Entwicklungen wie BTX und HBCI haben dafür gesorgt, dass deutsche Banken ihren amerikanischen Kollegen beim Online-Banking um Lichtjahre voraus sind. Doch zurzeit schmilzt der historisch bedingte Vorsprung rasant. In diesem Beitrag befassen wir uns mit den aktuellen Entwicklungen im Bereich des sicheren Homebanking.
Schon Mitte der 80er Jahre gab es hierzulande mit BTX die Möglichkeit, Konten online zu verwalten. In den USA wurde Homebanking erst mit dem Siegeszug des Internet in den 90ern überhaupt interessant. Daraus erklärt sich auch der große Abstand, den deutsche Banken in der Sicherheit von Online-Banking haben – oder den sie zumindest für sich reklamieren. Aber erstens ist dieser Anspruch fragwürdig, und zweitens schmilzt der Vorsprung gerade ziemlich schnell.
Es gibt natürlich noch einen zweiten Grund, weshalb Online-Banking in Amerika nicht so sicher ist wie bei uns – nämlich die unterschiedliche Art, wie Banken mit ihren Kunden umgehen. In den USA ist die Konkurrenz der Banken untereinander sehr viel schärfer als in der Alten Welt. Also wird vor allem Wert auf eine einfache Bedienung gelegt.
Alles, was einen Kunden womöglich überfordern könnte, wird vermieden; und zwar aus Angst davor, er könne aus lauter Ärger zur nächsten Bank gehen. TAN-Nummern wie bei uns sind aus US-Sicht nahezu undenkbar, denn sie machen das Homebanking komplizierter.
Es ist schon schwer genug, sich einen Benutzernamen und ein Passwort zu merken. Und wenn ein Gauner es schafft, das Konto eines Kunden zu plündern, dann erstattet die Bank den Schaden lieber, ohne Fragen zu stellen. Hauptsache der Kunde ist glücklich.
- Amerikanische Sicherheitsoffensive
Doch das wird sich demnächst ändern: Die amerikanische Bankenaufsicht FFIEC (Federal Financial Institutions Examination Council) will neue Richtlinien zum von Verbrauchern vor Phishing, Session Highjacking („Entführung einer Kommunikationssitzung“) und Malware wie den ZeuS-Trojaner oder Spyeye erlassen.
Die Regularien werden es offensichtlich in sich haben. Zwar sind die Banken auch heute schon dazu verpflichtet, ihren Kunden Systeme mit einem vernünftigen Maß an Sicherheit („reasonable security“) zur Verfügung zu stellen. Die FFIEC will jetzt aber – im Gegensatz zu früher – genau festlegen, was ein vernünftiges Maß ist. Und der Teufel steckt wie so oft im Detail.
Für private Endkunden fordert die FFIEC die flächendeckende Verwendung von Multifaktor-Authentifizierung. Diese besteht nach der klassischen Definition aus drei Dingen:
- etwas, das der User weiß, zum Beispiel ein Passwort oder PIN,
- etwas, das er besitzt, zum Beispiel ein Token oder ein SmartCard, und
- etwas, das er ist, also ein biometrisches Attribut wie ein Fingerandruck, Sprach- oder Augenmuster (Iris).
Für welche Technik sich die Bank entschließt, ist der FFIEC egal. Hauptsache es sind mindestens zwei davon, am besten aber alle drei. Für gewerbliche Kunden wird die Behörde sogar die Verwendung eines dedizierten Firmencomputers nur fürs Online-Banking vorschlagen. Sie meinen es also tatsächlich ernst!
Gleichzeitig will die FFIEC neue besser auf die Frage eingehen, wer für die Folgen von Cyberangriffen auf Bankkunden haftet. Bislang haben Banken dies- sowie jenseits des Atlantik traditionell in der Haftungsfrage dem Kunden den Schwarzen Peter zugeschoben. Ihm oblag es zu beweisen, dass er alle notwendigen Maßnahmen ergriffen hatte, um sich vor Missbrauch zu schützen.
Selbst wer Opfer einer raffinierten Trojaner-Attacke wurde, muss bis heute in der Regel den Schaden selber tragen. So ist es eine gerade bei der Russenmafia beliebte Methode, eine komplette Transaktion samt Benutzername, Passwort und TAN abzufangen und umzuleiten. In solchen Fällen wäscht die Bank ihre Hände meistens in Unschuld.
Die Aufsichtsbehörde will den rechtlichen Spieß herumdrehen. Ein Bankensystem, das von Hackern unterlaufen werden kann, wäre nach ihrer neuen Definition von Haus aus unsicher. Da aber die Verwendung eines unsicheren Systems verboten wäre, müsste die Bank für den entstandenen Schaden geradestehen.
Auch wenn diese Klausel in den neuen Richtlinien vermutlich für einen Aufschrei seitens der Banken sorgen wird, so schafft sie doch Tatsachen. Amerikanische Gerichte werden sie für Präzedenzurteile heranziehen – ein juristischer Albtraum für die Finanzdienstleister.
In Bankenkreisen wird deshalb inzwischen laut über einen völligen Kurswechsel bei der Sicherheit nachgedacht. Kritiker wie Julian Lovelock von der Firma ActivIdentity, einem Anbieter von Sicherheitslösungen für Banken, fordern eine Abkehr von dem bisherigen Ansatz. Der Schutz der Sitzung („session-based authenication“) müsse einer „customer-managed security“ weichen.
Ein solches System würde es dem Kunden selber überlassen, wie viel Aufwand er für seine Sicherheit investieren will – und damit auch, wie hoch das Risiko ist, das er bereits ist zu tragen. Stellen wir uns beispielsweise einen Kunden vor, der sich aus Bequemlichkeit dazu entschließt, weiterhin mit einem simplen TAN-Verfahren zu arbeiten. In diesem Fall könnte die Bank ein Limit für Beträge setzen, die der Kunde online überweisen darf oder sonst wie den Zugang zum Konto einschränken. Wer dagegen echte Zwei- oder Dreifaktor-Authentifizierung wählt, darf online alles tun, was er will.
Der Kunde könnte in einem solchen System sogar unterschiedliche Profile anlegen, zum Beispiel „unterwegs“, „daheim“ oder „im Büro“, jeweils mit unterschiedlichen Sicherheitsstufen und den korrespondierenden Einschränkungen beim Zugriff. „Statt alle über einen Kamm zu scheren sollten wir dem Kunden selber die Wahl geben, wie viel Sicherheit er haben will“, glaubt Lovelock.
Ob Bankkunden sich für solche Wahlmöglichkeiten begeistern lassen und ob sie sie überhaupt verstehen würden, wäre wohl zu prüfen. Tatsächlich sind ähnliche Systeme inzwischen in sozialen Netzwerken wie Facebook inzwischen gang und gäbe, was vermuten lässt, dass sie auch in anderem Kontext funktionieren könnten. Warum nicht auch beim Online-Banking?
Dafür spricht auch die Tatsache, dass in der breiten Bevölkerung seit Jahren sowohl das Bewusstsein als auch die Bereitschaft wachsen, mehr für die eigene Online-Sicherheit zu tun. Jeder kennt heute jemanden, der jemanden kennt, der ein Opfer von Phishing oder Hackern gewesen ist.
Dass auch der Druck von oben auf die Banken wächst, neue Wege in der Sicherheit zu gehen, ist nicht nur in den USA zu erkennen. Und bis das erste Gericht auch hierzulande die Beweislast umkehrt und den Schwarzen Peter wieder an die Banken zurückgibt, ist nur eine Frage der Zeit. Besser wäre es, sie würden vorher reagieren und nicht erst, wenn es zu spät ist.