WiWo App 1 Monat für nur 0,99 €
Anzeigen

Online-Banking So unsicher ist Ihr Konto

Seite 2/2

Der Bank ausgeliefert

Natürlich können Privatkunden ihre Bankgeschäfte auch in einer Art Fort Knox ausführen. Homebanking Computer Interface (HBCI) heißen diese Verfahren, die meist separate Kartenlesegeräte und Software benötigen, die Kunden rund 50 Euro kosten können. Diese Verfahren gelten zwar als die sichersten, sind aber eben nicht besonders nutzerfreundlich. „PushTAN, App-basierte Verfahren oder mTAN bieten einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Wolf vom G4C. Das alles sind Verfahren, bei denen Nutzer entweder über ein Smartphone Transaktionsnummern für eine bestimmte Überweisung erzeugen können oder sie sich zum Beispiel per SMS zuschicken lassen. Die deutschen Banken bieten solche Verfahren flächendeckend an. Den Kunden bleibt überlassen, ob sie eines der besonders sicheren Verfahren nutzen.

Einige Banken entscheiden sich bewusst dazu, ihren Kunden mit zwei Apps auf dem gleichen Smartphone sowohl das Onlinebanking als auch die TAN-Vergabe zu ermöglichen. Eigentlich schon laut Geschäftsbedingungen der meisten Banken ein Tabu. „Wenn die Bank sagt, sie garantiert die Kanaltrennung, auch wenn Sie auf dem gleichen Gerät die TAN generieren und die Banking-App ausführen, dann wird sie auch für eventuelle Schäden aufkommen“, sagt Christian Leuthner, Anwalt bei Olswang und Experte für IT-Recht, „wenn der Missbrauch auf dem Versagen dieser Trennung beruht.“

Ein gewisses Risiko bleibt immer

Bei einer Umfrage der Berater von Accenture sagten 2015 zwei Drittel von 900 befragten Bankmanagern weltweit, dass ihre IT-Systeme wöchentlich bis täglich angegriffen werden. Doch: „Die etablierten Banken in Deutschland haben ein hohes Schutzniveau – auch im Vergleich mit anderen Industrien“, sagt Claus Herbolzheimer, Finanz-IT-Experte beim Berater Oliver Wyman. Dass es im Ausland für Kunden riskanter zugeht, zeigt zum Beispiel ein Fall der Tesco Bank in Großbritannien. Im November hatten sich Angreifer in das System der Bank geschlichen und Geld von 9000 Konten abgeräumt. Den Schaden von umgerechnet 2,9 Millionen Euro erstattete die Bank ihren Kunden. Das Vertrauen in ihr Finanzinstitut dürften die aber verloren haben.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Die Daten der Schadensfälle durch Phishing-Angriffe in Deutschland zeigen: Sobald Banken neue Sicherungskonzepte umsetzen, gehen die Fallzahlen zurück (siehe Grafik). „Erfahrungsgemäß ist es nur eine Frage der Zeit, bis sich die Täterseite auf die neuen Standards eingestellt hat und die Fallzahlen wieder ansteigen“, schreibt das BKA. Das Spiel beginnt von vorn.

„Es wäre wünschenswert, dass Sicherheit ein Wettbewerbsvorteil ist. Aber ich glaube nicht, dass die Kunden ihre Bank danach auswählen“, sagt Hemker von Symantec. „Sofern es irgendwo einen minimal besseren Zinssatz gibt, rückt das Schutzniveau des Kontos in den Hintergrund.“

Vincent Haupert hat bereits drei Mal bewiesen, dass Banken es Angreifern nicht besonders schwer machen, ihre Onlineangebote zu knacken. Der 27-Jährige schreibt gerade seine Doktorarbeit an der Universität Erlangen-Nürnberg zum Thema Sicherheit im digitalen Zahlungsverkehr. Und er hat dabei selbstverständlich in bester Absicht bereits die TAN-App der Sparkassen, das photoTAN-Verfahren der Deutschen Bank und der Commerzbank und die Banking-App des Start-ups N26 ausgehebelt.

