Bankkunden-Umfrage zum Thema Sicherheit beim Online-Banking

Vertrauen ins Online-Banking sinkt weiter

(01.02.07) - RSA, The Security Divison of EMC, veröffentlichte die Ergebnisse ihrer vierten jährlichen Bankkunden-Umfrage zum Thema Sicherheit beim Online-Banking. Dabei wurden im Dezember letzten Jahres 1678 Bankkunden aus acht Ländern (unter anderem Deutschland, Frankreich, Spanien) nach ihrer Meinung zu den aktuellen Bedrohungen wie Phishing, Vishing und Keylogging sowie den Bemühungen ihrer Finanzinstitute, die Authentifizierung beim Internet-Banking auszu-bauen, befragt.

Die wichtigsten Ergebnisse der Umfrage sind wie folgt:

· 91 Prozent der Kontoinhaber sind bereit, eine neue Authentifizierungsmethode zu nutzen, die über den "Benutzername-Passwort/PIN-Standard“ hinausgeht (73 Prozent wünschen von ihrer Bank die Nutzung von risikobasierter Authentifizierung)

· 69 Prozent der Kontoinhaber meinen, dass Finanzinstitute Benutzername/Passwort/PIN durch stärkere Authentifizierung beim Online-Banking erweitern sollten

· 58 Prozent glauben, dass Finanzinstitute stärkere Authentifizierung beim Telefon-Banking einführen sollten

· 82 Prozent der Kontoinhaber wünschen sich von ihrer Bank, dass diese ihre Online- und Telefon-Banking-Sitzungen hinsichtlich Unregelmäßigkeiten überwacht - entsprechend den bereits gängigen Methoden bei Kreditkartentransaktionen

Außerdem schwindet das Vertrauen in den Online-Channel weiter. 82 Prozent der Kontoinhaber mögen aus Angst vor Betrügereien nicht auf eine E-Mail von ihrer Bank antworten (2005 waren es noch 79 Prozent, 2004 nur 70 Prozent). Mehr als die Hälfte gab an, dass sie deshalb weniger wahrscheinlich Online-Banking nutzen wird oder sich dafür registrieren lässt. Darüber hinaus sind 44 Prozent außer über Phishing über neuartige Bedrohungen, wie zum Beispiel Trojaner und Keylogger, besorgt.

Kontoinhaber wollen stärkere Authentifizierung

Nach ihren Ansichten zur Authentifizierung beim Online-Banking befragt, gaben 69 Prozent der Teilnehmer an, dass sie glauben, ihre Bank sollte etwas sichereres als nur die einfachen und statischen Benutzernamen und Passwörter/PIN verwenden; mehr als die Hälfte (58 Prozent) wünscht dies auch im Fall von Telefon-Banking. Unter den 91 Prozent der Kontoinhaber die angaben, gerne eine neue, über das simple Username/Password/PIN hinausgehende Authentifi-zierungsmethode zu nutzen, sagten 43 Prozent, dass sie dies sehr gerne tun würden und sich proaktiv dafür anmelden würden. 48 Prozent hätten nichts dagegen und würden sich anmelden, falls dies ein einfacher Vorgang wäre und sie die Zeit dazu hätten.

Unterschiedliche Ansichten bei der Wahl der bevorzugten Authentifizierungsmethode

Wenn sie die Wahl zwischen unterschiedlichen Authentifizierungsmethoden hätten (darunter Hardware-Token, personalisierte Bilder und risikobasierte Authentifizierung), würde die über-wiegende Mehrheit der Befragten (73 Prozent) die risikobasierte Authentifizierung bevorzugen. Risikobasierte Authentifizierung beinhaltet eine für den Kontoinhaber unsichtbare Bewertung seiner Nutzeridentität anhand verschiedener Faktoren, darunter Netzwerk- und Computerdaten und das Transaktionsverhalten. Im Falle einer als risikoreich bewerteten Transaktion kann zur weiteren Absicherung zusätzlich ein automatischer Telefonanruf oder die Abfrage einer geheimen Frage erfolgen. Risikobasierte Authentifizierung ist daher so ausgelegt, dass sie besonders hohe Sicherheit bei gleichzeitig minimaler Beeinträchtigung des Nutzers bietet - ein Konzept, das von den Befragten äußerst positiv bewertet wird.

Weltweit gaben 40 Prozent der Umfrageteilnehmer an, dass sie gerne Hardware-Token zur Authentifizierung nutzen möchten. Die stärksten Befürworter dieser Technologie befinden sich im asiatisch-pazifischen Raum und in Europa, vor allem in Spanien (50 Prozent), Deutschland, Singapur und Indien (jeweils 46 Prozent). Gegebenenfalls ihre Bank führt Token ein, würde rund die Hälfte (49 Prozent) aller Antwortenden es schätzen, denselben Token auch zum Login bei anderen Webseiten nutzen zu können.

Etwa 56 Prozent aller Befragten würden gerne personalisierte Bilder zur Authentifizierung bei ihrem Online-Banking-Portal nutzen. Rund 53 Prozent messen diesem Verfahren eine hohe Sicherheit bei, bei dem der Nutzer ein nur ihm bekanntes Bild auswählt, welches gewährleistet, dass er auf der echten Website der Bank ist und nicht auf einer gefälschtem, die dem Betrug dient.

Ein weiteres interessantes Ergebnis der Studie ist die Tatsache, dass obwohl Kunden zusätzliche Sicherheitsmaßnahmen wünschen, lediglich 39 Prozent von ihnen angaben, sich irgendeiner Art zusätzlicher Sicherung seitens der Bank bewusst zu sein (z.B. personalisierte Bilder, risikobasierte Authentifizierung, Einmal-Passwort).

Kontoinhaber wünschen sich von ihrer Bank die Überwachung der Online- und Telefon-Banking-Aktivitäten

Der Umfrage zufolge wünschen sich 82 Prozent der Kontoinhaber die Überwachung ihrer Transaktionsvorgänge nach Anzeichen von verdächtigen Unregelmäßigkeiten, genauso wie dies derzeit bei Kreditkartentransaktionen geschieht. 51 Prozent möchten in einem derartigen Fall von ihrer Bank kontaktiert werden. Die stärksten Befürworter eines solchen Monitorings sind die Briten mit 93 Prozent, unter Deutschen sind 84 Prozent für eine derartige Transaktionsüberwachung.

Vertrauen in Online-Banking sinkt weiter, während die Besorgnis über aufkommende Gefahren wächst

Die Finanzinstitute arbeiten daran, ihre Umsätze zu steigern, indem sie möglichst viele Kunden zum Online-Banking bewegen wollen, etwa durch die Einführung neuartiger Features und Funktionalitäten. Die Umfrage zeigt jedoch, dass die Banken ihre Kunden vor allem mit dem Thema Sicherheit ansprechen müssen, damit das Vertrauen in das Internet-Banking nicht weiter sinkt. Vier von fünf Kontoinhabern sind aufgrund von Betrügereien wie etwa Phishing abgeneigt, auf E-Mails ihrer Bank zu antworten. Dazu gaben 52 Prozent sogar an, sie würden eher nicht Online-Banking betreiben bzw. sich dafür anzumelden.

Die Umfrage wurde von RSA in Auftrag gegeben und von Online-Marktforschungsunternehmen Infosurv durchgeführt. (RSA: ma)