In dem Bericht der von der Stiftung Warentest herausgegebenen Zeitschrift "Finanztest" http://www.finanztest.de wurden 62 von 146 Online-Banking-Lösungen bemängelt, da sie zur Authentifizierung des Kunden statt der vom Bundesamt für Sicherheit in der Informationstechnik http://www.bsi.de empfohlenen 768 Bit langen Schlüssel nur solche mit 512 Bit verwenden. Unverständlich sei, daß zwei Drittel der Banken den Kontozugang über das Web mit 1024 Bit absichern. Allerdings sei es bisher auch bei den kürzeren Keys zu keinem Mißbrauch gekommen.

Ferner kritisiert das Magazin die teilweise zu kleinen Verschlüsselungsexponenten. Einige Sicherheitslösungen arbeiten mit einem Exponenten von drei. Je geringer dieser Wert ist, desto leichter lassen sich die Schutzfunktionen umgehen. Aus Sicht der Stiftung Warentest sollte die Schlüssellänge mindestens 1024 Bit betragen und der Exponent größer als 3, am besten größer als 20 sein.

Sachverhalte vereinfacht

Vor allem der Stuttgarter Internet-Banking-Spezialist Brokat http://www.brokat.de , der bei vielen Finanzhäusern Hoflieferant ist, war brüskiert über den Bericht und sprach in einer Pressemitteilung von "nicht einbezogenen oder unzulässig vereinfachten Sicherheitssachverhalten". Der Security-Anbieter diskutierte daraufhin mit Daniel Gläser, der maßgeblich an den Tests beteiligt war. Gläser leitet die DV-Abteilung bei der Stiftung Warentest. Wie der IT-Experte gegenüber der COMPUTERWOCHE mitteilte, räumte Brokat zwar ein, daß prinzipiell die Möglichkeit bestehe, dem Banking-System eine falsche Identität vorzugaukeln, wenn lediglich 512-Bit-Schlüssel zur Authentifizierung verwendet werden. Doch die nachgelagerte Sicherheitstechnik "Xpresso Security Package" des Anbieters verhindere unerlaubte Eingriffe und das Verfälschen von Nachrichten.

Exponent nicht relevant

Auch die Kritik von "Finanztest" an den zu kleinen Verschlüsselungsexponenten weist Brokat unter Berufung auf einschlägige Literatur mit der Begründung zurück, auf diese Größe komme es bei dem im Online-Banking verwendeten Verfahren Secure Sockets Layer (SSL) nicht an. Außerdem gebe es Experten, die 512 Bit lange Schlüssel für ausreichend sicher ansehen. Diesen Standpunkt vertreten auch die Bank 24 AG in Bonn sowie die Münchner Advance Bank in ihren Stellungnahmen.

Letztlich muß wohl der Bankkunde selbst entscheiden, ob ihm 512 Bit genügen oder er sich lieber an die Empfehlungen des BSI hält. Jedenfalls sehen einige Kreditinstitute offenbar keinen Handlungsbedarf, ihre jetzigen Lösungen mit kurzen Schlüsseln auszutauschen. Nach Ansicht von IT-Leiter Gläser verzichten einige Banken auf längere Keys, um Anwender mit älteren Browsern nicht zu verprellen. "Für 1024-Bit-Zertifikate braucht der User einen Web-Client der Hersteller Netscape oder Microsoft in der Version 4, den viele noch nicht besitzen.