Für Bankkunden, die ihre Transaktionen online abwickeln, ist Sicherheit das wichtigste Kriterium. Und dennoch scheitert diese Sicherheit häufig nicht etwa - wie man vielleicht vermuten könnte - an fehlenden technischen Möglichkeiten, sondern am Verhalten ebenjenes Bedieners, dem Menschen.
Zu den Grundregeln, die jeder Onlineban-king-Kunde befolgen sollte, gehören nach Meinung von IT-Fachleuten das Installieren eines - stets aktuell zu haltenden - Virenschutzes und einer Firewall sowie die Benutzung eines sicheren Internetbrowsers. Ob diese Maßnahmen allerdings auch für jeden Kunden zumutbar sind, ist gerichtlich noch nicht endgültig geklärt. Schließlich ist das sicherheitstechnische Aufrüsten des heimischen Rechners gerade für ältere Kunden nicht unbedingt trivial.
Verfahren, die trotz der Versäumnisse von Nutzern eine größtmögliche Sicherheit im Onlinebanking garantieren, existieren durchaus. Beispielsweise das im Jahr 2003 zuerst von der Postbank eingeführte Mobile-TAN-Verfahren gilt derzeit als sicher. Es beruht darauf, für eine Transaktion zwei verschiedene Kommunikationswege zu nutzen. Die Überweisungsdaten werden vom Kunden per Internet-Daten leitung übertragen. Vom Rechenzentrum erhält er dann eine - nur für diesen Vorgang gültige - TAN per SMS aufs Handy geschickt. Das hierfür genutzte GSM-Netz kann derzeit von Angreifern (noch) nicht eingesehen werden.
Doch in den vergangenen fünf Jahren hat sich das Mobile-TAN-Verfahren noch nicht durchgesetzt. Und das liegt nicht nur an dem damit verbundenen technischen Lernaufwand für die Kunden. Offenbar scheuen bisher alle Beteiligten auch die Kosten für das Verfahren.
Zwar kennen (nach Daten einer Untersuchung von TNS-Infratest) etwa 50 Prozent der Verbraucher die kostenlose Mobile-TAN und 23,1 Prozent der Be fragungsteilnehmer nutzen sie auch für ihre Überweisungen. Der Anteil derer, die das Verfahren in Gebrauch haben, obwohl sie bei ihrer Hausbank eine Gebühr dafür entrichten müssen, beträgt hingegen nur ein Prozent.
Von Seiten der Kreditinstitute setzt sich daher langsam eine Bereitschaft durch, den Aufwand für die neusten Sicherheitsstandards zu übernehmen. Bei der Postbank beispielsweise ist die M-TAN für Kunden inzwischen kostenlos. Bis Mai 2008 fiel dafür noch eine Gebühr von sechs Cent pro Transaktion an. So sollen mehr und mehr Kunden zum "sicheren" Onlinebanking bewegt werden. Diese Tendenz wird sich mit der fortschreitenden Professionalisierung der Angreifer sicher noch weiter verstärken - zumal wenn die Schadenssummen steigen.
Die Kreditinstitute ermuntern ihre Kunden durch die entsprechenden Gebührenmodelle seit Jahr und Tag dazu, Transaktionen selbst durchzuführen. Selbstverständlich wurden im Zuge dieser Entwicklung hohe Kostenersparnisse bei den Häusern realisiert. Dass den Kunden daher die jeweils sichersten Verfahren ohne Aufpreis zur Verfügung stehen, sollte selbstverständlich sein.
Zumal es sich bei den Kosten keineswegs um "astronomische" Summen handle, wie die VR-Bank Hessenland, Alsfeld, ver sichert. Das Institut hat die Mobile-TAN für Kunden gebührenfrei eingeführt und den Vorgang für eine Marketingkampagne genutzt. Gleichzeitig wurden die älteren und weniger sicheren Verfahren mit Restriktionen belegt: Wer Papier-TAN nutzt, kann online keine Auslandszahlungen anweisen. Im Inlandszahlungsverkehr ist er auf einen Betrag von 1 000 Euro beschränkt. hm