Sorge um Datenschutz bei Homebanking mit "Letstrade"/"Mein Geld"

Anwender des Homebankingprogramms Wiso Mein Geld 4 laufen Sturm gegen den Hersteller Buhl Data, weil sie fürchten, dass über einen Service des Softwarehauses Daten transparent werden könnten, die bestenfalls die eigene Bank etwas angehen. Der Zusatzservice von Buhl Data namens Letstrade ist unter anderem in WISO Mein Geld 4.0 integriert, funktioniert aber auch als Webportal.

Bei Ausführung einer Transaktion über Letstrade werden alle für diese Transaktion relevanten Daten als sogenannter Bank-Request an Letstrade zur Verprobung geschickt. Hier wird unter anderem geprüft, ob der vom Kunden für seine Transaktion genutzte Bankzugang (etwa CEPT) aktuell ist, ob sich kein Zahlendreher bei der Kontonummer oder Bankleitzahl eingeschlichen hat (Prüfziffernverfahren), ob der vom Kunden gewünschte Bankzugang überhaupt von der Bank und Buhl Data unterstützt wird und ob beispielsweise Beträge und Verwendungszweckzeilen formal korrekt sind (zum Beispieol keine Sonderzeichen in der Betragszeile und so weiter).

Persönliche und sicherheitsrelevante Daten wie PIN, TAN oder HBCI-Schlüssel werden nicht über Letstrade geroutet, sondern ohne Umwege direkt ins Rechenzentrum der gewählten Bank übertragen, heißt es in der offiziellen Stellungnahme des Unternehmens auf Anfrage von heise online. Die Antwort der Bank (Bank-Response) läuft demnach ebenfalls nicht über Letstrade, sondern direkt von der Bank zum jeweiligen Kunden-PC. "Somit besitzt Letstrade keinerlei Möglichkeit, spezifische Kundendaten (wie z.B. die Kundenbuchungen) zu lesen", betonte Dr. Vogel, Entwicklungsleiter bei Buhl Data. Die Sicherheit des Letstrade-Service hat Buhl Data von Integralis prüfen lassen.

Die besorgten Kundenanfragen zu diesem Thema nimmt das Unternehmen offenbar sehr ernst und informiert ab Service-Pack 3 (MG 4.03) ausführlich im Rahmen einer Datenschutzerklärung über diesen Sachverhalt. Kunden, welche die Vorgängerversionen des Release 4.03 bereits installiert hatten, erhalten vor der Ausführung der ersten Bank-Transaktion diese Datenschutzerklärung mit der Möglichkeit, diese zu akzeptieren oder auch abzulehnen. "Die Offline-Funktion des Programms bleibt nach wie vor erhalten, nur die Online-Funktion wird gesperrt", erklärt Dr. Vogel.

Nur werden sich die wenigsten Anwender mit einem Homebankingprogramm ohne Online-Funktion anfreunden können. Daher bietet Buhl Data Kunden im Falle der Ablehnung dieser Datenschutzerklärung an, sich mit dem Unternehmen in Verbindung setzen; sie erhalten auf dem Kulanzwege die Möglichkeit der Wandlung. Die Erklärung kann auch noch zu einem späteren Zeitpunkt akzeptiert werden. Neukunden wird sie zusammen mit den Lizenzbestimmungen präsentiert.

Zur oft gestellten Frage, warum Letstrade überhaupt zwischengeschaltet sei, führt der Entwicklungschef eine Reihe von Vorteilen auf. Allen voran sieht er in der durchgängigen Plausibilitätsprüfung ein Plus für den Anwender. Gemeint ist die Prüfung, welcher technische Bankzugang für den Kunden zu seiner Bank bzw. seinen Banken möglich ist, und dies bereits bei der Einrichtung seiner Konten als auch zu jedem späteren Zeitpunkt. Ferner prüft der Service, ob der vom Kunden genutzte Bankzugang noch Up-to-Date ist. Sollte beispielsweise ein Bankmakro von der Bank verändert worden sein, soll dies von Letstrade automatisch erkannt und bereinigt werden. Die direkte Nutzung des Letstrade-Service über die Webseite, beispielsweise aus dem Büro oder von unterwegs, ist für Buhl Data ein weiteres Argument, das für den Service spricht. (Jörg Birkelbach) / (bb)