Im Rahmen unserer Artikelserie über die Arbeitsmethoden der Phisher und deren effektive Abwehr haben wir an mehrere große Banken einen Fragebogen geschickt. Darin befragen wir die einzelnen Banken zu der von ihnen verwendeten Technik und zu ihren Sicherheitsmaßnahmen.
Zusätzlich haben wir die Online-Banking-Portale 20 verschiedener großer Banken miteinander verglichen. Dabei fielen uns massive Unterschiede in der Sicherheit und bei der Information der Kunden auf. So setzen beispielsweise viele Banken zwingend JavaScript voraus. Durch diese Technologie öffnen sie aber potenzielle neue Sicherheitslücken für Angreifer. Dass es auch ohne geht, zeigen etwa die Sparkassen und Netbank. Die komplette Platzierung finden Sie in dieser Tabelle.
TAN, mTAN, iTAN HBCI – im Bankgewerbe wird mit Abkürzungen nur so um sich geworfen. Als Hintergrundinformationen haben wir daher zusätzlich die aktuellen Technologien zusammengetragen, die derzeit beim Online-Banking im Einsatz sind.
Hintergrund: State of the Art? Online-Banking in Deutschland
Online- oder Homebanking in Deutschland beruht zum größten Teil auf dem PIN/TAN-Verfahren. Dabei erhält der Kunde eine Persönliche Identifikations-nummer sowie einen Zettel mit gedruckten Transaktionsnummern. Zusätzlich legt jeder Kunde ein Passwort für den Zugang zum Online-System fest.
Die Transaktionsnummern ersetzen in der virtuellen Welt des Internets die Unterschrift. Nur mit einer gültigen TAN lässt sich eine Überweisung oder ein Auftrag rechtskräftig abschließen.
Das PIN/TAN-System selbst arbeitet bereits als so genannte Zwei-Faktor-Authentifizierung. Ein Zugriff, beziehungsweise ein Abschluss der Überweisung ist erst möglich, wenn Informationen, die der Kunde kennt (PIN), mit einer anderen Information, die der Kunde hat (TAN), gekoppelt werden. Für sich allein ist jede der Nummern sinnlos. Dieses System sorgt bereits für einen deutlich höheren Sicherheitsstandard, als wenn beispielsweise die Kombination aus Benutzername und Passwort alleine für die Identifikation und Authentifizierung des Nutzers eingesetzt wird.
Nachteile von PIN/TAN
Grundsätzlich ist PIN/TAN ein sehr sicheres System. Da jede TAN einmalig und nur einmal gültig ist, kann sie jedem Nutzer und dem genauen Auftrag zugewiesen werden. Das Problem liegt weniger am System als in der praktischen Anwendung.
Derzeit erhalten die meisten Online-Banking-Nutzer einen Brief mit einem kompletten TAN-Block. Aus diesem Block kann der Nutzer für jede Überweisung eine beliebige Nummer wählen.
Problematisch hierbei ist, dass sämtliche Nummern bekannt sind und sich in gedruckter Form meist in der Nähe des Computers befinden. Das ermöglicht sowohl einen virtuellen als auch einen physikalischen Diebstahl der Daten. Virtuell durch Phishing-Seiten und -E-Mails, die meist gleich fünf bis zehn TANs mitsamt der zugehörigen PIN und Passwort verlangen. Physikalisch durch Einbrecher, die neben gestohlenen Wertsachen auch die Online-Banking-Daten und damit Zugriff auf das Konto erhalten, vorausgesetzt, sie finden diese.
Evolution: iTAN, BEN und mTAn
Um die Nachteile der normalen TAN auszugleichen, setzen die meisten Online-Banking-Anbieter auf weiterentwickelte Systeme. Prominenteste Vertreter sind die iTAN- und mTAN-Verfahren.
iTAN steht für indizierte Transaktionsnummer. Dabei erhält der Anwender wie bisher seinen TAN-Block auf Papier, nur ist jede TAN nummeriert. Führt der Nutzer nun eine Aufgabe aus, die eine Bestätigung erfordert, verlangt das System eine ganz bestimmte TAN. Nur die Transaktionsnummer mit der passenden laufenden Nummer genehmigt die Aufgabe. iTAN schützt effektiver gegen Phisher, da diese eben genau die zur Überweisung passende Nummer brauchen. Wissenschaftlern ist es allerdings bereits gelungen, das iTAN-System durch gezieltes Phishing zu knacken. Nachteil von iTAN ist, dass der Nutzer für jede Überweisung seine komplette iTAN-Liste zur Hand haben muss.
Als Verbesserung der iTAN haben einige Banken die Bestätigungsnummer, kurz BEN eingeführt. Diese befindet sich auf dem iTAN-Bogen des Nutzers jeweils neben einer iTAN. Führt ein User eine Aktion aus, die eine iTAN erfordert, gibt das System die dazugehörige BEN aus. Diese wiederum muss zur angegebenen Nummer auf dem iTAN-Zettel passen, eine Art digitale Quittung also.
mTAN steht für mobile Transaktionsnummer und ist ein „richtiges“ Zwei-Faktor-System. Wird eine Transaktion oder eine andere sensible Operation durchgeführt, sendet der Server die passende TAN an das Handy des Nutzers. Zusätzlich erhält der User noch einmal alle wichtigen Informationen zur Transaktion. Die Nummern werden vom Server nach einem sicheren Schlüssel generiert, beim User landet also nur die jeweils passende Nummer.
mTAN ist allerdings kostenaufwendig. Zum einen muss die Bank für die notwendige Infrastruktur wie SMS-Gateway sorgen, zum anderen sind SMS-Gebühren an den Netzbetreiber fällig.
HBCI – Das Home Banking Computer Interface
Weniger weit verbreitet, dafür deutlich sicherer ist HBCI, kurz Home Banking Computer Interface. Dabei erfolgt die Anmeldung mit Hilfe eines Kartenlesers. Man arbeitet nicht in einem Browser, sondern erledigt seine Aufgaben über eine zusätzliche Software, etwa StarMoney. HBCI bietet eine hohe Sicherheitsstufe. Die Zugangsdaten liegen zu keinem Zeitpunkt im Klartext vor, sondern es erfolgt eine End-to-End-Verschlüsselung.
HBCI ist allerdings nicht mobil. Für jede Überweisung benötigt man im Normalfall einen Kartenleser sowie die installierte Software. Zudem kostet HBCI deutlich mehr als das PIN/TAN-Verfahren. Mit Leser, Software und Karte kommt man zusammen schnell über 100 Euro. Der Standard eignet sich daher vor allem für eine feste Umgebung, in der täglich mehrere Aufträge getätigt werden, etwa für Finanzabteilungen in Firmen.
