Online-Banking ist nichts für Einsteiger

Die Vorzüge beim Online-Banking klingen verlockend: Per Mausklick kann der Kunde von zu Hause aus Überweisungen tätigen oder den Kontostand abfragen und spart dabei Zeit und Geld. Doch wer seine Bankgeschäfte über das Internet erledigen will, muss sich mit dem Medium auskennen. Denn beim Online-Banking gilt es, strikte Sicherheitsregeln einzuhalten. "Wer sich mit dem Internet noch nicht auskennt, sollte vom Online-Banking besser die Finger lassen", warnt Stephanie Pallasch von der Stiftung Warentest in Berlin. "Man muss wissen, was ein Trojaner ist und wie man sich zum Beispiel mit Virenschutzprogrammen absichert. Die Banken geben hierzu wenig Anleitung, es wird erwartet, dass sich die Online-Kunden damit auskennen."

Für die Sendung "ARD Ratgeber Technik" gelang es einem Angreifer sogar, in den Zentralrechner der HypoVereinsbank einzudringen. Für die Banken kein Grund zur Panik: "Das war ja nur ein Laborversuch", beschwichtigt Kerstin Altendorf vom Bundesverband deutscher Banken (BdB) in Berlin. "Uns sind keinerlei Fälle bekannt, in denen sich Hacker in der Realität bereichert hätten".

Das Interesse am Online-Banking wächst indes ungebrochen: Seit 1999 ist die Zahl der Internet-Bankkonten laut BdB von 10 auf über 15 Millionen gestiegen. Die Banken fördern den Trend, denn Online-Kunden verursachen weniger Kosten. Wer sein Konto über das Internet führt, wird von den Banken mit geringeren Gebühren und diversen Vergünstigungen belohnt. Dabei gibt es bislang verschiedene technische Ausführungen des Internet-Bankings. Als "hochsicher" bezeichnet Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn das neueste Verschlüsselungsverfahren des "Homebanking Computer Interface" (HBCI), auf das sich die Banken 1998 als Standard geeinigt haben. Hierbei kann der Kunde zwischen zwei Bedienungsarten wählen: Einmal erhält er gegen Aufpreis von etwa 20 Euro ein Chipkartenlesegerät für seinen Heimcomputer. Oder er kann beim Einrichten seines Online-Kontos eine "Schlüsseldiskette" erstellen, auf der sich ein per Zufallsgenerator erstellter Code befindet, der dann als seine digitale Unterschrift gilt.

"HBCI hat sich aber noch nicht durchgesetzt, obwohl es die Banken bereits vor Jahren angekündigt haben", sagt Stephanie Pallasch von Stiftung Warentest. Im letzten Test der Stiftung zum Thema Online-Banking im Februar 2002 benutzten von 14 Direktbanken nur fünf den HBCI-Standard. Weiter verbreitet ist eine ältere Methode, bei der die Kunden sich wie beim Geldautomaten mit einer PIN-Nummer beim Zugriff auf ihr Konto identifizieren müssen. Für jede Kontobewegung muss dann eine weitere Transaktionsnummer (TAN) eingegeben werden. Bei dieser Methode liege es am Kunden, ob die Sicherheit gewährleistet ist, sagt BSI-Sprecher Dickopf. Dieser dürfe seine Geheimzahlen zum Beispiel nicht auf seinem Computer abspeichern, sodass sie von Hackern gefunden werden können. "Hundertprozentige Sicherheit wird es aber nie geben."

Andy Müller-Maguhn vom Chaos Computer Club in Berlin unterstreicht dies: "Das Problem ist die grundsätzliche Unsicherheit des Internet und die Angreifbarkeit des Kunden-PCs -- das hat auch HBCI nicht gelöst." Inzwischen gebe es bereits spezielle HBCI-Trojaner, die auf das Manipulieren von Homebanking spezialisiert seien. "Eine vernünftige Schutzmaßnahme ist, dass die Banken mit den Kunden eine Betragsobergrenze für Kontenbewegungen festlegen", so Müller-Maguhn. Denn so könne ein "digitaler Bankräuber" wenigstens nicht auf einen Schlag das ganze Konto leer räumen.

Dabei kritisiert die Stiftung Warentest, dass die Banken im Schadensfall zunächst die Schuld auf den Kunden schieben. Bei einem "digitalen Diebstahl" von seinem Konto muss der Besitzer der Bank in den meisten Fällen erst seine Unschuld beweisen, bevor diese den Schaden mitträgt. "Wenn die Banken wirklich so sehr von der Sicherheit des Online-Bankings überzeugt wären, bräuchten sie diese Beweispflicht nur umzukehren", meint Warentesterin Pallasch.

"Jedes Programm ist nur so sicher wie sein Anwender", entgegnet BdB-Sprecherin Altendorf. Die Kunden würden in den Allgemeinen Geschäftsbedingungen (AGB) der Banken über nötige Sicherheitsmaßnahmen informiert. "Die sollte man sich genau durchlesen. Es gibt beim Online-Banking Sicherheitsregeln, die man beachten muss. Da muss man sich schon an die eigene Nase fassen."

Zu den Sicherheitsregeln gehört neben Virenschutzprogrammen auch die Verschlüsselung der Internetverbindung. Generell rät die Stiftung Warentest dazu, nie von fremden Rechnern auf das Konto zuzugreifen und regelmäßig die eigenen Kontobewegungen zu prüfen. Falls ein Kunde tatsächlich fremde Zugriffe auf sein Konto entdeckt, hilft im ersten Schritt ein einfacher Trick: Dreimal eine falsche PIN-Nummer eingeben -- dann wird das Konto automatisch gesperrt.

Weitere Informationen zum Thema Sicherheit im Internet finden sich auf der Seite "Sicherheit im Internet" der Ministerien für Wirtschaft und Inneres. Eine kostenlose "Sicherheits-CD" kann gegen Einsendung eines frankierten Rückumschlags (DIN C5 frankiert mit 1,53 Euro) bestellt werden beim

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat III 2.1, 
Postfach 200363,
53133 Bonn

Sie enthält Informationen unter anderem über den IT-Grundschutz eines Internet-PC, Maßnahmen zur Datensicherung, Notwendigkeit zur Verschlüsselung von persönlichen Informationen, Schutz vor Viren, Würmern und Trojanern, sichere Konfiguration von Browsern und Anwenderschutz durch Webfilter und Firewalls. (Tobias Schormann, dpa) / (jo)