Knapp 40 Prozent der Banken sehen in der sicheren Authentifizierung von Finanzgeschäften eine zentrale Aufgabe für die nächsten Jahre. Damit ist die Sicherheitsproblematik hinter den Anforderungen durch SEPA (Single Euro Payments Area) die größte Herausforderung im Electronic Banking. Dies ist das zentrale Ergebnis der Studie „Electronic Banking 2007 - Trends und zukünftige Anforderungen im Firmenkundengeschäft“ von ibi research und dem Beratungs- und Software-Anbieter PPI AG.
Der hohe Stellenwert des Themas „Sicherheit“ kann in Anbetracht der Brisanz nicht überraschen: Allein im Jahr 2006 haben in Deutschland die Angriffe durch Trojaner um ein Viertel gegenüber dem Vorjahr zugenommen. Zudem ist Deutschland die europäische Hochburg des so genannten „Passwort-Phishings“. Die Banken wollen dieser Herausforderung jetzt aktiver begegnen. Ziel ist es, die eingesetzten Sicherheitsverfahren „trojanersicher“ zu machen. Dieses Ziel nennen mehr als vier von fünf Bankexperten. Die Vermeidung des Passwort-Phishings steht für 60 Prozent der Institute auf dem Plan.
Neue Lösungsansätze zur sicheren Authentifizierung
Als Lösungsansätze werden derzeit unterschiedliche Möglichkeiten diskutiert: Stärker in die Kritik geraten ist dabei die rein wissensbasierte Authentifizierung anhand von PIN und TAN. Angesichts der zunehmenden Spamflut und der zahlreichen Phishingmails soll das TAN-Verfahren verbessert und in mehrschrittigen Verfahren umgesetzt werden. Viele Banken werden demnach die auftragsindividuelle TAN einführen – beispielsweise den bisher wenig verbreiteten TAN-Versand per SMS oder TAN-Generatoren. Diese Verfahren erzeugen eine spezifische TAN für die jeweiligen Aufträge. Biometrische Verfahren zur Authentifizierung spielen dagegen derzeit kaum eine Rolle.
Insgesamt kommt elektronischen Signaturen die künftig größte Bedeutung für die Auftragserteilung zu. Nahezu alle Institute werden diese im Zuge der Umstellung auf den SEPA-fähigen Übertragungsstandard EBICS (Electronic Banking Internet Communication Standard) anbieten. Zur Freigabe eines Auftrages wird die digitale Signatur dabei mit einem geheimen Schlüssel erstellt und versendet. Die Bank kann anhand eines zweiten Schlüssels dann überprüfen, ob der Kunde die Signatur erstellt hat.
Neben den Problemen der sicheren Authentifizierung steht auch die rechtssichere Dokumentation auf der Prioritätenliste der Banken. Anlass dafür sind unter anderem die steigenden Anforderungen im Management operationeller Risiken. Im Mittelpunkt steht dabei die rechtssichere Protokollierung von Geschäftsvorfällen. Mehr als die Hälfte der Institute nennt diese als Herausforderung. Jeder Fünfte sieht zudem eine Aufgabe in der Dokumentation von Sicherheitsmaßnahmen.
Unterschiedliche Schwerpunkte bei Großbanken und Sparkassen
Deutliche Unterschiede hinsichtlich der Sicherheit zeigen sich zwischen Großbanken und Sparkassen. So werden viren- und trojanersichere Systeme sowie die Vermeidung des Passwort-Phishings von den Sparkassen deutlich häufiger als Ziel genannt. Grund hierfür ist, dass die öffentlich-rechtlichen Institute TANs deutlich häufiger als Authentifizierungsinstrumente anbieten. Die Großbanken müssen sich laut der Studie dagegen stärker mit der rechtssicheren Dokumentation von Geschäftsvorfällen auseinandersetzen. Darüber hinaus wollen sie die Verfügbarkeit der Banksysteme erweitern.