Banken vs. Phishing: Ein Plädoyer für Maßnahmen, die normalen Nutzern helfen

Phishing funktioniert, wenn Nutzer unaufmerksam sind. Umso wichtiger wäre daher, dass Banken ihre Kunden besser schützen und unterstützen, meint Markus Montz.

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen

(Bild: Shutterstock.com/ bearbeitet von heise online)

Lesezeit: 2 Min.

"Ihr Konto wurde gehackt! Bitte klicken Sie hier, um sich im Onlinebanking anzumelden!" Jeder erfolgreiche Phishing-Angriff setzt voraus, dass ein Nutzer sich täuschen lässt. Doch Menschen können auch mal unaufmerksam sein oder die aufgetischte Geschichte in der Phishing-Mail passt zufällig zu einer Unklarheit auf dem Bankkonto. Darauf bauen die Täter, kalkuliert und professionell. Erst jüngst warnte das BSI vor schwindender Sorgfalt bei Bankkunden. Das gilt es zu verbessern.

Ein Kommentar von Markus Montz

Markus Montz ist Redakteur im c’t-Ressort Internet, Datenschutz & Anwendungen. Dort schreibt er unter anderem über Finanztechnologie und Gesundheits-IT.

Noch mehr Initiative erwarte ich aber von den Banken. Um es vorweg zu sagen: Ihre Experten tun viel für die Betrugsprävention; sie kennen die kriminellen Tools aus dem Darknet. Prüfalgorithmen und Bankmitarbeiter verhindern außerdem mehr Betrug, als Kunden je erfahren.

Ich sehe trotzdem Luft nach oben. Das Passwort in Verbindung mit der TAN ist ein Beispiel dafür. Sie stellen dankbare Ziele für Phishing dar. Betrüger können beides live abfangen und verwerten. Warum arbeiten Banken also nicht konsequent an einer Authentifizierung mit phishingsicheren Webstandards wie Passkeys, um Passwort und TAN abzulösen? Damit wären Phishing-Webseiten auf einen Schlag nutzlos.

Noch schneller könnten die Geldhäuser ihre Kommunikation verbessern. Woher soll Otto Normalverbraucher wissen, was "Kundenauthentifizierung 2FA" auf dem Display seines TAN-Generators oder Smartphones bedeutet? Warum nicht "Wollen Sie Ihr Onlinebanking betreten?", bei Bedarf gefolgt von Angaben zu Geräten und deren Standorten? Wie wäre es mit einem prägnanten Hinweis auf die Betrugsrisiken plus einer obligatorischen Denkpause, bevor die Bank die Kreditkarte für Apple Pay oder gar ein neues Freigabegerät aktiviert? Hilfreich wäre auch ein eindeutiger Abgleich von Ziel-IBAN und Empfängername. Zumindest im letzten Fall hat die EU gerade einen Anfang gemacht.

Investieren die Banken besser in Prävention, müssen ihnen die neuen verbraucherfreundlichen Regeln, die die EU plant, auch weniger Sorgen bereiten. Und die juristischen Winkelzüge, die betrogene Kunden erdulden müssen, wären unnötig. Das sollte es doch wert sein.

In eigener Sache: c't bei WhatsApp

(mon)