Sicherheit im
Online-Banking
Herbert Kubicek Günther Diederich
PIN/TAN und HBCI im magischen Dreieck aus Sicherheit, Kosten und einfacher
Bedienbarkeit
Sicherheit im Online-Banking
Herbert Kubicek • Günther Diederich
Sicherheit im
Online-Banking
PIN/TAN und HBCI im magischen Dreieck aus Sicherheit, Kosten und einfacher
Bedienbarkeit
Herbert Kubicek
Institut für Informationsmanagement Bremen (ifi b)
Bremen , Deutschland
Günther Diederich
Institut für Informationsmanagement Bremen (ifi b)
Bremen , Deutschland
ISBN 978-3-658-09959-6 ISBN 978-3-658-09960-2 (eBook) DOI 10.1007/978-3-658-09960-2
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografi e;
detaillierte bibliografi sche Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Springer Vieweg
© Springer Fachmedien Wiesbaden 2015
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfi lmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichenund Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.
Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen.
Gedruckt auf sa¨urefreiem und chlorfrei gebleichtem Papier
Springer Fachmedien Wiesbaden GmbH ist Teil der Fachverlagsgruppe Springer Science+Business Media ( www.springer.com )
v
Vorw ort
Man kann in vielen Lebensbereichen beobachten, dass Sicherheit von vielen als hohes Gut betont wird, aber die dazu angebotenen Mittel jedoch nicht dementsprechend genutzt wer- den. Dies ist vor allem dann der Fall, wenn Risiken vorgebeugt werden soll, die man selbst noch nicht erfahren hat, diese Vorbeugung jedoch mit Aufwand in Form von Geld, Zeit oder der Änderung gewohnter Verhaltensweisen verbunden ist.
Im Bereich der Onlinedienste der Öffentlichen Verwaltung (E-Government) und des Zahlungsverkehrs (Online-Banking) gilt dies für den Einsatz von chipkartenbasierten elektronischen Signaturverfahren. Die vor mehr als 15 Jahren im Bremer Media@Komm- Projekt verabredete Konvergenz in Form der EC-Karte als Trägermedium für qualifi - zierte elektronische Signaturen, die in beiden Bereichen eingesetzt werden können, wurde ebenso wenig realisiert wie die später auf nationaler Ebene im Bündnis für elek- tronische Signaturen vereinbarte wechselseitige Akzeptanz von Signaturkarten aus beiden Bereichen. Auch heute haben Signaturkarten mit qualifi zierten Zertifi katen bei Bürgerinnen und Bürgern sowie Bankkunden Seltenheitswert und HBCI-Chipkarten mit fortgeschrittenen Signaturen und dateibasierte Zertifi kate sind gegenüber anderen Authentifi zierungsverfahren immer noch in der Minderheit, obwohl ihnen von allen Experten ein höheres Sicherheitsniveau zuerkannt wird als den häufi ger genutzten PIN/
TAN-Verfahren.
Die Gründe dafür sind vielfältig und nicht wirklich geklärt. Sind es die Kosten für die Anbieter und/oder Nutzung, und wenn ja welche Kosten genau? Oder ist es die geringere Nutzungsfreundlichkeit? Wenn ja, bei der regelmäßigen Nutzung oder nur bei der erstma- ligen Installation, die erst gar nicht zu einer regelmäßigen Nutzung führt? Oder passen die Methoden der IT-Sicherheitsbewertung vielleicht gar nicht auf Onlinedienste generell und speziell auf das Online-Banking, oder geben zumindest nicht die Perspektive der Bankkunden angemessen wieder?
Durch eine Förderung der Deutschen Forschungsgemeinschaft wurde es möglich, die- sen Fragen mit einer Kombination mehrerer Methoden und in Form eines Vergleichs
vi
mehrerer Länder nachzugehen. In dem Projekt „Konvergenz und Divergenz der sicheren Authentisierung im E-Government und Online-Banking im europäischen Vergleich“ wur- den die Entwicklungen in Deutschland mit denen in Schweden und Österreich verglichen, wo signaturbasierte Verfahren eine deutlich höhere Akzeptanz fi nden. In diesem Buch wird in einem Ausschnitt aus den Projektergebnissen ausschließlich die Entwicklung in Deutschland in den letzten 15 Jahren rekonstruiert und analysiert. Leider gab und gibt es keine bewährten Theorien und Methoden für die Erklärung der erwähnten Lücke zwischen Worten und Taten. Schon bei der Sicherheitsbewertung der verschiedenen PIN/TAN-und Signaturverfahren fehlen eindeutige Kriterien und erprobte Verfahren. Diese sind unter Berücksichtigung technischer und sozialwissenschaftlicher Aspekte kontextbezogen und multiperspektivisch zu entwickeln oder aus anderen Kontexten anzupassen. Bei der Erklärung der Angebotsentwicklung kommen betriebswirtschaftliche Aspekte hinzu, und wenn es um das Nutzerverhalten und die Akzeptanz geht, sind sozialpsychologische Aspekte des Konsumentenverhaltens und Risikoverhaltens relevant.
Wir haben das nicht alles von Grund auf studiert, konnten aber unsere unterschiedli- chen Forschungserfahrungen und -hintergründe in ein fruchtbares Spannungsverhältnis bringen und nehmen heute in Anspruch mit einem weitgehend ganzheitlichen, interdiszi- plinären Ansatz und einer Kombination verschiedener Methoden die bisher umfassendste Analyse der Sicherungsverfahren im Online-Banking vorlegen zu können. Dies gilt sowohl für die mehrseitige vergleichende Bewertung der derzeitigen Sicherungsverfahren als auch für die Rekonstruktion ihrer Entstehungsgeschichte.
Unsere unterschiedlichen Erfahrungen, zum einen in Bezug auf die Nützlichkeit, Nutzbarkeit, Diffusion und Akzeptanz von Onlineangeboten auf der einen Seite und bei der Auditierung der Sicherheit von IT-Systemen nach den herrschenden Standards haben sich bei der konkreten Gestaltung der Forschungsinstrumente als sehr fruchtbar erwiesen.
Während die recht offenen Experteninterviews zur Rekonstruktion der wenig erfolgrei- chen Entwicklungsgeschichte von Signaturverfahren gemeinsam vorbereitet und durchge- führt wurden, sind die Angebotsanalyse und die Befragung von Bankmanagern von Günther Diederich konzipiert und durchführt worden, die Nutzertests hingegen von Herbert Kubicek in Kooperation mit Prof. Dr. Karl-Heinz Rödiger. Ihm sei an dieser Stelle für diese Mitwirkung ebenso gedankt, wie den drei weiteren Testern, Jörg Hofmann, Ulrike Peter und Christiane Rudloff sowie den drei Kreditinstituten, die uns für diese Tests die jeweiligen Sicherungsmittel und einen Zugang zu Testkonten ermöglicht haben. Unser Dank gilt auch den Vertretern der Verbände der Kreditwirtschaft und ihrer IT-Dienstleister für die ausführlichen persönlichen Interviews und den 14 Bankmanagern, die sich auf strukturierte telefonische Interviews eingelassen haben. Dies war keineswegs selbstver- ständlich, denn die Sicherheit der derzeit eingesetzten Verfahren und auch deren Kosten sind ein hoch sensibles Thema, zu dem institutsbezogene Aussagen gescheut werden.
Wir haben daher allen Gesprächspartnern Anonymität beim Bezug auf ihre Aussagen zugesichert und ordnen die Befunde des Nutzertests und einzelne Aussagen zur Entwicklungsgeschichte oder den verschiedenen Verfahren Pseudonymen wie Bank A oder Experte B zu. Die so zugeordneten Aussagen wurden den Experten zur Kommentierung
Vorwort
vii
zugeleitet. Bis auf eine Ausnahme haben wir Rückmeldungen in Form von Bestätigungen oder Änderungen erhalten, die dann auch berücksichtigt wurden.
Dies gibt uns Anlass zu der Annahme, dass die Ergebnisse unserer Forschung gut in der Praxis verankert sind und diese adäquat beschreiben. Ob unsere Erklärungen und Beurteilungen von allen Praktikern geteilt werden, wird die Resonanz auf dieses Buch zeigen. Wir bedanken uns bei Frau Sabine Kathke vom Springer Verlag für die Gelegenheit, unsere Forschungsergebnisse mit diesem Buch auch Praktikern präsentieren zu können.
Einem Kritikpunkt sei schon vorweg begegnet. Praktiker werden im Herbst 2015 und im Laufe des Jahres 2016 konkrete Aussagen zur Sicherheit des Mobile Banking und von Banking Apps vermissen. Darauf konnten wir aus zeitlichen und inhaltlichen Gründen nicht so detailliert eingehen wie auf die schon länger eingesetzten browserbasierten Verfahren. Zum Zeitpunkt der Interviews, die überwiegend 2014 stattfanden, gab es noch wenig Erfahrung und auch keine belastbaren statistischen Daten. Vor allem spielen HBCI- Signaturverfahren, die im Fokus unserer Untersuchung stehen, zurzeit beim Mobile Banking in Deutschland (noch) keine Rolle. Das mag sich in den nächsten beiden Jahren ändern. Bei der hohen Dynamik auf diesem Gebiet ist dann generell eine Aktualisierung sinnvoll.
Bremen, Deutschland Herbert Kubicek
im Juni 2015 Günther Diederich
Vorwort
ix
Inhaltsverzeichnis
1 Einführung. . . 1
Literatur . . . 5
2 Sicherungsverfahren im Online-Banking im Vergleich . . . 7
2.1 PIN/TAN-Verfahren und HBCI-Verfahren im Überblick . . . 8
2.2 Die Verbreitung der Sicherungsverfahren seit 2008 . . . 11
2.3 Sicherheitsbewertung der Verfahren . . . 13
2.4 Verbreitung und Sicherheit im Verhältnis . . . 17
Literatur . . . 18
3 Die Einführung elektronischer Signaturen im Online-Banking . . . 21
3.1 Der institutsübergreifende HBCI-Standard . . . 22
3.1.1 Die Akteurskonstellation . . . 22
3.1.2 Das Ergebnis . . . 24
3.2 Der gesetzliche Rahmen für elektronische Signaturen . . . 27
Literatur . . . 30
4 Elektronische Signaturen im E-Government als neues Geschäftsfeld . . . 33
4.1 Die Media@Komm Pilotprojekte . . . 34
4.2 Bundesweite Großprojekte . . . 40
4.3 Das „Bündnis für elektronische Signaturen“ . . . 41
4.4 Die Ernüchterung . . . 44
4.5 Signaturkarten der Banken im E-Government . . . 46
Literatur . . . 49
x
5 Signaturverfahren in eigenen Geschäftsprozessen
und akkreditierte Trust Center der Finanzinstitute . . . 53
5.1 Kaum signaturrelevante Geschäftsvorfälle in der Kreditwirtschaft . . . 54
5.2 Keine Rentabilität für eigene akkreditierte Trust Center . . . 55
5.3 Keine qualifi zierten elektronischen Signaturen in den HBCI-Verfahren . . . 56
5.4 Keine Akzeptanz qualifi zierter Signaturen anderer Anbieter . . . 56
Literatur . . . 57
6 Die Erweiterung von HBCI und die Weiterentwicklung der PIN/TAN Verfahren . . . 59
6.1 PIN/TAN-Verfahren in HBCI und FinTS . . . 60
6.2 Verbesserung der Sicherheit der PIN/TAN-Verfahren . . . 62
6.2.1 Zeitliche Abfolge . . . 62
6.2.2 Eigene Sicherheitsbetrachtung von SMS-TAN und ChipTAN . . . . 62
6.2.3 SMS-TAN . . . 64
6.2.4 iTAN . . . 66
6.2.5 ChipTAN . . . 66
6.2.6 HBCI-Signaturverfahren . . . 67
6.2.7 PushTAN, PhotoTAN und andere Neuentwicklungen . . . 69
6.3 Elektronische Signaturen mit dem neuen Personalausweis . . . 70
Literatur . . . 73
7 Sicherungsverfahren im magischen Dreieck der Nutzerinnen und Nutzer . . . 75
7.1 Die Diskussion zu Sicherheit und/oder Nutzungsfreundlichkeit . . . 76
7.2 Eigener Usability-Vergleich . . . 78
Literatur . . . 82
8 Sicherungsverfahren im magischen Dreieck der Bankmanager . . . 85
8.1 Ergebnisse der europaweiten ENISA-Studie . . . 86
8.2 Angebotsanalyse deutscher Finanzinstitute . . . 89
8.2.1 Methode . . . 89
8.2.2 Ergebnisse . . . 90
8.3 Manager-Umfrage . . . 92
8.3.1 Methode . . . 93
8.3.2 Ergebnisse zu Sicherheit, Kosten und Nutzungsfreundlichkeit . . . . 94
8.4 Zusammenfassung . . . 101
Literatur . . . 104 Inhaltsverzeichnis
xi
9 Resümee und Ausblick . . . 105
9.1 Relative Sicherheit: Der Einfl uss von Kosten und Bedienbarkeit auf das Sicherheitsniveau . . . 106
9.1.1 Die Situation bei den PIN/TAN-Verfahren . . . 107
9.1.2 Die Situation bei den HBCI-Verfahren . . . 111
9.1.3 Konsequenzen für Verbraucherinnen und Verbraucher . . . 113
9.2 Absehbare Entwicklungen . . . 114
9.2.1 Rechtliche Rahmenbedingungen . . . 114
9.2.2 Technische Entwicklungen . . . 117
9.2.3 Neue Wettbewerber und verändertes Kundenverhalten . . . 119
Literatur . . . 121
Stichwortverzeichnis . . . 123 Inhaltsverzeichnis
© Springer Fachmedien Wiesbaden 2015 1
H. Kubicek, G. Diederich, Sicherheit im Online-Banking, DOI 10.1007/978-3-658-09960-2_1
1
Einführung
Zusammenfassung
In diesem einführenden Kapitel beleuchten wir kurz den Widerspruch zwischen der hohen Bedeutung der Sicherheit, die Bankmanager und Kunden in Umfragen zum Online-Banking betonen, und dem praktischen Verhalten beim Angebot bzw. der Nutzung der konkreten Sicherungsverfahren.
• Wir zeigen anhand von Umfrageergebnissen, dass die als besonders sicher gelten- den HBCI-Verfahren deutlich seltener genutzt werden als PIN/TAN-Verfahren.
• Wir erklären dies mit der These von einer doppelten Relativierung der Sicherheitsziele im Verhältnis zu den Kosten und der einfachen Benutzung sowohl bei den Bankmanagern als auch bei den Kunden.
• Zur Illustration führen wir zwei sogenannte magische Dreiecke ein, die in späteren Kapiteln inhaltlich näher betrachtet werden.
31,6 Mio. Deutsche ab 16 Jahren nutzen im Jahr 2014 Online-Banking (Eurostat 2015 ), aber 16,3 Mio. verzichten darauf, überwiegend aufgrund von Sicherheitsbedenken (Ziercke und Kempf 2014 ). Seit Jahren wird in den Medien über Angriffe auf die Sicherungsverfahren im Online-Banking berichtet. Das Bundeskriminalamt beziffert die von Kriminellen durch Phishing im Online-Banking verursachten Schäden für 2013 auf 16,4 Millionen Euro, schätzt die tatsächlichen Schäden aufgrund der hohen Dunkelziffer (91 % nicht angezeigte Straftaten) jedoch auf das Elffache (Bundeskriminalamt 2013 ).
Auch wenn 2014 in einer Umfrage des Branchenverbandes BITKOM nur vier Prozent der Internetnutzer angeben, Opfer eines Betrugs beim Online-Banking geworden zu sein (Ziercke und Kempf 2014 ), laut BITKOM 2014 ist die Angst davor und vor den
2
vielfältigen Formen des Identitätsdiebstahls sehr viel größer (Abb. 1.1 ). Dementsprechend hat die Sicherheit des Online-Banking in Befragungen von Internetnutzern (Initiative D21 e.V. und Fiducia IT AG 2014 ) und Statements der Finanzinstitute höchste Priorität. Das tatsächliche Verhalten beider Seiten steht dazu allerdings im Widerspruch. Von den exis- tierenden Sicherungsverfahren wird das technisch sicherste, das chipkartenbasierte elekt- ronische Signaturverfahren , von den Instituten am seltensten und wenigsten sichtbar angeboten und von den Kunden noch seltener gewählt.
Dies ist u. a. deswegen erstaunlich, weil die Verbände der Kreditwirtschaft schon 1997 in einem gemeinsamen Abkommen die Einführung solcher Signaturverfahren im Rahmen eines bankenübergreifenden Standards ( HBCI – Homebanking Computer Interface) beschlossen haben und damit das noch aus den Zeiten von Bildschirmtext (Btx) stammende Verfahren mit persönlicher Identifi kations - und Transaktionsnummer ( PIN/
TAN ) ablösen wollten. PIN/TAN-Verfahren wurden jedoch schrittweise verbessert und 2002 als Erweiterung in den HBCI-Standard einbezogen.
Signaturbasierte HBCI-Verfahren konnten sich bisher in fast 20 Jahren nicht gegen PIN/TAN-Verfahren durchsetzen. Das Nutzungsverhältnis von HBCI-Verfahren zu PIN/
TAN-Verfahren hat sich seit 2010 zwar leicht verbessert, fällt jedoch insgesamt unverän- dert gering aus. Laut Umfragen der Initiative D21 unter Internetnutzern im Alter ab 14 Jahren betrug das Verhältnis im Jahr 2010 ca. 1:12 und stieg 2014 leicht auf ca. 1:8 (Initiative D21 e.V. und Fiducia IT AG 2011 ). Abbildung 1.2 zeigt die Nutzung von HBCI und der PIN/TAN -Verfahren in Prozent der Internetnutzer.
Wie es dazu gekommen und was daraus u. a. für die Chancen des elektronischen Identitätsnachweis es ( eID ) des neuen Personalausweises ( nPA ) im Online-Banking zu schließen ist, wurde im Projekt „Konvergenz und Divergenz der sicheren Authentisierung im E-Government und Online-Banking im europäischen Vergleich“ der mit Förderung Deutschen Forschungsgemeinschaft am Institut für Informationsmanagement Bremen Abb. 1.1 Nutzer, Schäden und Nutzung sicherer Verfahren im Online-Banking 2013/2014
1 Einführung
