Sicherheit von Online Banking. Welche Verfahren gibt es und wie sicher sind sie?

Inhaltsverzeichnis

Abbildungsverzeichnis

Die Digitalisierung in der Wirtschaft und die Folgen für den Bankenmarkt

Fragestellung: Wie sicher ist „Online Banking“?
Was ist „Online Banking“?
Definition des Begriffs „Online Banking“
Voraussetzungen und Funktionsweise
Offerierte Dienstleistungen
Gefahren und Schutz des Internet Bankings
Bedrohung durch Cyberkriminalität am Beispiel von Phishing
Schutzmaßnahmen gegen Betrüger mit PIN/TAN
Entwicklungsmöglichkeiten im Retailgeschäft
Wie risikoreich ist der Online Prozess tatsächlich?
Überprüfung der Sicherheitsstandards
Bewertung der Ergebnisse im Vergleich zu aktuellen Entwicklungen wie
PayPal / paydirekt
Empfehlungen und Grenzen der Nutzung von Online Banking

Entwicklungsmöglichkeiten im Bankensektor

Fazit

Anhang
Definitionen :

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Beispiel für eine Phishing Mail

Abbildung 2: Funktionsweise von Phishing

Abbildung 3: Eine PIN/TAN Liste

Abbildung 4: Eingang einer TAN für die Autorisierung einer Ü berweisung

Abbildung 5: Ein TAN Generator der Sparkasse

Abbildung 6: Phishing Versuch mit gefälschter PayPal E-Mail

Abbildung 7: Funktionsweise von PayPal (Eigene Darstellung)

Abbildung 8: Funktionsweise von paydirekt (Eigene Darstellung)..

Abbildung 9: Online Banking Nutzer Entwicklung (in Prozent)

Die Digitalisierung in der Wirtschaft und die Folgen für den Bankenmarkt

"Die Zukunft ist schon da. Sie ist bloßnoch nicht gleichmäßig verteilt". Dieses Zitat stammt von dem amerikanischen Science- Fiction Autor William Gibson. ¹ Dieses Zitat lässt sich zudem sehr gut auf die aktuelle wirtschaftliche Situation projizieren. So gibt es auf der einen Seite die hochentwickelten und technologisch aufgerüsteten Unternehmen und auf der anderen Seite die Banken, die den Trend zur Digitalisierung bis dato weites gehend verschlafen haben. Wohingegen Unternehmen sich auf die Industrie 4.0² konzentrieren, setzten Banken hauptsächlich auf alt bewährte, analoge Bearbeitungen und Prozesse. Währenddessen entstanden "Online Banken" sogenannte FinTech Unternehmen. Der Begriff FinTech setzt sich aus Financial Services und Technology zusammen. Diese Unternehmen stellen unter anderem Technologie für Finanzdienstleistungen (z.B. Zahlungsdienstleistungen) bereit und positionieren sich somit als kostengünstigere Alternative gegenüber etablierten Banken am Markt.³ Diese Unternehmen hatten den Banken gegenüber einen entscheidenden Vorteil, nämlich die Kosteneinsparungen, da deren Systeme ausschließlich online liefen. Daraus folgend zogen die günstigen Konditionen reichlich Kunden an, wodurch traditionelle Banken zum Umdenken gezwungen wurden. So ist inzwischen für Banken ein Geschäftsmodell im Kontext der Digitalisierung fürüber 90% der befragten Kreditinstitute von hoher oder gar sehr hoher Bedeutung.⁴ Ein erster Schritt hierbei war die Einführung des "Online Banking", bei dem der Zahlungsverkehrüber das Internet läuft. Allerding entstehen durch die Einbindung auch neue Gefahrenquellen. So gaben 52% Befragte, bei einer Umfrage zu Vorfällen mit Cyberkriminalität⁵ an, dass sie bereits Erfahrungen mit Kriminalität im Internet machen mussten.⁶ Daher halten immer noch viele potenzielle Kunden Abstand vom Online Banking, da sie zu viel Angst haben, ihr ganzes Geld und Vermögen könnte geraubt werden. So stellt sich nun die Frage: "Wie sicher ist Online Banking?". Dies soll in der vorliegenden Projektarbeit analysiert werden. Zu Beginn wird festgelegt, was man generell unter dem Begriff Online Banking zu verstehen ist und welche Dienstleistungen damit verknüpft sind. Anschließend werden sowohl Risiko, als auch Schutz Möglichkeiten beleuchtet und gegenübergestellt, wobei verstärkt auf das Retailgeschäft eingegangen wird. Anschließend werden die Ergebnisse aus der Analyse bewertet und mit aktuellen Alternativen, wie z.B. paydirekt gegenübergestellt. Abschließend folgt ein Fazit mit eigener Meinung.

Fragestellung: Wie sicher ist „Online Banking“?

Bevor nun analysiert wird, wie sicher Online Banking ist, wird erläutert was man unter Online Banking versteht.

Was ist „Online Banking“?

Um zu zeigen was hinter dem Begriff „Online Banking“ steht, wird zuerst der Begriff definiert, bevor die Funktionsweise, Voraussetzungen und offerierte Dienstleistungen näher betrachtet werden.

Definition des Begriffs „Online Banking“

Der Begriff „Online Banking“ setzt sich aus den Begriffen „Online“ und „Banking“ zusammen, die für die Kombination von Internet und das Bankgeschäft stehen. Es geht also um die Abwicklung von Bankgeschäftenüber das Internet. Unmittelbarer Vorgänger war das sogenannten BTX⁷ Verfahren. Dieses wurde zum ersten Mal auf der Internationalen Funkausstellung 1983 in Berlin der Öffentlichkeit vorgeführt und erlaubte erstmals Datenüber das Telefon zuübermitteln und am heimischem Fernseher zu visualisieren. Seitdem konnte man bequem von zu Hause aus u.a. Überweisungen aufgeben, oder den aktuellen Kontostand abfragen.⁸ Inzwischen stellt jede Bank ihre eigenen Internetseiten oder Portale zur Verfügung von wo aus man seine Konten verwalten kann. Gegebenenfalls bieten Banken auch spezielle Programme an, wie z.B. Starmoney für Privatkunden der Sparkassen. Sollte man aber ein solches Programm nutzen, ist dies nur noch von zu Hause aus möglich, bzw. vom Ort des Rechners, auf dem das Programm installiert ist. Die Standard Variante ist allerdings der Zugriffüber die jeweiligen Internetseiten.⁹ Bei diesem Modell muss man seine Geschäfte nicht zwingend vom heimischen Rechner erledigen, da auch eine Abwicklung per Telefax gewährleistet wird, sollte es technische Probleme geben. Die Kosten für dieses Angebot, bequem von zu Hause seine Bankgeschäfte verwalten zu können, sind von Bank zu Bank unterschiedlich. Oft wird eine kostenfreie, oder kostengünstige Nutzung angeboten und auch das Giro Konto Modell entscheidetüber den Preis mit. Um an Online Banking teilnehmen zu können, muss zuerst ein Konto eröffnet werden und freigeschalten werden. Letzte Hürde ist nun nur noch die Legitimation der eigenen Person bzw. eines Bevollmächtigten. Dazu gibt es inzwischen verschiedene Verfahren. Zum einen die klassische Legitimierung durch Personalausweis Vorlage, die allerdings nur möglich ist, sollte die Bank eine Geschäftsstelle in der Gegend haben. Will man nun allerdings bei einer Internet Bank ein Konto eröffnen, muss man sich auf eine andere Art legitimieren.¹⁰ In diesem Fall wird häufig auf das Postident Verfahren zurückgegriffen. Bei diesem Prozess wird der Personalausweis einem Mitarbeiter der Post AG vorgelegt, der diesen prüft und bei Echtheit die Daten an den jeweiligen Empfänger weiterleitet. Sofern alle Unterlagen ordnungsgemäßeingereicht wurden, sendet die Bank die Zugangsdaten.¹¹ Inzwischen gewinnt aber auch die Legitimierung durch einen Videochat immer mehr an Bedeutung.

