Kassensturz knackt (ein bisschen) E-Banking

Die Konsumentenschutzsendung hat mehrere in der Schweiz verwendete Authentifizierungssysteme im Online-Banking getestet. Allerdings lassen es die TV-Redaktoren an Komplexität vermissen.
 
Auf unserer Redaktion schien die Ankündigung, dass die Konsumentenschutzsendung des Schweizer Fernsehens (SF) verschiedene E-Banking-Lösungen getestet hatte, interessant genug, um vorgängig darauf hinzuweisen. Der Online-Artikel auf dem SF-Nachrichtenportal war heute Morgen auch der meistgelesene Artikel. Die SF-Redaktoren haben mit ihrem Fernsehbeitrag gestern Abend offensichtlich ein Thema aufgegriffen, das interessiert.
 
Die Ergebnisse vorweg: Getestet haben die TV-Macher in Zusammenarbeit mit der ETH sechs verschiedene Authentifizierungssysteme von vier Schweizer Banken. Drei Banken wurden gehackt, Migros Bank, Raiffeisenbank und Berner Kantonalbank (BEKB). Nur das Test-Konto bei der UBS widerstand dem Angriff. Dem Test verweigert haben sich Postfinance, Credit Suisse und die Zürcher Kantonalbank.
 
Trojaner im Zentrum
Das Vorgehen, das die Computerexperten des Teams um ETH-Professor Bernhard Plattner verfolgten, stammte aus dem realen Fall eines Winterthurer Finanzverwalters. Diese hatte via ein Mail einen Trojaner auf seinem Computer installiert und so Hackern Zugang zu seinem Konto verschafft.
 
Die Experten bauten den Trojaner nach, installierten diesen in der Testumgebung und schickten dem Nutzer nach dessen Authentifizierung im Online-Banking eine Meldung, dass ein Windows-Update durchgeführt werde. In dieser Zeit überwies der angebliche Hacker Geld vom Konto auf ein eigenes Konto.
 
Spezialsituation gehackt
Getestet wurde damit nicht eigentlich die Sicherheit, die diese oder jene Authentifizierung liefert, sondern die Absicherung der Übernahme einer laufenden Session durch die Banken und die Absicherung einzelner Transaktionen. So konnte der "Hacker" beispielsweise bei der BEKB Transaktionen bis zu 1000 Franken ausführen, scheiterte aber bei dem Versuch, 10'000 Franken zu überweisen. Andere Lösungen wurden im Kassensturz gelobt, weil ein Codezusatz per SMS geschickt wurde, aber kritisiert, weil dies in den Standardeinstellungen der Bank nicht für jede einzelne Transaktion nötig ist.
 
Insgesamt zeigten die Kassensturz-Macher wenig Willen, diese komplexe Materie und verschiedene Schichten von Sicherheit auseinander zu dröseln. Die Botschaft des mehr über viertelstündigen Beitrags kratzt nur an der Oberfläche und ist fast eher "scareware" als Sensibilisierung: Der E-Banking-Nutzer wird vom "fiesen Hacker" angegriffen und von den "Banken ungenügend geschützt".
 
Scheinsicherheit für Nutzer
In dieser Aufstellung wird allerdings der Faktor Mensch, in diesem Fall der E-Banking-Kunde am Computer, vernachlässigt. Manchmal täuschen die Systeme dem Nutzer gar nur eine "Scheinsicherheit" vor, wie Philippe Zimmermann von der Universität Bern in einem kurzen Auftritt in der Sendung über die von der BEKB eingesetzte, preisgekrönte Lösung der Bieler Firma Axsionics mit Fingerabdruckscanner sagte.
 
In der von der Kassensturz-Redaktion verdankenswerterweise zur Verfügung gestellten Stellungnahme der Banken zum Test schreibt die Raiffeisenbank: "Beim E-Banking gibt es im Wesentlichen drei Angriffspunkte für kriminelle Absichten: den (...) E-Banking Server, den Kunden-PC und die Verbindungsstrecke dazwischen. Das Banken-System ist sicher. Auf die Verwundbarkeit des Kunden-PC können wir leider keinen Einfluss nehmen." (pk)