Deutsche Systeme für Online-Banking sind sicher!
Der vermeintliche Angriff auf Verschlüsselungen im Internet, über den dieser Tage in vielen Medien berichtet wird, betrifft nicht die deutschen Systeme für Online-Banking, wie die Deutsche Kreditwirtschaft am Freitag vergangener Woche in einer Presseerklärung verlautbaren ließ.
Damit stellt die DK klar, dass die von der deutschen Kreditwirtschaft verwendeten Verfahren und Algorithmen sowohl von den Bundesdatenschutzbehörden wie auch von der deutschen Bankenaufsicht als sicher anerkannt wurden für das Bankengeschäft. Zugleich dementiert die Deutsche Kreditwirtschaft, dass die deutschen Online-Banking-Systeme geknackt worden sind.
Dabei geht die DK auch darauf ein, dass sowohl SSL und TLS (der Nachfolgestandard von SSL) nur „als Vertraulichkeit der Informationen verwendet“ werden. Die Sicherheit der Transaktionen selbst, die beim Online-Banking durchgeführt werden, wird durch die TAN-Verfahren gewährleistet. Diese können je nach Bank ganz unterschiedlich sein, sowohl mobileTAN die auch chipTAN werden häufig verwendet, aber auch die noch recht neue TAN-Variante, die PhotoTAN wie auch die SmartTAN plus. Dazu kommt das HBCI-Verfahren, das chipkartenbasiert ist. Zudem gab die DK bekannt: „Die Deutsche Kreditwirtschaft wird die Fakten zu dem Thema weiterhin sorgfältig prüfen, sobald konkretere Informationen vorliegen.“
Damit wird deutlich, dass ein Zugriff beim Online-Banking durch das „Knacken“ der SSL-Verschlüsselung (der aber der TLS-Verschlüsselung) immer noch keinen wirklichen Einblick darin bieten kann, welche Transaktionen selbst durchgeführt werden, da diese durch die jeweilige TAN autorisiert und damit angestoßen werden. Online-Banking ist damit nach wie vor sehr sicher, die einzige unsichere Variable bringt oft der Bankkunde herein, der nachlässig mit seinen Kontodaten und / oder Kreditkartendaten umgeht und es Internetbetrüger damit sehr einfach macht, auf sein Geld zuzugreifen.
Hier kann jedoch der beste Schutz der Bank nicht helfen, wenn der Kontoinhaber selbst kein sicherheitsbewusstes Handeln an den Tag legt und sich nicht ausreichend schützt vor so genannten Phishing-Mails. Diese sollten nicht geöffnet, sondern immer direkt gelöscht werden. Links in solchen vermeintlichen Bankmails (oder von anderen Finanzdienstleistern wie PayPal, MasterCard und Co.) sollten NICHT angeklickt werden – und schon gar nicht sollte eine Eingabe der Kundendaten erfolgen. So kann der Bankkunde sich selbst schützen vor unbefugten Zugriffen auf sein Konto – oder sie eben zulassen, indem er nicht nachdenkt, während er sich im Internet bewegt.