Studie: Österreichische Online-Banking-Dienste sind verbesserungswürdig

Die Online-Banking-Dienste österreichischer Banken bieten "Basissicherheit", sind aber allesamt verbesserungswürdig. Dies ist das Ergebnis einer Untersuchung, die die Österreichische Gesellschaft für Datenschutz Arge Daten im Auftrag des österreichischen Sozialministeriums erstellt hat. Getestet wurden 19 österreichische Finanzinstitute. Das Testfeld umfasste insgesamt zehn unterschiedliche technische Systeme von sieben Herstellern. Probleme gab es vor allem in den Bereichen technische Sicherheit, juristische Vertragsgestaltung und Datenschutz.

Kein einziges Angebot erhielt die Note "sehr gut". Zwei Banken, die sich ein technisches System teilen, erhielten ein "gut", elf weitere (sechs Systeme) ein "befriedigend" und sechs Geldinstitute (vier Systeme) lediglich ein "genügend". Selbst die Regel für sichere Webapplikationen (ONR 17700) des Österreichischen Normungsinstituts erfüllen nicht alle Banken.

Bei den 19 Kreditinstituten wurden von August und bis Mitte November 2006 rund 150 Kriterien überprüft. Bewertungsrelevant waren unter anderem die Datenerhebung bei der Kontoeröffnung, die Zusammenstellung von Unterlagen und Informationen, die Zustellung des Codes (PIN, TAN) und die Funktionsweise des Online-Bankings. Mit 82 und 79 Prozent der möglichen Punkte erhielten die BKS und die BTV die Note "gut". Beide setzen auf das System der Drei-Banken-EDV GmbH. Der Volksbank Wien reichten 71 Prozent für Platz drei – sie nutzt die Softwareversion 7.20 der ARZ. Schlusslicht ist die Sparda Linz, die nur 59 Prozent der maximalen Punkte erreichte.

Die Liste der Kritikpunkte ist lang: So funktionieren einige Online-Dienste nicht, wenn der Kunde die Sicherheitseinstellungen seines Internet Explorer 6.0 entsprechend den gängigen Empfehlungen konfiguriert. Stellt eine Bank für so einen Fall überhaupt Unterlagen bereit, sind diese teilweise falsch oder unvollständig. Der Telefonsupport gibt absurde Tipps wie das Abschalten von Firewall und Virenscanner oder empfiehlt unnötig unsichere Browsereinstellungen.

Bei Kontoeröffnung werden in vielen Fällen nicht erforderliche Daten erhoben – was dem Datenschutzgesetz widerspricht. Die Übermittlung der Vertragsbedingungen dauert zwischen 50 Minuten und vier Wochen. Häufig klären Banken ihre die Kunden nicht über Haftungsbestimmungen auf. Teilweise wird versucht, Konsumenten für Fehler der Post bei der TAN-Zustellung haften zu lassen. Eine Bank verpflichtete ihre Kunden dazu, ihr Passwort alle zwei Monate zu wechseln – ohne die Nutzer daran zu erinnern. Dahinter könnte der Versuch stehen, die Haftung komplett abzuwälzen.

Zum Teil werde sogar technischer Unsinn vereinbart oder es würden veraltete Informationen ausgegeben, berichtete Hans Zeger von der Arge Daten heute in Wien. Bei einem Kreditinstitut ist demnach die Post für die Datenübertragung zuständig. "Es gibt auch keine Bank, die wirklich klare Richtlinien hat", so Zeger, "und nicht überall kann man rund um die Uhr den Online-Zugang sperren lassen." Auch werde nirgends definiert, wie schnell eine Sperre greife.

Selbst reine Online-Banken geben keine Verfügbarkeitsgarantien für ihre Dienste. Und sogar den Vorschriften über die Registrierung der Online-Banking-Angebote im Datenverarbeitungsregister kommen die Finanzinstitute nicht oder nur ungenügend nach. Nur ein Anbieter ermöglicht Limits für Online-Überweisungen. Ebenso verhindert nur ein einziges System, dass Festlegen unsicherer Zugangspasswörter.

Wenig Verständnis hat Zeger dafür, dass acht Geldinstitute noch auf das veraltete TAN-System setzen, bei dem die Transaktionsnummern in beliebiger Reihenfolge gültig sind. Nur die beiden mit "gut" bewerteten Banken setzen ausschließlich auf das Token-Code-Verfahren, bei dem ein kleines Gerät jede Minute einen 60 Sekunden gültigen Code ausgibt. Digitale Signaturen sind bei weniger als 0,5 Prozent aller Nutzer im Einsatz. Auch Mobile Codes, die vom Server per SMS auf das Handy des Kunden geschickt werden, haben geringe Marktanteile.

Nicht überprüft wurde, ob die Online-Banking-Angebote auch für Blinde und Sehschwache nutzbar sind. (Daniel AJ Sokolov) / (spo)