Derzeit werde die Sicherheit der Nutzer bewusst hinten angestellt, meint er: „In der Finanzbranche setzt man auf Nutzerfreundlichkeit um jeden Preis.“ Zwar hätten alle Banken bestimmte Sicherheitskonzepte in ihren Onlinedienstleistungen umgesetzt. Eine Lücke lasse sich aber immer finden. „Ich war bei meinen Versuchen überrascht, wie leicht der Zugriff war.“

Von diesen Passwörtern sollten Sie die Finger lassen
Schwache Passwörter Quelle: dpa
Hacker lieben schwache Passwörter Quelle: dpa
Platz 10: hallo123Im vergangenen Jahr stand auf Platz 10 noch das Passwort "ficken" – das zehntplatzierte Passwort dieses Jahr ist deutlich jugendfreier und lautet "hallo123". Quelle: dpa
Platz 9: 111111Leicht zu merken und ebenso leicht zu hacken: "111111". Quelle: dpa
Platz 8: 1234567Bis sieben kann jedes Kindergartenkind zählen - vielleicht ist deshalb diese einfache Zahlenfolge eines der beliebtesten Passwörter der Deutschen. Quelle: dapd
Platz 7: passwortEin Passwort, das man zumindest nicht vergisst, lautet "passwort" und erfreut sich großer Beliebtheit. Quelle: dpa
Platz 6: hallo Ahoi, bonjour, Ciao, Grüß Gott, Guten Tag – es gibt viele Grußformeln, die in Deutschland geläufig sind. Als Passwort eignet sich wahrscheinlich jede davon eher als "hallo" – allerdings sind sie allesamt keine empfehlenswerten Passwörter. Quelle: dpa

Sollten Bankkunden also den Stecker ziehen? Bietet am Ende das altbewährte Sparbuch den einzigen Schutz vor Cyberangriffen, wenn es unbemerkt hinter dem Schrank verstaubt (siehe auch Seite 75)? „Gebundene Sparbücher sind Urkunden und damit Beweismittel im Sinne der Zivilprozessordnung“, heißt es offiziell vom Bundesverband der Deutschen Volks- und Raiffeisenbanken. Kunden können allein mit Vorlage des Sparbuchs ihre Ansprüche gegenüber der Bank geltend machen. Ein Kontoauszug ist dagegen nur ein Informationsschreiben.

Ist das Geld der Onlinekunden verloren, wenn Hacker angreifen und das zentrale Register einer Bank samt digitaler Sicherungen manipulieren? Eine Urkunde zum Nachweis der Höhe ihrer Einlagen besitzen sie im Gegensatz zu Sparbuchinhabern schließlich nicht mehr.

Angriffsziele von aufsehenerregenden Cyberangriffen

Peter Balzer ist Partner der Kanzlei Sernetz Schäfer und Experte für Bank- und Kapitalmarktrecht. Für ihn macht es aus rechtlicher Sicht keinen Unterschied, ob Guthaben lediglich auf einem Girokonto verbucht sind oder – wie bei einem Sparbuch – eine Urkunde über die Forderung existiert. „Selbst wenn Bankenserver ausfallen sollten, hat dies auf den Bestand der Forderung gegenüber der Bank keine Auswirkungen“, sagt er. Kunden könnten sich etwa auf das Guthaben im letzten Rechnungsabschluss oder Kontoauszug berufen, selbst wenn das nur als PDF-Datei vorliegt. „In der Praxis kommt es auch einfach nicht vor, dass die Forderung des Kunden aufgrund von EDV-Problemen erlischt“, sagt er. IT-Experten halten es zwar für möglich, dass auch Sicherungen der Banken von Cyberangriffen betroffen sein könnten und jegliche Einträge zu Guthaben der Kunden ausgelöscht werden. „Aber wir sprechen dann wirklich von einem Katastrophenszenario“, sagt Hemker.

Für Balzer, der Banken in Prozessen vertritt, stellt sich vielmehr die Frage, ob die Kundenkonten tatsächlich geknackt wurden, wenn Geld abgebucht wurde, ohne dass es jemand veranlasst haben will. „Oder haben die Kunden entgegen der vertraglichen Vereinbarungen ihre Zugangsdaten bewusst oder in fahrlässiger Weise weitergegeben? Danach richtet sich letztlich, wer den Schaden trägt.“ Da die Rechtsstreitigkeiten in diesem Bereich deutlich zugenommen haben, dürfe der Kunde auch nicht mehr ohne Weiteres auf die Kulanz der Bank hoffen. Denn die kennen die alte Hacker-Weisheit: Organisationen stecken Millionen in Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigen kann: die Anwender.

Jetzt auf wiwo.de

Sie wollen wissen, was die Wirtschaft bewegt? Hier geht es direkt zu den aktuellsten Beiträgen der WirtschaftsWoche.
Inhalt
Artikel auf einer Seite lesen
Zur Startseite
Diesen Artikel teilen:
  • Artikel teilen per:
  • Artikel teilen per:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%