Sicherheit: Banken vs. Realität

Kette mit Vorhängeschloss

Lesezeit: ca. 10 Minuten

Ob generell oder auf die tägliche Arbeit bezogen, ob bei der Nutzung von Computern oder im Internet, ob beim Testen von Software oder wenn es um die Finanzen geht.

Gerade bei den eigenen Finanzen und der Nutzung von Bankingangeboten, vom Browserbanking über Apps bis zur Software auf dem eigenen Rechner.

Sicherheit ist ein wichtiges Thema!

Der erste „offizielle“ Virus wurde bereits 1986 entdeckt, damals auf Großrechnern der FU Berlin. Erste als Phishing eingestufte Mails, die schnell mit dem Fokus auf die Bankgeschäfte argloser Kunden abzielten, wurden Ende der 1990er publik.

Wie so häufig zeigt sich jedoch, ist ein Fall erst einmal da, wird er bekannt gemacht, ist der (berechtigte) Aufschrei groß. Doch leider ist die Kehrseite oft diese: so schnell und heiß das Thema hochkommt und gekocht wird, so schnell ist es auch wieder weg. Der Mensch passt sich an und somit gehören solche Dinge plötzlich zum Leben, werden als selbstverständlich betrachtet und somit nicht mehr jederzeit beachtet.

Dabei ist das Thema Sicherheit in unserer schnellen und mobilen Welt heute wichtiger als vor 20 oder 30 Jahren.

Sicherheit rund um Finanzen

Banken und Sparkassen rühmen sich und beruhigen damit den Kunden, dass sie alles tun, dass das Banking – nicht nur im Web – sicher ist.

In der Tat ist dem auch so, dass viel Zeit und Geld investiert wird. Einerseits in die Absicherung der notwendigen und bereitgestellten Systeme. Andererseits in immer mehr und neue Verfahren samt entsprechender Geräte. Für den Kunden unsichtbar wird ein immenser Aufwand betrieben, die notwendigen Systeme up-to-date zu halten, möglichen Angriffen entgegen zu wirken. Auch die Aufklärungsarbeit ist stärker als noch vor 10 Jahren.

Die Kunden werden beglückt mit einer Vielzahl von Sicherheitsverfahren, insbesondere wenn es um das klassische, weit verbreitete TAN-Verfahren geht.

Die altehrwürdige TAN-Liste ist am Aussterben und mit Inkrafttreten von PSD2 spätestens Geschichte, so ist sie dennoch bei einzelnen Instituten heute noch im Einsatz. Anfangs ganz einfach, in dem der Kunde selber entscheiden konnte, welche TAN er aus der Liste eingeben will, wechselte man zum iTAN-Verfahren, bei dem die Bank vorgab, welche TAN einzugeben ist.

Dann kamen neue TAN-Verfahren hinzu, die schnell zum Wildwuchs wurden. Mit chipTAN und smsTAN – je nach Institut gerne auch anders benannt, wie bspw. sm@rtTAN, mobileTAN oder mTAN als auch pushTAN usw. – kam die nächste Stufe. Erstere mit der Wahl Textwüsten zu Lesen und an kleinen Geräten einzugeben oder ein flickerndes Bild abzuscannen, um jeweils die TAN zu erzeugen.

Kaum hatte sich das „gesetzt“, wurde weiter verbessert. chipTAN-Verfahren wurden um Geräte mit USB-Anschluss erweitert. Andere wiederum haben das optische Verfahren, in denen erst einmal wild flickernde Balken angezeigt wurden, durch einen bunten QR-Code ergänzt. Die Wahl aus fast einem „dreckigen Dutzend“ unterschiedlicher Arten ist möglich – mal mehr und mal weniger für den Kunden durchschaubar und vernünftig nutzbar. Doch immer mit dem Fokus, die Sicherheit (um ein Vielfaches) zu verbessern.

Fast schon ein Nieschendarsein prägen die HBCI- oder wie sie heute heißen FinTS-Verfahren ohne TAN mittels einer entsprechenden Karte oder, ganz früher mit Diskette, auch Dateien, in denen die sicherheitsrelevanten Daten verschlüsselt abliegen. Als Nutzer brauchte man nur die PIN, respektive das Passwort, für die FinTS-Karte oder die -Datei sich merken und eingeben. Gerade die Methode mit einer Sicherheitsdatei zeigte sich von der besseren Seite, verlangte sie je nach eingesetztem Kundenprodukte doch Passwörter, die schon damals mindestens 8 Zeichen lang sein sollten und mit Groß- wie Kleinbuchstaben, Ziffern sowie Sonderzeichen verschiedener Art versehen sein mussten und keine weitere Karte sowie ein entsprechendes Gerät benötigten.

Ein Passwort ist umso sicherer, je komplizierter es ist und je mehr verschiedene Zeichenarten verwendet werden. Einfache Passwörter, die 8 Zeichen lang und nur Ziffern oder Buchstaben enthalten, sind innerhalb von wenigen Sekunden (bei Ziffern) oder Minuten (bei Buchstaben) gefunden. Komplizierte Passwörter hingegen, erst nach gut 3 Monaten.

Nun kommt PSD2 um die Ecke und schon merkt die Bankenwelt, dass gerade Datei-Verfahren doch noch besser abgesichert werden müssen und spricht die Empfehlung aus, dass Sicherheitsdateien nach fünfmaliger Fehleingabe des Passwortes komplett gesperrt werden sollen, ggf. so gar gleich gelöscht werden. Auf den 1. Blick klingt das plausibel. Auf den 2. Blick jedoch unsinnig und unkomfortabel für die Kunden. Wenn jemand einen gezielten Angriff versucht, und unterstellt wird, dass die Datei vorliegt, wird ein Angreifer eines direkt machen: mehrere Sicherheitskopien der Datei. Ab da ist es nur noch eine Frage der Zeit, bis entsprechende Zugriffe möglich sind.

Irgendwie mutet dieses alles eher merkwürdig denn sicher(er) an.

Bezahlen wird hipp

Wer kennt es nicht: wenn es um´s Bezahlen geht, wird es hipp und easy! Endlich sagen viele Kritiker. Das Bezahlen per Karte zwingt den Kunden nicht mehr unbedingt zu einer PIN-Eingabe oder Unterschrift. Einfach ranlegen und weg ist das Geld. Auch mit Smartphones kann man seine Bankkarten, meist Kreditkarten, schnell koppeln und dann nur noch Gerät ran, weg ist das Geld.

Bei Zahlungen größer 25-30 € kann es dann doch noch mal zur PIN-Eingabe oder Unterschrift kommen.

Komfortabel für den Kunden, keine Frage. Sicher? Bisher ja. Doch gefühlt tickt die Uhr bis erste Schadensfälle auftreten werden. Hinzukommt, dass Deutschland nicht Deutschland wäre, würde es nicht seine Zeit brauchen, um den Markt für alle Kunden und Nutzer zu durchdringen.

Der Rat ist gar vielfaltig

Nicht nur die Bankenwelt geizt nicht mit guten und gut gemeinten Ratschlägen! Die Liste der Empfehlungen liest sich richtig und gut

  • das Passwort am besten nur einmal benutzen und gleich wieder vergessen
  • regelmäßig das Passwort ändern
  • für jede Anwendung und jede Webseite ein eigenes Passwort vorhalten
  • keine Weitergabe an und Eingabe in Anwesenheit Dritter
  • keine Eingabe auf Seiten, die man nicht kennt
  • mindestens 8 Zeichen lang soll das Passwort sein und je länger, desto besser
  • neben Groß- wie Kleinbuchstaben auch Ziffern und insbesondere Sonderzeichen nutzen
      • nur Ziffern haben einen Raum von 10 Zeichen
      • Buchstaben erweitern dieses um weitere 52 Zeichen
      • mit Sonderzeichen und mehr kommt man schon auf 92 und mehr Zeichen
  • keine Wörterbücher-Passworte nutzen, also die sich aus Namen, Begriffen o. ä. aus Wörterbüchern ableiten
  • in dem Kontext wird man nicht müde, immer wieder zu predigen: keine Geburtsdaten, Namen, Orte oder ähnliches aus dem eigenen Umfreld
    usw.
  • Natürlich wird die Liste erweitert, je nach Umgebung, in der wir uns befinden oder arbeiten. So sind auf heimischen Rechnern Antiviren-/Antiphishing- und Antipharming-Tools Pflicht! Auch Passwortmanager, die einem helfen den Wust zu verwalten und zu nutzen, sind hilfreich, da man sich nur ein Passwort – zum Manager – merken muss.

Zudem sollte man als Nutzer von mobilen und stationären Geräten darauf achten, dass diese immer aktuell sind – Betriebssystem-Updates sind zwar hin und wieder lästig, doch unverzichtbar.

Selbstverständlich sollte mittlerweile sein, dass man PINs, Passwörter & Co nicht auf Post-It-Zetteln oder in digitalen Notizblöcken festhält – ganz zu schweigen von PINs direkt auf der jeweiligen Karte notieren.

Realität beim Banking

Doch wie sieht das dann in der Realität aus, insbesondere wenn man als Kunde sein Banking und alles rund um seine Finanzen im Online-Banking, einer App oder Software macht. Wie ist die Realität, wenn ich am Automaten Geld abhebe?

Als Kunde der Bank und Nutzer eines Rechners halte ich mich an alles, was mir empfohlen wird und mach vielleicht noch mehr.

Wenn ich dann jedoch mit dem Sensibelsten aller Daten arbeite, meinen Finanzen, sieht die Welt oftmals plötzlich völlig anders aus. Man kommt sich plötzlich vor als wenn man aus einer Science Fiction Zukunft in das Zeitalter der Neanderthaler kommt!

Ein persönlicher Selbstversuch

Ich habe mal im Selbstversuch einige Punkte geprüft und für mich durchgespielt.

Geldautomat – Auweia!

