Sicheres Online-Banking ? nur eine Frage der Kosten?

Warum funktioniert Phishing? Weil Nutzer im guten Glauben, sich auf der Website ihrer Bank zu befinden, ihre vertraulichen Identifizierungsdaten in einer vermeintlich geschützten Umgebung preisgeben. Obwohl Banken mit ihren Informationskampagnen der immer noch erstaunlich großen Vertrauensseligkeit von Bankkunden entgegensteuern, wird der »menschliche Faktor« trotz aller Sicherheitsmaßnahmen auch in Zukunft bevorzugtes Angriffsziel von Online-Betrügern bleiben. Die Betrugsmethoden werden dabei immer kreativer: Mittlerweile können Hacker schon auf so genannte »Phish Kits« zurückgreifen, die Phishing-Webseiten mit verschiedenen Unternehmenslogos generieren und so ahnungslose Internetnutzer anlocken. Auch umsichtige Online-Banking-Nutzer sind bei aller Vorsicht nicht immer vor dem Ausspähen vertraulicher Daten geschützt. In Zukunft müssen sie sich nach Aussagen von Experten auf noch individuellere Online-Attacken einrichten. Spyware ist nur ein Stichwort.
Nach der Weiterentwicklung der seinerzeit durch findige Hacker schnell kompromittieren UserID/Password-Paare hin zur Einführung der Multifaktor-Authentisierung vor einigen Jahren hat sich die Sicherheit im Online-Banking erheblich verbessert. Bereits die erste Generation der PIN/TAN-Verfahren galt als sehr sicher, bis auch diese zum ersten Mal ausgehebelt wurde. Die zurzeit bei vielen deutschen Banken standardmäßig eingesetzten Authentisierungs-Systeme ? mit  PIN und wechselnden, nach einem Zufallsprinzip ausgewählten und nur einmal gültigen Transaktionsnummern (mobile iTAN) ? erschweren dem Angreifer, gestohlene Informationen ausnutzen zu können. Das größte Problem bei diesen viel genutzten TAN-Verfahren ist allerdings immer noch die sehr benutzer-unfreundliche Anwendung. Darüber hinaus müssen die Banken bei diesen Systemen natürlich auch die TAN- und Nutzerdaten mit großem Aufwand pflegen, generieren und aufbewahren.

Hardware-Token ? sicher, aber teurer
Eine Alternative stellen die Hardware-Token-basierten Verfahren dar, die ebenfalls Multifaktor-Authentisierungs-Regeln ein­setzen. Auch diese werden von Großbanken bereits angeboten und wären für Online-Bankkunden ? da ihre Anwendung relativ einfach, schnell und unkompliziert ist ? eigentlich sehr attraktiv: Etwa die praktischen »One-Time-Password-Token«, die ein sehr kleines, »Schlüsselbund-taugliches« und damit mobiles  Format besitzen und mit funktionalen Displays ausgestattet sind. Solche Token weisen dem Anwender beispielsweise alle 60 Sekunden ein neues sechsstelliges Passwort zu, so dass ein möglicher Angreifer dieses Passwort zwar abfangen kann, sich aber anschließend sehr beeilen muss, den betreffenden sechsstelligen ­Code innerhalb der verbleibenden Gültigkeitsdauer zu nutzen. Verstreicht diese Zeit ungenutzt, wird der Code ungültig und damit wertlos. In der Praxis gelten diese Token als sehr sicher. Das gilt auch für das schon seit langem verwendete Home-Banking-Computer-Interface-Verfahren (HBCI), das eine Chipkarte zur Verschlüsselung/Autorisierung benutzt, auf der ein privater Encryption-Key gespeichert ist.
 Neben der viel größeren Anwenderfreundlichkeit genießen beide Verfahren gegenüber PIN/TAN einen Vertrauensvorsprung. Trotzdem werden sie in der Praxis noch nicht allzu häufig von den Online-Bankkunden genutzt, denn ihr Nachteil ist ein entscheidender: Chipkarten- beziehungsweise Token-basierte Verfahren sind in der Anwendung relativ teuer. Sowohl die Kosten für die Token als auch für die Back-End-Systeme zur Verwaltung der Token ? ähnlich wie bei den aufwändigen TAN/PIN-Verfahren ? sind bisher nicht wirklich gesunken (trotz neuer Geschäftsmodelle im Bankenbereich wie externes Hosting, die Bereitstellung von Managed Services und konsolidierte Identitätsmanagement-Verfahren).

Online-Banking in der ­Zukunft
Auch wenn PIN/TAN-Verfahren und Token-basierte Autorisierung zur Zeit die Mittel der Wahl sind, wird die Zukunft des Online-Bankings wahrscheinlich anders aussehen. Eine wichtige Rolle beim wirkungsvollen Schutz gegen Online-Betrügereien werden hier vor allem die qualifizierten elektronischen Signaturen spielen ? denn sie stellen ein absolut sicheres Verfahren dar. Der Vorteil von elektronisch qualifizierten Signaturen auf Smartcards gegenüber herkömmlichen Verfahren liegt dabei auf der Hand: eine große Anwenderfreundlichkeit, eine hohe Sicherheit und ? vor allem ? eine mögliche Kostenersparnis auf Anwender- und Betreiberseite, da eine digital signierte Smartcard für vielfältige Anwendungen eingesetzt werden kann.
Die Voraussetzungen für die Einführung solcher fälschungssicherer Smartcards sind theoretisch gegeben, bisher hapert es allerdings noch an der breiten Akzeptanz in der Wirtschaft und bei den Anwendern. Wegweisend dafür, wie sich die Akzeptanz in der Zukunft entwickelt, werden vor allem die aktuellen Entwicklungen im Behörden-Bereich sein: In einigen europäischen Ländern etwa stehen Public-Key-Infrastrukturen (PKI) und digitale Ausweise bereits vor der groß­flächigen Einführung, in Deutschland wird ein solcher Weg erstmals mit der Einführung der Gesundheitskarte beschritten. Auch Banken haben diesen Weg mit dem Angebot einer so genannten »Bankensignaturkarte« bereits beschritten. Die Signaturkarte der Banken beruht auf einer qualifizierten digitalen Signatur, die etwa in Bankfilialen nach Vorlage eines amtlich beglaubigten Lichtbildausweises auf eine Smartcard geschrieben und durch spezielle Lesegeräte mit eigener PIN-Tastatur, die ein Ausspähen der PIN ausschließt, autorisiert wird. Allerdings zeigt sich auch hier bislang eine nur sehr geringe Akzeptanz bei den Bankkunden.
Schon 2003 wurde auf Initiative der Bundesregierung das Bündnis für elektronische Signaturen gegründet, um die Akzeptanz zu erhöhen. Es gibt zahlreiche Einsatzszenarien für solche Signaturkarten. Die Karte, mit der das Online-Banking autorisiert wird, könnte zum Beispiel auch für Behördengänge und andere Anwendungen genutzt werden. Dahinter steckt die Hoffnung, dass sich der Return on Investment (ROI) für die einzelne Karte durch mehrfache Anwendungen erhöhen lässt. Auf der anderen Seite wird die Einführung einer solchen Karte dadurch auch zum Politikum, da sich natürlich verschiedene Betreiber auf ein Vermarktungsmodell einigen müssten, was sich gerade in Deutschland in vergleichbaren Fällen immer als schwierig herausgestellt hat. Letztendlich bleibt der »Schwarze Peter« beim Endanwender. Denn falls sich keine einzelnen oder in Konsortien verbundenen Sponsoren finden lassen, wird er wohl die Kosten tragen müssen. Aber solange man dem Bürger die verschiedenen Anwendungsszenarien nicht schmackhaft machen kann, wird er allein den Nutzen einer erhöhten Sicherheit im Online-Banking in absehbarer Zeit nicht honorieren. Das zeigt die zur Zeit noch schwache Akzeptanz der Bankensignaturkarte. Sie muss durch Umsetzung möglicher Business Cases durch Wirtschaft, Staat und Gesellschaft gefördert werden.