ArchivDeutsches Ärzteblatt8/2001Homebanking: Nicht ohne Risiko

VARIA: Wirtschaft

Homebanking: Nicht ohne Risiko

Dtsch Arztebl 2001; 98(8): A-477 / B-384 / C-362

Jobst, Peter

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Die Banken verwalten zurzeit mehr als zehn Millionen Online-Konten – Tendenz steigend.


Die Kontoführung von zu Hause oder aus der Praxis ist einfach, preiswert und komfortabel. Bankkunden können rund um die Uhr ihre Konten einsehen, Überweisungen in Auftrag geben, Reisewährungen bestellen oder Wertpapiere kaufen. Die Konditionen liegen weit unter den Sätzen für „klassische“ Bankdienstleistungen. Auch Wertpapiertransaktionen kosten 20 bis 50 Prozent weniger als bei der Abwicklung über den Bankberater. Einziges Problem ist die Frage nach der Sicherheit. Die meisten Systeme arbeiten mit dem PIN/TAN-Verfahren:
- Für den Zugang zum Konto benötigt der Kunde eine fünfstellige stets gleich bleibende „Persönliche Identifikations-Nummer“ (PIN).
- Für jede Transaktion ist eine sechsstellige Transaktions-Nummer (TAN) notwendig, die dem Teilnehmer in Form von Listen mit 50 bis 100 Nummern zugesandt wird.
- Sollte der Kunde das Homebanking über ein geschlossenes System, also nicht über das Internet, betreiben, etwa mittels T-Online oder America Online (AOL), hat er einen weiteren Schutz: Hier muss er sich außer per PIN und TAN auch noch über die Zugangskennungen seines Systembetreibers legitimieren, die dem Kreditinstitut zur Kontrolle übermittelt werden. Anonyme Transaktionen sind nicht möglich.
Kreditkartenlisten im Internet
Während bei einem geschlossenen System lediglich der Systemrechner mit dem Kundenrechner korrespondiert, werden die Daten beim Zugang über das Internet (und hier beginnt das Risiko) möglicherweise über fünf, zehn oder mehr Rechnersysteme transferiert, bis sie beim kontoführenden Kreditinstitut eintreffen. Jedes zwischengeschaltete System stellt einen Schwachpunkt dar. Möglich ist einerseits das Eindringen eines Hackers, der die Daten „abfischt“. Denkbar sind aber auch unseriöse Machenschaften des Rechnerbetreibers, der ermittelte Kontendaten zwischenspeichert und an unbefugte Dritte weiterleitet. Dies muss nicht einmal mit Absicht geschehen. Fälle, in denen aufgrund von Programmierfehlern Kreditkartenlisten im Internet veröffentlicht wurden, sorgten bereits für Schlagzeilen.
Besonders problematisch ist das Homebanking über Internet-Anwendungen per ungeschützter Verbindung (erkennbar an einem Symbol des Browsers). Hier werden die Daten im Klartext übertragen und bieten breite Angriffsflächen. Besser ist die SSL-Verschlüsselung, die im Internet-Browser ebenfalls per Symbol angezeigt wird. Hierbei werden die Daten über einen 40 Zeichen langen Code verschlüsselt und erst beim Empfängerinstitut wieder entschlüsselt. Nur wenn dem Hacker die Entschlüsselung gelingt, kann er auf die Daten zugreifen. Noch sicherer ist die HBCI-Verschlüsselung, wird hier doch mit einem bis zu 128-stelligen Schlüssel gearbeitet. Zudem weist sich der Homebanker via Kartenlesegerät und Chipkarte aus. Obwohl umständlich, handelt es sich um das sicherste Verfahren.
Stellt sich die Frage nach dem möglichen Umfang des Missbrauchs. Um den Zugang zum Konto zu erlangen und beispielsweise neue Buchungen abzufragen, benötigt ein Hacker neben der Kontonummer lediglich die PIN. Um dieses Risiko zu vermeiden, sollte daher jeder Homebanking-Anwender seine Geheimnummer regelmäßig ändern. Auch sollten die Daten nicht im Rechner gespeichert werden.
