Ja, ich bin beken­nen­der Nutzer von Online-Banking. Nein, ich sehe da kei­nen Widerspruch zum Thema Sicherheit. Das mag man­cher für blau­äu­gig hal­ten, jedoch gibt es durch­aus eini­ge Schutzmaßnahmen, die zum Thema Sicherheit bei­tra­gen:

  • Nutzung nur von Endgeräten mit aktu­el­len Patches, Sicherheitsfixes, Updates und natür­lich akti­vem und aktu­el­lem Virenscanner
  • Nutzung (und Kontrolle bei jeder Nutzung) von ver­schlüs­sel­ten Verbindungen im Browser zum Banking-Portal
  • Kein Online Banking über öffent­li­che Hot Spots
  • Trennung von Banking App und TAN Generator auf ver­schie­de­nen Endgeräten
  • und vie­le mehr.

Doch was nützt es, wenn die­se Maßnahmen durch bana­le Dinge unter­lau­fen wer­den?

Meine Nachricht an die Bank vom 11.08.2016:

Sehr geehr­te Damen und Herren! Es ist sehr unglück­lich, dass bei der SMS TAN die TAN direkt zu Beginn der Nachricht steht. Auf einem iPhone wird bei akti­vier­ter SMS Anzeige im Sperrbildschirm somit jedem die TAN ange­zeigt, der das Gerät in den Händen hält. Das hebelt den eigent­li­chen Schutz ja wie­der aus.”

bank1

Ich war etwas über­rascht, mei­ne Bank reagier­te noch am sel­ben Tag:

Sehr geehr­ter Herr Kuhrau,

vie­len Dank für Ihre Nachricht.

Sie haben eine Frage zum mTAN-Verfahren, die wir Ihnen ger­ne beant­wor­ten. bei Smartphones mit dem Betriebssystem iOS oder Android haben Sie die Möglichkeit, die Anzeige der Nachrichten im Sperrbildschirm aus­zu­blen­den. Somit wird Ihnen ange­zeigt, von wem Sie eine Nachricht erhal­ten haben aller­dings ohne den Inhalt der Nachricht.

Bei wei­te­ren Fragen sind wir ger­ne Ihr Ansprechpartner. Sie errei­chen unse­re Kundenbetreuung Montag bis Samstag von 07:00 bis 22:00 Uhr tele­fo­nisch unter xxx-xxxxxxxx. Bitte hal­ten Sie für Ihren Anruf Ihre Kundennummer und Ihre Telefon-PIN bereit.
Gerne kön­nen Sie uns direkt auf elek­tro­ni­schem Weg auf die­ses Schreiben ant­wor­ten. Wählen Sie hier­für bit­te unter dem Menüpunkt »Aktion« das Feld »Antworten«.

Mit freund­li­chen Grüßen
Ihre Bank”

bank2

Das hat mich dann nun doch etwas erstaunt. Von einem ande­ren Kreditinstitut weiß ich, dass die­se dort auch auf­ge­tre­te­ne “Sicherheitslücke” mit weni­gen Klicks sei­tens der Bank beho­ben wur­de. Diese Bank sieht das etwas anders. “Schalten Sie doch ein­fach eine Standardfunktion ihres Telefons aus, dann müs­sen wir uns nicht mit die­sem Problem rum­schla­gen!”, zumin­dest war das mein Empfinden.

Unbeirrt und zuver­sicht­lich habe ich noch mal freund­lich nach­ge­hakt:

Hallo! Danke für die schnel­le Antwort. Ja, die Funktion ist mir bekannt. Stellt sich die Frage, was ist siche­rer: dar­auf zu hof­fen, dass Ihre Kunden mit SMS TAN die Benachrichtigung für den Sperrbildschirm aus­schal­ten (womit auch alle ande­ren Infos und Nachrichten weg­fal­len, was eine erheb­li­che Einschränkung der mensch­li­chen Komfortzone bedeu­tet — in der Praxis wis­sen wir, wie das aus­geht :-) ) oder von Ihrer Seite aus (wie ande­re Bankinstitute es bereits machen) den Platzhalter für die TAN in der SMS Maske ein­fach ans Ende in der Textvorlage ver­schie­ben?”

bank3

Klar, die Benachrichtigungen kön­nen im Sperrbildschirm deak­ti­viert wer­den. In die­sem Fall dann für alle SMS (eine Filtermöglichkeit ist mir nicht bekannt). Für eini­ge Anwender ist SMS eh “old school”, von daher wäre die Deaktivierung für sie zu ver­schmer­zen. Doch gera­de die “old school”-Generation abseits von Apps und Whatsapp tut sich damit sicher schwer. Hinzu kommt, dass nicht jeder Nutzer so firm ist, dass er weiß, wo und wie er die­se Nachrichten abstellt.

Nun, Antwort bis­her kei­ne. Ich hal­te Sie auf dem Laufenden.

Wie hält es Ihre Bank mit der Sicherheit von SMS TAN?

Nicht zuletzt die in jüng­ster Zeit stark zuge­nom­me­ne Bedrohung von Kommunen etwa durch Verschlüsselungstrojaner macht die Bedeutung einer ange­mes­se­nen IT-Sicherheit für Kommunen deut­lich. Mit Inkrafttreten des Gesetzes über die elek­tro­ni­sche Verwaltung in Bayern (BayEGovG) vom 22. Dezember 2015 erhält das Thema Informationssicherheit für die Kommunen künf­tig auch for­mal einen noch höhe­ren Stellenwert. Art. 8 Abs. 1 S. 2 BayEGovG ver­pflich­tet die Behörden, die Sicherheit ihrer infor­ma­ti­ons­tech­ni­schen Systeme durch ange­mes­se­ne technisch-organisatorische Maßnahmen im Sinne von Art. 7 Abs. 2 BayDSG sicher­zu­stel­len sowie die hier­zu erfor­der­li­chen Informationssicherheitskonzepte bis zum 1. Januar 2018 zu erstellen.Im Rahmen eines Projektes der Innovationsstiftung Bayerische Kommune soll den baye­ri­schen Kommunen bei der Bewältigung der künf­ti­gen Herausforderungen in der Informationssicherheit eine pra­xis­na­he Hilfestellung ange­bo­ten wer­den. Da die Inhalte eines „Informationssicherheitskonzeptes“ im BayEGovG nicht näher defi­niert sind, soll zunächst näher beschrie­ben wer­den, wel­che Mindestanforderungen ein sol­ches kom­mu­na­les Informationssicherheitskonzept beinhal­tet. Dabei muss die indi­vi­du­el­le Situation und unter­schied­li­che Leistungsfähigkeit der ein­zel­nen Kommunen berück­sich­tigt wer­den.  
Im Rahmen des Projektes wird eine Mustervorlage erstellt, die vor allem klei­ne­ren und mitt­le­ren Kommunen hel­fen soll, ein Informationssicherheitskonzept auch tat­säch­lich in der Praxis umzu­set­zen. Hier sol­len kon­kre­te Maßnahmenempfehlungen z.B. zur Technik und Organisation sowie zu den not­wen­di­gen Prozessen gege­ben wer­den, die mit mög­lichst gerin­gem Anpassungsaufwand von den Kommunen umge­setzt wer­den kön­nen. In erster Linie rich­tet sich das Projekt an IT- und Geschäftsleiter, Datenschutz- und IT-Sicherheitsbeauftragte sowie im Rahmen eines Management-Summarys auch an den (Ober-)Bürgermeister bzw. Landrat.

Die Innovationsstiftung Bayerische Kommune setzt bei die­sem Vorhaben erneut auf die Zusammenarbeit mit dem in kom­mu­na­len Fragen erfah­re­nen IT-Sicherheitsberater, Herrn Sascha Kuhrau (ansäs­sig in Simmelsdorf im Kreis Nürnberger Land), der bereits den Quick-Check Datensicherheit und Datenschutz für Kommunen erstellt hat. Vorgesehen ist, das Stiftungsprojekt unter ande­rem auf dem AKDB-Kommunalforum vor­zu­stel­len, wel­ches am 18.10.2016 in der BMW-Welt in München statt­fin­det.