MÜNCHEN (COMPUTERWOCHE) - Die US-Regulierungsbehörde Federal Financial Institutions Examination Council (FFIEC) will den wachsenden Risiken im Online-Banking mit strengeren Sicherheitsvorkehrungen begegnen. Da es zunehmend zum Missbrauch von Benutzernamen und Passwörtern kommt, empfiehlt der FFIEC, dass die Finanzinstitute bis spätestens Ende 2006 ein Zweifach-Authentifizierungssystem einführen. Der Behörde zufolge genügt es nicht mehr, dass Online-Nutzer ihre Identität etwa mit der Eingabe eines PIN oder Passwortes bestätigen. Sie müssten zusätzlich auch etwas besitzen, was ihre Identität bestätigt. Dabei kann es sich etwa um ein Hardware-Token handeln, das per Zufallsprinzip laufend neue Zugangscodes generiert. Weitere Optionen wären Biometrie- oder Smartcard- Lösungen.

Zu den Vorschlägen der Kommission zählt auch die Verwendung von Einmal-Passwörtern, die auf einer Liste enthalten sind und nacheinander verbraucht werden müssen. Außerdem könnte die Bank beim Login vertrauliche Angaben bezüglich des Kontos abfragen, etwa die Höhe der letzten Einzahlung. Als weitere Möglichkeit schlägt der FFIEC vor, Techniken zu testen, die den Aufenthaltsort des Web-Nutzers schätzen und mit der Meldeadresse vergleichen. Generell vertritt die Behörde die Ansicht, dass die IT-Industrie mehr unternehmen könnte, um Passwort-Betrug und Identitäts-Diebstahl zu verhindern. Die Finanzinstitute nähmen wiederum eine Vorreiterrolle bei der Einführung neuer Schutzvorkehrungen ein, die etwa Online-Händler später aufgreifen könnten. (mb)