Mit dem Zugang allein kann ein Hacker jedoch noch wenig anfangen. Überweisungen und Wertpapieraufträge erfordern schließlich die Eingabe einer Transaktionsnummer, die mit dem übertragenen Auftrag automatisch „verbraucht“ ist. Sollte der Hacker versuchen, eine TAN durch Ausprobieren zu ermitteln, wird ihm schnell ein Riegel vorgeschoben: Nach dreimaliger Fehleingabe wird der Kontozugang gesperrt und erst nach Rücksprache mit dem kontoführenden Institut wieder freigeschaltet. Zudem protokollieren die Institute derartige Zugriffsversuche, sodass möglicherweise Rückschlüsse auf den Hacker möglich sind.
Moderne Bankräuber
Selbst wenn es einem Hacker gelungen sein sollte, PIN und TAN zu ermitteln, stellt sich immer noch die Frage nach den Möglichkeiten des Missbrauchs. Im ungünstigsten Fall kann er eine Überweisung zugunsten seines eigenen Kontos in Auftrag geben – für das er sich zumindest bei der Kontoführung im Inland mittels Ausweis legitimiert hat. Damit haben Behörden die Möglichkeit, den „modernen Bankräuber“ schnell zu überführen. Nur dann, wenn das Geld an ein dubioses Institut in ein Land mit mangelhaftem Rechtsbewusstsein transferiert wird, besteht die Gefahr, dass die Rückforderung schwierig bis unmöglich wird. Entsprechend raten die Banken ihren Kunden, Kontoauszüge ständig zu kontrollieren und Unstimmigkeiten umgehend zu reklamieren.
Der sorgfältige Umgang mit PIN und TAN sowie die regelmäßige Überpüfung der Kontoauszüge sind notwendige Sicherheitsvorkehrungen. Wichtig ist es aber auch, dass der heimische PC ausreichend geschützt ist. Immer wieder gelingt es betrügerischen Internet-Anbietern, beispielsweise zusammen mit Bilddateien, „trojanische Pferde“ in Rechnern von Internet-Surfern zu platzieren. Sie sollen Daten aus Programmen auslesen und via Internet an den Auftraggeber übermitteln. Allerdings bestehen auch hier Schutzmöglichkeiten. Optimal ist es, wenn der Zugriff auf das Internet und die Homebanking-Anwendung über verschiedene Rechner erfolgt, die nicht mittels Netzwerk miteinander verbunden sind. Ebenfalls gut geschützt ist, wer die Zugangsdaten zum Homebanking nicht auf dem Internet-Rechner speichert, sondern nur bei Bedarf manuell eingibt. Zudem liefern auch Virenschutzprogramme Hinweise auf mögliche „Eindringlinge“.
Ein Missbrauchsfall bedeutet nicht zwangsläufig, dass der Kunde auch für den Schaden aufkommen muss. Bei den meisten Instituten gilt der „Beweis des ersten Anscheins“. Wurde der Vertrag unter Verwendung einer gültigen PIN und TAN abgeschlossen, wird davon ausgegangen, dass er entweder vom Kunden selbst veranlasst wurde oder der Kunde mit PIN und TAN nicht sorgfältig umgegangen ist. Damit ist der Kunde grundsätzlich haftbar. Diesen Beweis des ersten Anscheins kann der Anwender allerdings erfolgreich erschüttern, wenn er nachweist, dass er seine Online-Banking-Daten sicher verwahrt hat. Denn im Fall von Schäden, die etwa durch Ausprobieren passender Nummernkombinationen oder durch Systemmängel entstehen, haftet die Bank.
Einige Finanzdienstleister bieten das „no-risk-banking“. Hier wird der Kunde generell von allen Schäden freigestellt, die er nicht ausdrücklich selbst verursacht hat. Peter Jobst
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema