Multimedia/Banken/Sicherheit/
-- Von Timo Lüge --
München (ddp). Internet-Banking boomt - allein in Deutschland stieg die Anzahl der Online-Konten in den letzten vier Jahren um das Siebenfache auf über 6,6 Millionen. Doch viele Internet-Nutzer haben Bedenken. Durch einen neuen Sicherheitsstandard und geänderte Geschäftsbedingungen wollen die Banken deshalb das Vertrauen in den Schalterbesuch per Computer stärken.
Zur Zeit müssen Onlinekunden in der Regel drei Nummern zur Hand haben, um auf ihr Konto zugreifen zu können: die Kontonummer, eine gleichbleibende, persönliche Identifikationsnummer (PIN) und die sogenannte Transaktionsnummer (TAN). Im Gegensatz zur PIN kann eine TAN immer nur einmal verwendet werden. Onlinekunden erhalten deshalb lange Listen mit zahlreichen TANs, die allmählich verbraucht werden. Doch das ist unbequem und führt häufig dazu, dass Bankkunden die PIN und TAN am selben Ort verwahren, was wiederum ein Sicherheitsrisiko ist.
Beim neuen Sicherheitsstandard «HBCI» (Home Banking Computer Interface) muss der Kunde neben der Kontonummer nur noch eine einzige Nummer oder ein Passwort eingeben, das aus bis zu acht Zeichen bestehen kann. Dennoch ist HBCI nach Meinung von Experten sicherer als das bisherige System. Denn neben dem Passwort wird auch noch eine spezielle Chipkarte und ein entsprechendes Lesegerät benötigt, um auf das Konto zuzugreifen. «Wir sprechen von Besitz und Wissen», erklärt Isabel Münch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Zugangsbedingungen zu einem HBCI-Konto. Aus Sicht der Behörde garantiere HBCI «Rundumsicherheit».
Banken und Sicherheitsexperten HBCI loben. Das liegt vor allem daran, dass die Verschlüsselung bei diesem System wesentlich stärker ist als bisher. Bei der Abwicklung von Bankgeschäften über Netscape oder den Internet Explorer hingegen werden die Daten nach Meinung der BSI-Expertin oft nicht ausreichend geschützt. Einige dieser Systeme konnten in Versuchen - je nach Rechnerleistung - innerhalb von Stunden oder Wochen geknackt werden. Anders bei HBCI: Um dessen Verschlüsselung zu knacken, seien mehrere Jahre Großrechnerzeit nötig, erklärte Informatik-Professor Hartmut Pohl von der Fachhochschule Rhein-Sieg der Nachrichtenagentur ddp.
Eine Schwachstelle gibt es allerdings - den Verbraucher. Denn bei HBCI darf der Benutzer die PIN beziehungsweise das Passwort selbst bestimmen. Es besteht also die Gefahr, dass Benutzer den Namen der Freundin oder den Geburtstag als Passwort oder PIN nehmen.
«Ein gewisser Teil der Verantwortung wird sicher in die Hand des Benutzers gelegt», wendet auch Isabel Münch ein. Allerdings sei dies immer noch besser, als wenn Nutzer sich PINs auf die Scheckkarte schreiben, da sie sich die Nummer nicht merken können. Dies sieht auch Andy Müller-Maguhn, Pressesprecher des Chaos Computer Club (CCC), ähnlich: «Es gibt immer das Problem, dass ein System entweder benutzerfreundlich oder sicher ist.»
Der CCC fordert deshalb, dass unabhängig von der eingesetzten Technik, die Beweislast umgekehrt werden müsse. Zur Zeit verlangen die meisten Banken, dass der Kunde bei einer fehlerhaften Überweisung selbst beweisen muss, dass er nicht Schuld ist. «Es kann aber nicht sein, dass der Kunde bei Einführung einer neuen Technik das Risiko tragen muss», meint Müller-Maguhn.
In Deutschland gibt es nach Informationen des Bundesverbands Deutscher Banken zur Zeit nur zwei Banken, die diesen Weg gegangen sind: die Netbank (http://www.netbank.de) und die BfG Bank (http://www.bfg.de). Bei diesen Unternehmen gilt das Prinzip, dass der Kunde unschuldig an eventuellen Fehlern ist, es sei denn die Bank kann das Gegenteil beweisen.
Mehr Informationen:
Erläuterung des HBCI-Standards durch den Zentralen Kreditausschuss:
http://www.hbci-zka.de
Homebanking-Studie des Marktfoschungsunternehmen Infratest:
http://www.infratest.de/infratest/de/news/presse03.htm