Zumindest das Problem mit dem Kartenlesen können einige Banken umgehen. Statt Karte und Leser wird die Signatur verschlüsselt auf einer Diskette hinterlegt. Diese muss dann während der Transaktion im Laufwerk liegen.
Mehr Hintergrundinformationen finden Sie in unserem Artikel „HBCI - Der neue Homebanking-Standard“.
FinTS – Der Nachfolger von HBCI
Seit 2004 ist FinTS 4.0 als Nachfolger von HBCI vom Zentralen Kreditausschuss zugelassen und im Einsatz. Dabei handelt es sich um ein modular aufgebautes System, das Legitimationsverfahren, Geschäftsvorfälle, Finanzdatenformate und die Protokolle getrennt festlegt.
FinTS basiert inzwischen auf den XML-Standard. Größter Vorteil der Technologie ist die Unterstützung für die kommende Signaturkarte. Mit dieser fälschungssicheren Karte ist in Zukunft eine rechtsverbindliche Erklärung im elektronischen Geldverkehr möglich. Zusätzlich ermöglicht FinTS neben HBCI auch das PIN/TAN-Verfahren.
FinTS hat dieselben Nachteile wie HBCI. Das System kostet zusätzlich und benötigt eine Software zur Kontoverwaltung. Mehr Informationen zu FinTS und die komplette Spezifikation des Standards finden Sie auf dieser Homepage.
JavaScript – Hindernis für Sicherheit und Barrierefreiheit
Warum sollten die Banken auf JavaScript verzichten, wenn das ganze restliche Web sich wie wild auf diese Technologie stürzt? Ganz einfach, es ist nicht notwendig und potenziell gefährlich. Wenn eine Community-Seite zum Thema World of Warcraft eine fehlerhafte Implementation besitzt, ist das nur begrenzt tragisch. Wenn sich ein Online-Banking-Portal dadurch knacken oder umleiten lässt, dann ist das eine Katastrophe.
Ein weiteres wichtiges Thema ist die Barrierefreiheit. Die Banken verschieben immer mehr „echte“ Schalter in das Internet, Kunden sollen immer mehr Aufgaben selbst übernehmen. Ohne eine barrierefreie Seite werden aber Sehbehinderte komplett ausgesperrt. Informationen rund um die Barrierefreiheit und barrierefreies Webdesign finden Sie auf der Seite von BIK, Barrierefrei Informieren und Kommunizieren.
Barrierefreie Seiten zu schaffen ist also sowohl vor dem Hintergrund der Kundenfreundlichkeit als auch dem Sicherheitsaspekt sinnvoll.
Was die großen Banken über sich sagen
Die großen Geldinstitut Institute Postbank, der Verbund der Sparkassen, die Sparda-Gruppe, die Commerzbank, die Volksbanken-Raiffeisenbanken, die Citibank, die Netbank, die Hypo-Vereinsbank, die Dresdner Bank und die Deutsche Bank erhielten von uns vorab einen Fragebogen mit elf Fragen zum Thema Phishing.
Die Fragen lauteten:
Was unternehmen Sie als Bank für die Sicherheit?
Welche Sicherheitsmechanismen bieten Sie neben PIN/TAN an und was kosten diese?
Planen Sie, das PIN/TAN-Verfahren durch ein anderes Verfahren, etwa die Zwei-Faktor-Authentisierung durch Token, zu ersetzen?
Wie informieren Sie Ihre Kunden, wenn eine Phishing-Attacke im Umlauf ist, die Ihre Bank betrifft?
Was unternehmen Sie als Bank, wenn eine Gruppe in Ihrem Namen einen Phishing-Angriff startet?
Was geschieht mit Kunden, die Opfer einer derartigen Attacke wurden?
Was raten Sie einem Kunden, der Opfer einer Attacke wurde?
Welche Kosten verursacht das PIN/TAN-Verfahren pro Kunde?
Ab wann raten Sie einem Kunden zu einer sichereren Alternative, etwa HBCI? Was kostet das den Kunden?
Wie trainieren Sie Ihre Kundenberater auf die Gefahren beim Online-Banking?
Welcher Schaden ist Ihnen effektiv im Jahr 2006 durch Phishing/Pharming entstanden?
Die Antworten ähneln sich vielfach, deswegen haben wir sie auf den nächsten Seiten zusammengefasst.
Die sichere Grundlage der Online-Konten
Der Trend zum Online-Banking scheint ungebrochen. Das bestätigt auch Ralf Bloß, Finanzvorstand der Netbank. Daher ist die Sicherheit der Konten das erste Gebot. Nahezu alle befragten Kreditinstitute setzen inzwischen iTANs ein, aber auch mTAN setzt sich mittlerweile durch.
HBCI bietet ebenfalls jedes befragte Institut an. Die Deutsche Bank und die Sparkassen setzen zusätzlich auf die Signaturkarte, die dem Signaturgesetz entspricht. Die Karte schlägt bei der Deutschen Bank mit 20 Euro zu Buche, die Kosten für den Kartenleser beginnen bei 36 Euro. Auch die Sparkassen schaffen derzeit die Infrastruktur für die Signaturkarte.
Optional werben Citibank und Postbank mit einem frei festlegbaren Limit, das die täglich möglichen Überweisungssummen begrenzt.
Sensibilisierung der Nutzer
Die Banken haben erkannt, dass sie ihre Nutzer sensibilisieren müssen. Inzwischen widmet jede Bank dem Sicherheitsaspekt einen großen Teil ihres Online-Auftritts. Positiv stechen vor allem Commerzbank, Postbank, die Münchner Sparkassen, die Sparda-Bank und die Netbank hervor. Diese Banken erklären den Sinn von SSL detailliert, die aktuellen Zertifikate und Fingerprints sind auf den Seiten schnell zu finden. Hypo, Volksbank und die Deutsche Bank haben hier Nachholbedarf.
Bis auf die Sparkasse Berlin und die Volksbank haben alle Banken außerdem eine Kooperation mit Anbietern verschiedener Sicherheitssoftware geschlossen. Das reicht von vergünstigten Angeboten für Sicherheitssuiten bis hin zum direkten Download von Virus- und Spyware-Scannern.
Cleverer Schachzug: Einige Banken verweisen zusätzlich auf die Hintergrundinformationen und die Sicherheitsprogramme des Bundesamts für Informationssicherheit (BSI).
