Die eigene finanzielle Sicherheit ist wohl einer der heikelsten Themenbereiche, mit dem Menschen überhaupt konfrontiert werden können. Das Problem ist jedoch: Viel zu häufig sind es keine meisterhaft agierenden Kriminellen, sondern Kunden, die schlicht und ergreifend zu nachlässig und/oder unwissend sind und dadurch haarsträubende Sicherheitslücken öffnen. Dies darf auch Banken nicht gleichgültig sein.
Denn obwohl in vielen solcher Fälle der Kunde zumindest eine Teilschuld daran trägt, dass ihm Geld entwendet wurde, bleibt für das Image der Finanzbranche immer ein bitterer Beigeschmack: „Warum hat man mich nicht besser geschützt?“. Ungeachtet dessen, dass Banken die höchsten Sicherheitsstandards überhaupt garantieren. Es liegt also an der Branche, den Kunden von seiner Rolle und der immensen Bedeutung seines Tuns für die Sicherheit seiner Finanzen zu überzeugen. Und dazu gehört es auch, ihn manchmal vor der eigenen Nachlässigkeit zu bewahren. Doch wie?
Inhalt:
- Niemals auf Dritte als Informationslieferanten vertrauen
- Schulungen abhalten und Informationslektüre versenden
- Den Kunden auf typische Fehler hinweisen
- Offensiv auf gerade bedeutsame Maschen hinweisen
- Vergleiche zu Sicherheitsmaßnahmen in anderen Branchen ziehen
- Erklären, was im Schadfall geschehen kann
- Die E-Mail ad acta legen
- Digitale Hinterlegungsmöglichkeiten für sichere Geräte
- Automatische Information über Kontobewegungen
- Nur maximal sichere TAN-Verfahren anbieten
- Nutzung öffentlicher WLAN-Netzwerke erschweren
1. Überzeugungsarbeit für Kunden: Handreichungen
Was ist das größte Problem für Sicherheit? Es ist Unwissen gepaart mit der Ansicht, dass andere sich etwaiger Probleme annehmen werden. Eine solche Haltung herrscht bei vielen Bankkunden vor, wodurch diese einen eklatanten Anteil ihrer Bringschuld in Sachen Sicherheit an das Kreditinstitut auslagern – und sich im Zweifelsfall auf die verbriefte Einlagensicherung stützen. Doch wie lässt sich dagegen angehen?
Niemals auf Dritte als Informationslieferanten vertrauen
Presseerzeugnisse, Sicherheitsbehörden, Online-Ratgeber: Es gibt viele Lieferanten von Informationsgeber rund um das Thema Finanzsicherheit und Kriminalität, die als Dritte jenseits des Kunden und seiner Bank stehen. Und sicherlich liefern einige davon auch seriöse, wertvolle Informationen. Es bleibt jedoch eine facettenreiche Grundproblematik:
- Der Kunde muss solche Informationen aktiv suchen und wahrnehmen.
- Durch die große Anzahl von Quellen kann nicht jeder auf denselben Informations-Background setzen.
- Je nach Quelle und deren Interessenlage können die Informationen einseitig und/oder nicht allgemeingültig sein.
Der wichtigste Punkt ist jedoch dieser: Zwischen einem Kunden und seinem Kreditinstitut herrscht ein ganz besonderes Vertrauensverhältnis, welches sich in dieser Form höchstens noch mit dem gegenüber einem Hausarzt oder vielleicht dem Versicherer vergleichen lässt. Zwar genießen Banken kein generelles Grundvertrauen, wohl aber können Sie solches im persönlichen Kontakt herstellen. Gepaart mit der Tatsache, dass eine Bank intimste Kenntnisse über das Finanzielle einer Person
besitzt, entsteht daraus die Möglichkeit, informierend und somit lenkend einzuwirken. Und zwar durch:
Schulungen abhalten und Informationslektüre versenden
Was ist eigentlich Phishing? Wie können Kriminelle an einem Geldautomaten sowohl die Kartendaten wie die PIN abgreifen? Und was passiert eigentlich, wenn einem unerlaubterweise Geld vom Konto entwendet wird? Rund um das Thema Finanzsicherheit gibt es zahlreiche Fragen und Problemstellungen. Hier kommt nun das angesprochene Vertrauensverhältnis ins Spiel: Banken wissen dies alles sehr genau. Auch können sie am besten eruieren, wo beispielsweise Wissenslücken bei ihren Kunden bestehen.
Beides sollte nicht ungenutzt verbleiben; hier bieten sich zwei Möglichkeiten an:
- Es werden Informationsveranstaltungen und Schulungen abgehalten. Diese könnten auch ganz gezielt auf bestimmte Kundengruppen zugeschnitten werden. Beispielsweise „Risiken für Senioren beim Online Banking“ oder „Typische kriminelle Maschen gegenüber Kleinunternehmern“. Diese Vorgehensweise bietet sich zwar primär für Filialbanken an, kann aber auch von Direktbanken durchgeführt werden. Wichtig ist, dass diese Veranstaltungen niedrigschwellig und zugänglich (also zielgruppengerecht) sind und in regelmäßigen, kurzfristigen Abständen stattfinden.
- Es werden an die Kunden Informationsbriefe versendet. Diese sollten unbedingt deutlich als solche gekennzeichnet sein, um Verwechslungen mit Werbung auszuschließen. Auch sollte eher der analoge Weg gewählt werden, um Probleme mit Spam-Ordnern und dergleichen zu vermeiden. Auch hierin sollte ähnlich informiert werden, naturgemäß jedoch in kompakterer Natur.
Der Effekt: Kunden müssen sich nicht ihre Informationen zusammensuchen (wobei auch immer die Gefahr von Fehlinterpretation besteht) und bekommen sie zudem nicht von irgendjemandem, sondern von ihrem Finanzpartner selbst. Als Nebeneffekt steigt auch noch das Ansehen des Instituts als kundennah. Allerdings sollten diese proaktiven Möglichkeiten genutzt werden. Bank-Blogs auf der Instituts-Website ermöglichen zwar ähnliches, erzwingen aber aktives Handeln seitens des Kunden, was Fehlerpotenzial hat.
Den Kunden auf typische Fehler hinweisen
Es vergeht kaum ein Monat, an dem nicht irgendeine Zeitung Meldungen veröffentlicht, wonach Betrüger Menschen um ihr Geld brachten, weil sie die Kontoinformationen frei Haus geliefert bekamen – durch achtlos weggeworfene Kontoauszüge. Ebenso kommt es in unschöner Regelmäßigkeit vor, dass Kriminelle anderen Menschen bei der PIN-Eingabe an einem Zahlterminal auf die unverdeckten Finger schauen und sich hernach via Taschendiebstahl der Karte bemächtigen.
Es sind oft solche kleinen Dinge, die von vielen Bankkunden falsch gemacht werden, aber gigantische negative Effekte entwickeln können. Hier sollten Banken ebenfalls aktiv agieren. Etwa auf folgende Weise:
- Bebilderte, mehrsprachig beschriftete Hinweisschilder.
- Informationen auf Karten selbst – auf der Rückseite ist meist genügend Platz.
- Spezielle Mülleimer in Filialen, die nicht ohne Weiteres geleert werden können – oder die einen Reißwolf integriert haben.
Zumindest in Filialen sind auch aufmerksame Schaltermitarbeiter gefordert. Sie sollten auf typisches Fehlverhalten achten und im Zweifelsfall sofort informierend einschreiten.
Offensiv auf gerade bedeutsame Maschen hinweisen
Die Gesamtheit der deutschen Polizeien betreibt eine eigene Website, die einen Großteil dafür aufwendet, Menschen über aktuelle Betrugsmaschen aufzuklären. Doch handelt es sich hierbei ebenfalls um eine Dienstleistung, die jeder selbst wahrnehmen muss. Abermals können Banken hier selbst handeln.
Denn Maschen ändern sich bekanntermaßen ständig. Deshalb sollten Erkenntnisse ebenfalls aktiv an die Bankkunden kommuniziert werden. Abermals bietet sich hier das Medium des Infobriefs an. Zusätzlich sollte es jedoch unbedingt auch weitergehende Varianten geben. Etwa Einblendungen in den Displays von Geld-, Überweisungs- und Kontoauszugsautomaten. Vor allem bei Letzteren bietet sich dies an, um die Wartezeit beim Ausdrucken äußerst sinnvoll zu überbrücken.
Wichtig ist jedoch, dass Banken hierbei wirklich Mühe investieren und ständig aktualisierte Informationen bereitstellen. Wenn etwa über Wochen hinweg im Display dieselben Erklärungen zu finden sind, kann sich der gewünschte Effekt rasch ins Gegenteil verkehren.
