|
|
Sicheres Online-Banking: Keine Transaktion ohne separaten Kanal Online-Banking-Verfahren mit der Bankkarte ( Wie können Banken die optimale Sicherheit Ihrer Kunden beim Online-Banking sicherstellen?
Anzeige
Carsten Sommer: Es steht außer Frage, dass ohne einen separaten Kanal außerhalb des PCs die Transaktionssicherheit nicht mehr gewährleistet werden kann. Deshalb setzen immer mehr Banken auf Verfahren wie TAN-Generator, Qualifizierte Elektronische Signatur oder Secoder. Der Secoder beispielsweise verfügt über eine eingebaute Firewall, die die Karte und die Geheimzahl des Nutzers schützt. Er ist mit allen bisherigen Kartenanwendungen kompatibel - auch mit solchen, die nicht von der Kreditwirtschaft bereitgestellt werden. Wie sehen weitere Ansätze aus? Carsten Sommer: Der Einsatz eines vom Zentralausschuss der Kreditwirtschaft (ZKA) begut-achteten, spezifizierten und zugelassenen Authentifizierungssystems auf Basis der eigenen Bankkarte ist sinnvoll. Hier werden sichere Verschlüsselungen über HBCI/FinTS oder eine TAN-Generatorfunktion erzeugt. Die Kombination von Lesegerät und Chipkarte gilt derzeit als zuverlässigster Schutz vor Hackern und Trojanern. Banken, die ihren Kunden z.B. Online-Banking per HBCI-fähiger Chipkarte ermöglichen, positionieren sich im Wettbewerb als besonders sicherheitsbewusste Dienstleister. Darüber hinaus bieten smartTAN/chipTAN und Secoder hohen Schutz gegen Trojanerangriffe. Alle genannten Systeme garantieren zusätzliche Sicherheit durch die Anzeige der Transaktion auf den Gerätedisplays bei gleichzeitiger separater Verifikation durch den Anwender. Zudem wurden sie vom ZKA entwickelt und mit Sicherheitsgutachten zertifiziert. Wie sollte die Auswahl des Sicherheitsmediums erfolgen? Carsten Sommer: Es ist wichtig, das Authentifizierungsmedium anhand strategischer Gesichts-punkte auszuwählen. Die Entscheidung, welches Sicherheitsmedium zum Einsatz kommt, sollte stets aus einem Beratungsgespräch mit dem jeweiligen Filialmitarbeiter resultieren. Grundsätzlich bietet sich jedoch die Kundenkarte der Bank an, nicht zuletzt weil sie durch das Seccos-Betriebssystem in den vergangenen Jahren funktional stark aufgewertet wurde. So ist es möglich, den Kunden durch strategische Beratung im Hinblick auf Online-Produktangebote, -Service sowie -Sicherheit stark an das eigene Kreditinstitut zu binden. Wie beurteilen Sie die
Sicherheit von Online-Banking-Verfahren über das Handy? Carsten Sommer: Im Grunde gibt es nur wenige technische Unterschiede zur Transaktions-abwicklung am PC. Am Rechner jedoch wird stark darauf geachtet, dass beispielsweise eine Punkt-zu-Punkt Verschlüsselung über SSL, HBCI und andere Protokolle besteht. Angeschlossene Chipkartenleser dienen keinem anderen Zweck, als die Sicherheit des Anwenders zu garantieren und stellen selber keine Gefahr dar. Beim Mobiltelefon existieren solche Schutzmechanismen nicht. Es gibt keine Sicherheitszertifizierungen und alle SMS werden unverschlüsselt übertragen und gespeichert. Demzufolge besteht immer die Gefahr, dass diese abgefangen und die Informationen missbraucht werden. Zudem verfügen moderne Mobiltelefone über zahlreiche Fremdanwendungen, die potenziell als Einfallstor für verschiedene Angriffe fungieren können. Der Nutzer importiert sich seine Sicherheitslücke also selbst. Darüber hinaus verfügen Smartphones über vielfältige Möglichkeiten der Speicherung sensibler Daten. Diese können ausgelesen werden und geben dann Aufschluss über das Surfverhalten im Internet und im Extremfall über die finanzielle Situation des Nutzers. Durch die Freigabe von Betriebs-systemen wie beispielsweise Symbian als Open Source wird die Analyse von Schwachstellen durch Hacker künftig stark vereinfacht und ein Anstieg von Angriffen auf Handys wird bereits prognostiziert. Das als sicher beschriebene mTAN-Verfahren für mobiles Banking via Handy ist im Falle eines infizierten Betriebssystems schlicht obsolet. (Reiner SCT: ra) |
||
|