Abwehr von Angriffen
Täglich starten neue Gruppen Phishing-Attacken auf Internetnutzer. Wichtig ist also, dass Banken schnell reagieren. Zu diesem Zweck unterhalten die Institute eigene Teams. Deren Ziel ist es, Phishing-Server gezielt ausfindig zu machen und über den Provider abschalten zu lassen. In den meisten Fällen arbeiten die Teams eng mit Strafverfolgungsbehörden wie dem BKA zusammen. Problematisch wird es, wenn die Ermittler auf Länder stoßen, die nur schwer zur Zusammenarbeit zu überreden sind. Michaela Roth, vom Deutschen Sparkassen- und Giroverband, gibt an, dass in diesem Fall beispielsweise über die deutschen Botschaften gehandelt wird.
Ebenso wichtig wie die Abwehr der Angriffe ist die Information der Kunden. Alle Banken setzen hier auf Information auf der Bank-Homepage und/oder im Online-Banking-Portal.
Die Netbank fällt hier als einzige aus dem Rahmen. Laut Aussage der Pressesprecherin kam es bislang noch zu keinem Phishing-Angriff. Sobald aber eine Attacke erfolgen sollte, schickt die Netbank einen digital signierten Newsletter an ihre Nutzer. Die Postbank dagegen, die ebenfalls auf signierte E-Mails zur Kommunikation setzt, schließt dieses Vorgehen dagegen konsequent aus.
Wie Opfern geholfen wird
Phishern werden zwar massive Barrieren in den Weg gestellt, dennoch fallen immer wieder Nutzer auf die Maschen der Online-Betrüger herein. Was raten Banken in diesem Fall? Und in welchem Bereich kommen sie den Opfern entgegen?
Sobald man den Verdacht hat, einem Phisher auf den Leim gegangen zu sein, ist der erste Schritt eine Anzeige bei der Polizei. Anschließend sollte man sofort die Notfallnummer seiner Bank anrufen und sämtliche TANs sperren lassen. Je schneller man dabei handelt, desto besser, so Michaela Roth vom deutschen Sparkassen- und Giroverband. Denn unter Umständen lässt sich eine bereits getätigte Überweisung noch abfangen.
Die Banken handeln in den meisten Fällen kulant und erstatten den Kunden das gestohlene Geld zurück. Allerdings besteht kein Rechtsanspruch auf die Rückerstattung. „Jeder Fall wird im Einzelnen geprüft“, so Christiane Lorch von der Deutschen Bank.
Neu: Vergleich der Portale
Seit unserem letzten Vergleich der Online-Portale ist nun mehr als ein halbes Jahr vergangen. Seitdem haben sich die Voraussetzungen teilweise massiv geändert. TAN ist tot, als neuer Standard – iTAN – hält Einzug. Auch mTAN verbreitet sich mehr und mehr. Für unseren aktuellen Vergleich legen wir daher eine neue Tabelle zugrunde:
Anforderung | Maximale Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | 2 (einer für Zertifikatseigner, einer für Fingerprint) |
Bank nutzt EV-SSL-Zertifikat, Adressleiste wird grün | 1 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | 1 |
Online-Banking auch ohne aktiviertes Java/JavaScript möglich | 2 |
Demo-Account verfügbar, um die Funktionen des Kontos kennenzulernen | 1 |
Virtuelle Tastatur zum Login verfügbar | 1 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | -2 |
Bank bietet nur TAN-Verfahren an | -1 |
Bank verwendet iTAN | 0 Punkte, da Standard |
Bank verwendet iTAN plus zusätzliche BEN (Bestätigungsnummer) | 1 (BEN ist eine zusätzliche „Quittung“, eine Nummer, die nach jeder Überweisung mit der iTAN ausgegeben wird und zur BEN-Nummer neben der angegebenen iTAN passen muss) |
Bank bietet mTAN | 2 |
Maximal konnten die verschiedenen Portale also 14 Punkte erhalten, wenn sie sämtliche Voraussetzungen erfüllen und keinerlei negative Technologien einsetzen.
Die Portale und vor allem den Verzicht auf JavaScript haben wir in einer virtuellen Umgebung geprüft, mehr Informationen zum Aufbau der virtuellen Maschine finden Sie im Artikel „Kampf den Online-Betrügern.“
Die Netbank
Bislang konnte die Netbank in all unseren Tests den Sieg einfahren. Seit unserem letzten Artikel hat das Institut seinen Online-Auftritt optisch überarbeitet. Die Funktionen sind dabei gleich geblieben, lediglich die Optik wurde geändert.
Da die Netbank allerdings auf die neuen EV-SSL-Zertifikate verzichtet, muss sich die Bank diesmal den ersten Platz mit der Postbank teilen. Auch gibt es immer noch keine BEN-Bestätigung der iTAN. Die Sicherheitshinweise auf der Homepage könnten ebenfalls größer ausfallen. Herausragend ist, dass sich das Konto auch einwandfrei ohne JavaScrip aufrufen lässt.
Die Netbank stellt ihren Kunden eine virtuelle Tastatur für den Login zur Verfügung, der allerdings JavaScript verwendet. Zusätzlich wird die Sicherheit erhöht, indem der Kunde einen Code aus einem Feld eingeben muss, der nicht maschinenlesbar ist. Auf Wunsch wird dieser Code sogar vorgelesen. Die Netbank kooperiert mit Norton und bietet ihren Kunden Rabatt beim Kauf der Norton-Sicherheitsprodukte an.
Anforderung | Netbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Netbank.de) | Ja, aber der Link könnte prominenter platziert werden | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikat ist installiert und färbt Adressleiste grün ein | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Virtuelle Tastatur in der JavaScript-Version vorhanden. Zusätzliche Sicherheitsabfrage über ein Feld mit einem nicht maschinenlesbaren Sicherheitscode | 1 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Rabatt auf Norton-Produkte | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Ergebnis: Platz eins
Noch immer zeigt die Netbank, wie ein gutes Online-Bank-Portal aussehen soll. Lediglich ein EV-SSL-Zertifikat und iTAN mit BEN fehlen. So kommt die Bank mit zwölf Punkten noch auf den ersten Platz, muss ihn sich aber mit der Postbank teilen.
Postbank
Die Postbank hat eine ganze Reihe von Verbesserungen an ihrem Portal vorgenommen. Das Finanzinstitut bietet einen Demo-Account sowie die Möglichkeit, sich auch ohne JavaScript anzumelden. Weiterhin stellt das Institut seinen Kunden einen Podcast zur Verfügung, der über Sicherheitsthemen beim Online-Banking informiert. Die Bank setzt zudem auf EV-SSL-Zertifikate, die die Adressleiste grün färben, wenn das Zertifikat korrekt integriert ist. Das funktioniert einwandfrei im IE7 und mit dieser Firefox-Erweiterung.
Die Postbank setzt auch weiterhin auf mTAN. Wer die zusätzlichen Gebühren nicht zahlen will, kann auch auf iTAN zurückgreifen. Auch in den Informationsbereich haben die Verantwortlichen investiert. Positiv ist, dass auch der E-Mail-Verkehr in das Sicherheitskonzept aufgenommen ist, die Postbank signiert alle ausgehenden E-Mails.
