Für Reto König, Professor für Informatik an der Fachhochschule Bern, ist klar: «So wie wir im Moment unterwegs sind, ist E-Banking fahrlässig.» Auch Pascal Lamia, Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes, bestätigt: «Man ist wohl zu wenig sensibel, und denkt nicht daran, was alles passieren kann. Auf einem Smartphone hat man immer mehr Möglichkeiten, aber dieses Teil ist einfach nicht so sicher.»
2013 hatte Reto König mit seinen Studenten der Berner Fachhochschule ein Angriffsszenario via Smartphone auf eine E-Banking Applikation erarbeitet. Den Studenten gelang es, ihren Dozenten bei einer Transaktion mit einer Bank erfolgreich anzugreifen und sowohl den Betrag als auch den Begünstigten zu verändern.
Mängel im Sicherheitskonzept
Ein perfektes Sicherheitskonzept gibt es nicht, stellt Informatikprofessor König klar und nennt die Vertrauensannahmen, die den E-Banking Lösungen zugrunde liegen
1. Das Sicherheitskonzept geht davon aus, dass bankinterne Filter Alarm schlagen, wenn sich Transaktionen «unüblich» verhalten.
2. Das Sicherheitskonzept geht davon aus, dass dem potentiellen Angreifer die intellektuellen und finanziellen Mittel nicht zur Verfügung stehen, um die E-Banking-Lösung lukrativ anzugreifen.
3. Das Sicherheitskonzept geht davon aus, dass jeder einzelne E-Banking-Kunde es schafft, sich vor dem Angreifer zu schützen, konkret, dass der Kunde sich auf seiner unsicheren Plattform, sei es PC oder Smartphone, keine böse Software (Malware) einfängt.
Bequemlichkeit versus Sicherheit
Auch Pascal Lamia, Leiter der Meldestelle Melani, warnt vor allzu sorglosem Umgang mit E-Banking via Smartphones und Tablets: «Man soll es sich gut überlegen, bevor man mit den kleinen Handys elektronische Zahlungen tätigt.»
Die Banken stehen laut Lamia unter dem Druck ihrer Kunden, die eine möglichst bequeme E-Banking Bedienung fordern. Wer sie nicht bietet, wechselt zu einer anderen Bank, die damit Werbung macht. Zwar gibt es spezielle Geräte, die eine Bankentransaktion sicherer machen. Doch diese Lösung werde kaum angewendet, sagen die Experten. Denn sie garantiert zwar mehr Sicherheit, aber auf Kosten des Komforts.
«Wie sicher ist Ihr E-Banking?» - die Antworten der Banken
| UBS | «Wir hatten bisher noch keine einzige erfolgreiche Attacke weder auf E-Banking noch die Mobile-Banking App.» |
| ZKB | «Sicherheit geniesst für die Zürcher Kantonalbank höchste Priorität, das gilt auch für unser E-Banking und die Nutzung der mobilen digitalen Geräte. Unsere Sicherheitsstandarts entsprechen den neusten Kenntnissen der Branche.» |
| Postfinance | «E-Finance entspricht den gängien Sicherheitsstandards für Online-Banking. Es sind keine Angriffe bekannt, die unsere Loginverfahren knacken. Es gibt aber Betrugsversuche, bei denen Cyberkriminelle die Anwender austricksen und sie zur Herausgabe dieser Zugangsdaten auffordern – z.B. mit Schadsoftware.» |
| Raiffeisen | «Das Raiffeisen E-Banking entspricht den höchsten sicherheits-technischen Ansprüchen.» |
| Credit Suisse | Keine Antwort. |
Banken sehen Kunden in der Pflicht
Das Konsumentenmagazin «Espresso» von Radio SRF 1 hat fünf Banken (UBS, Credit Suisse, Raiffeisen, Zürcher Kantonalbank, Postfinance) befragt. Einhellig geben die Banken zur Auskunft, dass ihre Systeme genügend sicher seien, dass niemand zu Schaden käme und nicht zuletzt, dass auch die Kunden selbst verantwortlich für die Sicherheit seien. Tatsächlich steht in den Geschäftsbedingungen aller Banken, dass sich die Kunden mit geeigneten Massnahmen gegen Hacker- und Virenangriffe schützen müssen.
Was Informatikprofessor Reto König auffällt und sich mit Fällen aus der Hörerpost von «Espresso» deckt: Wenn jemand durch eine Fehlmanipulation oder einen Hackerangriff Geld bei einer Transaktion verliert, stellen sich die Banken zuerst oft stur. Bleibt der Kunde hartnäckig, wird der Betrag «aus Kulanz» überwiesen, jedoch nur gegen das signierte Versprechen, damit nicht an die Öffentlichkeit zu gehen. Reto König: «Nur die Geschädigten merken, wie sich das anfühlt wenn man betroffen ist. Die Anderen bemerken davon nichts, weil die Politik der Banken es ist –wie ich annehmen muss- diese Fälle lieber auszuschweigen, als in die Sicherheit zu investieren.
