Dolinschek zu Onlinebanking - vieles ist verbesserungswürdig

Umfassende Studie testete alle wichtigen Onlinebankingsysteme Österreichs - alle Systeme besitzen Basissicherheit, kein System ist jedoch optimal

Wien (OTS) - "Mit rund drei Millionen Konten ist Onlinebanking der bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme eine Basissicherheit besitzen, jedoch kein System optimal ist", betonte Konsumentenschutzstaatssekretär Sigisbert Dolinschek bei der heutigen Pressekonferenz zur Präsentation der Studie "Onlinebanking in Österreich". ****

Die seit Ende 2005 massiv auftretenden Phishingattacken mit Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem gegenüber werden Phishing-Attacken technisch perfektioniert und erreichen zielgerichteter ihre Opfer. Getestet wurde mit Hilfe von Testkonten, wobei nicht bloß technische, sondern auch rechtliche und ablauforganisatorische Aspekte berücksichtigt wurden. Die analysierten Lösungen decken mehr als 99% der in Österreich genutzten Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem Optimalprofil verglichen, das mit gegenwärtiger Technik leicht erreichbar wäre.

In keinem Fall wurde ein sicherheitstechnisch optimales, benutzerfreundliches und vertragsrechtlich unbedenkliches System angeboten, kein System erreichte 100%. Die Mindestvoraussetzungen für sichere Internetkommunikation, verschlüsselte Datenübertragung, passwortgesicherter Zugang und Verwendung von Einmalcodes (TANs) bei Transaktionen sind bei allen Banken vorhanden. Doch schon bei den verwendeten TAN-Verfahren gibt es große Qualitätsunterschiede. "Immerhin in acht Fällen werden veraltete Verfahren verwendet. Als eigentliche Schwachstelle des Onlinebankings entpuppen sich jedoch weniger die verwendeten TAN-Verfahren, sondern die per Post verschickten Listen, die es Angreifern ermöglichen, auch mehrere TANs in Erfahrung zu bringen. In einem Extremfall wurden einem Konsumenten 20 TANs auf einmal entlockt!", so Dolinschek.

Um einen nicht abzuschätzenden Vertrauensverlust zu vermeiden, sind alle Institute gezwungen, ihre bestehenden Verfahren, zu verteidigen und als "sicher" einzustufen. Damit ist keine beschleunigte Einführung innovativer Lösungen möglich. So dürften auch in naher Zukunft PIN/TAN-Listen in den verschiedensten Varianten Standard im Onlinebanking bleiben. Eine Wende bei der Einführung moderner Sicherheitsverfahren könnte sich nur durch legistische Rahmenbedingungen ergeben. Erst wenn der Gesetzgeber bestimmte Mindeststandards vorschreibt (z.B. eine hardwarebasierte TAN-Generierung, die Einhaltung der ONR17700, eine ISO 27001-Zertifizierung der Banken, etc.) gäbe es für die Institute einen unverdächtigen Grund, ihre bisherigen alten Systeme vollständig zu ersetzen.

"Durch eine Fülle oft einfacher Maßnahmen könnte die Phishingresistenz entscheidend gestärkt werden. So könnte die simple Einführung einer Bankservicecard, die alle wichtigen Informationen, wie Webadresse, Zertifikatsdaten, Hotline- und Sperrnummer schon viele Gefährdungen und Verunsicherungen beseitigen. Die Sperrmöglichkeiten des Onlinekontos bei Verdacht eines Missbrauches sind ebenso verbesserungsbedürftig. Insbesondere fehlen klare Vereinbarungen, wie rasch Sperren wirksam werden, weiters ist bei vielen Instituten keine Sperre rund um die Uhr möglich. Auch die Möglichkeit Transaktionslimits festzulegen fehlt weitgehend", betonte der Staatssekretär.

Bedenklich ist auch die Vorgangsweise vieler Banken, dem Kunden generell jegliche Haftung für Schäden aufzubürden, die aus missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen. Ein Teil der Zustimmungserklärungen ist intransparent gestaltet und vermischt die Zustimmung der Datenweitergabe zu Gläubigerschutzzwecken mit der Zustimmung zur Weitergabe zu Werbezwecken.

"Es gäbe einige Änderungen, die heute leicht möglich wären, angefangen bei der Anpassung der TAN-Verfahren an den derzeitigen Stand der Technik, der Schaffung von verständlichen Onlinebanking-AGBs, der Einrichtung effizienter Sperr- und Meldestrukturen, über die Entwicklung konkreter Best-Practice-Vorschläge zum Betrieb von Kundencomputern. Weiters sollten Betriebssysteme so ausgestattet sein, dass Trojanerangriffe unwahrscheinlich werden. Dazu wäre ein EU-weites Zulassungs- und Evaluationsverfahren erforderlich, wie es als CE-Kennzeichen bei jeder Art von Konsumgütern mittlerweile selbstverständlich geworden ist", schloss Dolinschek.

Rückfragen & Kontakt:

Staatssekretariat für soziale Sicherheit
Generationen und Konsumentenschutz
Pressesprecher Gerald Grosz
Tel.: [++43-1] 71100-3375
mailto: gerald.grosz@bmsg.gv.at

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | NST0002