Voraussetzungen und Funktionsweise

Bevor man „Online Banking“ auf seine Sicherheit testet, sollte man die Voraussetzungen und die Funktionsweise des Systems genauer beleuchten und verstehen. Alles beginnt mit der Freischaltung, oder Eröffnung eines Online Kontos. Um letztendlich sich einloggen zu können, braucht der Kunde die mit der Bank „vereinbarten personalisierten Sicherheitsmerkmale und Authentifizierungsinstrumente, um sich (…) als berechtigter Teilnehmer auszuweisen und Aufträge zu autorisieren.“¹² Diese werden per Post gesendet. Dabei ist darauf zu achten, dass das zugestellte Kuvert noch unbeschädigt ist, ansonsten könnte die Gefahr bestehen, dass jemand anderes die Kennwörter bereits eingesetzt, manipuliert oder gestohlen hat. Des Weiteren gilt es die Zugangsdaten sicher auf zu bewahren. Dabei muss beachtet werden, dass Authentifizierungsmittel wie z.B. eine Kundenkarte, oder TAN-Listen, getrennt von den Zugangsdaten (PIN, Passwörter, Benutzername) aufgehoben werden müssen. Außerdem gilt, dass manche Banken die Speicherung von Zugangsdaten, Kennwörter oderähnliches im Computer verbieten, Kennwortverwalter und Smartphones mit eingeschlossen. Die Banken verlangen ebenfalls von ihren Kunden, dass der Computer ausreichend gesichert ist. Dies umfasst die Installation der neuesten Anti-Viren Software, sowie die Aktivierung der Firewall¹³. Ebenfalls vorausgesetzt werden ein sicheres Betriebssystem, sowie ein sicherer Webbrowser (z.B. Safari). Weiterhin sollte eine sichere Internet Verbindung vorhanden sein, d.h. eine passwortgesicherte WLAN Verbindung. Vermieden werden sollten unbekannte Verbindungen, oder Hotspots, um das abfangen der Daten von vornherein abzuwehren. Sobald die Vorbereitungen abgeschlossen sind, kann es mit dem eigentlichen Online Banking beginnen. Zu Beginn ist es wichtig, die richtige Internetseite der Bank aufzurufen. Dabei sollte man keine Links aus z.B. E-Mails nutzen, da es sich bei diesen Seiten häufig um Fälschungen handelt (siehe Kap. 2.2.1). Nach der Anmeldung mit den Zugangsdaten, die man aus Bequemlichkeit keinesfalls im Browser speichern lassen sollte, kann man nun verschiedene Aufträge aufgeben, sofern keine Sperre vorliegt.¹⁴ Nach erstmaligen LogIn wird man aufgefordert sein Passwort zuändern. Hierbei sollte man bedenken, dass ein gutes Passwort aus mindestens sechs, bis acht Stellen bestehen sollte und Groß/Kleinbuchstaben, Ziffern, sowie Sonderzeichen beinhalten sollte. Einfache Kombinationen (z.B. 1234), oder leicht erratbare (z.B. Geburtstag) gilt es zu vermeiden.¹⁵ Um einen Online Banking Auftrag (z.B. Überweisung) wirksam ausführen zu können, muss man sich mit den hinterlegten personalisierten Sicherheitsmerkmalen (z.B. TAN) autorisieren und diese Daten der Bank per Online Bankingübermitteln. Sollte man die Daten widerrufen müssen, ist dies normalerweise nur außerhalb des Online Bankings möglich, es sei denn, die Bank stellt dies zur Verfügung. Die Abwicklung erfolgt an den von der Bank angegeben Geschäftstagen. Sollte ein Auftrag nach der Annahmefrist, oder an einem nicht Geschäftstag eingehen, wird dieser am nächsten Geschäftstag ausgeführt. Bevor ein Antrag letztlich ausgeführt wird, werden verschiedene Bedingungen geprüft. Zum einen, ob sich der Online Banking Teilnehmer korrekt autorisiert hat. Des Weiteren, ob er ein bestimmtes Datenformat und das Verfügungslimit einhalten hat, oder bei speziellen Auftragsarten (z.B. Wertpapierorder) berechtigt ist. Sollten alle Bedingungen erfüllt sein, führt die Bank den Antrag aus. Sofern dies nicht der Fall ist, wird der Teilnehmer darüber im Online Banking informiert.¹⁶ Ausnahme ist bei mangelnder Deckung, da in diesem Fall, der Kunde per Post informiert wird.

Offerierte Dienstleistungen

Die angebotenen Dienstleistungen im Online Banking sind nahezu identisch mit den Dienstleistungen die man vom Schaltergeschäft gewohnt ist. Es ist allerdings zu beachten, dass nicht jede Bank dieselben Funktionen online anbietet, daher sind auch Unterschiede möglich. Zu den angebotenen Dienstleistungen zählt nicht die Konteneinsicht, da diese unabhängig von Online Banking freigeschaltet werden kann und laut Definition nicht Teil des Online Bankings ist (siehe 2.1.1). Eine typische Nutzung besteht hauptsächlich aus Überweisungen und Daueraufträgen, die bequem in vorgefertigte Masken eingefügt werden können und abschließend mit dem ausgewählten TAN-Verfahren autorisiert und ausgeführt werden. Diese Funktionen beinhalten auch Auslandsüberweisungen, sofern alle nötigen Daten vorhanden sind. Des Weiteren wird die Bestellung von Reisechecks oder auch Scheckvordrucke angeboten, die dann auch direkt nach Hause versendet werden können. Genauso können Geld und Kapitalmarktanlagen, oder sogar Darlehen in Auftrag gegeben werden. Hier gilt es jedoch zu beachten, dass manche Banken z.B. beim Wertpapierhandel eine extra Freischaltung benötigen. Vor allem für Geschäftskunden bieten sich auch die Funktionen an, dass Lastschriften online eingezogen und eingelöst werden können.¹⁷ Eine weitere Dienstleistung ist die Bereitstellung von Informationen. Dies umfasst den Abruf des aktuellen Vermögenstandes, oder Informationen zur Kreditkartennutzung. Zusätzlich bietet das Online Banking die Möglichkeit eines elektronischen Postfachs an. In dieses werden dann hauptsächlich die Kontoauszüge abgelegt, die je nach Kundenwunsch täglich, wöchentlich, oder z.B. monatlich aktualisiert dort abrufbar sind. Auch Informationen rund um die Bank können an dieses Postfach gesendet werden, um so Papier zu sparen, oder um mit Hilfe einer sicheren Leitung mit seinem Berater zu kommunizieren..¹⁸ Zusätzlich werden Preise sowie Konditionen für den Anlage bzw. Kreditbereich zur Verfügung gestellt, wie auch u.a. Anlageempfehlungen.¹⁹

Gefahren und Schutz des Internet Bankings

Im Folgenden werden die beiden Seiten „Gefahren“ und „Schutzmöglichkeiten“ genauer erklärt und beleuchtet, um im nächsten Kapitel eine transparente Analyse zu ziehen. Des Weiteren wird näher auf das online Retailgeschäft²⁰ und dessen Chancen eingegangen.

