Fraunhofer-Institut testet Phishing-Schutz beim Online-Banking
Wie gut die Banken ihre Kunden beim Schutz vor Phishing-Attacken unterstützen, hat das Fraunhofer-Institut in einer Studie überprüft. Ergebnis: Von zwölf getesteten Web-Angeboten erreichte nur eines die Note "sehr gut".
Das Fraunhofer-Institut SIT hat den Phishing-Schutz bei zwölf Online-Banken getestet. Ergebnis: ein Angebot mangelhaft, fünf ausreichend, fünf befriedigend. Nur das Angebot der Deutschen Bank erhielt die Note "sehr gut". Schlusslicht ist die Sparda-Bank Hamburg, die große Schwächen in den technischen Sicherheitsvorkehrungen aufweist. "Hier haben selbst technisch bewanderte und aufmerksame Kunden kaum eine Chance, die Echtheit der Banking-Seiten zu überprüfen", meint Sven Türpe, Fraunhofer-Mitarbeiter im Testlabor für IT-Sicherheit. "Insgesamt zeigt der Test, dass die meisten Banken beim Schutz vor Phishing Nachholbedarf haben", so Türpe weiter. Andererseits demonstriere das Ergebnis des Testsiegers auch, dass die Testkriterien erfüllbar seien.
Bewertet wurden insgesamt elf Kriterien in den Kategorien "Technische Gestaltung des Web-Angebotes", "Unterstützung von Homebanking-Software" sowie "Kundeninformation- und kommunikation". Punkte gab es bei der technischen Gestaltung beispielsweise dafür, dass die Adresse/URL eines Fensters jederzeit sichtbar war und zumindest die Domäne in der Adresse von Anfang bis Ende des Besuchs konstant blieb. Auch für SSL-gesicherte Verbindungen gab es Punkte, wenn der Server ein gültiges Zertifikat übermittelte und bereits die Login-Seite geschützt war. Zudem konnten die Banken Punkte machen, wenn sie als Alternative zum Online-Banking per Web auch den Zugriff mit Homebanking-Software ermöglichten.
Interessanterweise vergab das Fraunhofer-Institut auch Punkte für das im HBCI-Standard eingeführte aber unsicherere PIN/TAN-Verfahren. Hier waren die Tester der Meinung, es sei im Vergleich zur Chipkarte ein guter Kompromiss zwischen Sicherheitsanforderungen und Benutzerfreundlichkeit. Enthielten die Web-Seiten Hinweise zum Phishing und zu Schutzmaßnahmen sowie eine Kontaktadresse für Betrugsfälle, gab es weitere Punkte. Mit konkreten Anleitungen, wie Kunden die Echtheit eine Seite überprüfen können, verdienten sich die Getesteten einen Extrabonus. Um zu verhindern, dass etwa sehr gute Informationsseiten eine mangelnde technische Gestaltung wettmachen können, haben die Tester die einzelnen Kategorien unterschiedlich gewichtet.
Einige wichtige Aspekte wurden im Test allerdings nicht untersucht. So ging in die Bewertung beispielsweise nicht ein, ob die Banken E-Mails an ihre Kunden senden. Regelmäßig versendete Kunden-Mails können beim Anwender die Misstrauensschwelle verringern. Gelangt dann doch mal eine Phishing-Mail in den elektronischen Briefkasten, fällt der Betrugsversuch aufgrund der Erwartungshaltung vielleicht nicht auf. Auch fehlt die Überprüfung der Web-Angebote auf Sicherheitslücken, etwa ob sich darüber Cross-Site-Scripting-Angriffe auf Clients durchführen lassen oder die Seite Frames verwendet, die sich durch Fehler in Browsern manipulieren lassen. heise Security demonstrierte Anfang Juli in seinem "Phishing mit Frames"-Browsercheck, wie sich Frames aus anderen Seiten in die Web-Seiten von Banken einschleusen lassen. Einige Banken haben daraufhin Frames aus ihren Seiten verbannt -- bei der SEB-Bank funktioniert die Demo aber immer noch.
Die vollständige Studie des Fraunhofer-Instituts ist auch im Internet verfügbar: Phishing-Schutz im Online-Banking (PDF). (dab)
