|
||||||
|
|
Elektronisches Banking ist sicherer als traditionellesGastkommentar, Computerwoche 22.03.1996Wer die Diskussion um den Einstieg der Geldinstitute ins Electronic Banking verfolgt, kann sich des Eindrucks nicht erwehren, daß diese bisweilen "Zwiedenk" á la George Orwell betreiben. "Nicht sicher genug" meinten etliche Vertreter der Geldinstitute zum Thema Internet-Banking, wenn man sich beispielsweise auf dem Finanzforum Frankfurt umhörte. Doch ob solche Banker immer glauben, was sie sagen, sei dahingestellt. Die bisher akzeptierten oder immerhin hingenommenen Sicherheitslücken beim traditionellen Bankverkehr sind so gravierend, daß ein wohlüberlegtes Electronic-Banking-Konzept trotz des verbleibenden Restrisikos die Lage für den Kunden erheblich verbessern würde. Seitdem vor allem Großbanken das Telefon-Banking als neuen Vertriebsweg entdeckten und folgerichtig reine Telefonbanken gründeten, gehen immer mehr Bundesbürger auf Sendung: Mit ihren drahtlosen Telefonen posaunen sie nicht nur ihre Kontonummer, sondern auch die Geheimzahl durch die Gegend. Zwar hält sich der mögliche Schaden meist in Grenzen, da viele Telefonbanken nur Transaktionen nach dem Motto "rechte Tasche, linke Tasche" zulassen, also etwa Überweisungen vom eigenen Girokonto zum eigenen Festgeldkonto. Erfahrungen mit einer Quickborner Telefonbank zeigten, daß man dort die Kunden nicht generell vor Mithörern warnen wollte, weil die dadurch verursachte Beunruhigung die mühsam aufgebaute Akzeptanz des Telefon-Banking untergraben könnte. Per Fax mag die Bank aber keine Aufträge entgegennehmen, denn das ist ihr zu unsicher. Auch die normale, beleghafte Abwicklung von Überweisungen stellt jede Internet-Hackerei als Sicherheitsrisiko bei weitem in den Schatten: Prinzipiell kann jedermann einen Überweisungsauftrag mit einer gefälschten Unterschrift für ein fremdes Girokonto ausfüllen und in den Bankbriefkasten werfen. Man darf davon ausgehen, daß die Bank eine Überweisung ausführen wird, solange sie keinen Zweifel an der Echtheit der Unterschrift hat und der zu überweisende Betrag für dieses Konto nicht ungewöhnlich hoch ist. Es wird auch nur in den seltensten Fällen stören, wenn das Zielkonto ein Nummernkonto im Ausland ist. Für den Kunden kann es hier in puncto Sicherheit eigentlich kaum noch schlechter werden. Es geht hier nicht darum, die Risiken des Electronic Banking abzustreiten. Aber sie lassen sich begrenzen. Wenn zum Beispiel der Kunde von seinem eigenen ISDN-Anschluß per PC eine direkte Modemverbindung mit dem Bankrechner herstellen würde, böte die Caller-ID-Übermittlung immerhin den Vorteil einer Anruferidentifizierung, die man bei Überweisungsformularen vergeblich sucht. Es muß ja für Transaktionen nicht unbedingt das Internet sein. Authentifizierungsverfahren wie Pretty Good Privacy (PGP) leisten Ordentliches und können unberechtigte Zugriffe ausschließen, sofern man sicherstellt, daß der allererste Schlüsselaustausch nicht abgehört werden kann. Ähnlich verhält es sich bei Verschlüsselungen. Das Problem der Authentifizierung und der abhörsicheren Übermittlung läßt sich auf elektronischem Wege mit einem akzeptablen Restrisiko lösen, auch wenn ein vor einigen Wochen bekanntgewordener Fall, bei dem es um einen Kerberos-Fehler ging, das Gegenteil zu beweisen schien. Diese zuversichtlichen Aussagen gelten zwar nur für den aktuellen Erkenntnisstand. Das ist aber ganz normal. Sicherheit erreicht man nicht für die Ewigkeit, sondern man muß organisatorisch und technisch ständig nachziehen. Wer jegliches Risiko komplett ausschließen will, hat zwar redliche Motive, ist aber nicht ganz von dieser Welt. Er würde vom Electronic Banking etwas verlangen, das sonst auch nicht zu haben ist. In der Software-Entwicklung etwa kann derjenige schnell ein reicher Mann werden, der die richtige Zeile Code ändert. Verstaendlich, daß man darüber öffentlich nur ungern redet. Obwohl sich die Sicherheitsdiskussion meist auf Hacker und damit auf externe Übergriffe konzentriert, liegen gerade in der bankeigenen Organisation und DV-Landschaft Gefahren, die die Geldhäuser allenfalls hinter verschlossenen Türen diskutieren und die nicht erst durch das Electronic Banking entstanden sind. Obendrein ist die Annahme unrealistisch, Bankmitarbeiter seien gegen Versuchungen des Mammons grundsätzlich besser gefeit als der gesamte Rest der Menschheit. Wer Sicherheit uneingeschränkt garantieren will, muß sich von seinem Abteilungs-Server unter dem Schreibtisch verabschieden und seine Rechner wieder in einen separaten Rechnerraum verbannen, zu dem nur ausgewähltes Personal Zutritt hat. Außer für diese wenigen Vertrauenspersonen müßte nämlich auch der Zugang zur Rechnerhardware verhindert werden. Eitel Dignatz ist Unternehmensberater und Inhaber des Münchner Unternehmens Dignatz Consulting.
|
||||
Inhaltsverzeichnis | Startseite Portfolio | Kunden Response-Messung Kommentare, Reden, Interviews Adresse | Stadtplan | Kontakt © 1999-2024, Dignatz Consulting, Schleissheimer Strasse 87, D-80797 Muenchen, Germany Tel: +49-(0)89-1295997, Email: solutions@dignatz.de verantwortlich: Eitel Dignatz USt-ID: DE129665038 http://dignatz.de |