Phishing ist eine Betrugsmethode, die sich auf die Netzdienste E-Mail und World Wide Web stützt. Beide geben dem Absender oder Anbieter weitreichende Kontrolle über die Informationsdarstellung beim Empfänger oder Nutzer. E-Mails lassen sich fälschen, und auch im Web ist der äußere Anschein kein Garant für die Echtheit einer Seite. Beim Phishing versenden die Täter gefälschte E-Mails, die den Empfänger auffordern, die Website einer Bank oder eines Dienstleisters zu besuchen und dort persönliche Daten wie Passwörter oder Kreditkartennummern anzugeben. Entsprechende Links führen aber nicht auf die wirkliche Online-Banking-Seite, sondern auf mehr oder weniger gute Fälschungen.
Das SIT untersuchte daher nicht nur technische Aspekte, sondern auch, wie gut Banken ihre Kunden über das Phishing-Problem und Schutzmöglichkeiten informieren. Im besten Fall sollten Erklärungen leicht zu finden und Links zu spezifischen externen Informationsquellen im Online-Angebot enthalten sein. Außerdem dürfen Angaben nicht fehlen, anhand derer Kunden die Echtheit der Seite prüfen können. Dazu zählen die URL sowie die Parameter des Sicherheitszertifikats. Wünschenswert ist zudem eine Kontaktinformation, damit die Kunden bei einem Verdacht an der richtigen Stelle nachfragen können.
Banken weisen immer wieder darauf hin, dass sie keine Aufforderungen zur Eingabe sensibler Daten per E-Mail versenden. Dies ist laut SIT für den Kunden am leichtesten nachzuvollziehen, wenn der E-Mail-Verkehr gänzlich unterbleibt, die Klientel also von ihrer Bank überhaupt nicht zur Angabe ihrer Mail-Adresse gezwungen wird.
Ungeachtet dieser Faktoren hängt die Sicherheit wesentlich von der technischen Gestaltung des Online-Banking-Angebots ab. So sollte das Angebot grundsätzlich unter derselben Second-Level-Domain geführt werden wie die öffentliche Seite der Bank. Damit der Nutzer die Adresse prüfen kann, muss sie sichtbar sein. Bei manchen Banken öffnet sich aber ein Fenster, ohne dass die URL- und Menüzeilen sichtbar bleiben.
Echtheitsprüfung
Alle untersuchten Finanzdienstleister nutzen für ihre Online-Banking-Angebote das Protokoll Secure Sockets Layer (SSL). Die dabei übermittelten Sicherheitszertifikate stellen eine zuverlässige Form der Echtheitsprüfung dar, weil sie den Zusammenhang zwischen besuchter Adresse und der Betreiberorganisation bescheinigen. In einigen Fällen war jedoch eine andere Organisation genannt oder das Zertifikat ungültig. Damit der Nutzer vor einer Dateneingabe das Zertifikat prüfen kann, muss bereits die Login-Seite über eine gesicherte Verbindung geladen werden.