2002/10/26 Weltspartag - Sicherheitsgeschenke für Onlinebankingkunden?
Rund 1 Million Telebanking-Kunden in Österreich - Systeme der Konsumenten meist die eigentliche Schwachstelle im sicheren Telebankingverkehr - Regelung der individuellen Aufklärungs- und Informationspflicht der Banken notwendig - Deutschland setzt Initiativen - Kommender Weltspartag wäre geeigneter Anlass Telebankingkunden mehr Sicherheit zu 'schenken'
Rund 1 Million Onlinebanking-Kunden in Österreich
Telebanking, meist Internetbanking, ist mittlerweile weit verbreitetste und akzeptierteste e-commerce-Anwendung. Der Telebankingboom ist, da meist aus finanzieller Sicht attraktiv, ungebrochen. Für die Banken bringt Telebanking (fast) nur Vorteile, für die Kunden besteht der Hautpvorteil in den erheblich längeren 'Öffnungszeiten' der Bankschalter.
Hans G. Zeger: 'Wenn Banken es geschafft haben, ihre interne Organisation auf Selbstbedienungsdienste umzustellen, was bei praktische allen Geldinsituten der Fall ist, sind die bankinternen Sicherheitsprobleme für den Onlineverkehr relativ einfach lösbar. Telebanking ist der logische Schritt, spart er doch erhebliche Investitionen an Bankomaten, Kontoauszugsdruckern, Kundenservicebereiche usw, die der Konsument über seine privaten Computersysteme selbst finanziert.'
Im Rahmen des mit der OCG und der ARGE DATEN gemeinsam eingerichteten Forums 'Vertrauensbildende Maßnahmen im e-commerce' wurden aber auch jene Sicherheitsprobleme ausführlich diskutiert, die sich aus dem Computerbetrieb beim Kunden ergeben. Dieser Aspekte bleibt in der Sicherheitsdiskussion meist ausgeblendet, da die Unternehmen auf dem Standpunkt stehen, dass die Konsumenten für ihre Anlagen selbst verantwortlich wären.
Ausgangspunkt der Diskussion war der Vortrag von Herrn Scholz, SEC4YOU, zum Thema 'Sind Sicherheit und Internet Banking vereinbar?' (URL siehe unten).
Kundencomputer als eigentliche Schwachstelle
Festgestellt wurde, dass zwar bei Telebankingvereinbarungen die Kunden sehr weitreichende Haftungsübernahmen unterzeichnen müssen, viele Kunden die technischen Konsequenzen jedoch nicht nachvollziehen können. Auch die üblichen allgemeinen Ratschläge zur 'sicheren' bzw. 'getrennten' Verwahrung von PIN- und TAN-Codes erweisen sich als nur bedingt praxistauglich.
Viele Konsumenten haben nur sehr oberflächliche Vorstellungen über die Funktionsweise ihrer Computer und sind 'froh', wenn sie einige benötigte Funktionen der wichtigsten Programme, wie Internet-Browser, Mail-Programm, Textverarbeitung und einige Spiele, beherrschen.
Diese Systeme können mit Viren befallen sein, Trapdoors für Datenspionage enthalten oder schlicht als Wirte für Hacker dienen. Da immer mehr Konsumenten mittels Telekabel oder ADSL permanent mit dem Internet verbunden sind, sind diese, meist mit veralteten Programmen versehenen Systeme zu beliebten Zwischenstationen für Angriffe geworden.
Wie in der Diskussion festgestellt wurde, planen etliche Banken auch die Ausweitung des Telebankings in Richtung Mobile-Banking. Mit der Konsequenz, dass die relativ überschaubaren Homecomputer-Installationen verlassen werden und am Arbeitsplatz, im Internetcafe oder auf Bahnhofsterminals Telebanking-Geschäfte erledigt werden.
Hans G. Zeger: 'Neben dem grundsätzlichen Problem, dass Konsumenten mit weitgehend unverstandenen Computersystemen hantieren, können sie bei diesen Fremdsystemen überhaupt nicht mehr nachvollziehen, welche Programme installiert sind, wie sicher diese Geräte konfiguriert sind und auch welche Protokollierungen und Aufzeichnungen bei diesen Geräten gemacht werden.'
Mit diesen Angeboten werden auch Konsumentenkreise angesprochen, die nur sehr geringes EDV-Interesse haben und Computer bloß als Werkzeuge für bestimmte Zwecke sehen.
Standardeinstellungen von Browsern gefährden Privatsphäre
So unterstützen bestimmte Browser die sogenannte 'Autovervollständigen' - Funktion. Je nach Einstellung werden simple Formulareingaben, aber auch Benutzerkennungen und Passwörter dauerhaft vom Browser gespeichert. Bei öffentlichen Terminals ein enormes Mißbrauchspotential für nachfolgende Benutzer oder für den Betreiber des Systems.
Andererseits bieten die meisten Banken 128-bit-SSL-Verschlüsselung im Telebankingverkehr an. Etliche, meist ältere Browser unterstützen diese Sicherheitstechnik gar nicht. Der Konsument benutzt dann Telebanking im falschen Sicherheitsbewußtsein, eine verschlüsselte Verbindung zu benutzen, tatsächlich ist dies aber nicht der Fall!
Telebanking-Betreiber meist über Schwachstellen informiert
Tatsächlich sind jedoch die Telebanking-Betreiber über etliche Schwachstellen und Probleme des Kunden voll informiert. Während des Banking-Verkehrs werden eine Fülle von technischen Informationen über die Kundensysteme aufgezeichnet, die auch Sicherheitsrisken für den Kunden erkennen lassen.
