IT-Security

IT-Sicherheit bei Banken: Kunden wiegen sich in falscher Sicherheit

26. Februar 2019 von PSW GROUP Redaktion
it-sicherheit-bei-banken
© ipopba - Fotolia.com

2.3
(3)

Wenn Verbraucher jemandem Vertrauen schenken sollten, dann doch ihrer Bank – sollte man meinen. Die IT-Sicherheit bei Banken lässt jedoch häufig zu wünschen übrig. Genutzte Verfahren zur sicheren und vertraulichen E-Mail-Kommunikation suggerieren Sicherheit, die diese gar nicht leisten können. Wie das sein kann und was Sie tun können, erfahren Sie heute.

Warum das eingesetzte Verfahren seine Wirkung verfehlt

Jeder, der sich bereits ein wenig mit dem Thema E-Mail-Verschlüsselung befasst hat, weiß: Unverschlüsselte E-Mails sind wie eine Postkarte. Sie können mit sehr einfachen Mitteln von unbefugten Dritten mitgelesen werden. Möchten Sie Ihre Bank-Informationen an Fremde weitergeben?

Schauen wir uns das an einem Beispiel an. Die Volksbank Reutlingen erklärt in einem PDF ihre Verschlüsselung. In dem PDF ist von “E-Mail-Verschlüsselung” die Rede. Blicken wir genauer hin: Die Volksbank erklärt, dass eine “verschlüsselte E-Mail […] immer einen Anhang im PDF-Format” hat. Dieser Anhang solle vom Empfänger auf seinem Rechner gespeichert werden. Anschließend soll der Bankkunde zu dem Speicherort gehen, wo das PDF abgespeichert wurde. Beim Öffnen des Dokuments werde man nach einem Passwort gefragt. Dieses Passwort erhalte man durch das Klicken auf “Mein Passwort” in der E-Mail oder aber telefonisch.

Klickt man “Mein Passwort” in der E-Mail an, öffnet sich ein weiteres Fenster mit einem Code. Diese Mail gelangt an den zentralen Verschlüsselungsserver der Bank (s. Erklärungen auf der Website der VR-Bank Reutlingen). Anschließend wird dem Kunden das persönliche Passwort zugesendet – per E-Mail!

Sie sehen: Es handelt sich hierbei in keinem Fall um echte E-Mail-Verschlüsselung. Es sind lediglich die Anhänge passwortgeschützt. Es ist ein absolutes Unding, den Kunden hier ein hohes Maß an IT-Sicherheit vorzugaukeln. Dem wird die Krone dadurch aufgesetzt, dass das benötigte Passwort auch noch per E-Mail versendet wird. Der Prüfungsverband Banken findet (PDF): “Der Absender muss dem Empfänger das Kennwort mitteilen. Dies sollte sinnvollerweise natürlich nicht per E-Mail erfolgen, denn sonst hätte man sich ja die Verschlüsselung auch sparen können.”

IT-Sicherheit bei Banken: Die Entscheidung bleibt beim Nutzer

Das IT-Magazin Golem.de hat nachgefragt. Der konkrete Fall: Golem.de lag ein E-Mail-Paar von einem Kunden und der Volksbank Baden-Baden Rastatt vor. In diesem E-Mail-Paar habe der Kunde “die sogenannte verschlüsselte Kommunikation mit seiner Bank geführt”. Nachdem der Kunde eine unverschlüsselte E-Mail an die Bank gesendet hatte, kam als Antwort eine E-Mail mit einer Passwort-geschützten PDF-Datei.

Rund eine Minute später erhielt der Kunde die E-Mail mit dem Passwort. Der Betreff hieß: “Passwort für Ihre verschlüsselte E-Mail im PDF-Format” und in der Mail war der genaue Sendezeitpunkt der vorigen Mail vermerkt. Nachfragen von Golem.de hat die Bank nicht beantwortet, das Vorgehen wurde nicht weiter kommentiert.

Passworttest auf www.stmd.bayern.deJedoch nutzen nicht nur VR-Bank Filialen fragwürdige Methoden, wenn es um IT-Sicherheitsverfahren und Passwörter geht. Auch die Passwort-Wahl der Sparkasse ist verbesserungswürdig. Hier ist für das Passwort beim Online-Banking ein fünfstelliger Code aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen möglich. Die Option der Nutzung von Groß- und Kleinbuchstaben und Sonderzeichen lässt vermuten, dass das Passwort sicher sei. 5-stellige Passwörter sind aber vor allem eines: Zu kurz!

Die Sicherheit von Passwörtern lässt sich in einem Tool des Bayerischen Staatsministeriums für Digitales testen. Die Passwörter der Sparkasse sind laut diesem Tool innerhalb von einer bis zwei Sekunden zu knacken. Wir haben das Passwort „Sh4“O“ getestet. Ein wirklich sicheres Passwort hat eine optimale Länge von mindestens 16 Zeichen, bei der Nutzung von Online-Banking wären zumindest acht Zeichen zu erwarten. Weiterhin sollte ein sicheres Passwort so komplex wie möglich sein, auf Begriffe und Namen verzichten und Buchstaben, Ziffern sowie auch Sonderzeichen verwenden. Ein solches Passwort würde laut dem Tool des Bayerischen Staatsministeriums für Digitales Jahrhunderte an Rechenzeit benötigen. Für Sie bedeutet dies: Wählen Sie Ihr Passwort auch bei der Begrenzung auf schwache 5 Zeichen so sicher wie möglich und verwenden Sie zumindest alle Zeichenarten.

Es gibt diverse Banken, die erklären, um IT-Sicherheit einzuhalten, sollten Kunden über ihren Online-Banking-Account mit der Bank kommunizieren. Nicht jeder nutzt jedoch Online-Banking. Werden diejenigen, die Online-Banking aus verschiedenen Gründen für sich ablehnen, nun aus der Sicherheit herausgenommen? Es scheint fast so. Sicherheitsversprechen wie “Sicher und vertraulich” sind bei solchen Verfahren allerdings deplatziert.

Wie Sie in der Kommunikation mit Banken sichergehen

Sie sehen: Es liegt einmal mehr an Ihnen, dem Bankkunden, Ihre Daten zu schützen. Sie müssen selbst aktiv werden, um sich von falschen Sicherheitsversprechen unabhängig zu machen. Die folgenden Tipps helfen Ihnen bei diesem Vorhaben:

  • Passwörter anfordern: Kommen Sie in die Situation, ein passwortgeschütztes PDF von Ihrer Bank öffnen zu müssen, so erfragen Sie das Passwort idealerweise telefonisch. Wie das Beispiel oben zeigt, ist es sinnlos, Passwörter in unverschlüsselten E-Mails zu versenden – Unbefugte können es so erlangen. Wählen Sie sichere Wege. Das Telefon ist der wohl sicherste Weg, aber auch das Anfordern per SMS kann sinnvoll sein.
  • Sichere Passwort-Wahl: Wenn Sie die Möglichkeit haben, selbst ein Passwort auszuwählen, dann nutzen Sie ein komplexes Passwort mit einer hohen Zeichenanzahl und allen möglichen Zeichenarten.
  • Aufpassen beim Online-Banking: Verschlüsselt Ihre Bank das Online-Banking? Achten Sie auf eine grüne Adressleiste und ein Schloss in der Adressleiste. Klicken Sie hier, um nähere Informationen über die Verschlüsselung und Ihre Bank zu erhalten. Um Verbindungen abzusichern, sind SSL-Zertifikate eine sinnvolle Lösung.
  • Verschlüsselter E-Mail-Versand: Werden Sie selbst aktiv! Versenden Sie E-Mails mit PGP-Schlüssel oder – noch besser – S/MIME-Zertifikat. Wo die Unterschiede liegen, erfahren Sie in diesem Support-Beitrag.

Wie steht es um die IT-Sicherheit bei Ihrer Bank? Mussten Sie bereits Sicherheitsvorfälle beobachten oder gehört Ihre Bank zu den rühmlichen Ausnahmen, die den Datenschutz wirklich sinnvoll beachten? Haben Sie Fragen zur Verschlüsselung im Allgemeinen oder E-Mail-Verschlüsselung im Besonderen? Dann kontaktieren Sie uns – wir unterstützen Sie gerne!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 2.3 / 5. Vote count: 3

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu