Sicherheit bei Online-Banking: Sache der Kunden?

Die Volksbanken Raiffeisenbanken und die Sparkassen wollen wie berichtet das Thema nicht länger totschweigen: Zusammen mit dem Verein Deutsches Sicherheitsnetz haben sie eine Initiative für ein größeres Sicherhheitsbewusstsein bei den deutschen PC-Nutzern gestartet. Ziel ist es vor allem, für ein sicheres Abwickeln der privaten Finanzgeschäfte (Online-Banking) zu sorgen. Für 40 Euro im Jahr erhalten angemeldete Internetnutzer eine Schutz-Software für den heimischen PC, Informationen zu aktuellen Risiken und Bedrohungen sowie im Schadensfall Hilfestellung per E-Mail oder am Telefon. Wie bitte? Der Nutzer soll 40 Euro im Jahr zahlen, damit er möglichst risikofrei Online-Banking anwenden kann? Mir drängt sich hier der Verdacht auf, dass die Banken die Sicherheitsproblematik beim Online-Banking auf die Kunden abwälzen.

Mit abnehmender Zahl an Bank-Filialen wird die private Finanzverwaltung über das Internet immer wichtiger. Manche Bankhäuser setzen inzwischen fast ganz auf diesen Weg und führen immer weniger private Banggeschäfte am Schalter durch. Die Volksbanken Raiffeisenbanken und Sparkassen gehören nicht zu den Online-Banken, aber auch sie dünnen ihr Filialnetz vielerorts aus, um Kosten einzusparen. Auch für die Kunden dieser Institute wird Online-Banking daher immer wichtiger.

Risikofreies Online-Banking gibt es nicht

Zwar versuchen viele Banken, möglichst optimale Sicherheitsstandards zu gewährleisten und effektiven Schutz für die Transaktionen ihrer Kunden zu bieten. Generell ist Online-Banking in der Praxis jedoch alles andere als sicher: Nicht nur schneiden in Sicherheitstests die angebotenen Systeme etlicher Banken noch immer schlecht ab, auch der Kunde selbst ist ein Risikofaktor, auf den die Bank zudem nur begrenzt Einfluss hat. Programme zum Ausspähen persönlicher Daten, die über Viren oder Trojanische Pferde auf die Rechner der Internetnutzer geschleust werden, Phishing-Mails, die massenhaft die Postfächer füllen und zur Preisgabe der Kontodaten auffordern oder gefälschte Websites, die kaum von den Original-Seiten der Banken zu unterscheiden sind - wer beim Surfen und Mailen nicht aufpasst, kann schnell um sein Geld erleichtert werden.

Schätzungen zufolge liegt allein in Deutschland der volkswirtschaftliche Schaden durch Phishing im zweistelligen Millionenbereich­.Durchschnittlich betrug im Jahr 2006 der Schaden eines Phishing-Opfers 4000 Euro, errechnete der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) damals. Dass die Volksbanken Raiffeisenbanken und Sparkassen jetzt das Thema PC-Sicherheit so offensiv angehen, deute ich als Hinweis darauf, dass das Problem nicht kleiner geworden ist.

Nicht immer haftet im Schadensfall die Bank

Im Schadensfall zeigen sich die Banken wohl oft kulant - haften tun sie jedoch nicht immer im Schadensfall. In den AGB fürs Online-Banking verpflichten die Banken in der Regel den Nutzer zur Sorgpfaltspflicht: Der Kunde darf zum Beispiel die PIN oder die TAN nicht auf dem PC speichern, muss eine Anti-Viren-Software nutzen und ständig aktualisieren und Dritte beim Online-Banking ihre Daten nicht einsehen lassen. Andere Vorgaben, die teilweise auftreten können, wie etwa das Überprüfen von Websites auf ihre Echtheit - sind für den normalen Internetnutzer jedoch gar nicht oder nur schwer erfüllbar.

Es gibt inzwischen zwar Online-Banking-Methoden, die auch von Anti-Viren-Experten als sehr sicher angesehen werden: zum Beispiel den Einsatz des Handys als Authentifizierungskanal oder von Kartenlesegeräten, die der Kunde zu Hause an den Rechner angeschlossen hat. Doch die Banken, die solche Systeme bieten, geben die notwendigen Geräte nicht kostenlos an ihre Kunden heraus. Die Folge: Von der Kundenseite werden diese sicheren Online-Banking-Methoden kaum nachgefragt. Manche Experten fordern sogar, dass die Transaktionen durch biometrische Daten des Nutzers abgesichert werden. Für die Banken würde das erhebliche Investitionen in die Umsetzung solcher Abwicklungsarten bedeuten.

Die Banken reden endlich über Sicherheitsrisiken

Es ist gut, dass die Banken die Themen PC-Sicherheit und Sicherheit beim Online-Banking endlich offen ansprechen wollen. Bislang hatte man teilweise aufgrund einzelner spektakulärer Fälle das Gefühl, Phishing und Kontoplünderungen gäbe es nur vereinzelt im Ausland. Hinweise auf die Gefahren erhielt nur derjenige Kunde, der auf den Websites gezielt danach suchte. Auch die erste Mitteilung des Vereins Deutsches Sicherheitsnetz - ein Warnhinweis an Nutzer des Musik-Abspielgrogramms Quicktime - kann man leicht als Ablenkungsmnöver verstehen. Es bleibt außerdem zu wünschen, dass die Banken es nicht auf die Gründung einer sehr spät ins Leben gerufenen Aufklärungs-Initiative belassen, sondern auch weiter an der Entwicklung sichererer, einfacher und zumindest auch für den privaten Anwender bezahlbarer Lösungen fürs Online-Banking arbeiten.

Auch wenn der Online-Banking-Nutzer selbst an der Sicherheit mitwirken muss - mit der jetzt gestarten Initiative Deutsches Sicherheitsnetz machen die Banken es sich meiner Meinung nach zu einfach, zumal es auf dem Markt kostenlose Anti-Viren-Software für private Anwender gibt und die Hersteller der Programme ihre Nutzer gratis schnell mit aktuellen Bedrohungen im Netz versorgen. Die Volksbanken Raiffeisenbanken werden erst beweisen müssen, dass ihr Service das Geld auch wert ist. Eine E-Mail-Unterstützung bei PC-Problemen klingt für mich nicht sonderlich effektiv. Wir werden sehen: Morgen sollen die Dienste und Anmeldemöglichkeiten auf der Website des Deutschen Sicherheitsnetzes zu sehen sein.

Was meint ihr dazu? Ist der Schritt zu kostenpflichtiger Beratung und Software begrüßenswert? Oder was wären sinnvollere Alternativen?