Herr Sommer, wie können Banken die optimale Sicherheit ihrer Kunden beim Onlinebanking sicherstellen?
Carsten Sommer: Es steht außer Frage, dass ohne einen separaten Kanal außerhalb des PC die Transaktionssicherheit nicht mehr gewährleistet werden kann. Aus diesem Grund setzen immer mehr Banken auf Verfahren wie TAN-Generator, qualifizierte elektronische Signatur oder Secoder. Der Secoder beispielsweise verfügt über eine eingebaute Firewall, die die Karte und die Geheimzahl des Nutzers schützt. Er ist mit allen bisherigen Kartenanwendungen kompatibel – auch mit solchen, die nicht von der Kreditwirtschaft bereitgestellt werden.
Wie sehen weitere Ansätze aus?
Carsten Sommer: Der Einsatz eines vom Zentralausschuss der Kreditwirtschaft (ZKA) begutachteten, spezifizierten und zugelassenen Authentifizierungssystems auf Basis der eigenen Bankkarte ist sinnvoll. Hier werden sichere Verschlüsselungen über HBCI/FinTS oder eine TAN-Generatorfunktion erzeugt. Die Kombination von Lesegerät und Chipkarte gilt derzeit als zuverlässigster Schutz vor Hackern und Trojanern. Banken, die ihren Kunden zum Beispiel Onlinebanking per HBCI-fähiger Chipkarte ermöglichen, positionieren sich im Wettbewerb als besonders sicherheitsbewusste Dienstleister. Darüber hinaus bieten smartTAN/chipTAN und Secoder hohen Schutz gegen Trojanerangriffe. Alle genannten Systeme garantieren zusätzliche Sicherheit durch die Anzeige der Transaktion auf den Gerätedisplays bei gleichzeitiger separater Verifikation durch den Anwender. Zudem wurden sie vom ZKA entwickelt und mit Sicherheitsgutachten zertifiziert.
Allerdings fürchten laut Ergebnis der Studie (N)Onliner-Atlas 2009 nur noch sieben Prozent der Befragten Betrug bei Finanztransaktionen im Internet. Sind die Nutzer zu sorglos geworden?
Carsten Sommer: In gewisser Weise ja. Alleine im Jahr 2008 wurde das i-TAN-Verfahren laut Bundeskriminalamt 1.800-mal geknackt. Insgesamt hat sich damit die Internetkriminalität in den vergangenen sieben Jahren um über 60 Prozent erhöht. Es gibt also keinen Grund für Nachlässigkeiten bei der persönlichen Gestaltung der Sicherheitsinfrastruktur.
Wie sollte die Auswahl des Sicherheitsmediums erfolgen?
Carsten Sommer: Wichtig ist, das Authentifizierungsmedium anhand strategischer Gesichtspunkte auszuwählen. Die Entscheidung, welches Sicherheitsmedium zum Einsatz kommt, sollte stets aus einem Beratungsgespräch mit dem jeweiligen Filialmitarbeiter resultieren. Grundsätzlich bietet sich jedoch die Kundenkarte der Bank an, nicht zuletzt, weil sie durch das Seccos-Betriebssystem in den vergangenen Jahren funktional stark aufgewertet wurde. So ist es möglich, den Kunden durch strategische Beratung im Hinblick auf Onlineproduktangebote, -service sowie -sicherheit stark an das eigene Kreditinstitut zu binden.
Inwiefern denken Sie, stehen die Hausbanken beim Thema Sicherheit und Information in der Bringschuld?
Carsten Sommer: Viele Kreditinstitute bieten bereits das HBCI-Verfahren in Kombination mit einem Chipkartenleser an. Allerdings wird dies noch nicht von allen Kunden registriert. Die Entscheidung, welches Sicherheitsmedium zum Einsatz kommt, hängt noch zu oft vom Wissensstand des Kundenbetreuers ab und kann beim selben Institut von Filiale zu Filiale unterschiedlich sein. Vielfach wird auch einfach dem Kunden überlassen, welches Sicherheitsmedium er nutzen will, anstatt aktiv eine
sicherheitsorientierte Position zu vertreten.
Reiner SCT, die Banken sowie weitere Unternehmen engagieren sich daher seit längerem für eine breite Aufklärung, auch und vor allem bei den Filialmitarbeitern. Für die Kunden ist www.hbci-finder.de eine wichtige Informa-
tionsquelle.