Anforderung | Postbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Postbank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikat ist integriert und färbt die Adressleiste grün | Ja | 1 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Link zum BSI | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Fazit: Ebenfalls Platz eins
Nur der Verzicht von virtueller Tastatur und iTAN/BEN trennen die Postbank von der perfekten Punktzahl. Durch EV-SSL kann das Institut aber Boden gutmachen und liegt nun gleichauf mit der Netbank – ein verdienter erster Platz. Als künftige Erweiterung wäre die Integration von iTAN/BEN denkbar, auch wenn mTAN ein mehr als vernünftiger Ersatz ist.
BBBank
Die BBBank hat seit dem letzten Test einiges an ihrem Portal verändert. Noch immer kommt das Online-Portal von Fiducia (den IT-Anbieter der Volksbanken-Raiffeisenbanken) zum Einsatz, was unter anderem mTAN ermöglicht. Der Zertifikatseigner ist ebenfalls angegeben, ebenso gute Informationen rund um die IT-Sicherheit, samt Link zum BSI.
Größte Neuerung: Die Bank verzichtet mittlerweile auf den Einsatz von JavaScript, auch ein Demo-Konto wurde integriert. Damit wurden die größten Kritikpunkte aus unserem früheren Test aus dem Weg geräumt, die BBAnk ist auf einem guten Weg
Anforderung | BBBank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.BBBank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja, beides | 2 |
EV-SSL-Zertifikat ist integriert und färbt Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Nein | 0 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Fazit: Platz drei
Verglichen mit dem letzten Test kann die BBBank beeindruckende elf Punkte einheimsen und schiebt sich damit auf Platz drei vor. Es fehlt nun nur noch der Einsatz von EV-SSL und iTAN/BEN, um auf Platz eins vorzurücken.
Commerzbank
Der Online-Auftritt der Commerzbank hat sich seit dem letzten Test nicht verändert. Wieder verschenkt das Institut Punkte, etwa durch ein fehlendes EV-SSL-Zertifikat. Auch eine Demo-Anwendung ist nicht vorhanden. Ansonsten zeigt sich die Bank solide, die Inhalte und Informationen im Sicherheitsbereich beispielsweise sind immer noch sehr gut.
Anstatt mTAN setzt die Commerzbank auf iTAN/BEN-System. Dabei erhält der User nach jeder Transaktion mit einer iTAN-Nummer eine BEN-Nummer als virtuelle Quittung. Diese BEN steht auf seinem iTAN-Zettel neben der aktuell verwendeten iTAN. Stimmen die beiden überein, ist alles in Ordnung. Das System schafft zwar eine gewisse Kontrollmöglichkeit, Einmal-Passwörter mit mTAN sind dennoch die bessere Lösung. Eine weitere Sicherheitsfunktion sind in die Eingabemasken integrierte Wasserzeichen.
Die Commerzbank setzt JavaScript für die Fehlermeldungen und erweiterte Funktionen ein, die Grundfunktionen benötigen kein JavaScript. Kunden können sich die kostenlose Version von AntiVir downloaden und erhalten Rabatte auf die Premiumversion.
Anforderung | Commerzbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Commerzbank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
EV-SSL-Zertifikate sind integriert und färben Adresseleiste grün | Nein | 0 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Bank bietet AntiVir Premium an | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Ja | 1 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Nummer vier
Der fehlende Einsatz eines Demo-Kontos sowie der Verzicht auf mTAN und EV-SSL kosten die Commerzbank Punkte. Da auch eine virtuelle Tastatur fehlt, erreicht das Institut neun Punkte.
Die Sparda-Gruppe
Bei der Sparda-Gruppe kommt dasselbe Portal zum Einsatz wie bei der Netbank, allerdings hinkt es technisch hinterher. So benötigt der Nutzer beispielsweise zwingend JavaScript, ansonsten lässt sich das Konto unter Umständen nicht bedienen oder erst gar nicht öffnen. Auch kommt kein EV-SSL zum Einsatz.
Auf dem getesteten Portal der Sparda München könnte der Sicherheitshinweis zudem deutlicher hervorgehoben werden. Seit dem letzten Test haben die Verantwortlichen zudem einen Link zum BSI gesetzt; dort erhält der Kunde gegebenenfalls Sicherheits-Software.
Anforderung | Sparda-Gruppe | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Sparda-M.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikat ja, Fingerprint nein | 1 |
EV-SSL-Zertifikat ist integriert und färbt Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Ja | 1 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Link zum BSI | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Fazit: Platz vier
Das Portal der Sparda-Gruppe hätte in jedem Fall das Potenzial zum Testsieger. Allerdings hapert es an der Umsetzung; so wäre etwa ein JavaScript-freies Banking-Portal durchaus möglich, wurde aber nicht umgesetzt. neun Punkte also, damit liegt der Bankenverbund gleichauf mit der Commerzbank.
Dresdner Bank
Die Dresdner Bank verzichtet komplett auf Sicherheitshinweise auf der Homepage. Nur bei aktuellen Angriffen werden laut Pressesprecher zusätzliche Informationen eingeblendet. Dabei entsteht aber ein unnötiger Zeitverlust, andere Banken lösen das besser. Ebenfalls negativ: Ohne JavaScript und Cookies erhält der Kunde überhaupt keinen Zugang zum Online-Banking-Portal. Sehr ärgerlich: Aus völlig unerfindlichen Gründen verkleinert der Zugriff auf das Banking-Portal den Browser Firefox. IE und Opera bleiben dagegen gleich groß. Neu ist, dass die Dresdner mittlerweile die EV-SSL-Zertifikate einsetzt und die Adressleiste des Browsers grün einfärbt, wenn das Zertifikat übereinstimmt.
Dagegen kann die Bank beim Login zum Konto punkten. Sie bietet neben dem herkömmlichen Feld wahlweise auch eine virtuelle Tastatur für die PIN. Die Dresdner Bank bietet ihren Kunden einen Download der kostenlosen Version von AntiVir sowie Rabatte auf die kostenpflichtige Premiumversion. Zudem kommt das iTAN/BEN-System zum Einsatz, und einige Änderungen am Nutzerkonto benötigen einen zusätzlichen Sicherheits-Code.
Anforderung | Dresdner Bank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Dresdner-Bank.de) | Nein | 0 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Ja | 1 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Ja | 1 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Die dritte Nummer vier
Durch Einsatz von EV-SSL kann die Dresdner Bank Boden gutmachen und schiebt sich auf Platz drei vor. Das Institut erreicht insgesamt neun Punkte, zwingt allerdings den Nutzer zum Einsatz von JavaScript und Cookies; beide Techniken können potenzielle Sicherheitslücken aufreißen. Gut ist dagegen der Einsatz der BEN, auch wenn mTAN als Option ebenfalls angebracht wäre.
