Internetbanking völlig ungeschützt

Bereits seit längerem bietet die Stadtsparkasse Dortmund für ihre "s-direkt"-Konten offenbar völlig ungeschütztes Internet-Banking an. Die Kunden können dabei ihre Überweisungen, Daueraufträge, aber auch Wertpapierkäufe über ganz normale WWW-Formulare eingeben, die auf dem Transport durch das Netz in keiner Weise vor neugierigen Blicken oder nachträglichen Manipulationen geschützt sind. Die einzige Legitimation des Kunden besteht in seiner Kontonummer und einer TAN (Transaktionsnummer zur einmaligen Verwendung), eine zusätzliche geheime Zugangskennung gibt es nicht.

Neben den ungeschützten Aufträgen erlaubt der WWW-Server der Dortmunder Sparkasse zwar auch "Aufträge mit Verschlüsselung", diese Links werden den Kunden aber nicht besonders empfohlen oder hervorgehoben. Zudem verläßt sich die Sparkasse dabei ausschließlich auf den Schutz durch die schwache SSL-Exportversion mit 40-Bit-Verschlüsselung.

Die "s-direkt"-Sonderbedingungen verpflichten den Kunden zwar zur Geheimhaltung der TANs, Hinweise auf Risiken im Internet sucht man auf dem Sparkassen-Server aber vergebens. Dabei ist sich die Sparkasse Dortmund der Angriffsmöglichkeiten durchaus bewußt: "Wir machen das jetzt schon seit zwei Jahren so und sind weiterhin bereit, die bestehenden Risiken zu übernehmen", sagte Jürgen Gutsch, der zuständige Zentralbereichsleiter -- der Kunde haftet nur für Schäden, die er selbst zu vertreten hat. Wenn auf dem angebotenen Weg zur Bank etwas schiefgeht, wäre das offensichtlich ein "Systemfehler", der zu Lasten der Sparkasse ginge. Bei der Kontoeröffnung würden die Kunden im übrigen darauf hingewiesen, daß Manipulationen denkbar seien. Gutsch sieht in s-direkt eine funktionierende pragmatische Lösung, da Internet-Aufträge erst nach manueller Prüfung ausgeführt werden -- zwischen dem Internet-Server und der Bank-EDV besteht keine direkte Verbindung. Die aktuelle Sicherheitsdiskussion hält Gutsch im wesentlichen für handelshemmend. (nl)