Fraunhofer-Institut: Wenig Phishing-Schutz bei Online-Banken

Das Ergebnis der Studie erschreckt angesichts möglicher Folgen für die Kunden und der relativ langen Zeit, in der das Phising-Problem schon bekannt ist: Von zwölf getesteten Webangeboten erreichte nur eines die Note "sehr gut", eine Online-Bank hingegen erhielt die Note "mangelhaft".

"Insgesamt zeigt der Test, dass die meisten Banken beim Schutz vor Phishing Nachholbedarf haben", sagte Sven Türpe, Fraunhofer-Mitarbeiter im Testlabor für IT-Sicherheit. "Andererseits demonstriert das Ergebnis des Testsiegers auch, dass unsere Testkriterien erfüllbar sind."

Getestet wurden in Deutschland aktive Banken, die Girokonten für Privatkunden anbieten. Bei regional organisierten Banken - Sparkassen sowie Volks- und Raiffeisenbanken - erfolgte der Test jeweils anhand eines willkürlich gewählten Vertreters. Mit 14,5 von 15 möglichen Punkten erhielt das Online-Angebot der Deutschen Bank als einziges unter den zwölf zum Test ausgewählten Bank-Instituten die Bestnote "sehr gut". Eine befriedigende Bewertung erzielten Postbank, Commerzbank, Dresdner Bank sowie die DiBa und die Comdirect. Die Citibank bietet ihren Kunden zwar technisch die nötigen Sicherheitsvorkehrungen, informiert sie aber zu wenig über Gefahren und Gegenmaßnahmen. Die Sparkasse Leipzig und die Netbank zeigten sowohl auf technischem Gebiet Schwächen als auch bei der Information der Kunden.

"Bei der 1822direkt und der Volksbank Darmstadt fanden sich sogar in allen Kategorien Mängel", sagte Türpe. Schlusslicht ist die Sparda-Bank Hamburg, die große Schwächen in den technischen Sicherheitsvorkehrungen aufweist. "Hier haben selbst technisch bewanderte und aufmerksame Kunden kaum eine Chance, die Echtheit der Banking-Seiten zu überprüfen", sagte Türpe.

Für die Studie entwickelten die Fraunhofer-Tester eigens einen Testkatalog, der die technische Gestaltung des Web-Angebots, die Alternativen zum Web-basierten Online-Banking sowie das Informationsangebot der Online-Banken berücksichtigt. Für den Test wurden ausschließlich Informationen genutzt, die frei verfügbar sind. Überprüft wurde etwa, ob während der Anmeldung des Kunden die Adresszeile im Browser sichtbar ist und ob bereits vor dem Login eine gesicherte Verbindung aufgebaut wurde. Auch die Bereitstellung ausreichender Kundeninformationen über Phishing war ein Testkriterium. Pluspunkte konnten etwa solche Banken sammeln, die Homebanking-Software unterstützen.

"Die tatsächliche Sicherheit der Online-Angebote hängt natürlich noch von vielen weiteren Faktoren ab, der Fokus der vorliegenden Studie liegt auf Phishing", so Türpe. "Das Testergebnis erlaubt deshalb keine abschließende Bewertung des realen Phishing-Risikos bei den einzelnen Banken. Dies wird nicht nur von den hier betrachteten Sicherheitsmaßnahmen bestimmt, sondern auch von weiteren Faktoren, etwa dem Verhalten der Betrüger, dem Umgang der Bank mit Sicherheitsvorfällen und dem Verhalten der einzelnen Bankkunden."

Die vollständige Studie ist im Internet unter www.sit.fraunhofer.de einsehbar