GLS Bank
Das Portal der GLS Bank leitet Kunden noch immer auf den Server des Anbieters GAD weiter. Hier entsteht unnötiges Potenzial für Phisher, denn User sind es gewohnt, auf anderen Seiten als bei ihrer Bank direkt zu arbeiten.
Ansonsten hält sich die Bank gut im Mittelfeld. Herausragendes Feature ist, dass sie als einzige Bank ihren Kunden Sm@rtTAN als eine kostenlose Token-Lösung anbietet. Dabei erhalten die Kunden einen Cardreader, der ihnen zusammen mit ihrer EC-Karte passende Einmal-TANs auswirft.
Langfristig will die Bank so die herkömmliche „Zettel“-TAN ablösen. Mittlerweile ist sie damit einen Schritt weiter und bietet ihren Kunden alternativ mTAN an. Dennoch sollte die normale TAN durch das sicherere iTAN ersetzt werden.
Insgesamt hat sich das Portal der GSL Bank seit unserem letzten Test deutlich verbessert und erhält damit mehr Punkte. Dennoch sollte der Dienstleister GAD endlich ein JavaScript-freies Banking-Portal ermöglichen. Auch der Einsatz von EV-SSL-Zertifikaten wäre angebracht.
Anforderung | GLS Bank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.GLS.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | Nein, stattdessen Sm@rtTAN | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Fazit: Platz vier
Landetet die GLS Bank im letzen Test noch auf Platz zehn, kann sie sich mit insgesamt neun Punkten auf den vierten Platz vorarbeiten. Das liegt vor allem an der Integration von mTAN. Wünschenswert wäre dennoch ein JavaScript-freies Online-Banking oder der Austausch von TAN durch iTAN.
Volksbanken-Raiffeisenbanken
Stellvertretend für das Portal der Volksbanken-Raiffeisenbanken testeten wir wieder die Münchner Bank. Diese informiert auf der eigentlichen Homepage nicht mehr über Sicherheit beim Online-Banking, das gibt einen Punkt Abzug. Auch der Fingerprint der Seite ist nirgends auffindbar. Dafür kann die Bank dank mTAN punkten.
Größte Neuerung ist, dass man mittlerweile ohne JavaScript auf der Seite Bankgeschäfte erledigen kann. Auch öffnet sich das Portal in einer normalen Seite, nicht mehr in einem PopUp. Das dient der Sicherheit und bringt ebenfalls Punkte.
Anforderung | Volksbanken-Raiffeisenbanken (Fiducia – Münchner Bank) | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Muenchner-Bank.de) | Nein | 0 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikat ja, Fingerprint nein | 1 |
EV-SSL-Zertifikate sind integriert und färben Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Ja | 2 |
Fazit: Platz vier
Wie die BBBank können auch die Volksbanken zulegen. Wären die Sicherheitshinweise weiter im Portal der Münchner Bank und wäre der Fingerabdruck angegeben, würden sie mit der BBBank gleichziehen. So reicht es nur für neun Punkte und damit Platz vier.
Deutsche Bank
Die Deutsche Bank schlägt sich ebenfalls gut, das komplette Portal ist ohne JavaScript bedienbar. Auch die Barrierefreiheit hat sich die Bank auf die Fahnen geschrieben, das ist sehr löblich. Um die Funktionen kennenzulernen, ist ein Demo-Konto eingerichtet. Die Kunden werden anschaulich über die Sicherheit im Internet informiert, inklusive Zertifikatseigner und Fingerprint. Diese Hinweise finden sich allerdings immer noch nur auf der direkten Online-Banking-Site. Auf der Homepage Deutsche-Bank.de ist dagegen nichts zu sehen.
Auch verzichtet die Bank auf eine virtuelle Tastatur oder mTAN. Das Sicherheitszertifikat EV-SSL ist dafür integriert. Ebenfalls ist bereits heute die Anmeldung mit der kommenden Signaturkarte möglich, die laut FAQ allerdings nicht unter Windows Vista funktioniert. Das notwendige Interface lässt sich direkt über das Web-Frontend der Bank ansprechen. Gut: Im Download-Center steht eine sehr große Anzahl von Sicherheitssoftware kostenlos bereit.
Anforderung | Deutsche Bank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.DeutscheBank.de) | Nein | 0 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikat ist integriert und färbt die Adressleiste grün | Ja | 1 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, umfangreiche Sicherheits-Downloads | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz vier
Der Online-Auftritt der Deutschen Bank hat sich seit unserem letzten Test nicht geändert und heimst wieder neun Punkte ein. Zwar bietet die Bank einen Zugang mit Signaturkarte an, und auch Überweisungen mit iTAN sind möglich. Dennoch wäre eine mTAN-Unterstützung sinnvoll.
Die Bank informiert ihre Kunden gut, allerdings sollte auch auf der eigentlichen Homepage ein Link zum Sicherheits-Center angegeben sein. Positiv fällt der umfangreiche Download-Bereich auf.
Sparkassen (FinanzIT – Sparkasse Berlin)
Die Sparkassen setzen auf zwei Dienstleister für die jeweiligen Portale. Die Sparkasse Berlin haben wir daher stellvertretend für das Portal von FinanzIT geprüft.
Das Portal erklärt zwar, wie man Zertifikat und Fingerprint der Seiten prüfen kann, allerdings finden sich auf den Seiten nicht die aktuellen Daten dazu, lediglich der Name des Zertifikatsinhabers. Screenshots und der Einsatz von EV-SSL wären hier die bessere Lösung. Sehr gut sind das Demosystems und die Sicherheitshinweise auf der Homepage. Die Lösung benötigt kein JavaScript.
Schön und vor allem sicherer wäre es aber, wenn die Sparkassen sich endlich zum mTAN-System durchringen oder wenigstens iTAN + BEN einsetzen würden.
Anforderung | Sparkasse Berlin (FinanzIT) | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Berliner-Sparkasse.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikatsinhaber ja, Fingerprint nein | 1 |
EV-SSL-Zertifikat ist integriert und färbt Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Gleichauf mit der hauseigenen Konkurrenz
Das Portal der FinanzIT liegt mit acht Punkten auf Platz zehn. Was fehlt, sind Informationen zum Fingerprint, das EV-SSL-Zertifikat, eine virtuelle Tastatur gegen Phisher sowie der Einsatz von mTAN oder der iTAN-Bestätigungsnummer (BEN).
Sparkassen (Sparkassen Informatik)
Die Sparkasse München-Starnberg wurde stellvertretend für den zweiten Portalanbieter, die Sparkassen Informatik, geprüft. Bei der Information macht die Bank alles richtig. Das Thema Sicherheit im Internet wird anschaulich erklärt und aufbereitet, auch ein Link auf der Homepage ist vorhanden. Zusätzliches Sicherheitsplus: Sämtliche Banking-Geschäfte sind ohne JavaScript möglich.
Das Portal wurde im April 2007 einer Runderneuerung unterzogen und präsentiert sich nun in modernem Weiß. Negativ fällt allerdings auf, dass die Kunden von der eigentlichen Sparkassen-Seite auf einen externen Host umgeleitet werden (izb.de).
Damit ändert sich die URL des Online-Bankings. Kunden sind es gewohnt, dass in der URL ein anderer Name als der des Geldinstitutes steht. Die Macher des Portals schaffen so einen möglichen Ansatzpunkt für Phisher, da hier die Hemmschwelle, eine fremde Seite zu nutzen, gesenkt wird.
Anforderung | Sparkasse München-Starnberg (Sparkassen Informatik) | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.KSKMsS.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Vorhanden | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Punktezuwachs
Wie die hauseigene Konkurrenz kommt auch das aktuelle Portal der Sparkassen Informatik auf acht Punkte und liegt damit gleichauf mit der Variante von FinanzIT. Schade nur, dass moderne Sicherheitsmethoden wie mTAN, iTAN/BEN oder EV-SSL-Zertifikate noch nicht bei den Sparkassen angekommen sind.
ComDirect
Ihr Geld kann mehr, so wirbt ComDirect im Fernsehen. Aber ist es auch in einem sicheren Portal untergebracht? Die Bank setzt eigentlich eher auf den Wertpapierhandel als auf die klassischen Bankaufgaben. Dennoch bietet sie ein Online-Banking-Portal, das sich aktuellen Anforderungen stellen muss. Das schafft die Bank auch; positiv ist vor allem der Einsatz von EV-SSL. Negativ ist dagegen, dass ohne JavaScript kein Zugriff auf die Banking-Funktionen möglich ist.
Ein Alleinstellungsmerkmal der Bank ist das Forum samt aktiver Community. Das ist uns im Test bei keiner anderen Bank so aufgefallen – ein Plus für den User, denn bei Fragen oder Unsicherheiten kann er zunächst mal bei den anderen Nutzern nachfragen. Praktisch ist auch das Testkonto, auch wenn dieses nicht verschlüsselt wird.
Anforderung | ComDirect | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.ComDirect.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikat ja, Fingerprint nein | 1 |
EV-SSL-Zertifikat ist integriert und färbt Adressleiste grün | Ja | 1 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Ja | 1 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Link zum BSI für Bürger | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz zwölf
Mit sieben Punkten, also der Hälfte des Möglichen, landet ComDirect auf Platz zwölf. Als Verbesserungen wären mTAN, iTAN/BEN oder der Verzicht auf JavaScript angebracht.
Hypo-Vereinsbank
Seit unserem letzten Test haben die Verantwortlichen der Hypo-Vereinsbank wieder einmal nachgebessert. Zwar fehlen noch immer die Sicherheitshinweise auf der Homepage, aber wenigstens Fingerprint und Zertifikatsinformationen lassen sich jetzt leicht online finden. Auch die Sicherheitshinweise sind umfangreicher und besser.
Dafür hat die Bank den Demo-Zugang immer noch deaktiviert. Positiv: Mittlerweile kommt man ohne JavaScript in den Online-Banking-Bereich..
Anforderung | Hypo-Vereinsbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.HypoVereinsbank.de) | Nein | 0 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz zwölf
Der Verzicht auf JavaScript gab der Hypo einen Punkteschub, sie kommt nun auf sieben Punkte, das bedeutet Platz zwölf. Dennoch fehlen immer noch Kleinigkeiten und die Infrastruktur für mTAN oder zumindest iTAN/BEN. Auch der Gastzugang sollte erhalten bleiben, um künftigen Neunutzern eine ungefährliche Testumgebung bereitzustellen. Ein zusätzlicher Hinweis auf die Sicherheitsinformationen auf der Homepage ist ebenfalls nicht zu viel verlangt.
Norisbank
Der aktuelle Werbespruch der Norisbank „Geht doch!“ passt wunderbar zu diesem Test. Seit dem letzten Test haben die Verantwortlichen massiv an dem Portal geschraubt und wichtige Funktionen eingepflegt. Schade ist allerdings, dass der Fingerprint nicht mehr genannt wird. Die Informationen für den Kunden sind ausgezeichnet. Die wichtigste Neuerung ist, dass die Bankanwendung jetzt PopUp-frei ist und auch kein JavaScript mehr benötigt.
Auch das veraltete TAN-Verfahren ist mittlerweile durch iTAN ersetzt, das ist sehr gut. Die Norisbank hat sich damit seit dem letzten Test deutlich zum Besseren gewandt. Um ganz vorne mitzuspielen, fehlen dem Institut aber Unterstützung für mTAN oder iTAN/BEN sowie die Integration der EV-SSL-Zertifikate.
Anforderung | Norisbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.Norisbank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikat ja, Fingerprint nein | 1 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün ein | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Link zum BSI | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Der Aufsteiger des Testes
“Geht doch“, das möchte man den Verantwortlichen zurufen. Im Vergleich zum letzten Test haben die Macher das Portal kräftig aufpoliert. Das ist uns sieben Punkte wert, damit schiebt sich die Norisbank von Platz 19 auf Platz zwölf vor.
ING-DiBa
Die ING-DiBa informiert anschaulich in Screenshots über Zertifikate und Fingerprints – wenn man die Seite findet. Denn die eigentlichen Informationen sind ziemlich tief vergraben. Ansonsten bietet die Bank ein Standardportal. Mittlerweile geht das Portal auch auf das Thema Virenschutz genauer ein, Kunden erhalten einen Link zum BSI.
Wir vermissen im Test die Möglichkeit von mTAN, und auch ein Demo des Kontos wäre hilfreich. Zudem sollte die selbst ernannte „Neue Generation Bank“ auf JavaScript verzichten können.
Anforderung | ING-DiBa | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.ING-DiBa.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja, innerhalb einer Bilderserie, wie sich die Daten prüfen lassen | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Nur für Spyware, damit nicht vollständig | 0,5 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz 14
sechs Punkte – damit konnte sich ING-DiBa um einen halben Punkt verbessern. Wir vermissen aber immer noch Funktionen wie die mTAN oder ein JavaScript-freies Portal.