Bedrohung durch Cyberkriminalität am Beispiel von Phishing

Im Jahr 2015 wurden mehr als 45 000 Fälle von Cyberkriminalität in Deutschland registriert, bei denen insgesamt ein Schaden vonüber 40,5 Millionen Euro entstanden ist.²¹ Ein Großteil davon lässt sich auf Fälle mit Phishing zurückführen. Der Begriff Phishing setzt sich aus „password“ (Kennwort) und „fishing“ (Fischen) zusammen. Dabei nutzen die Betrüger Tricks, wie z.B. gefälschte Internetadressen, um an die vertraulichen Daten zu gelangen.²² Doch Phishing ist keine Neuheit. So gab es unter dem Begriff „Social Engineering“ bereits Versuche durch Telefonkonfrontation an persönliche Daten zu kommen. Diese Methoden kommen heute sogar in den USA wieder häufiger zum Einsatz, da sie höhere Rücklaufquoten aufgrund des persönlichen Gesprächs haben, dafür aber auch zeitaufwändiger und leichter nachverfolgbar sind. Das typische Phishing im Finanzsektor begann im frühen 21. Jahrhundert. Die Betrüger gehen hierbei mit zwei unterschiedlichen Methoden vor. Zum einen gibt es Phishing via E-Mail. Bei dieser Methode schickt der Kriminelle eine HTML E-Mail.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Beispiel für eine Phishing Mail ²³

[...]

¹ Vgl. (Bierbaum 2011) Zugriff vom 24.07.17 von http://www.spiegel.de/netzwelt/netzpolitik/s-p-o-n- die-mensch-maschine-zurueck-aus-der-zukunft-a-761839.html.

² Siehe Definitionen S.31 (Nr.1)

³ Vgl. (Metzger) Zugriff vom 15.08.17 von
http://wirtschaftslexikon.gabler.de/Definition/fintech.html.

⁴ Vgl. (Praeg 2016: S.21).

⁵ Siehe Definitionen S.31 (Nr.2)

⁶ Vgl. (BITKOM 2016) Zugriff vom 15.08.17 von
https://de.statista.com/statistik/daten/studie/164419/umfrage/von-online-kriminalitaet-betroffene- internetnutzer-in-deutschland/.

⁷ Siehe Definitionen S.31 (Nr.3)

⁸ Vgl. (Falk 2010: S.2).

⁹ Vgl. (Sparen.de 2017) Zugriff vom 15.08.17 von http://www.sparen.de/faq/was-ist-online- banking.

¹⁰ Vgl. (Metzger) Zugriff vom 15.08.17 von
http://wirtschaftslexikon.gabler.de/Definition/homebanking.html.

¹¹ Vgl. (Kühn 2013: S.33).

¹² Vgl. (Sparkasse Bamberg 2009: S.1f.).

¹³ Siehe Definitionen S.31 (Nr.4)

¹⁴ Vgl.(Online 2013) Zugriff vom 16.08.17 von https://www.verbraucher-sicher-
online.de/artikel/bankgeschaefte-von-zu-hause-einstieg-ins-sichere-online-banking?page=0,2.

¹⁵ Vgl. (Kühn 2013: S.35).

¹⁶ Vgl. (Sparkasse Bamberg 2009: S.1f.).

¹⁷ Vgl.(Metzger) Zugriff vom 18.08.17 von
http://wirtschaftslexikon.gabler.de/Definition/homebanking.html.

¹⁸ Vgl. (Sparen.de 2013) Zugriff vom 18.08.17 von http://www.sparen.de/faq/was-ist-online- banking.

¹⁹ Vgl. (Metzger) Zugriff vom 18.08.17 von
http://wirtschaftslexikon.gabler.de/Definition/homebanking.html.

²⁰ Siehe Definitionen S.31 (Nr.5)

²¹ Vgl. (Bierbaum 2011) Zugriff vom 15.08.17 von
http://www.spiegel.de/netzwelt/netzpolitik/cybercrime-bericht-2015-des-bka-40-millionen- schaden-in-deutschland-a-1104988.html.

²² Vgl. (Kühn 2013: S.41).

²³ Vgl. (Sparkasse, 2005) Zugriff vom 17.08.17 von https://www.bsi-fuer-
buerger.de/SharedDocs/Bilder/DE/BSIFB/Phishing/10TANMail4_jpg.jpg?__blob=poster&v=2.