Experten der US-amerikanischen Cybersicherheitsfirma Fortinet warnten kürzlich vor einem Trojaner, der es auf sensible Daten deutscher Bankkunden abgesehen hat. Der Schädling tarnt sich als E-Mail- oder Online-Banking-App und befällt Smartphones und andere Geräte, die unter dem Betriebssystem Android laufen. Er späht Log-in-Daten für das Onlinebanking aus, greift Kreditkartendaten ab, kann überdies SMS verschicken und empfangen und sogar Anrufe tätigen. Den Schädling zu erkennen und loszuwerden ist schwierig, so die Fortinet-Spezialisten. Am besten, man fängt ihn sich gar nicht erst ein.
Internetnutzer sollten keine Apps aus dubiosen Quellen installieren, mahnen Cybersicherheitsexperten. Auch bei E-Mails unbekannter Absender ist Vorsicht geboten. Sogenannte Phishing-Mails enthalten oft einen Link, über den Betrüger Daten abfischen oder Schadsoftware auf Smartphone oder Computer installieren. Verbraucherschützer sammeln laufend Informationen über Betrugsfälle durch Phishing. Zuletzt hatten es Cyberkriminelle vor allem auf Kunden des Online-Bezahldienstes Paypal, der Direktbank ING-Diba, der Commerzbank und der Postbank abgesehen.
Einerseits sind Bankkunden grundsätzlich dazu angehalten, im Internet Vorsicht walten zu lassen. Andererseits müssen auch die Banken selbst ihre Kunden vor Online-Betrügern schützen. Das Analysehaus S.W.I. Finance hat im Auftrag des Handelsblatts untersucht, welchen Geldhäusern das besonders gut gelingt. Dazu hat es das Online-Banking der sechs größten, bundesweit aktiven Filialbanken sowie der größten Sparkasse und der größten Volks- und Raiffeisenbank unter die Lupe genommen, außerdem die Internet-Angebote der zehn größten Direktbanken.
Die Experten des Analysehauses haben zwischen März und November 2016 die Sicherheits- und Legitimationsverfahren der Banken untersucht. Sie analysierten, welche Verfahren die Banken zur Verfügung stellen und wie sicher diese sind. Darüber hinaus testeten sie die Qualität der Kundenkommunikation. Sie untersuchten etwa, die freundlich und hilfsbereit die Mitarbeiter der Telefon-Hotline sind, wie gut sie auf Kundenfragen eingehen, wie umfangreich und verständlich E-Mails an Kunden ausfallen und wie rasch und individuell Bankmitarbeiter in sozialen Medien auf Kundenfragen eingehen.
Das Ergebnis: Unter den Filialbanken schnitt die Postbank am besten ab. Sie erzielte bei den Sicherheitsverfahren das beste Ergebnis, zusammen mit ihrer Konzernmutter Deutsche Bank – die allerdings wegen ihrer Kundenkommunikation insgesamt nur auf Platz drei landete. „Kunden konnten bei beiden Banken aus einer Vielzahl an Legitimationsverfahren wählen. Nutzer mit unterschiedlichen Anforderungen an das Online-Banking kamen hier auf ihre Kosten“, heißt es von S.W.I. Finance.
Bei der Postbank können Kunden Transaktionen zum Beispiel von unterwegs mittels Fingerabdruck freigeben. Die Deutsche Bank bietet unter anderem das mTAN- und das photoTAN-Verfahren zur Freigabe von Überweisungen an. Beim mTAN-Verfahren bekommen Nutzer eine TAN, also eine Transaktionsnummer, per SMS auf das Smartphone geschickt. Beim photoTAN-Verfahren werden Transaktionsdaten als Grafik auf dem Smartphone angezeigt und mit einer speziellen App entschlüsselt.
Den zweiten Platz im Gesamtranking und den dritten Platz im Sicherheitsranking belegte die Berliner Volksbank. Sie bietet unterschiedliche Sicherheitsverfahren an, mit denen sie sowohl klassischen PC-Nutzern als auch Nutzern mobiler Geräte gerecht wird, loben die S.W.I.-Experten.
