Mehr auf meiner neuen Webseite
www.fundcom.ch

E-Banking

Internet-Banking: Das Risiko tragen die Kunden

Neue Technologien wie Gesichts- oder Fingerabdruck­erkennung beim E-Banking bergen Risiken. Banken schieben sie im Kleingedruckten auf die Kunden ab.

Wer seine Bankgeschäfte nur noch via Internet oder per Smartphone-App erledigt, spart seiner Hausbank viel Arbeit und Kosten. Banken wollen daher möglichst ­viele Kunden fürs E-Banking gewinnen. Die Postfinance will seit diesem Sommer die Kunden dazu bringen, dass sie sich mit Hilfe der Postfinance-App auf ihrem ­Smartphone im Online-Banking ­«E-Finance» oder dem digitalen Wertschriftenhandel «E-Trading» anmelden. Das sei «so bequem wie nie zuvor». Ein Kunde muss sich für das Online-Banking mit Login und Passwort anmelden und über den Fingersensor seines Android- oder Apple-Smartphones streichen oder in die Kamera seines iPhones schauen. Dafür muss man sich auf dem eigenen Handy registrieren und ­seine Gesichts­identität (Face-ID) oder den Fingerabdruck (Fingerprint) hinter­legen. Dieses «bio­metrische» Anmeldeverfahren ist auch am Computer in Kombination mit dem Handy möglich. 

K-Geld hat das neue Ver­fahren mit einem Android-Smartphone und einem Fingerabdruck geprüft. Fazit: Die Anmeldung funktioniert bequemer und schneller als das bisherige Anmeldeprozedere mit Kartenlese­gerät, Pin-Code sowie Postfinance-­Card und Passwort. Kunden ohne internetfähiges Handy oder solche, die dem biometrischen Verfahren misstrauen, können das alte Zugangsverfahren weiterhin einsetzen oder auf das dritte, ebenfalls kostenlose, aber weniger gängige An­meldeverfahren «Mobile ID» der Schweizer Mobilfunkanbieter setzen. Mobile-ID- und Kartenlese­gerät-Verfahren gelten nach Einschätzung von Experten für Computersicherheit als sehr sicher. Diese Verfahren kommen ohne ­biometrische Daten aus.

Doch ist auch das biometrische Anmeldeverfahren von Postfinance sicher? Oliver Hirschi, Spezialist für Computersicherheit an der Hochschule Luzern, sagt: «Grundsätzlich muss davon ausgegangen werden, dass alle Sicherheitselemente ausgehebelt werden können.» Klar ist: Ein Fingerabdruck ist ein heikles Identifikationsmerkmal. So gelang es dem deutschen Chaos Computer Club, den Fingerabdrucksensor von Smartphones mit Hilfe einer am Computer nachbearbeiten Kopie eines Fingerabdrucks auf einer ­Folie zu überlisten. Hinzu kommt: Ein «gestohlenes» Gesicht oder einen kopierten Fingerabdruck kann man nicht ändern – ein Passwort hin­gegen schon. Die Postfinance ­sichert sich bei der neu einge­führten ­Face-ID- und Fingerprint-Tech­nologie auf ihrer Website ab und schreibt: «Sie nutzen diese Funk­tionen auf eigenes Risiko.»

Rolf Wüest, stellvertretender Schweizerischer Bankenombudsmann, warnt: «Bankkunden müssen im Umgang mit elektronischen Bankdienstleistungen wachsam sein.» Wenn Kunden Fehler machten, werde die Bank diese in den meisten Fällen nicht erkennen oder korrigieren können. 

Im Google-Store fand sich eine gefälschte App von Postfinance

Fehler passieren schnell. So ­luden im Sommer 2018 Postfinance-Kunden eine gefälschte «Post­finance»-App im Google-Store herunter und übermittelten Betrügern ihre Kreditkarten-Daten. Die Bank stellt in den «Sorgfaltspflichten des Kunden» hohe Anforderungen an ihre Kunden im Umgang mit der neuen Technik: So darf der Kunde sein fürs Login via App registriertes Smartphone nur als persönliches Gerät nutzen und nicht an andere Personen weitergeben. Ferner verlangt die Postfinance, dass der Kunde sein Smartphone stets mit einem Geräte-Entsperrungscode schützt, der «mindestens 6 Zeichen» enthält. 

Gedeckt sind Verluste durch Viren – aber keine Phishing-Angriffe

Postfinance verspricht zwar, ­finanziellen Schaden im E-Finance und in der Postfinance-App, die aus technischen Angriffen resultieren, bis zu 100 000 Franken pro Fall «vollständig» zu übernehmen. Gedeckt sind aber primär Verluste durch digitale Trojaner und Viren – und keine Phishing-Angriffe. Bei dieser Form des Trickbetrugs versuchen Kriminelle, über gefälschte E-Mails, Websites oder Telefon­anrufe an Daten des Opfers zu kommen. Liegt ein Trickbetrug vor, ist er durch das «Leistungsversprechen» nicht abgedeckt ­(«Saldo» 20/2018) – obwohl Phishing-­Betrugsfälle für die meisten Schäden beim E-Banking sorgen. 

