Druckerhöhung
Da die Banken bei der Sicherheit ihrer Webauftritte weiterhin schludern, wird es Zeit, dass sich höhere Stellen um das Problem kümmern.
- Daniel Bachfeld
Offenbar haben die Banken den Schuss immer noch nicht gehört und schludern weiter bei der Sicherheit ihrer Webauftritte. Auch beim zweiten Sicherheitstest der anfälligen Banken fanden sich bei jeder einzelnen weitere Lücken. Der Leidensdruck ist für die Banken jedoch gering; letzlich gefährden etwa die weit verbreiteten Cross Site Scripting Lücken nicht die eigene Sicherheit sondern die der Kunden. Webauftritte sind für Kunden aber wie Geschäftsräume: Auch dort erwartet man beim Betreten eigentlich nicht, von Kriminellen hinters Licht geführt zu werden. Kunden können zwar immer mit den Füßen abstimmen und die Bank wechseln, da aber in diesem Fall so viele Banken betroffen sind, fällt das schwer. Zeit also, dass sich eine höhere Stelle des Problems annimmt.
Als erstes fällt mir der Zentrale Kreditaussschuss (ZKA) ein, der sonst als Interessenvertretung der Kreditwirtschaft für klare und zumeist sichere Standards wie HBCI sorgt und etwa bei der Kartentechnik Herstellern erst nach einer quälenden Testprozedur eine Zulassung erteilt. Solche Standards und Tests fehlen offenbar bei der Gestaltung von Webauftritten der Banken, obwohl mittlerweile jeder zweite Kunde regelmäßig Online-Banking nutzt.
Warum schreibt das ZKA nicht einen halbjährlichen Test der Web-Auftritte durch einen zertifizierten Gutachter vor, dessen Prüfungsergebnisse auf der Site offengelegt werden müssen? Das schlägt gleich zwei Fliegen mit einer Klappe: Zum einen motiviert es Banken, sich in Bezug auf Sicherheit weniger Blößen zu geben. Zum Anderen dürfte sich auch bei den Testern die Spreu vom Weizen trennen – etwa wenn ein Schüler Lücken in der gerade als sicher getesteten Börsen-App findet.
Richtig Dampf machen könnte vielleicht auch unsere umtriebige Verbraucherschutzministerin. Nach der Bildverpixelung bei Google Street und Radiergummis im Internet könnte Ilse Aigner sich endlich eines Themas annehmen, bei der ihr auch die Experten nicht widersprechen. Dabei bekommt sie mit Sicherheit sogar Schützenhilfe vom Innenminister, der erst kürzlich wieder mehr Schutz beim Online-Banking und beim Abheben am Geldautomaten (Skimming) forderte.
Sollte das alles nicht fruchten: Worauf Banken immer schnell und allergisch reagieren, ist schlechte Publicity in den Medien. Damit wird letztlich der Kunde zum Korrektiv, der Lücken aufdeckt und an die Presse meldet. Das führt zwar zunächst nur zu punktuellen Korrekturen, aber es mehren sich die Anzeichen, dass Banken auch ihre Prozesse zur Qualitätssicherung überdenken. Schau'n mer mal ...
