Das Internet hat schon längst die Bankenwelt erreicht. Onlineüberweisungen gehören längst zum Alltag von Millionen Menschen. Warum auch nicht? Für Überweisungen muss man das eigene Haus nicht verlassen. Dass es Betrug gibt, ist auch nichts Neues. Banken versuchen stets, neue und sicherere Systeme zu etablieren. Doch am entscheidenden Faktor lässt sich nichts ändern.
Als das Internet seinen Siegeszug begann, war es schon abzusehen, dass auch die Banken viele ihrer Dienstleistungen auch online anbieten würden. Genau das taten sie auch. Heute gehören Überweisungen, Kontoabfragen und noch vieles mehr im Netz zum Alltag, die keiner mehr ernsthaft in Frage stellt. Immer wieder Schlagzeilen machen nur Betrügereien, wobei der erlittene Schaden enorm variiert.
Anfangs verschickten Banken TAN-Listen, dann iTAN-Listen und jetzt sind sie bei mTAN angekommen. Alles was der Kunde braucht, ist ein Handy. Sicher soll dieses Verfahren sein, so versprach man es den Bankkunden. Aber Kriminelle haben auch bereits dieses Verfahren erfolgreich ausgetrickst. Der Schaden betrug in Einzelfällen einen höheren 6-stelligen Betrag. Nun sollen weitere Verfahren das Onlinebanking völlig sicher gestalten. Die Frage stellt sich nur, wie lange dauert es, bis Kriminelle auch eine Möglichkeit gefunden haben, dies zu knacken. Es ist wie mit dem Falschgeld. Alle Jahre wieder kommen neue und verbesserte Banknoten auf den Markt. Die Zentralbank versichert den Bürgern, dies sei notwendig, weil die neue Serie absolut fälschungssicher ist. Wenn anschließend nach einigen Monaten die ersten Fälschungen entdeckt werden, kommt die große Ernüchterung. Genauso verhält es sich mit den neuesten absolut fälschungssicheren TAN-Verfahren. Es wird immer organisierte Verbrecherbanden geben, die das nötige Know-how und technische Verständnis haben, sowohl die neueste Notenserie zu fälschen als auch TAN-Verfahren zu umgehen.
Das Traurige beim Letzteren ist, dass manche Verfahren technisch gesehen einen sehr hohen Schutz gewähren. Viele Betrügereien scheitern weniger an technischen Hürden, als an der Idiotie so mancher Bankkunden. Banken und auch Betreiber anderer Portale (PayPal, ebay, amazon usw.) betonen gebetsmühlenartig, dass sie niemals nach TANs fragen. Trotzdem haben Phishingmails immer wieder Erfolg, wenn sie sich als die Hausbank ausgeben und erklären, sie benötigen TANs und den Zugangscode für einen Datenabgleich.
Wenn die Sicherheitsvorkehrungen bei den TANs schon in einigen Fällen scheitern und einen hohen Schaden verursachen, wie soll es dann bei komplizierteren Sicherheitsratschlägen aussehen. Um Missbrauch vorzubeugen, so die Experten, benötigt der Kunde zwei mobile Endgeräte, wenn er mit ihnen eine Überweisung in Auftrag geben will. Auf dem einen soll er sich einloggen und auf dem anderen die TAN empfangen. Dass keine sensiblen Daten gespeichert werden sollen, dürfte auch klar sein. Außerdem soll regelmäßig der Cache-Speicher geleert werden. Ich wage mal die Prognose, dass viele gar nicht wissen, was ein Cache ist und wofür er dient. Geschweige denn, ihn zu löschen. Weitere Sicherheitsmaßnahmen (Photo-TAN, Push-TAN, HBCI, NFC-TAN) werden sich alleine wegen ihres hohen Anschaffungspreises nicht flächendeckend durchsetzen.
Man kann es drehen und wenden wie man will. Bei allen angeblich so sicheren neuen Zahlungssystemen im Netz ist der größte Risikofaktor der Mensch. Das wird sich so schnell auch nicht ändern.