvor jemand Bankgeschäfte tätigte, in das entsprechende Konto kam. Man musste einfach den Zurück-Schalter des Browsers benutzten. Die Daten waren im temporären Speicher.

Ein Problem, dass es am Montag auch bei der Berliner Sparkasse gab. Peter Wirnsperger von "Defcom Security", einem in ganz Europa aktiven Unternehmen für IT-Sicherheit, sieht das Problem in der oft grundsätzlich falschen Herangehensweise. "Es ist immer das Gleiche. Es gibt Zeitdruck. Ein Projekt soll bis zu einem bestimmten Zeitpunkt fertig sein. An der Funktionalität will man nicht sparen. Deshalb wird die Qualitätssicherung und die Sicherheit vernachlässigt."

Die Spezialisten von Defcom, die die Sicherheit von Systemen prüfen, werden oft geholt, wenn ein Projekt bereits läuft. "Operation am offenen Herzen" nennt der Österreicher Wirnsperger diese Vorgehensweise. Eine Operation am offenen Herzen war wohl auch die Wiederinbetriebnahme des Onlinebankings bei der Berliner Sparkasse. Wer Dienstag morgen auf sein Konto sehen wollte, erhielt eine irritierende Meldung: "Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die sie als nicht vertrauenswürdig eingestuft haben." Die Kundenbetreuer für das Onlinebanking versichern, dass alle Probleme nur mit dem Andrang zusammenhängen, der sich aus dem eintägigen Ausfall des Systems ergibt.

Für ein Sicherheitsunternehmen wie Defcom ist eine Panne wie die der Sparkasse einerseits Werbung, andererseits verstärkt es jedoch generelle Ängste vor dem Onlinebanking, was nicht im Sinne des IT-Unternehmens ist. "Internetbanking ist nicht unsicherer als zum Beispiel Telefonbanking und ich würde sagen mindestens so sicher wie EC-Banking", sagt Peter Wirnsperger.

Er empfiehlt, seine Onlinebank nach bestimmten Kriterien zu wählen. So sollte es die Bank zur Sicherheitsauflage machen, dass der Kunde sein Passwort regelmäßig ändern muss und dass das Passwort mehr als nur vier Stellen hat. Die Bank sollte darüber hinaus im Vertrag ausdrücklich vorsehen, dass sie, wenn sich der Kunde an die Regeln hält und trotzdem etwas passiert, für den Schaden gerade steht.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!

0 Kommentare

Neuester Kommentar