Zusätzlich sichert die Bank den Zugang für ihre Kunden mit dem DiBa Key. Dabei handelt es sich um eine zusätzliche Abfrage einer Codenummer, die über eine virtuelle Tastatur eingegeben wird. Würde es diese Tastatur auch für Kontonummer und PIN geben, könnte die Bank einen weiteren Punkt verbuchen.
SEB
Die SEB ist die deutsche Tochter des schwedischen Finanzgiganten. Grund genug, das Portal zu prüfen. Wer allerdings kein JavaScript einsetzt, sieht zwar die Homepage, kann sie aber nicht bedienen. Zugriff auf die einzelnen Punkte hat man nur mit JavaScript – eine unnötige Einschränkung.
Ansonsten liefert die Bank ein mittelprächtiges Portal ab: Wir vermissen Demo-Account, virtuelle Tastatur, EV-SSL, iTAN/BEN oder mTAN. Dafür sind die Informationen gut, auch Fingerprint und Zertifikatsdetails finden sich.
Anforderung | SEB | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.SEB-Bank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün ein | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da mittlerweile Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz 14
Schweden können laut den Werbeaussagen der Bank zwar „Konten“, die Technik ihres Online-Portals sollten sie aber überarbeiten. Das SEB-Portal erhält im Test sechs Punkte. Für einen höheren Platz müssten zumindest eine JavaScript-lose Version sowie mTAN angeboten werden.
HSH Nordbank
Ein komplett JavaScript-freies Portal samt Demo-Account – die HSH Nordbank macht technisch eine gute Figur. Kein Wunder, wurde das Portal doch erst im Juni 2007 einer kompletten Neuerung unterzogen. Dass es in der Mitte platziert ist, liegt an Kleinigkeiten. Seit unserem letzten Test wurden aber anscheinend die Informationen für den Demo-Zugang von der Seite entfernt. Es ist zwar noch erreichbar, dennoch gibt es dafür einen halben Punkt Abzug.
Zusätzlich vermissen wir die Sicherheitshinweise auf der Hauptseite, Informationen zum Fingerprint, downloadbare Sicherheitstools, EV-SSL-Zertifikate oder den Einsatz der mTAN. Alles in allem könnte das Portal mittlerweile durchaus ein Update vertragen.
Anforderung | HSH Nordbank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.HSH-Nordbank.de) | Nein | 0 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Zertifikat ja, Fingerprint nein | 1 |
EV-SSL-Zertifikate sind integriert und färben Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Ja, aber keine Informationen dazu auf dem Login-Portal | 0,5 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Nein | 0 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz 17
Das Portal macht einen soliden Eindruck, schwächelt allerdings im Detail. Mit einfachen Mitteln und verbesserten Informationen wäre durchaus ein höherer Platz möglich gewesen. So liegt die Bank mit 5,5 Punkten auf Platz 17.
DAB-Bank
Der Wertpapierhändler DAB-Bank bietet unter anderem auch normale Bankgeschäfte an. Dabei ist er aber Konkurrenten wie ComDirect deutlich unterlegen, hat sich allerdings seit dem letzten Test sehr verbessert. Mittlerweile gibt es gute Informationen für die Kunden, die auch Links zum BSI und die Infos zu den aktuellen Serverzertifikaten und Fingerabdrücken enthalten.
Gäste können sich ein Musterdepot anlegen, allerdings erhalten sie keinen Gast-Zugriff auf die eigentlichen Konto-Funktionen.
Der Sicherheitsansatz der DAB-Bank kann aber nicht richtig überzeugen. Aus den Dokumenten geht hervor, dass Überweisungen und Transaktionen mit einem vom Kunden gewählten Tradepasswort oder einer SuperPIN abgezeichnet werden; eine TAN-Infrastruktur fehlt komplett. Das macht es für Phisher sehr interessant, da das Tradepasswort noch einfacher zu kriegen sein sollte als eine TAN. Daher ziehen wir hier einen Punkt ab.
Hier sollte die DAB-Bank handeln und ebenfalls iTAN oder besser gleich mTAN einführen. ComDirect ist hier vielleicht als Vergleichsportal am besten, das Institut liegt im Mittelfeld, der Online-Auftritt ist im Vergleich zur DAB-Bank deutlich besser.
Ärgerlich ist auch, dass die Bank ein aktiviertes JavaScript beim Portal voraussetzt. Das geht auch ohne!
Anforderung | DAB-Bank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.DAB-Bank.com) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Ja | 2 |
EV-SSL-Zertifikate sind integriert und färben die Adressleiste grün | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Nur für Depot, nicht für Konto | 0,5 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja, Link zum BSI | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nur vom Kunden gewähltes Tradepasswort, daher Abzug | -1 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Deutliche Verbesserung und Platz 17
Die DAB Bank springt von einem auf 5,5 Punkte und gibt so die rote Laterne ab. Dennoch sollten die Verantwortlichen über den Einsatz eines TAN-Systems und den Verzicht auf JavaScript nachdenken.
HSBC Trinkaus & Burkhardt
Die deutsche HSBC Trinkaus & Burkhardt nimmt Privatanleger erst auf, wenn diese mindestens eine Million Euro an disponiblem Vermögen hinterlegen. Nimmt man diese hohen Ansprüche an Kunden als Maßstab, schneidet das Online-Banking-Portal schlecht ab. Es gibt nur rudimentäre Phishing-Informationen, das Kreditinstitut setzt neben HBCI nur auf Standard-TANs (zumindest finden sich auf der Seite keine anderen Informationen), Infos zu Zertifikaten und den Fingerprints fehlen komplett.
Zudem wird das Online-Banking-Portal selbst an einen Drittanbieter ausgelagert. Wie schon bei anderen Portalen ist das ein möglicher Ansatzpunkt für Phisher, da die Nutzer abstumpfen. Auch das Thema Sicherheitssoftware wird nur rudimentär angeschnitten, Links zu Herstellern oder dem BSI fehlen.
Dafür kann die Bank an anderer Stelle nachziehen: Statt dem veralteten TAN-Verfahren können Kunden nun iTAN nutzen. Wir goutieren dass und streichen einen Minuspunkt.
Anforderung | HSBC Trinkaus & Burkhardt | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.HSBCTrinkaus.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja, downloadbare PDF-Broschüre | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Ja | 2 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Nein | 0 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Nein | 0 |
Bank verwendet iTAN | Ja, aber 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Platz 19
Wer sich elitär gibt, muss sich auch daran messen lassen. Mit nur fünf Punkten von möglichen 14 schneidet die deutsche HSBC-Tochter nicht gut ab. Das liegt vor allem daran, dass die Bank viel Potenzial bei der Kundeninformation verschenkt. Grundlegende Informationen wie der Zertifikatseigner oder der Fingerprint fehlen einfach, eine Suche auf der Seite mit einschlägigen Begriffen (Fingerprint, SSL, Zertifikat Online Banking) bringt keine Ergebnisse. Immerhin hat man sich mittlerweile zur iTAN durchgerungen. Bleibt also Platz 19 für HSBC Trinkhaus & Burkhard.
