IT-Behörde der EU fordert sichereres Online-Banking
Die European Network and Information Security Agency kommt in einer Untersuchung zu der Ansicht, dass sich einige Finanzeinrichtungen nicht genügend um die Sicherheit kümmern. iTAN und mTAN missfallen der ENISA.
- Christian Kirsch
Bei der Analyse aktueller Betrugsfälle bei online abgewickelten Finanzgeschäften hat die europäische IT-Sicherheitsbehörde ENISA (European Network and Information Security Agency) unzureichende Sicherheitsvorkehrungen auf Seiten der Dienstleister festgestellt. Vor allem die am häufigsten eingesetzten Verfahren wie iTAN und mTAN seien anfällig.
Banken und andere Dienstleister sollten zum einen ihre Kunden besser über Online-Risiken aufklären und zum anderen stärker auf Zwei-Faktor-Authentisierungen setzen. Dabei kommen in der Regel "Besitz" und "Wissen" zusammen, etwa am Geldautomaten: Kunden besitzen die Chip-Karte und wissen die PIN. Ähnlich ist es bei der chipTAN, bei der die Bankkarte im Zusammenspiel mit einem auf der Banking-Webseite dargestellten Code eine Einmal-TAN auf einem externen Gerät erzeugt.
Aus der Vielzahl der möglichen Authentifizierungsverfahren greift das ENISA-Dokument biometrische und Smartphone-gestützte heraus. Erstere halten die Autoren auf absehbare Zeit für nicht geeignet, um Online-Finanztransaktionen abzusichern: Die Akzeptanz der Kunden fehle, die sehr sensiblen Daten seien kaum zu schützen und die Technik produziere noch zu viele Fehler. Für untauglich halten die Autoren ebenfalls die auf das Smartphone gesandte mTAN, mit der eine einzelne Transaktion freigeschaltet wird. Mit diesem Verfahren seien alleine 2012 über 30 Millionen Euro erschwindelt worden.
Als "Besitz" im Sinne einer Zwei-Faktor-Authentisierung taugten Mobilgeräte nur, wenn sie mit einem sicher in ihnen gespeicherten Schlüssel verknüpft seien. Bislang gebe es aber noch keine für die Finanzwirtschaft akzeptablen Umsetzungen dieses Konzepts. (ck)