Vergleiche zu Sicherheitsmaßnahmen in anderen Branchen ziehen
Sicherheit und Komfort schließen sich häufig gegenseitig aus. Aus diesem Grund gibt es auch viele Bankkunden, die die Sicherheitsmaßnahmen ihrer Bank für überzogen halten bzw. sie nicht passend einsetzen – hierin erklärt sich auch, warum selbst bei sehr sicheren TAN-Verfahren nach wie vor der Mensch der größte Risikofaktor ist.
Dabei lässt es sich jedoch nicht von der Hand weisen, dass Kunden dies oft je nach Dienstleistung völlig unterschiedlich bewerten. Beim Smartphone beispielsweise haben viele Menschen längst die Gesichts- oder Fingerabdrucksperre akzeptiert; würde ihre Bank derartiges anbieten, würden hingegen wohl viele mit dem Thema Datenschutz argumentieren.
Tatsache ist jedoch, dass das, was viele Banken aus Sicherheitsgründen anbieten und anbieten müssen, in vielen anderen Branchen längst etabliert und von deren Kunden auch akzeptiert ist – beispielsweise das KYC-Verfahren, mit dem Anbieter von Online-Casinos ihre Kunden einer Durchleuchtung unterziehen, die der Eigensicherung dient. Oder etwa die Übersendung einer Ausweiskopie, die viele Online-Händler zur Grundvoraussetzung machen, um Ü18-Waren zu versenden.
Hier sollten Banken dringend für maximale Transparenz sorgen. Die Botschaft: „Was wir in Sachen Sicherheit pflegen, ist weder übertrieben noch einzigartig, sondern etablierter guter Stil, der schlicht aufgrund der heutigen Risiken notwendig ist“.
Erklären, was im Schadensfall geschehen kann
Jemand hat sich über sorglos weggeworfene Kontoauszüge die Zahlungsdaten eines Bankkunden besorgt und sie genutzt, um damit an Geld zu kommen. Diese Masche steht beispielhaft dafür, dass viele Menschen gar nicht wissen, was nun auf sie zukommt:
- Gibt es einen Anspruch darauf, das Geld zurückzubekommen und wenn ja bis zu welcher Höhe?
- Welche Fristen müssen in diesem Fall eingehalten werden?
- Wer ist wie zu verständigen und muss eine Anzeige erstattet werden?
Neben der Tatsache, dass vor allem viele private Bankkunden keine Ahnung haben, auf wie viele vielfältige Weisen sie betrogen werden können, herrscht auch beim Wissen um die Folgen eines solchen Betrugs oft eklatantes Unwissen vor. Das ist für Banken besonders riskant, denn bei vielen Menschen herrscht eine gewisse „Vollkasko-Mentalität“ vor, die der Realität nicht Stand hält. Erfahren diese Menschen dann beispielsweise, dass sie kaum eine Möglichkeit haben, eine selbst getätigte Überweisung rückgängig zu machen, entsteht oft Zorn gegenüber dem Kreditinstitut – obwohl dieses weder an der Tat noch der Sachlage eine Schuld trägt.
Kunden immer wieder zu informieren, was in welchem Schadfall passiert, ist deshalb ein Selbstschutz jedes Instituts gegen ungerechtfertigte Vorwürfe – wenngleich unterstrichen sein soll, dass es zumindest für sehr dreiste Betrugsmaschen mit erwiesener Unschuld des Kunden große Kulanz geben sollte.
2. Kunden vor sich selbst schützen: Ideen und Möglichkeiten
Betrachtet man das Thema Sicherheit als Endergebnis von Maßnahmen, so gibt es zwei Arten von Sicherheit: Erstens solche, die auf menschliches Wohlverhalten setzt und zweitens solche, die selbst dann greift, wenn eine Person alles falsch macht. Alle Informationen aus dem ersten Kapitel gehören zu Ersterem. Sie benötigen einen in ihrem Sinne handelnden Kunden, um zu funktionieren. Da jedoch
kein Mensch bei jedem Geldgeschäft dauernd an maximale Sicherheit denkt, sind sie automatisch lückenhaft – so gut sie auch sind.
Banken tun deshalb gut daran, zusätzlich auch über Maßnahmen nachzudenken, welche dem Kunden den Zwang zu Wohlverhalten aus den Händen nehmen – Maßnahmen also, die gleichzeitig eine Rolle als erste und letzte „Verteidigungslinie“ einnehmen, die immer funktioniert.
Die E-Mail ad acta legen
Warum funktionieren Phishing-E-Mails leider nach wie vor hervorragend gut? Einfach deshalb, weil Menschen es gewöhnt sind, dass sie auf diesem Weg tatsächlich mit ihrem Kreditinstitut in Kontakt treten. Dies ist auch ein Problem abseits der Tatsache, dass die E-Mail sowieso ein inhärent extrem unsicheres Medium ist – weshalb wohl keine Bank dieser Welt darüber wirklich wichtige Informationen versendet.
Dabei bleibt jedoch die Tatsache im Raum, dass das Phishing-Problem so lange bestehen wird, wie bei Kunden weiterhin E-Mails eintreffen. Hier gibt es prinzipiell nur zwei Lösungen, eine sichere und eine weniger sichere:
- Die Bank verwirft die E-Mail komplett und wendet sich alternativen elektronischen Kommunikationsformen zu, bei denen Phishing schwieriger ist. Selbst die SMS wäre hierzu gut geeignet. Angesichts der enormen Verbreitung von Smartphones könnten Kunden jedoch mit den richtigen Argumenten sogar von der Nutzung einer rein für die Kommunikation eingerichteten App der Bank überzeugt werden.
- Die Bank vergibt an jeden Kunden eine eigene E-Mail-Adresse. Diese Mails werden intern gehostet, wodurch es deutlich leichter wird, das generelle Fälschungsprozedere zu erschweren.
Für den Anfang oder auch zusätzlich könnte es sogar genügen, E-Mails mit einer Zwei-Faktor-Authentifizierung zu verbinden: Erst wenn der Kunde zu einer E-Mail eine passende Kurznachricht der Bank erhält, kann er davon ausgehen, dass die Mail echt ist.
Handscanner am Terminal
Der geneigte Leser kann bei seinen nächsten Einkäufen oder Bankbesuchen oder auf der Arbeit gerne die Probe auf Exempel machen: Einfach beobachten, wie viele Menschen bei der PIN-Eingabe die Hand wirklich so über das Tastenfeld halten, dass es unmöglich ist, die Zahlen zu erkennen. Nur wenige verfahren so. Und das, obwohl bei vielen Terminals als Aufkleber oder im Display deutlich darauf hingewiesen wird – übrigens ein Paradebeispiel für Sicherheitsmaßnahmen, die auf Wohlverhalten setzen.
Allerdings geht es dank der Digitalisierung auch anders. Es wäre ein Leichtes, solche Tastenfelder mit Sensoren zu bestücken. Diese registrieren (etwa durch Prüfen des Umgebungslichtes), ob das Tastenfeld wirklich sorgsam bedeckt wird. Ist dies nicht der Fall, wird die Eingabemöglichkeit so lange blockiert. Insbesondere, wenn dann darauf hingewiesen wird, wie es richtig geht, kann daraus ein starker erzieherischer Effekt entstehen.
Digitale Hinterlegungsmöglichkeiten für sichere Geräte
Die allermeisten Bankkunden nutzen für Online Banking nur ein bis zwei Geräte – typischerweise ihr Smartphone und gegebenenfalls einen heimischen Computer. Bis auf das längst nicht bei allen Banken angebotene pushTAN-Verfahren gibt es jedoch meist keine Möglichkeit, diese Geräte als einzig erlaubte fest zu registrieren bzw. digital zu hinterlegen.
Just dies wäre jedoch eine Option, die auch alle anderen (sicheren) TAN-Verfahren noch ein gutes Stück sicherer machen würde. Dies könnte beispielsweise durch das Hinterlegen der IMEI-Nummer oder der MAC-Adresse geschehen – was sich für den Kunden als einfache Menüeingabe gestalten würde. Die Folge: Online Banking kann nur noch mit den hinterlegten Geräten durchgeführt werden. Das ist zwar für den Kunden etwas unkomfortabler bei neuen Geräten, erhöht seine Sicherheit jedoch enorm.
Automatische Information über Kontobewegungen
Die meisten Banken offerieren ihren Kunden Möglichkeiten, um sich online bei bestimmten Vorgängen informieren zu lassen – beispielsweise per SMS. Leider jedoch ist dies in den allermeisten Fällen so gestaltet, dass es für den Kunden optional ist. Das heißt, er kann entscheiden und
auswählen, über was er informiert werden möchte; das heißt wiederum, er kann es auch ausschalten.
Abermals gibt es hier eine sichere und eine weniger sichere Alternative:
- Das System wird durch die Bank so konfiguriert, dass zumindest über alle Geldausgänge unausweichlich eine Benachrichtigung versendet wird – diese sich also nicht abwählen lässt. In diesem Fall müsste der Kunde, falls dies über SMS geschieht, schon aktiv die Nummer blockieren, was erfahrungsgemäß eher nicht der Fall sein wird.
- Die Benachrichtigungen werden bei der Einrichtung so eingestellt, dass sie automatisch eingeschaltet sind. Ein Abwählen wird zumindest mit einem Benachrichtigungsfeld verbunden. Etwa: „Wenn Sie diese Benachrichtigung ausschalten, kann es bei einem Betrug vorkommen, dass Sie nicht rechtzeitig davon erfahren“.
Eine solche Nachricht sollte auch immer Basisinformationen enthalten – also zumindest die Summe und den Empfänger. Auf diese Weise wird es für Kunden leicht, gewünschte von nicht freigegebenen Bewegungen zu unterscheiden und sie können im Notfall sofort handeln – was sich noch optimieren lässt, indem jede SMS einen Link oder einen Telefonkontakt enthält: „Sie haben diese Kontobewegung nicht autorisiert? Dann klicken/wählen Sie…“.
Nur maximal sichere TAN-Verfahren anbieten
Warum wurde es nach dem 14. September 2019 untersagt, TAN-Listen (iTAN) auszugeben? Leider deshalb, weil einige Banken bis zuletzt an dieser erwiesenermaßen unsicheren Praxis festhielten. Allerdings gibt es auch seither Institute, die nicht wirklich sichere Verfahren offerieren, etwa die mTAN per SMS. Selbst wenn dies mit den bereits erwähnten Geräteregistrierungen kombiniert wird, bleibt bei „gekaperten“ Geräten eine Sicherheitslücke.
Dagegen sollten Banken aufrüsten. Das heißt, grundsätzlich nur TAN-Verfahren anbieten, die nach dem jeweils gültigen Stand der Technik als sicherste Option gelten. Aktuell also QR-TAN sowie TANs
mit Generatoren bzw. Lesegeräten. Auch hier sollte die Maßgabe gelten, dass Komfort (für den Kunden) sowie Sparwünsche (bei der Bank) keinesfalls zu Nachteilen der Sicherheit gehen sollten.
Nutzung öffentlicher WLAN-Netzwerke erschweren
Einer der bedeutendsten Angriffspunkte von Kriminellen im Umfeld von Online Banking sind WLAN-Netzwerke und hier vor allem solche, die öffentlich sind. Hier werden Man-in-the-Middle-Angriffe durch die freie Zugänglichkeit und Anonymität der Teilnehmer meist signifikant erleichtert – wobei auch halböffentliche Netzwerke mit Registrierung (etwa in Hotels) nicht wirklich sicherer sind.
Gibt es für Banken eine Möglichkeit, öffentliche Netzwerke zu erkennen und auf eine Blacklist zu setzen? Sicherlich nicht, dies wäre eine unmögliche Sisyphos-Arbeit. Wohl aber ginge es andersherum: Zumindest über die Banking App auf dem Gerät des Kunden ließe sich durchaus eine Möglichkeit schaffen, dass dieser darin seiner Meinung nach sichere Netzwerke angibt – etwa sein Heimnetzwerk, das bei bestimmten Freunden oder auf der Arbeit. Es wäre technisch machbar, dass die App erkennt, in welchem Netzwerk das Gerät gerade eingebucht ist.
Darüber ließe sich wiederum ein Ausschluss generieren: Sobald das Gerät in einem anderen WLAN eingebucht ist, können bestimmte Banking-Funktionen aus Sicherheitsgründen nicht mehr durchgeführt werden; mit einer entsprechenden Menüführung und angepassten Meldungen wäre dies auch kundenfreundlich umzusetzen.
Zusammenfassung und Fazit
Kann eine Bank etwas dafür, wenn ein Kunde auf eine Phishing-Mail hereinfällt? Höchstwahrscheinlich nicht – so wie auch bei den meisten anderen Vorfällen, bei denen Kunden durch Dritte um ihr Geld gebracht werden. Allerdings sollte es dennoch in ihrem ureigensten Interesse liegen, dass etwas Derartiges nie passiert – allein schon aus Image-Gründen.
Tatsache ist, dass es auch in den hohen Sicherheitsstandards, die Banken offerieren (oder offerieren müssen) noch Lücken gibt. Und jenseits davon gibt es zu vieles, bei dem Kunden sich falsch verhalten und somit zu einem Schaden einen gewissen Teil beitragen zu können. Beides sollte vermieden werden – und kann es vielfach sogar, ohne dass der Kunde es bemerkt.
Tipp: Sie möchten mehr zum Thema Payment? Dann schauen Sie mal hier oder schauen Sie mal auf die Agenda von Next Generation Payment 2021.