Citibank
Die Citibank war in den letzten Tests immer am Ende der Rangliste zu finden. Das ändert sich auch im aktuellen Test nicht. Es fehlen immer noch wichtige Informationen, etwa Zertifikatseigner und Fingerprint. Ohne aktiviertes JavaScript und Cookies kann man die Seite zudem gar nicht aufrufen.
Auch setzt das Institut weiter nur auf das Standard-TAN-Verfahren, iTAN oder mTAN sind Fremdwörter. Ein weiterer Vorteil ist die Information über Kontobewegungen per SMS, dieser Dienst ersetzt aber kein mTAN.
Ein Demo-Account ist nicht vorhanden. Als Virenscanner empfiehlt die CitiBank die kostenlose Version von AntiVir, Rabatt auf die Premiumversion gibt es nicht.
Anforderung | Citibank | Punkte |
Sicherheitshinweise sichtbar auf der Homepage der Bank (www.CitiBank.de) | Ja | 1 |
Sicherheitshinweise sichtbar im Online-Banking-Portal | Ja | 1 |
Name und Herausgeber des Sicherheitszertifikats sowie Fingerprint leicht online zu finden | Nein | 0 |
EV-SSL-Zertifikate sind integriert und färben Adressleiste grün ein | Nein | 0 |
Ausführliche und auch für Laien verständliche Informationen zum Thema Phishing | Ja, downloadbare PDF-Broschüre | 1 |
Online-Banking auch ohne aktiviertes JavaScript möglich | Nein | 0 |
Demo-Account verfügbar | Nein | 0 |
Virtuelle Tastatur zum Login verfügbar | Nein | 0 |
Angebot oder Download von Sicherheitssoftware, etwa Antivirensuite | Ja | 1 |
Banking-Anwendung erzwingt PopUp ohne bookmarkbare URL | Nein | 0 |
Bank bietet nur TAN-Verfahren an | Ja | -1 |
Bank verwendet iTAN | 0 Punkte, da Standard | 0 |
Bank setzt die Kombination aus iTAN und BEN (Bestätigungsnummer) ein | Nein | 0 |
Bank bietet mTAN an | Nein | 0 |
Fazit: Rote Laterne für die Citibank
Mit gerade mal drei Punkten gehört die CitiBank auch in diesem Test zu den Letzten. Beschämend für eines der größten Bankhäuser der Welt: Es fehlt der Einsatz von aktuellen Technologien wie iTAN. Dass gute Bankseiten auch ohne JavaScript möglich sind, zeigen Seiten wie die der Netbank oder der HSH Nordbank.
Fazit: Durchschnitt auf hohem Niveau
Die gute Nachricht: Immer mehr Online-Portale verzichten auf JavaScript. Seit unserem letzten Test hat sich bei den meisten Portalen etwas getan, sodass es viele neue Banken unter die ersten zehn geschafft haben. Allerdings sieht man am Test auch, dass man als Bank nicht stehenbleiben darf, sondern sein Online-Konzept beständig weiterentwickeln anpassen und erweitern sollte. So gibt es beispielsweise nur bei einem Portal eine wirkliche Community-Funktion, alle anderen Banken kennen so etwas nicht. Schön zu sehen ist aber, dass zumindest die PopUp-Manie langsam verschwindet.
Interessant ist auch, wie die Commerzbank und die Dresdner Bank das iTAN-Verfahren durch die BEN erweitert haben. Die digitale Quittung ist ein cleverer Schachzug, der den Nutzern mehr Sicherheit gibt. Auch mTAN ist immer mehr im Kommen.
Online-Banking ist immer noch sehr sicher, wenn auch die User ihren Teil dazu beitragen. Wie Sie Ihr System in eine Hochsicherheitsumgebung für Online-Banking verwandeln, haben wir im Artikel „Workshop: Kampf den Online-Betrügern“ beschrieben.
Neu: Die Platzierung aller Banken
In der aktuellen Liste ist schön zu sehen, dass sich vor allem die kleineren Banken verbessern konnten, während die großen Banken teilweise stagnierten Das führte dazu, dass Institute wie die BBBank sich augenscheinlich problemlos vor große Institute wie die Sparkassen setzen konnten. Ebenfalls ein Novum: Die Netbank muss erstmals den ersten Platz mit der Postbank teilen.
In der folgenden Tabelle erhalten Sie noch einmal eine Übersicht über alle Institute, samt Punktezahl und Platzierung.
Platzierung | Institut | Erreichte Punkte von 14 möglichen |
01 | Netbank | 12 |
01 | Postbank | 12 |
03 | BBBank | 11 |
04 | Commerzbank | 9 |
04 | Sparda Bank | 9 |
04 | Dresdner Bank | 9 |
04 | GLS Bank | 9 |
04 | Volksbanken-Raiffeisenbanken | 9 |
04 | Deutsche Bank | 9 |
10 | SparkassenInformatik | 8 |
10 | Sparkassen (FinanzIT) | 8 |
12 | ComDirect | 7 |
12 | Hypo Vereinsbank | 7 |
12 | Norisbank | 7 |
14 | SEB | 6 |
14 | ING DiBa | 6 |
17 | HSH | 5,5 |
17 | DAB | 5,5 |
19 | HSBC | 5 |
20 | Citibank | 3 |
Finanzagenten leben gefährlicher als Phisher
Die größte Gefahr für Konten stellen nicht die direkten Phishing-Angriffe dar, sondern ungewollte Geldwäscher. Dabei versucht der Phisher, Kontobesitzer für sich zu gewinnen, die den Geldtransfer für ihn übernehmen. Meist werden hohe Provisionen in Aussicht gestellt. Die Phisher tarnen sich als ausländische Firma, die Probleme bei der Überweisung hat oder über den indirekten Weg Überweisungskosten sparen will. Neuere Methoden decken etwa das Mieten von Ferienwohnungen oder den Kauf eines Autos ab, wie das Bundeskriminalamt berichtet.
Neben finanziellen Verlusten können aber auch strafrechtliche Konsequenzen auf den Kontobesitzer zukommen. Die Website Sicherheit-Online hat auf dieser Seite eine Reihe von Urteilen zusammengestellt, die gegen so genannte Finanzagenten, also Helfer der Phisher, gefällt wurden. Unter anderem durfte eine Bank auch den Helfer in Regress nehmen. Tragisch dabei: Meist handelt es sich um Leute, die in einer finanziellen Zwangslage stecken. (mja)