Deutsche Kreditinstitute sorgen sich um die Sicherheit im Electronic Banking. Knapp 40 Prozent der sehen in der sicheren Authentifizierung von Finanzgeschäften eine zentrale Aufgabe der nächsten Jahre.
Damit ist die Sicherheitsproblematik hinter den Anforderungen durch SEPA (Single Euro Payments Area) die künftig größte Herausforderung im Electronic Banking. Die Brisanz liegt auf der Hand: Allein 2006 haben in Deutschland die Angriffe durch Trojaner um ein Viertel gegenüber dem Vorjahr zugenommen. Zudem ist Deutschland die europäische Hochburg des so genannten Passwort-Phishings.
Die wollen die Herausforderung dieser Problemstellungen jetzt aktiv annehmen. Ziel ist es, die eingesetzten Sicherheitsverfahren trojanersicher zu machen. Dies sagen mehr als vier von fünf Bankexperten. Die Vermeidung des Passwort-Phishings steht für 60 Prozent der Institute auf dem Plan. Das hat die Studie „Electronic Banking 2007 – Trends und zukünftige Anforderungen im Firmenkundengeschäft“ von ibi research und der PPI AG ergeben.
Als Lösungsansätze werden derzeit unterschiedliche Möglichkeiten diskutiert: Stärker in die Kritik geraten ist dabei die rein wissensbasierte Authentifizierung anhand von PIN und TAN. Angesichts der zunehmenden Spamflut und der zahlreichen Phishingmails soll das TAN-Verfahren verbessert und in mehrschrittigen Verfahren umgesetzt werden.
Viele werden demnach die auftragsindividuelle TAN einführen – beispielsweise den bisher wenig verbreiteten TAN-Versand per SMS oder TAN-Generatoren. Diese Verfahren erzeugen eine spezifische TAN für die jeweiligen Aufträge. Biometrische Verfahren zur Authentifizierung spielen dagegen derzeit kaum eine Rolle.
Insgesamt kommt elektronischen Signaturen die künftig größte Bedeutung für die Auftragserteilung zu. Nahezu alle Institute werden diese im Zuge der Umstellung auf den SEPA-fähigen Übertragungsstandard EBICS (Electronic Banking Internet Communication Standard) anbieten. Zur Freigabe eines Auftrages wird die digitale Signatur dabei mit einem geheimen Schlüssel erstellt und versendet. Die Bank kann anhand eines zweiten Schlüssels dann überprüfen, ob der Kunde die Signatur erstellt hat.
Neben den Problemen der sicheren Authentifizierung steht auch die rechtssichere Dokumentation auf der Prioritätenliste der