Bei Bankgeschäften im Internet steigen die Betrugszahlen. Wie schlecht ist es um das Onlinebanking in Deutschland bestellt?
Das Onlinebanking in Deutschland hat immer noch einen anerkannt hohen Sicherheitsstandard. Mehr als 30 Millionen Deutsche erledigen ihre Bankgeschäfte im Internet. Und das trotz der Berichterstattung über Betrügereien und Phishing. Schauen wir auf die nachfolgende Generation, die multimedial heranwächst, dann wird sich der Anteil der Onlinebanker sicher auch weiter signifikant erhöhen. Ich sehe daher eine eher positive Entwicklung.
Bisher ist kein Kunde der Postbank zu Schaden gekommen. Im Einzelfall hat die Postbank sich kulant gezeigt. Dennoch nimmt die Onlinesicherheit seit Auftreten erster Phishingfälle vor sechs Jahren bei der Postbank einen noch höheren Stellenwert ein. Sie ist zu einem Hauptaugenmerk geworden. Und geht es um neue Schutzmaßnahmen gegen Phishing und Co., erreicht die Postbank stets die Poleposition. Dazu gehören zum Beispiel die i-TAN, die E-Mail-Signatur und die kostenlose Mobile-TAN. 2010 haben wir erneut investiert und das Chip-TAN-Comfort-Verfahren umgesetzt. Wir sind damit die erste Großbank in Deutschland, die ihren Kunden dieses Verfahren bundesweit anbietet. Und last but not least werden wir ab Mitte April 2011 die i-TAN-Papierliste für alle Privatkunden nicht mehr einsetzen.
Wir haben uns im Übrigen für eine schrittweise Ablösung der i-TAN-Papierliste entschieden, weil wir unsere über vier Millionen Onlinekunden langsam an die Umstellung gewöhnen möchten. In einem ersten Schritt erhalten Neukunden, die sich für die Mobile-TAN entscheiden, seit 1. November 2010 keine Papierliste mehr. Als nächstes stellen wir den Versand der i-TAN-Listen ein. Gleichzeitig wird Nutzern der Mobile-TAN beziehungsweise der Chip-TAN die i-TAN im Onlinebanking deaktiviert. Denn Umsteiger auf die neuen Verfahren benötigen die Papierliste nicht mehr. Mitte April 2011 schalten wir die i-TAN für alle Privatkunden komplett ab.
Was sind die Gründe für das Einstellen des i-TAN-Verfahrens?
Klassisches Phishing wird für Kriminelle immer uninteressanter. Dank der guten Aufklärungsarbeit von Banken, Polizei und Medien ist es gelungen, Onlinekunden vor diesen Gefahren zunehmend zu schützen.
Betrüger setzen deshalb vermehrt auf sogenannte "man-in-the-middle"-Angriffe. Bei dieser Masche wird mittels eines Schadprogramms auf ungeschützten Rechnern die i-TAN abgefangen und zur Manipulation von Onlineüberweisungen genutzt.
Das geschieht meist vom Kunden unbemerkt. Fällt der Missbrauch auf, befindet sich das Geld bereits in Händen virtueller Diebe. Grund genug, dass wir uns langsam von der i-TAN verabschieden und sicherere Verfahren in den Fokus rücken. Denn die Chip-TAN und die Mobile-TAN schützen vor diesen Gefahren und versetzen den Kunden in die Lage, derartige Manipulationen sofort zu erkennen.
Das i-TAN-Verfahren bietet nur dann ausreichende Sicherheit, wenn beide - also Bank und Kunde - entsprechende Schutzmaßnahmen ergreifen. Ein Airbag allein kann auch keinen Unfall vermeiden. Der Fahrer muss mit umsichtiger Fahrweise seinen Teil zur Vermeidung von Unfällen beitragen. Soll heißen: Der Kunde sollte ebenfalls ausreichende Schutzmaßnahmen ergreifen, damit Betrügern das Handwerk gelegt werden kann. An erster Stelle steht dabei der Schutz des heimischen Rechners. Dazu gehören eine Firewall, eine aktuelle Antivirensoftware und die Durchführung regelmäßiger Updates des Betriebssystems. Hinzu kommt ein gesundes Misstrauen gegenüber ungewöhnlichen Ereignissen auf dem PC.
Weshalb bieten Sie zwei unterschiedliche Autorisierungsverfahren zur Auswahl an. Verunsichert das nicht die Kunden?
Welches Verfahren das Richtige für den Kunden ist, ist eine Frage des persönlichen Nutzerverhaltens beziehungsweise des Geldbeutels.
Der TAN-Generator ist unabhängig von Funknetzen und auch im Ausland einsetzbar. Er kostet jedoch einmalig - je nach Ausführung - knapp zwölf bis 15 Euro. Erhältlich ist er im Web-Shop der Postbank, aber auch in allen 1100 Postbank Finanzcentern. Wer bereits einen TAN-Generator seiner Sparkasse oder Volksbank nutzt, kann diesen selbstverständlich auch einsetzen.
Entscheidet sich der Kunde für unser Standardverfahren Mobile-TAN, schont er sein Portemonnaie, weil die Postbank die SMS-Kosten trägt. Und über ein Mobiltelefon verfügt ohnehin nahezu jeder Bankkunde.
Sind die Verbraucher mittlerweile so weit für das Thema Sicherheit sensibilisiert, dass sie dafür auch ihren (finanziellen) Beitrag zu leisten bereit sind?
Für Postbank-Kunden bleibt Onlinebanking selbstverständlich kostenlos - deswegen bieten wir mit der mobilen TAN auch eine bequeme und kostenfreie Alternative.
Wir stellen seit Einführung der Chip-TAN im November 2010 jedoch auch fest, dass das Interesse an Chip-TAN-Generatoren groß ist.
Der moderate Preis wird akzeptiert, und die Kunden erkennen zudem den Vorteil, dass man den Leser kontenunabhängig nutzen kann. Das heißt, ein Generator reicht für die ganze Familie - nicht jeder muss ein Gerät besitzen.
Und wer bereits einen TAN-Generator der neueren Generation seiner Sparkasse oder Volksbank besitzt, kann diesen ebenso für seine Bankgeschäfte bei der Postbank einsetzen.
Welcher Anteil der Kunden wird sich Ihrer Schätzung nach für die SMS-Variante entscheiden, welcher Anteil für den TAN-Generator?
Viele Kunden setzen bei der Sicherheit ihrer Bankgeschäfte nicht nur auf ein Pferd und nutzen die Mobile-TAN und die Chip-TAN parallel. Der Trend geht aber klar zur kostenlosen mobilen TAN.
Rechnen Sie für eine Übergangszeit mit einem Anstieg des beleghaften Zahlungsverkehrs?
Nein. Papier ist für Onlinebanker keine Alternative, auch wenn ihnen bei der Postbank Überweisungsträger inklusive kostenfreie Briefumschläge zur Verfügung stehen. Onliner greifen da schon eher zum Hörer und überweisen per Telefonbanking oder bedienen die Serviceterminals in den Postbank Finanzcentern.
Was macht bei den neuen Verfahren die Sicherheit aus ?
Sowohl die Chip-TAN-Comfort als auch die Mobile-TAN arbeiten nach dem gleichen Sicherheitsprinzip, der sogenannten "Kanaltrennung" oder "Zwei-Wege-Absicherung". Das heißt Eingaben des Kunden erfolgen am Computer, die Anzeige der Daten erfolgt am mobilen Endgerät beziehungsweise auf dem TAN-Generator.
Die besondere Sicherheit beider Verfahren liegt also in der Unabhängigkeit zweier Geräte beziehungsweise Kanäle. Kriminelle können zwar mit Schadsoftware den Rechner verseuchen, aber nicht gleichzeitig das Handy oder den Leser manipulieren. Der Kunde ist außerdem bei beiden Verfahren in der Lage, Missbrauch sofort zu erkennen. Die Haftungsregeln ändern wir jedoch nicht.
Auf der "Payment World 2010" warnte Mirko Manske vom BKA, dass professionelle Hacker bereits die Beta-Version von Verfahren zu Angriffen auf Mobile-TAN-Systeme parat haben. Ist die Mobile-TAN somit auch nur eine Übergangslösung?
Wie lange die Sicherheit eines Verfahren hält lässt sich immer schwer einschätzen. Damit die Sicherheit der Mo-bile-TAN möglichst lange währt, haben wir bereits 2009 entschieden, die Mobile-TAN nicht auf den mobilen Bankingangeboten der Postbank anzubieten. Nicht zuletzt wegen der sonst aufgehobenen Kanaltrennung, die die
Mobile-TAN im Zusammenspiel mit dem Onlinebanking-PC so sicher macht.
Die Zyklen, in denen neue Sicherheitsverfahren einander ablösen, werden immer kürzer. Welche "Halbwertzeit" geben Sie dem TAN-Generator?
Auch dies lässt sich nur schwer prognostizieren. Die Sicherheitsstandards der Mobile-TAN und der Chip-TAN werden jedoch im Zentralen Kreditausschuss und in den Bankenverbänden ständig überprüft, weiterentwickelt und standardisiert.
Im vergangenen Jahr hat Visa mit der DKB unter dem Namen "Code Sure" Display-Karten mit integriertem TAN-Generator auf der Kartenrückseite pilotiert und bietet diese auch als Alternative zu anderen Sicherheitsverfahren für das Onlinebanking an. Warum nutzt die Postbank nicht diese "Dynamic Passcode Authentication" - zumal das Debitportfolio ohnehin gerade auf V-Pay umgestellt wird?
Das von Europay, Mastercard und Visa beschriebene DPA "Dynamic Passcode Authentication" (VISA) oder CAP "Chip Authentication Program" (Mastercard) Verfahren ist in Deutschland wenig verbreitet. Die Postbank hat sich daher für den im ZKA zwischen allen Banken abgestimmten Chip-TAN-Standard auf Basis des Seccos Betriebssystems entschieden. Leider sind die TAN-Generatoren nicht untereinander austauschbar (kompatibel) sodass ein CAP-TAN-Generator mit einer Postbank Card nicht funktioniert.
Sind für das laufende Jahr weitere Neuerungen geplant?
Wir bauen für unsere Kunden die Sicherheit im Onlinebanking weiter aus und wollen die Usability unserer Anwendungen verbessern. Deshalb legen wir unsere beiden Bankingportale "Postbank direkt" und "Postbank Onlinebanking" zusammen. Unsere Kunden erwartet eine noch modernere Benutzeroberfläche mit vielen bewährten und neuen Funktionen. Und natürlich sind die Mobile- TAN und die Chip-TAN-Comfort mit an Bord.