c't 16/2024
S. 3
Standpunkt

Banken vs. Phishing: Für Menschen, bitte!

„Ihr Konto wurde gehackt! Bitte klicken Sie hier, um sich im Onlinebanking anzumelden!“ Jeder erfolgreiche Phishing-Angriff setzt voraus, dass ein Nutzer sich täuschen lässt. Doch Menschen können auch mal unaufmerksam sein oder die aufgetischte Geschichte in der Phishing-Mail passt zufällig zu einer Unklarheit auf dem Bankkonto. Darauf bauen die Täter, kalkuliert und professionell. Erst jüngst warnte das BSI vor schwindender Sorgfalt bei Bankkunden. Das gilt es zu verbessern.

Noch mehr Initiative erwarte ich aber von den Banken. Um es vorweg zu sagen: Ihre Experten tun viel für die Betrugsprävention. Sie kennen die kriminellen Tools aus dem Darknet, die wir in unserem Artikel auf Seite 116 vorstellen. Prüfalgorithmen und Bankmitarbeiter verhindern außerdem mehr Betrug, als Kunden je erfahren.

Ich sehe trotzdem Luft nach oben. Das Passwort in Verbindung mit der TAN ist ein Beispiel dafür. Sie stellen dankbare Ziele für Phishing dar. Betrüger können beides live abfangen und verwerten. Warum arbeiten Banken also nicht konsequent an einer Authentifizierung mit phishingsicheren Webstandards wie Passkeys, um Passwort und TAN abzulösen? Damit wären Phishing-Webseiten auf einen Schlag nutzlos.

Noch schneller könnten die Geldhäuser ihre Kommunikation verbessern. Woher soll Otto Normalverbraucher wissen, was „Kundenauthentifizierung 2FA“ auf dem Display seines TAN-Generators oder Smartphones bedeutet? Warum nicht „Wollen Sie Ihr Onlinebanking betreten?“, bei Bedarf gefolgt von Angaben zu Geräten und deren Standorten? Wie wäre es mit einem prägnanten Hinweis auf die Betrugsrisiken plus einer obligatorischen Denkpause, bevor die Bank die Kreditkarte für Apple Pay oder gar ein neues Freigabegerät aktiviert? Hilfreich wäre auch ein eindeutiger Abgleich von Ziel-IBAN und Empfängername. Zumindest im letzten Fall hat die EU gerade einen Anfang gemacht.

Investieren die Banken besser in Prävention, müssen ihnen die neuen verbraucherfreundlichen Regeln, die die EU plant, auch weniger Sorgen bereiten. Und die juristischen Winkelzüge, die betrogene Kunden erdulden müssen, wären unnötig. Das sollte es doch wert sein.

Markus Montz
Markus Montz

Markus Montz

Kommentare lesen (4 Beiträge)

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen