Skip to main content
main-content

Über dieses Buch

Das Buch unterzieht den aktuellen Stand der Sicherungsverfahren im Online-Banking einer kritischen Analyse. Neben den verschiedenen PIN/TAN-Verfahren und HBCI werden im Ausblick auch andere Systeme wie PayPal betrachtet. Sicherheit gilt als oberstes Ziel im Online-Banking. Doch eine Analyse der angebotenen Sicherungsverfahren zeigt, dass Sicherheit keine absolute Priorität hat, sondern Banken und Nutzer ihre Entscheidung in einem magischen Dreieck aus Sicherheit, Kosten und Benutzungsfreundlichkeit treffen.

Vor fast 20 Jahren haben die Verbände der deutschen Kreditwirtschaft die Einführung von Signaturverfahren im Online-Banking mit dem HBCI-Standard beschlossen, um das damals als wenig sicher geltende PIN/TAN-Verfahren abzulösen. Doch die PIN/TAN-Verfahren wurden weiterentwickelt und HBCI konnte sich dagegen nicht durchsetzen. Dieses Buch schildert auf der Basis von Experteninterviews mit Verbandsvertretern sowie Bankmanagern, wie es dazu gekommen ist und überprüft das Verhältnis von Sicherheit und Benutzungsfreundlichkeit in einem vergleichenden Test.

Inhaltsverzeichnis

Frontmatter

1. Einführung

Zusammenfassung
In diesem einführenden Kapitel beleuchten wir kurz den Widerspruch zwischen der hohen Bedeutung der Sicherheit, die Bankmanager und Kunden in Umfragen zum Online-Banking betonen, und dem praktischen Verhalten beim Angebot bzw. der Nutzung der konkreten Sicherungsverfahren.
  • Wir zeigen anhand von Umfrageergebnissen, dass die als besonders sicher geltenden HBCI-Verfahren deutlich seltener genutzt werden als PIN/TAN-Verfahren.
  • Wir erklären dies mit der These von einer doppelten Relativierung der Sicherheitsziele im Verhältnis zu den Kosten und der einfachen Benutzung sowohl bei den Bankmanagern als auch bei den Kunden.
  • Zur Illustration führen wir zwei sogenannte magische Dreiecke ein, die in späteren Kapiteln inhaltlich näher betrachtet werden.
Herbert Kubicek, Günther Diederich

2. Sicherungsverfahren im Online-Banking im Vergleich

Zusammenfassung
In dem zweiten Kapitel
  • beschreiben wir zunächst die in diesem Buch näher betrachteten Sicherungsverfahren im Online-Banking
    • die PIN/TAN-Verfahren TAN-Liste, iTAN, SMS-TAN und Chip-TAN sowie
    • signaturbasierte HBCI-Verfahren mit Chipkarte oder mit Dateien,
  • betrachten auf der Basis von Umfragen deren Nutzung seit 2008
  • sowie die Häufigkeit des Angebots in einer selbst erhobenen Stichprobe von 30 Banken im Jahr 2014,
  • bewerten deren Sicherheit nach Einschätzungen in den Medien, einer Studie der European Union Agency for Network and Information Security (ENISA) und des EU-Projekts STORK und
  • stellen diese Sicherheitsbewertung der Verfahren ihrer Verbreitung gegenüber.
Dabei bestätigt sich die eingangs formulierte These, dass die sichereren HBCI-Verfahren im Verhältnis zu den PIN/TAN-Verfahren deutlich seltener angeboten und noch seltener genutzt werden.
Herbert Kubicek, Günther Diederich

3. Die Einführung elektronischer Signaturen im Online-Banking

Zusammenfassung
Um die bisherige Entwicklung zu verstehen, ist es sinnvoll, die Entstehungsgeschichte der signaturbasierten HBCI-Verfahren zu betrachten. Wir haben diese in Interviews mit maßgeblichen Akteuren in diesem Prozess rekonstruiert.
Im dritten Kapitel
  • erläutern wir zunächst die Entwicklung des institutsübergreifenden HBCI-Standards und die gemeinsame Verpflichtung der Verbände der Kreditwirtschaft zu seiner Einführung, insbesondere
    • wer daran beteiligt war,
    • was genau verabredet wurde,
    • wie der zeitliche Ablauf war.
  • Dann stellen wir kurz den gesetzlichen Rahmen für elektronische Signaturen und konkret den Unterschied zwischen fortgeschrittenen und qualifizierten Signaturen nach dem Signaturgesetz von 1997 und 2001 dar und ordnen die in den HBCI-Verfahren verwendeten Signaturen dieser Klassifizierung zu.
Herbert Kubicek, Günther Diederich

4. Elektronische Signaturen im E-Government als neues Geschäftsfeld

Zusammenfassung
Das Interesse der Kreditwirtschaft an elektronischen Signaturen ging über den Einsatz im Zahlungsverkehr in Form der HBCI-Verfahren weit hinaus. Zur selben Zeit kündigte die Bundesregierung an, mehrere bundesweit geltende Verwaltungsverfahren über das Internet zugänglich zu machen,
  • die elektronische Steuererklärung (ELSTER),
  • eine elektronische Gesundheitskarte und
  • einen elektronischen Einkommensnachweis (Jobkarte/ELENA).
Zur Wahrung der gesetzlich vorgeschriebenen Schriftform wurde das Verwaltungsverfahrensgesetz geändert und die qualifizierte elektronische Signatur der handschriftlichen Unterschrift gleichgestellt. Viele Institute der Kreditwirtschaft sahen darin eine Chance für ein neues Geschäftsfeld in Form der Bereitstellung von Signaturkarten und Zertifizierungsdienstleistungen für diese Großverfahren. Die Bundesregierung ihrerseits sah in den Banken einen wichtigen Partner, um die qualifizierte Signatur kostengünstig in die Fläche zu bringen. Die Filialen könnten als Registrierungsstellen dienen, der Einsatz derselben Karte für E-Government und Online-Banking die Kosten senken und die Akzeptanz verbessern u. a. m.
Im vierten Kapitel
  • schildern wir zunächst das Bremer Media@Komm-Projekt, in dem die Freie Hansestadt Bremen mit einer Förderung des damaligen Bundesministeriums für Wirtschaft und Technologie von 1999 bis 2002 eine Reihe von Verwaltungsdienstleistungen für Bürger und Unternehmen als Onlineangebot entwickeln und den Einsatz der qualifizierten elektronischen Signatur des Trust Centers der Deutschen Telekom Telesec auf der EC-Karte der Bremer Sparkasse erproben wollte,
  • gehen dann auf der Basis der geführten Interviews mit den Verbandsvertretern auf deren Erwartungen an die drei genannten geplanten Großverfahren der damaligen Bundesregierung ein,
  • beschreiben das zwischen Kreditinstituten, Ministerien und anderen verabredete Bündnis für Signaturen und die darin enthaltene Verpflichtung zur Standardisierung und wechselseitigen Anerkennung elektronischer Signaturen und
  • berichten schließlich über die Enttäuschung der Kreditwirtschaft über das Nicht-Zustandekommen der angekündigten Projekte, eine Schuldzuweisung der Verbandsvertreter an die Ministerien und deren zurückweisende Entgegnung.
Herbert Kubicek, Günther Diederich

5. Signaturverfahren in eigenen Geschäftsprozessen und akkreditierte Trust Center der Finanzinstitute

Zusammenfassung
Neben dem Einsatz elektronischer Signaturen im E-Government hatten viele Institute auch erwartet, mit deren Hilfe über HBCI hinaus eine Reihe von weiteren Geschäftsprozessen im Zahlungsverkehr und anderen Bankgeschäften online anbieten zu können und so Kosten zu senken.
Im fünften Kapitel schildern wir auf der Basis der geführten Interviews mit den Verbandsvertretern,
  • dass auch diese Erwartungen korrigiert werden mussten,
  • dass als Konsequenz daraus das Interesse an eigenen akkreditierten Trust Centern sank,
  • für HBCI im Zahlungsverkehr fortgeschrittene elektronische Signaturen als hinreichend sicher angesehen wurden und
  • in Abkehr von den Verpflichtungen im Signaturbündnis und im HBCI-Abkommen elektronische Signaturen andere Anbieter im eigenen Online-Banking nicht akzeptiert werden.
Neben den erhofften Entwicklungen in der öffentlichen Verwaltung mussten auch die Erwartungen von Rationalisierungsvorteilen durch die Online-Abwicklung weiterer Geschäftsvorfälle mit qualifizierten Signaturen in der Kreditwirtschaft selbst korrigiert werden.
Herbert Kubicek, Günther Diederich

6. Die Erweiterung von HBCI und die Weiterentwicklung der PIN/TAN Verfahren

Zusammenfassung
Die Reduzierung des Engagements für signaturbasierte HBCI-Verfahren war nur möglich, weil zwischenzeitlich neue technische Möglichkeiten zur Verfügung standen, um das als unsicher geltende einfache PIN/TAN-Verfahren mit Papierlisten zu ersetzen.
Im sechsten Kapitel
  • gehen wir zunächst auf die Integration von PIN/TAN-Verfahren in den HBCI-Standard und seine Umbenennung in FinTS ein,
  • schildern die zeitliche Reihenfolge der Einführung neuer Varianten des PIN/TAN-Prinzips mit SMS-Tan (2003) und Chip-Tan (2009) und beschreiben diese genauer,
  • bewerten deren Sicherheitsniveau anhand der Robustheit gegenüber einer Reihe unterschiedlicher Bedrohungen.
Im Ergebnis kommen wir zu einer Rangfolge in Bezug auf die Sicherheit, bei der die chipkartenbasierten HBCI-Verfahre nach wie vor die höchste Sicherheit bieten, gefolgt vom Chip-TAN-Verfahren und dem SMS-TAN-Verfahren auf Platz zwei und drei sowie dem iTAN-Verfahren als Schlusslicht.
Im Zusammenhang mit neuen Entwicklungen der letzten drei Jahre betrachten wir dann noch die Perspektiven der eID-Funktion auf dem neuen Personalausweis (nPA). Davon erwarten die befragten Verbandsvertreter und interviewten Bankmanager nicht viel, weil damit nur die Identität geprüft werden kann, mangels mitgelieferter Signatur aber keine Autorisierung der Transaktionen. Ersatzregelungen wie sie mit dem E-Government-Gesetz 2014 für Verwaltungsdienstleitungen geschaffen wurden, kommen für Überweisungen im Zahlungsverkehr nach übereinstimmender Einschätzung der befragten Experten nicht in Frage.
Herbert Kubicek, Günther Diederich

7. Sicherungsverfahren im magischen Dreieck der Nutzerinnen und Nutzer

Zusammenfassung
Die geringe Nachfrage von Online-Kunden nach signaturbasierten HBCI-Verfahren wird häufig auf deren geringe Benutzungsfreundlichkeit (Usability) zurückgeführt. TAN-Listen und SMS-TAN werden als sehr viel einfacher in der Bedienung eingeschätzt. Überprüft wurde diese Hypothese bisher jedoch kaum.
Im siebten Kapitel
  • gehen wir kurz auf die allgemeine wissenschaftliche Diskussion zum Verhältnis von Sicherheit und Benutzbarkeit von Online-Angeboten ein und
  • stellen Ergebnisse eines eigenen Usability-Tests von verschiedenen Sicherungsverfahren im Online-Banking von drei Instituten vor.
Danach sind die Verfahren mit der höheren Sicherheit tendenziell weniger einfach in der Nutzung. Allerdings muss man zwischen der Einfachheit der einmaligen Installation und der der anschließenden wiederkehrenden Nutzung für Transaktionen unterscheiden.
Auffallend bei den Testergebnissen sind die großen Unterschiede in der Anzahl der erforderlichen Schritte beim gleichen Verfahren in den Implementierungen der drei verschiedenen Institute.
Herbert Kubicek, Günther Diederich

8. Sicherungsverfahren im magischen Dreieck der Bankmanager

Zusammenfassung
Nach der eingangs formulierten These entscheiden Bankmanager über die Einführung neuer Sicherungsverfahren nicht ausschließlich oder in erster Linie nach deren Sicherheit, sondern in Abwägung der damit verbundenen Kosten und der geschätzten einfachen Benutzung. Im achten Kapitel untersuchen wir aufgrund verschiedener Quellen, ob und wie genau diese Relativierung in der Praxis existiert.
  • Zunächst fassen wir die Ergebnisse einer Umfrage unter mehr als hundert ePayment-Experten in Europa durch die European Union Agency for Network and Information Security (ENISA) zusammen. Demnach hat die Einfachheit die höchste Priorität und die am weitesten verbreiteten Verfahren sind auch die mit den geringeren Kosten.
  • Dieses Umfrageergebnis auf europäischer Ebene haben wir durch eine eigene Analyse der Online-Banking-Portale der 30 beliebtesten deutschen Finanzinstitute überprüft und gezählt, wie oft dort iTAN, SMS-TAN, Chip-Tan und HBCI-Signaturverfahren angeboten werden.
  • Um die Gründe für die dabei festgestellten Unterschiede zu erkunden, wurden 17 deutsche Bankmanager gebeten, diese Verfahren im Hinblick auf Sicherheit, Kosten und Einfachheit genauer zu bewerten. Dabei wurde insbesondere zwischen verschiedenen Kostenarten wie einmaligen Investitionen, fremdbezogenen Leistungen, Support und Qualifizierung von Mitarbeitern differenziert.
Die Ergebnisse dieser Befragung zeigen interessante Unterschiede zwischen den Verfahren, z. B. dass beim SMS-TAN-Verfahren die eingekauften SMS den größten Kostenblock bilden, während beim Chip-TAN-Verfahren die Supportkosten stärker ins Gewicht fallen.
Herbert Kubicek, Günther Diederich

9. Resümee und Ausblick

Zusammenfassung
Im abschließenden Kapitel fassen wir die Befunde zur bisherigen Entwicklung der Sicherungsverfahren im Online-Banking zusammen und wagen einen Ausblick auf die nächsten fünf Jahre unter Berücksichtigung der technischen, rechtlichen und marktlichen Rahmenbedingungen.
In der Zusammenfassung betrachten wir die von Bankmanagern zu treffenden Entscheidungen:
  • Die Entscheidung über die Ablösung bestehender Verfahren erfolgt aufgrund der eingetretenen Schäden.
  • Die Entscheidung, welche neuen Verfahren eingesetzt werden sollen, wird durch das magische Dreieck aus Sicherheitsniveau, Kosten und Einfachheit abgebildet. Die in Kap. 8 dargestellten Einschätzungen der befragten Bankmanager zu Einfachheit und Sicherheit werden nun ersetzt durch die Befunde aus dem eigenen Usability-Test und der eigenen Einschätzung des Sicherheitsniveaus nach den verschiedenen Bewertungsmethoden.
  • Die Entscheidung über den Stellenwert von signaturbasierten HBCI-Verfahren ist weniger eindeutig, teilweise von den enttäuschten Erwartungen in Bezug auf eine breite Nutzung geprägt und tendiert zu einem Nischenprodukt für Geschäftskunden.
Beim Ausblick auf die nächsten fünf Jahre:
  • prüfen wir, ob die noch in nationales Recht umzusetzende neue Richtlinie für Zahlungsdienste der Europäischen Kommission (ZDR2 /englisch PSD2) sowie die SecuRePay Empfehlungen der Europäischen Zentralbank (Security of Retail Payment ) mit ihrer Forderung nach einer starken Authentifizierung Änderungen der bisherigen Verfahren erfordern,
  • ob es aktuelle technische Entwicklungen gibt, die völlig neue Sicherungsverfahren ermöglichen und ob mit dem Einsatz biometrischer Verfahren zu rechnen ist, und
  • wagen eine Prognose, dass angesichts der Herausforderungen durch neue Zahlungsdienstanbieter wie PayPal und Apple, deren Sicherheit noch unter der der aufgegebenen TAN-Listen liegt, auf absehbare Zeit nicht mit einem stärkeren Engagement für HBCI oder andere signaturbasierte Verfahren zu rechnen ist.
Herbert Kubicek, Günther Diederich

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise