Internet-Piraten gelingt es immer wieder, fremde Websites zu kapern, um dann die ahnungslosen Kunden der betroffenen Unternehmen zu betrügen. Doch gegen solche Hacker-Angriffe schützen technische Internet-Standards wie DNSSEC (Domain Name System Security Extensions).
In Skandinavien und den Niederlanden sind rund 80 Prozent der wichtigen Websites mit DNSSEC vor Angriffen geschützt. Nicht so in der Schweiz: Hierzulande sind es gerade mal 12 Prozent, wie eine Untersuchung des Internet-Dienstleisters Switch zeigt.
Balkanländer haben Schweiz überholt
«Die Schweiz wird sogar von den Ländern im Balkan wie zum Beispiel Mazedonien mit über 40 Prozent überholt», sagt der Sicherheitsexperte Michael Hausding von Switch. Der Internet-Dienstleister betreibt im Auftrag der Schweizer Universitäten ein Datennetz für die Schweizer Forschung.
Die Erhebung von Switch zeigt, dass ausgerechnet die Schweizer Finanzindustrie ungenügend geschützt ist. «Uns ist nur eine einzige Bank bekannt, die DNSSEC verwendet: Die Bündner Kantonalbank», sagt Hausding.
Mit der Technologie wären Kunden besser vor sogenannten Phishing-Attacken geschützt, bei denen sie von Betrügern ein E-Mail erhalten, das scheinbar von der Bank stammt und über dieses auf eine falsche Website geleitet werden. Dort können die Betrüger den Betroffenen Daten stehlen. Gefährden Banken also die Sicherheit von Kundendaten?
Schutz auf verschiedenen Ebenen
«Der Schutz der Kundendaten hat höchste Priorität», sagt Christian Leugger, Mediensprecher vom Verband Schweizerischer Kantonalbanken (VSKB). «Der Schutz vor Täuschungen, um Personendaten abzuschöpfen, basiert aber auf verschiedenen Ebenen.» Die Authentifikation auf Onlinekanälen sei eine Massnahme, die getroffen werde. «Wichtig sind Massnahmen zur Sensibilisierung und Kontrolle von Transaktionen bzw. die zweifelsfreie Identifikation von Kunden im Falle von Zahlungen.»
Den Bericht zu DNSSEC könne man als Verband jedoch nicht bewerten, sagt Leugger. «Es gibt diesbezüglich keine Weisungen an die Mitglieder. Jede Bank ist frei in der Wahl ihrer Massnahmen, auch der Technologien und entscheidet dies aufgrund ihrer Ausgangslage.»
Politiker schätzen Lage unterschiedlich ein
Für Nationalrat Balthasar Glättli (Grüne/ZH) hingegen ist klar, dass die Banken mehr tun müssten. Wer mit sensiblen Daten geschäfte, brauche zwingend DNSSEC. «Technisch ist es einfach, das zu implementieren. Ich verstehe nicht, dass höchst sicherheitsgefährdete Firmen wie Banken das nicht schon lange gemacht haben.»
Anders schätzt Nationalrat Marcel Dobler (FDP/SG) die Situation ein. Die Banken wüssten um die Wichtigkeit der Datensicherheit, doch es sei eine Kosten-Nutzen-Abwägung: «Die Einführung ist sehr komplex und mit hohen Kosten verbunden. Die Firmen sollen das abwägen und selbst entscheiden.»
Bei Switch ist man nicht allzu optimistisch, dass sich die Sicherheit von Schweizer Websites insgesamt schnell verbessert, obwohl damit begonnen wurde, die nötigen Technologien einzuführen. «Bis man auf einem Stand ist wie in den Niederlanden und Skandinavien, wird es noch ein Jahrzehnt dauern, wenn es im gleichen Tempo weitergeht», meint Michael Hausding.
