Das Ergebnis hält einige Überraschungen bereit. "Wir hatten erwartet, dass die Online-Banken die Nase vorne haben werden, weil für sie das Internet der wesentliche Vertriebskanal ist; auf den vorderen Plätzen liegen allerdings die klassischen Großbanken", wundert sich der Projektleiter der Phishing-Studie.

Klassische Banken liegen vorn

Von den zwölf getesteten Web-Angeboten erreichte nur das der Deutschen Bank die Note "sehr gut" (siehe Grafik "Welche Bank schützt sich und ihre Kunden am besten?"). Eine befriedigende Bewertung erzielten Postbank, Commerzbank, Dresdner Bank sowie Diba und Comdirekt. Die Citibank bietet ihren Kunden technisch die nötigen Sicherheitsvorkehrungen, informiert laut SIT aber zu wenig über Gefahren und Gegenmaßnahmen. Die Sparkasse Leipzig wie auch die Netbank zeigten in beiden Bereichen Schwächen. Bei Ersterer bemängeln die Wissenschaftler beispielsweise, dass als Betreiber der Banking-Website eine Finanz-IT GmbH aus Hannover angegeben wird. Bereits das Orginal sehe aus wie ein schlechter Betrugsversuch. "Phishing-Betrügern dürfte es hier leicht fallen, gefälschte Angaben echt wirken zu lassen", konstatieren die Autoren der Studie. Die 1822 direkt und die Volksbank Darmstadt schnitten im Vergleich noch schlechter ab, weil sich in allen untersuchten Kategorien

Mängel fanden. Schlusslicht der SIT-Untersuchung ist die Sparda-Bank Hamburg, die in den technischen Sicherheitsvorkehrungen große Schwächen aufweise. "Hier haben selbst technisch bewanderte Kunden kaum eine Chance, die Echtheit der Banking-Seiten zu überprüfen", so Türpe.

Das Thema Sicherheit sei nicht nur rein technisch zu betrachten, sondern müsse als Gesamtsystem gesehen werden, bei dem der Benutzer eine wichtige Komponente sei, stellt der Wissenschaftler klar. Banken argumentierten häufig mit einer sicheren Verschlüsselung. Für eine Sicherheitsbewertung reiche das allein aber nicht aus.

BUZZWORD