K-Geld hat die E-Banking-­Nutzungsbedingungen von 13 Banken untersucht. Resultat: Im Kleingedruckten wälzen die Banken das Betrugs- und Verlust­risiko im E-Banking weit­gehend auf die Kunden ab. Die ­Migros-Bank schreibt etwa: «Die Risiken aus der missbräuchlichen Verwendung von E-Banking liegen grundsätzlich bei Ihnen.» Die Banken erklären zwar, dass man jeden Schadenfall einzeln prüfe und eine Rückerstattung in Betracht ziehe, falls der Kunde ­seine Sorgfaltspflichten nicht grobfahr­lässig verletzt habe. Harald Bärtschi, Finanzmarktrechtsexperte an der Zürcher Hochschule für Ange­wandte Wissenschaften, sagt deshalb: «E-Banking-­Kunden müssen in der Regel auf die Kulanz der Banken hoffen.»

Schweizer Banken bieten E-Banking-Kunden zunehmend eine sogenannte Zwei-Faktor-­Authentifizierung an. Dazu gehören unter anderem das bishe­rige Anmeldeverfahren der Postfinance mit dem Kartenlesegerät und das neue System mit Face-ID oder Finger­abdruck. Das Prinzip ist immer das gleiche: Internetkunden melden sich über zwei Kanäle für die Online-Bankgeschäfte an. Der erste Schritt ist meist die Anmeldung mit einer Benutzer-ID und Passwort. Die zweite Komponente, die Transaktionsnummer, liefert ein Kartenleser, USB-Stick oder ein Handy (siehe Kasten).

Alle diese Systeme haben Vor- und Nachteile. Die EU-Zahlungsrichtlinie «Payment Service Direc­tive 2» schreibt mindestens eine Zwei-Faktor-Authentifizierung vor. Sie ist seit Mitte September in Kraft. Strichlisten mit Transaktionsnummern auf Papier sind seither verboten. Die Schweizer Bankiervereinigung wehrte sich aber erfolgreich gegen eine Übernahme der neuen EU-­Sicherheitsstandards. 

Die Umfrage von K-Geld unter 13 Banken zeigt: Die Aargauische, die Basler und die Zürcher Kantonalbank sowie die Alternative Bank, die Clientis- und die Raiffeisen­banken wie auch Swissquote bieten ihren Kunden unsichere Anmeldeverfahren per SMS oder Nummern-Strich­listen auf Papier an. E-Banking-Kunden mit diesen Zugangsverfahren sollten nach Möglichkeit auf sicherere Methoden wie etwa ein Kartenlesegerät (sogenannte Chip-Tan) umsteigen oder Zahlungs­aufträge nur auf Papier erledigen – nach dem Motto: Sicherheit geht vor.

Autor: Bernhard Bircher-Suits, erschienen im K-Geld 5-2019

Das sind die gängigsten Anmeldeverfahren

mTAN (mobile TAN bzw. SMS-TAN): Banken senden ihren Kunden eine TAN (Transaktionsnummer) per SMS aufs Mobiltelefon. Mit dem erhaltenen Einmal-Code kann sich der Kunde im E-Banking anmelden oder eine Überweisung bestätigen. Dieses Verfahren wurde schon mit Hilfe von Ersatz-SIM-Karten («SIM-Swapping») geknackt.

App-TAN/Push-TAN: Für dieses Verfahren muss eine App der Bank installiert werden. Wer für die Bankgeschäfte auf dem Smartphone schon eine Banking-App seines Finanzinstitutes benutzt, muss zwei Apps installieren. Egal, welchen Weg man nutzt: Die Daten werden übers Onlinebanking eingegeben. Dann öffnet man die passwortgeschützte App für die TAN und kann die Nummer abrufen. Auch das biometrische Anmeldeverfahren der Postfinance zählt zu dieser Kategorie.

Foto-TAN: Dabei fotografiert der Kunde mit dem Handy ein mosaikartiges Bild mit Farbpunkten auf dem Computerbildschirm. Daraus errechnet eine Smartphone-App einen einmalig nutzbaren Passwortzusatz. Die Banking-App sowie die Foto-TAN-App sollten aus Sicherheitsgründen aber nicht auf demselben Smartphone installiert werden. 

QR-TAN: Der Kunde gibt seine Daten für die Bank und die Überweisung ein. Dann erscheint ein QR-Code am Bildschirm, der mit Hilfe der Handykamera die passende TAN für die Überweisung generiert. 

Chip-TAN: Das Verfahren gibt es schon viele Jahre. Die TANs werden hier von Lesegeräten erzeugt, in welche die Bankkarte gesteckt wird. Das Gerät erhält man von seiner Bank. Die Überweisung können Nutzer am Computer erledigen. Alle für die Sicherheit relevanten Geheimnisse zwischen dem Kunden und der Bank befinden sich auf der Karte. Im Computer spielt sich nichts ab. 

iTAN-Strichlisten auf Papier: Hier befindet sich die Transaktionsnummer auf Papier und ist unlimitiert gültig. In der Schweiz bieten einzelne Banken dieses Verfahren noch an. Betrüger versuchen per E-Mail, solche lange Zeit gültigen TAN-Nummern abzufragen. Sie tarnen das E-Mail so, als käme es von der Hausbank. 

Print Friendly, PDF & Email
Facebook
Twitter
LinkedIn
Instagram