Dr. Hans Zeger, ARGE Daten - Onlinebanking - vieles ist verbesserungswürdig
ID 15065
Dr. Hans Zeger, ARGE Daten zu Onlinebanking - vieles ist verbesserungswürdig
Umfassende Studie testete alle wichtigen Onlinebankingsysteme
Österreichs - alle Systeme besitzen Basissicherheit, kein
System ist jedoch optimal
"Mit rund drei Millionen Konten ist Onlinebanking der
bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die
Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf
ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz
untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme
eine Basissicherheit besitzen, jedoch kein System optimal ist",
betonte Konsumentenschutzstaatssekretär Sigisbert Dolinschek bei der
heutigen Pressekonferenz zur Präsentation der Studie "Onlinebanking
in Österreich".
Die seit Ende 2005 massiv auftretenden Phishingattacken mit
Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in
das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen
Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche
Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem
gegenüber werden Phishing-Attacken technisch perfektioniert und
erreichen zielgerichteter ihre Opfer. Getestet wurde mit Hilfe von
Testkonten, wobei nicht bloß technische, sondern auch rechtliche und
ablauforganisatorische Aspekte berücksichtigt wurden. Die
analysierten Lösungen decken mehr als 99% der in Österreich genutzten
Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem
Optimalprofil verglichen, das mit gegenwärtiger Technik leicht
erreichbar wäre.
In keinem Fall wurde ein sicherheitstechnisch optimales,
benutzerfreundliches und vertragsrechtlich unbedenkliches System
angeboten, kein System erreichte 100%. Die Mindestvoraussetzungen für
sichere Internetkommunikation, verschlüsselte Datenübertragung,
passwortgesicherter Zugang und Verwendung von Einmalcodes (TANs) bei
Transaktionen sind bei allen Banken vorhanden. Doch schon bei den
verwendeten TAN-Verfahren gibt es große Qualitätsunterschiede.
"Immerhin in acht Fällen werden veraltete Verfahren verwendet. Als
eigentliche Schwachstelle des Onlinebankings entpuppen sich jedoch
weniger die verwendeten TAN-Verfahren, sondern die per Post
verschickten Listen, die es Angreifern ermöglichen, auch mehrere TANs
in Erfahrung zu bringen. In einem Extremfall wurden einem Konsumenten
20 TANs auf einmal entlockt!", so Dolinschek.
Um einen nicht abzuschätzenden Vertrauensverlust zu vermeiden, sind
alle Institute gezwungen, ihre bestehenden Verfahren, zu verteidigen
und als "sicher" einzustufen. Damit ist keine beschleunigte
Einführung innovativer Lösungen möglich. So dürften auch in naher
Zukunft PIN/TAN-Listen in den verschiedensten Varianten Standard im
Onlinebanking bleiben. Eine Wende bei der Einführung moderner
Sicherheitsverfahren könnte sich nur durch legistische
Rahmenbedingungen ergeben. Erst wenn der Gesetzgeber bestimmte
Mindeststandards vorschreibt (z.B. eine hardwarebasierte
TAN-Generierung, die Einhaltung der ONR17700, eine ISO
27001-Zertifizierung der Banken, etc.) gäbe es für die Institute
einen unverdächtigen Grund, ihre bisherigen alten Systeme vollständig
zu ersetzen.
"Durch eine Fülle oft einfacher Maßnahmen könnte die
Phishingresistenz entscheidend gestärkt werden. So könnte die simple
Einführung einer Bankservicecard, die alle wichtigen Informationen,
wie Webadresse, Zertifikatsdaten, Hotline- und Sperrnummer schon
viele Gefährdungen und Verunsicherungen beseitigen. Die
Sperrmöglichkeiten des Onlinekontos bei Verdacht eines Missbrauches
sind ebenso verbesserungsbedürftig. Insbesondere fehlen klare
Vereinbarungen, wie rasch Sperren wirksam werden, weiters ist bei
vielen Instituten keine Sperre rund um die Uhr möglich. Auch die
Möglichkeit Transaktionslimits festzulegen fehlt weitgehend", betonte
der Staatssekretär.
Bedenklich ist auch die Vorgangsweise vieler Banken, dem Kunden
generell jegliche Haftung für Schäden aufzubürden, die aus
missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen.
Ein Teil der Zustimmungserklärungen ist intransparent gestaltet und
vermischt die Zustimmung der Datenweitergabe zu
Gläubigerschutzzwecken mit der Zustimmung zur Weitergabe zu
Werbezwecken.
"Es gäbe einige Änderungen, die heute leicht möglich wären,
angefangen bei der Anpassung der TAN-Verfahren an den derzeitigen
Stand der Technik, der Schaffung von verständlichen
Onlinebanking-AGBs, der Einrichtung effizienter Sperr- und
Meldestrukturen, über die Entwicklung konkreter
Best-Practice-Vorschläge zum Betrieb von Kundencomputern. Weiters
sollten Betriebssysteme so ausgestattet sein, dass Trojanerangriffe
unwahrscheinlich werden. Dazu wäre ein EU-weites Zulassungs- und
Evaluationsverfahren erforderlich, wie es als CE-Kennzeichen bei
jeder Art von Konsumgütern mittlerweile selbstverständlich geworden
ist", schloss Dolinschek.
quelle: http://www.ots.at/presseaussendung.php?s...
Umfassende Studie testete alle wichtigen Onlinebankingsysteme
Österreichs - alle Systeme besitzen Basissicherheit, kein
System ist jedoch optimal
"Mit rund drei Millionen Konten ist Onlinebanking der
bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die
Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf
ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz
untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme
eine Basissicherheit besitzen, jedoch kein System optimal ist",
betonte Konsumentenschutzstaatssekretär Sigisbert Dolinschek bei der
heutigen Pressekonferenz zur Präsentation der Studie "Onlinebanking
in Österreich".
Die seit Ende 2005 massiv auftretenden Phishingattacken mit
Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in
das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen
Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche
Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem
gegenüber werden Phishing-Attacken technisch perfektioniert und
erreichen zielgerichteter ihre Opfer. Getestet wurde mit Hilfe von
Testkonten, wobei nicht bloß technische, sondern auch rechtliche und
ablauforganisatorische Aspekte berücksichtigt wurden. Die
analysierten Lösungen decken mehr als 99% der in Österreich genutzten
Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem
Optimalprofil verglichen, das mit gegenwärtiger Technik leicht
erreichbar wäre.
In keinem Fall wurde ein sicherheitstechnisch optimales,
benutzerfreundliches und vertragsrechtlich unbedenkliches System
angeboten, kein System erreichte 100%. Die Mindestvoraussetzungen für
sichere Internetkommunikation, verschlüsselte Datenübertragung,
passwortgesicherter Zugang und Verwendung von Einmalcodes (TANs) bei
Transaktionen sind bei allen Banken vorhanden. Doch schon bei den
verwendeten TAN-Verfahren gibt es große Qualitätsunterschiede.
"Immerhin in acht Fällen werden veraltete Verfahren verwendet. Als
eigentliche Schwachstelle des Onlinebankings entpuppen sich jedoch
weniger die verwendeten TAN-Verfahren, sondern die per Post
verschickten Listen, die es Angreifern ermöglichen, auch mehrere TANs
in Erfahrung zu bringen. In einem Extremfall wurden einem Konsumenten
20 TANs auf einmal entlockt!", so Dolinschek.
Um einen nicht abzuschätzenden Vertrauensverlust zu vermeiden, sind
alle Institute gezwungen, ihre bestehenden Verfahren, zu verteidigen
und als "sicher" einzustufen. Damit ist keine beschleunigte
Einführung innovativer Lösungen möglich. So dürften auch in naher
Zukunft PIN/TAN-Listen in den verschiedensten Varianten Standard im
Onlinebanking bleiben. Eine Wende bei der Einführung moderner
Sicherheitsverfahren könnte sich nur durch legistische
Rahmenbedingungen ergeben. Erst wenn der Gesetzgeber bestimmte
Mindeststandards vorschreibt (z.B. eine hardwarebasierte
TAN-Generierung, die Einhaltung der ONR17700, eine ISO
27001-Zertifizierung der Banken, etc.) gäbe es für die Institute
einen unverdächtigen Grund, ihre bisherigen alten Systeme vollständig
zu ersetzen.
"Durch eine Fülle oft einfacher Maßnahmen könnte die
Phishingresistenz entscheidend gestärkt werden. So könnte die simple
Einführung einer Bankservicecard, die alle wichtigen Informationen,
wie Webadresse, Zertifikatsdaten, Hotline- und Sperrnummer schon
viele Gefährdungen und Verunsicherungen beseitigen. Die
Sperrmöglichkeiten des Onlinekontos bei Verdacht eines Missbrauches
sind ebenso verbesserungsbedürftig. Insbesondere fehlen klare
Vereinbarungen, wie rasch Sperren wirksam werden, weiters ist bei
vielen Instituten keine Sperre rund um die Uhr möglich. Auch die
Möglichkeit Transaktionslimits festzulegen fehlt weitgehend", betonte
der Staatssekretär.
Bedenklich ist auch die Vorgangsweise vieler Banken, dem Kunden
generell jegliche Haftung für Schäden aufzubürden, die aus
missbräuchlicher Verwendung von Identifikationsmerkmalen entstehen.
Ein Teil der Zustimmungserklärungen ist intransparent gestaltet und
vermischt die Zustimmung der Datenweitergabe zu
Gläubigerschutzzwecken mit der Zustimmung zur Weitergabe zu
Werbezwecken.
"Es gäbe einige Änderungen, die heute leicht möglich wären,
angefangen bei der Anpassung der TAN-Verfahren an den derzeitigen
Stand der Technik, der Schaffung von verständlichen
Onlinebanking-AGBs, der Einrichtung effizienter Sperr- und
Meldestrukturen, über die Entwicklung konkreter
Best-Practice-Vorschläge zum Betrieb von Kundencomputern. Weiters
sollten Betriebssysteme so ausgestattet sein, dass Trojanerangriffe
unwahrscheinlich werden. Dazu wäre ein EU-weites Zulassungs- und
Evaluationsverfahren erforderlich, wie es als CE-Kennzeichen bei
jeder Art von Konsumgütern mittlerweile selbstverständlich geworden
ist", schloss Dolinschek.
quelle: http://www.ots.at/presseaussendung.php?s...
Audio
08:43 min, 12 MB, mp3
mp3, 192 kbit/s, Stereo (48000 kHz)
Upload vom 15.12.2006 / 09:09
08:43 min, 12 MB, mp3
mp3, 192 kbit/s, Stereo (48000 kHz)
Upload vom 15.12.2006 / 09:09
Dateizugriffe:
Klassifizierung
Beitragsart: Interview
Sprache: deutsch
Redaktionsbereich: Politik/Info
Serie: Radio Netwatcher
Entstehung
AutorInnen: Manfred Krejcik / Radio Netwatcher / ORANGE 94.0
Kontakt: radio(at)netwatcher.at
Radio: , Wien im www
Produktionsdatum: 15.12.2006
keine Linzenz
Skript
Radio Netwatcher Reporter Manfred Krejcik im Gespräch mit Dr. Hans Zeger von ARGE Daten über Onlinebanking
Onlinebanking - vieles ist verbesserungswürdig
Umfassende Studie testete alle wichtigen Onlinebankingsysteme
Österreichs - alle Systeme besitzen Basissicherheit, kein
System ist jedoch optimal
"Mit rund drei Millionen Konten ist Onlinebanking der
bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die
Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf
ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz
untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme
eine Basissicherheit besitzen, jedoch kein System optimal ist",
betonte Konsumentenschutzstaatssekretär Sigisbert Dolinschek bei der
heutigen Pressekonferenz zur Präsentation der Studie "Onlinebanking
in Österreich".
Die seit Ende 2005 massiv auftretenden Phishingattacken mit
Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in
das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen
Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche
Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem
gegenüber werden Phishing-Attacken technisch perfektioniert und
erreichen zielgerichteter ihre Opfer. Getestet wurde mit Hilfe von
Testkonten, wobei nicht bloß technische, sondern auch rechtliche und
ablauforganisatorische Aspekte berücksichtigt wurden. Die
analysierten Lösungen decken mehr als 99% der in Österreich genutzten
Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem
Optimalprofil verglichen, das mit gegenwärtiger Technik leicht
erreichbar wäre.
Onlinebanking - vieles ist verbesserungswürdig
Umfassende Studie testete alle wichtigen Onlinebankingsysteme
Österreichs - alle Systeme besitzen Basissicherheit, kein
System ist jedoch optimal
"Mit rund drei Millionen Konten ist Onlinebanking der
bisher erfolgreichste eCommerce-Dienst. Aus diesem Grund wurden die
Angebote von 19 exemplarisch ausgewählten Finanzinstituten sowohl auf
ihre Sicherheit, als auch auf Benutzerfreundlichkeit und Transparenz
untersucht. Das Ergebnis der Studie zeigt, dass zwar alle Systeme
eine Basissicherheit besitzen, jedoch kein System optimal ist",
betonte Konsumentenschutzstaatssekretär Sigisbert Dolinschek bei der
heutigen Pressekonferenz zur Präsentation der Studie "Onlinebanking
in Österreich".
Die seit Ende 2005 massiv auftretenden Phishingattacken mit
Einzelschäden von über 9.000,- Euro sind geeignet, das Vertrauen in
das Onlinebanking massiv zu gefährden. Abgesehen von den materiellen
Schäden sind Kosten im zweistelligen Millionenbereich für zusätzliche
Sicherheitsmaßnahmen und hohe Vertrauensschäden zu verzeichnen. Dem
gegenüber werden Phishing-Attacken technisch perfektioniert und
erreichen zielgerichteter ihre Opfer. Getestet wurde mit Hilfe von
Testkonten, wobei nicht bloß technische, sondern auch rechtliche und
ablauforganisatorische Aspekte berücksichtigt wurden. Die
analysierten Lösungen decken mehr als 99% der in Österreich genutzten
Onlinebanking-Lösungen ab. Alle Angebote wurden mit einem
Optimalprofil verglichen, das mit gegenwärtiger Technik leicht
erreichbar wäre.