In den meisten Fällen unterbleibt eine individuelle Verständigung des Kunden über seine potentiellen Sicherheitsprobleme, um, wie es ein Forumsteilnehmer salopp formulierte 'Keine schlafenden Hunde zu wecken'.
Hans G. Zeger: 'Technisch und organisatorisch gesehen wäre es ein leichtes, Telebankingkunden nicht nur allgemeine Sicherheitshinweise und Ratschläge zu geben, sondern individuell ganz gezielt auf Sicherheitslücken hinzuweisen.'
Dagegen werden jedoch wirtschaftliche Argumente vorgebracht. Sobald eine Bank beginnen würde, Kunden individuell über deren Sicherheitsrisken aufzuklären, würde sie (a) zugestehen, dass der Telebankingverkehr risikobehaftet ist und (b) käme ihr eine Hilfestellungspflicht zur Behebung der Mängel zu.
Ein Teilnehmer umschrieb die Problematik relativ einfach: 'Die Bank könnte ohne Schwierigkeiten automationsunterstützt dem Kunden einen Statusbericht über den Zustand seines Computers liefern, aber was passiert dann? Mit den nachfolgenden Supporterwartungen und -wünschen würde unsere Hotline zusammenbrechen.'
Konsumentenschutz zum Handeln gefordert
Systeme wie Telebanking oder e-commerce stellen neue Anforderungen an den Konsumentenschutz. Die weitreichenden Protokollierungs- und Überwachungsmöglichkeiten erlauben es, sensitive Vorgänge genauer zu monitoren und damit den Konsumenten besser zu schützen.
Hans G. Zeger: 'Es ist nachvollziehbar, das keine Bank von sich aus mit einem integrierten Monitoring vorpreschen will. Dies würde sowohl zusätzliche Kosten verursachen, als auch, paradoxerweise, das Sicherheitsgefühl der Kunden reduzieren. Die Situation ist mit der Sitzgurt-Debatte in den PKW's zu vergleichen. Erst die Einführung schärfte den Blick der Konsumenten auf das Gefahrenpotential und erst die verpflichtende Installation in allen PKW's machte deutlich, dass es sich um ein allgemeines Gefahrenpotential handelt und nicht um das einer bestimmten PKW-Marke.'
Sicherheit und Schutz der Privatsphäre sind bei den meisten Menschen durch ein hohes Verdrängungspotential bestimmt, Konsumenten hoffen bei Nutzung der Systeme immer darauf, dass 'nichts passiert'. Es besteht daher eine Verpflichtung der Betreiber und des Gesetzgebers, optimale Vorkehrungen zum Schutz der Privatsphäre zu treffen.
Tatsächlich gibt es eine Reihe von relativ einfachen und billigen Protokollierungs- und Transparenzmaßnahmen, die eine enorme Erhöhung der individuellen Sicherheit bringen. Darüber hinaus könnten auch Telebankinganwendungen so betrieben werden, das sie innerhalb eines Computers in einer virtuellen Umgebung laufen, die durch andere Programme- und Installationen nicht gestört werden können und die keinerlei Spuren im Basissystem hinterlassen.
Gerade der Konsumentenschutz wird sich im Zeitalter der interaktiven Systeme vom bloßen Herausgeben von Broschüren mit dem Motto 'aufpassen' oder der bloß allgemeinen rechtlichen Regelung verabschieden müssen.
Hans G. Zeger: 'Die neue Herausforderung ist, die möglichen technischen Sicherheitsmaßnahmen, vergleichbar dem Autoverkehr, in ein sinnvolles rechtliches Gerüst zu bringen.'
Wünschenswert ist eine Informationspflicht des Systembetreibers, wenn er bei Konsumenten ein Sicherheitsrisiko feststellt, die Möglichkeit die Protokolldaten der letzten Kontozugriffe jederzeit abrufen zu können und die Bereitstellung sicherer Telekonten-Umgebungen, die von jedem beliebigen Internetterminal abgerufen werden können. Weiters sollten Online-Sicherheitschecks und die Zugangssperre vertrauensunwürdiger öffentlicher Terminals ebenso zum Serviceangebot der Banken werden, wie bunte Kugelschreiber zum Weltspartag.
Wie in der Diskusion bekannt wurde, wird in Deutschland gerade eine Initiative vorbereitet, die die Aufklärungspflicht der Banken gegenüber dem Konsumenten verschärft. Mangelt es an dieser Aufklärung, dann reduziert sich auch die Haftung des Konsumenten.
Weiterführende Informationen
Den kompletten Vortrag von Herrn Scholz, SEC4YOU, findet sich unter
http://ftp.freenet.at/fin/internetbanking.20020925.pdf
Herr Scholz ist Mitglied der ISACA, einem Berufsverband der IT-Revisoren mit 22.000 Mitgliedern weltweit.
Herr Dr. Rainer Pallas, Rechtsanwalt, hat eine Studie zum Thema 'Standards im Zahlungsverkehr zwischen heterogenen Rechnernetzen' verfasst. Für Auskünfte steht er gern unter anwalt@pallas.at zur Verfügung.
Als Beispiel für Aufklärung in die 'richtige Richtung', eine Information der Bank Austria Creditanstalt, die beim Anmeldevorgang als Fenster erscheint.
Siehe:
http://ftp.freenet.at/fin/sicherheit-ba-ca.pdf
|