Auf dem letzten Platz landete die Targobank. „Das Institut bot seinen Kunden nur wenige Legitimationsverfahren zur Auswahl, von denen keins zu den als sicher eingestuften Verfahren gehörte“, kritisieren die Tester. Neben einer indizierten TAN-Liste (iTAN) stellte die Targobank mobile TANs zur Verfügung. Das iTAN-Verfahren gilt als veraltet. Dabei nutzen Kunden eine bestimmte Transaktionsnummer aus einer Papier-Liste, um Online-Bankgeschäfte zu tätigen.
Kleine Auswahl – schlechte Note
Bei den Direktbanken überzeugte das Angebot von 1822 direkt, einer Tochter der Frankfurter Sparkasse. Das Institut bietet unter anderem das QR-TAN-Verfahren für die Betriebssysteme iOS und Android an. Dabei können Kunden Transaktionen von unterwegs mittels eines QR-Codes freigeben. Den zweiten Platz in Bezug auf die Sicherheitsverfahren belegte die Deutsche Kreditbank. Auch dieses Institut hat Nutzer mobiler Endgeräte im Blick: Das pushTAN-Verfahren generiert TANs via App. So können Kunden Bankgeschäfte mit dem Smartphone erledigen.
Auf dem dritten Platz steht die GLS Bank. „Sie verfügt über eine kleine Auswahl an als sicher oder sehr sicher eingestuften Verfahren“, heißt es von S.W.I. Schlusslicht ist die Augsburger Aktienbank: Sie konnte mit den Sicherheitsstandards der getesteten Konkurrenten nicht Schritt halten und bot keins der als sehr sicher ausgewiesenen Legitimationsverfahren an. Kunden können bei diesem Geldhaus nur mit einer iTAN-Liste Transaktionen freigeben.
In punkto Informationsqualität schnitt bei den Filialbanken die Berliner Volksbank am besten ab, die Commerzbank belegte den letzten Platz. Unter den Direktbanken steht hier ausgerechnet die Commerzbank-Tochter Comdirect auf Platz eins. Die Augsburger Aktienbank ist auch beim Informationsqualitätstest Schlusslicht. Die Testsieger punkteten mit schneller und kompetenter Hilfe per Telefon und E-Mail. Extrapunkte gab es für Comdirect, weil die Bank Kundenanfragen auch auf Facebook individuell betreute. Die Augsburger Aktienbank dagegen hat gar keine Facebook-Seite, und machte auch per E-Mail keine gute Figur.
Die besten Angebote im Überblick
Gesamtergebnis Filialbanken | Gesamt | Sicherheitsverfahren | Informationsqualität | |
100% | 70% | 30% | ||
Punkte* | Rang | Punkte* | Punkte* | |
Postbank | 70,5 | 1 | 72 | 67 |
Berliner Volksbank | 70,4 | 2 | 60 | 73,5 |
Deutsche Bank | 70,3 | 3 | 72 | 66,2 |
Hamburger Sparkasse | 69,4 | 4 | 68 | 72,5 |
HypoVereinsbank | 68,9 | 5 | 67 | 73,3 |
Santander Bank | 60,7 | 6 | 60 | 62,2 |
Commerzbank | 58,4 | 7 | 66 | 40,7 |
Targobank | 30,6 | 8 | 13 | 71,8 |
*max. 100 | ||||
Quelle: S.W.I. Finance |
Gesamtergebnis Direktbanken | Gesamt | Sicherheitsverfahren | Informationsqualität | |
100% | 70% | 30% | ||
Punkte* | Rang | Punkte* | Punkte* | |
1822direkt | 75,9 | 1 | 74 | 80,5 |
comdirect bank | 68,6 | 2 | 62 | 84,2 |
Deutsche Kreditbank | 67,6 | 3 | 68 | 66,7 |
GLS Bank | 66,5 | 4 | 67,5 | 64,1 |
Consorsbank | 64,2 | 5 | 59 | 76,4 |
norisbank | 63,7 | 6 | 63 | 65,3 |
Volkswagen Bank | 59,3 | 7 | 55 | 69,4 |
ING-DiBa | 57,3 | 8 | 48 | 79,1 |
Wüstenrot Direct | 53,3 | 9 | 46 | 70,3 |
Augsburger Aktienbank | 21,9 | 10 | 5 | 61,3 |
*max. 100 | ||||
Quelle: S.W.I. Finance |