Bis vor ca. 2 Jahren war es noch so, man bekommt seine Bankkarte – auch gern ec-Karte genannt – und damit eine PIN, natürlich vierstellig. Und das war´s! Alle paar Jahre wurde diese gegen eine neue getauscht, die PIN bliebt erhalten. Bis in alle Ewigkeit!

Mittlerweile zeigt zumindest meine Sparkasse am Geldautomaten eine neue Funktion, die der PIN-Änderung für die Karte. Super. Eigentlich… Doch… macht man das auch?! Ich bisher nie, warum auch, ist es doch so schön einfach, die Ziffer kenne ich seit Jahren.

Möglich ist es und einfach war es auch. Nun vertippe ich mich zwar jedes erste Mal beim Geldabheben, doch einerseits werde ich es schon noch lernen und andererseits gibt es mir auch ein Gefühl von ein bisschen mehr Sicherheit.

Doch zwei Dinge bleiben: die vier Stellen und es sind vier Ziffern einzugeben

Ist das sicher? Nein!
Warum also nicht mehr Stellen zulassen, z. B. mindestens 8.
Warum nicht auch zumindest Buchstaben unterstützen?
Die Gründe fangen an bei (vermeintlichem) Komfort und dass die Geräte, gerade die Tastaturfelder, eben nur Ziffern können. In Zeiten von Touchpads? In Zeiten von Doppelbelegung von Tasten mit Ziffer plus drei Buchstaben wie es jedes Telefon seit Jahren kann?

Banking im Web und in Software

Grundsätzlich braucht man für das Banking, ob im Web oder per Apps bzw. Software, mindestens zwei Dinge: eine gewisse Kennung, die einen als Nutzer definiert und ein Zugangspasswort oder -PIN.

Ersteres wird gerne Benutzerkennung genannt. Da die Bankenwelt so ideenreich wie vielfältig ist, nennen sie das Ding oft auch gern Anmeldename, Alias oder Banken-Key oder sonst wie. Auch die eigene Kontonummer, bei mehreren Konten auch gern die des Hauptkontos, wird gerne verwendet.

Allen gemein ist, sie zeichnen sich in den meisten Fällen ausschließlich durch Ziffern aus und haben eine Länge, die gern bei 5 anfängt und oftmals bis zu 16 Zeichen lang ist. Unabhängig der Länge, sind sind oft eines: zusammengesetzt aus Ziffern!

Das zweite Ding ist das Passwort oder oftmals die Zugangs-PIN. Hier wird es etwas gemischter. Zwar hat diese eine Länge von mindestens 5 Zeichen und darf sowohl Ziffern als auch Buchstaben enthalten. In der Praxis ist sie jedoch häufig nur 5 Zeichen lang. Doch leichte Besserung ist in Sicht, denn erste Institute haben schon vor einiger Zeit angefangen umzustellen und lassen bis zu 16 Zeichen, selten auch mal bis zu 35 Zeichen zu. Leider sind Sonderzeichen bis heute oftmals noch davon ausgeschlossen.

Vorteilhaft ist, dass man im Online-Banking als auch in Banking-Produkten die PIN jederzeit ändern kann und dieses recht komfortabel. Was jedoch bis heute fehlt, ist eine zwangsweise Änderung der PIN wie es mittlerweile viele Webangebote zumindest (ohne den Zwang) an den Nutzer kommunizieren, in dem sie auf die lange Nutzungsdauer hinweisen, oder in Unternehmensumgebungen Standard ist.

Fazit

Die stetige Diskussion um Sicherheit, gerade rund um die Finanzen, und das in Erinnerung rufen bei den Kunden ist richtig und wichtig!

Doch geht die Diskussion noch nicht in Gänze in die richtige Richtung. Das Bereitstellen und Abdichten sicherer Systeme ist unabdingbar. Das Thema Sicherheit jedoch gefühlt auf den Kunden zu verlagern und ggf. mit immer neuen – teils als schon an Marketing-Gags erinnernde – Gerätschaften zu verknüpfen sollte jedoch überdacht werden. Hier wird eher Geld verbrannt anstelle effektiv(er) Sicherheit zu schaffen.

Solange meine Bankkarte mit der ich Geld abheben oder an der Kasse zahlen kann, so lächerlich lasch mit einer vierstelligen Zahl versehen ist, kann man nicht von Sicherheit reden. Gleiches gilt für die Zugangsdaten im Online-Banking.

Natürlich muss hier eine bestmögliche Balance zwischen Sicherheit und Komfort für den Kunden gehalten werden, was eine gewisse Herausforderung darstellt. Am Ende sollte die Antwort auch für uns Kunden dennoch lauten: bestmögliche Sicherheit vor maximalem Komfort!

Anmerkung

Bei diesem Artikel handelt es sich um eine persönliche, sicherlich sehr subjektive Wahrnehmung, die zum (Nach)Denken anregen soll und einen gewissen Hang zur Schwarz-Weiß-Sicht hat.

Linksammlung

Online-Banking wird oft in freien Netzen… Artikel im IT-Finanzmagazin
Definition von Computervirus Wikipedia
Definition von Phishing Wikipedia
Passwörter Informationen des BSI

Weiterführende Artikel

Blockartikel zu PSD2

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert