Als Unbekannte im vergangenen Jahr mit gefälschten E-Mails und Web-Seiten versuchten, die Klientel der Deutschen und der Postbank sowie der Volks- und Raiffeisenbanken zur Eingabe vertraulicher Daten zu verleiten, machte ein neuer Begriff schnell Karriere: "Phishing", abgeleitet vom englischen "Fishing" (Angeln) war in aller Munde (siehe Kasten "Buzzword").
"Bislang ist durch Phishing in Deutschland noch kein allzu großer Schaden entstanden", sagt Sven Türpe, Wissenschaftler am Fraunhofer-Institut für Sichere Informationstechnologie (SIT). Es habe zwar erfolgreiche Phishing-Attacken gegeben, die Banken hätten jedoch viele Überweisungen verhindern oder rückgängig machen können. Für eine Entwarnung sieht der Sicherheitsexperte allerdings keinen Grund. Es sei zu erwarten, dass sowohl die Zahl als auch die Qualität von Phishing-Angriffen künftig zunehme und mit anderen Verfahren wie Trojanern kombiniert werde.
Das SIT hat daher in einer nicht repräsentativen Studie untersucht, wie gut Banken ihre Online-Kunden vor derartigen Übergriffen schützen. Laut Türpe erhebt die Untersuchung keinerlei Anspruch auf Vollständigkeit. Das SIT habe sich zunächst einmal einen groben Überblick über das Thema verschaffen wollen. Neben international tätigen Großbanken und reinen Online-Dienstleistern umfasst die Liste je eine Vertreterin der Volksbanken, der Sparkassen und der Sparda-Institute.
Das Ergebnis hält einige Überraschungen bereit. "Wir hatten erwartet, dass die Online-Banken die Nase vorne haben werden, weil für sie das Internet der wesentliche Vertriebskanal ist; auf den vorderen Plätzen liegen allerdings die klassischen Großbanken", wundert sich der Projektleiter der Phishing-Studie.
Klassische Banken liegen vorn
Von den zwölf getesteten Web-Angeboten erreichte nur das der Deutschen Bank die Note "sehr gut" (siehe Grafik "Welche Bank schützt sich und ihre Kunden am besten?"). Eine befriedigende Bewertung erzielten Postbank, Commerzbank, Dresdner Bank sowie Diba und Comdirekt. Die Citibank bietet ihren Kunden technisch die nötigen Sicherheitsvorkehrungen, informiert laut SIT aber zu wenig über Gefahren und Gegenmaßnahmen. Die Sparkasse Leipzig wie auch die Netbank zeigten in beiden Bereichen Schwächen. Bei Ersterer bemängeln die Wissenschaftler beispielsweise, dass als Betreiber der Banking-Website eine Finanz-IT GmbH aus Hannover angegeben wird. Bereits das Orginal sehe aus wie ein schlechter Betrugsversuch. "Phishing-Betrügern dürfte es hier leicht fallen, gefälschte Angaben echt wirken zu lassen", konstatieren die Autoren der Studie. Die 1822 direkt und die Volksbank Darmstadt schnitten im Vergleich noch schlechter ab, weil sich in allen untersuchten Kategorien Mängel fanden. Schlusslicht der SIT-Untersuchung ist die Sparda-Bank Hamburg, die in den technischen Sicherheitsvorkehrungen große Schwächen aufweise. "Hier haben selbst technisch bewanderte Kunden kaum eine Chance, die Echtheit der Banking-Seiten zu überprüfen", so Türpe.
Das Thema Sicherheit sei nicht nur rein technisch zu betrachten, sondern müsse als Gesamtsystem gesehen werden, bei dem der Benutzer eine wichtige Komponente sei, stellt der Wissenschaftler klar. Banken argumentierten häufig mit einer sicheren Verschlüsselung. Für eine Sicherheitsbewertung reiche das allein aber nicht aus.
Das SIT untersuchte daher nicht nur technische Aspekte, sondern auch, wie gut Banken ihre Kunden über das Phishing-Problem und Schutzmöglichkeiten informieren. Im besten Fall sollten Erklärungen leicht zu finden und Links zu spezifischen externen Informationsquellen im Online-Angebot enthalten sein. Außerdem dürfen Angaben nicht fehlen, anhand derer Kunden die Echtheit der Seite prüfen können. Dazu zählen die URL sowie die Parameter des Sicherheitszertifikats. Wünschenswert ist zudem eine Kontaktinformation, damit die Kunden bei einem Verdacht an der richtigen Stelle nachfragen können.
Banken weisen immer wieder darauf hin, dass sie keine Aufforderungen zur Eingabe sensibler Daten per E-Mail versenden. Dies ist laut SIT für den Kunden am leichtesten nachzuvollziehen, wenn der E-Mail-Verkehr gänzlich unterbleibt, die Klientel also von ihrer Bank überhaupt nicht zur Angabe ihrer Mail-Adresse gezwungen wird.
Ungeachtet dieser Faktoren hängt die Sicherheit wesentlich von der technischen Gestaltung des Online-Banking-Angebots ab. So sollte das Angebot grundsätzlich unter derselben Second-Level-Domain geführt werden wie die öffentliche Seite der Bank. Damit der Nutzer die Adresse prüfen kann, muss sie sichtbar sein. Bei manchen Banken öffnet sich aber ein Fenster, ohne dass die URL- und Menüzeilen sichtbar bleiben.
Echtheitsprüfung
Alle untersuchten Finanzdienstleister nutzen für ihre Online-Banking-Angebote das Protokoll Secure Sockets Layer (SSL). Die dabei übermittelten Sicherheitszertifikate stellen eine zuverlässige Form der Echtheitsprüfung dar, weil sie den Zusammenhang zwischen besuchter Adresse und der Betreiberorganisation bescheinigen. In einigen Fällen war jedoch eine andere Organisation genannt oder das Zertifikat ungültig. Damit der Nutzer vor einer Dateneingabe das Zertifikat prüfen kann, muss bereits die Login-Seite über eine gesicherte Verbindung geladen werden.
Den Autoren zufolge bieten sich spezielle Homebanking-Programme grundsätzlich als beste Alternative zum Online-Banking an. HBCI-Verfahren zeichnen sich dadurch aus, dass Nutzer ihre Daten nie im Web-Browser verwenden müssen. Banken mit entsprechenden Angeboten, die das PIN/TAN-Verfahren unterstützen und aussagekräftige Kundeninformationen bereithalten, konnten dafür Pluspunkte einheimsen.
Großer Handlungsbedarf
Insgesamt fällt das Ergebnis der Studie aus Sicht der Autoren enttäuschend aus. "Das Thema ist in Amerika schon länger aktuell, und es war damit zu rechnen, dass das zu uns herüberschwappt. Da hätte man annehmen können, dass die Banken etwas mehr Vorarbeit leisten", so Türpe.
In der Finanzbranche sind die Studienergebnisse offensichtlich angekommen. "Insbesondere Banken, die auf den hinteren Plätzen gelandet sind, haben den Kontakt zu uns gesucht", freut sich Türpe. In Sachen Sicherheitshinweise habe sich in einigen Fällen schon etwas verbessert. Die Studie lässt sich unter www.sit.fraunhofer.de/german/hps1/phishing.pdf einsehen.