Fraunhofer-Institut testet Phishing-Schutz beim Onlinebankin

Gedanke gut,

aber der Test ist auf den ersten Blick unvollständig und inhaltlich fehlerhaft.

-DB hat kein HBCI-PIN/TAN
-Einserseits wird angekreidet, dass aus der URL des RZ kein Rückschluss auf die Bank möglich ist, an anderer Stelle ist das wieder nicht so schlimm.
-Die Auswahl der Banken ist viel zu klein, wenn müsste man eine umfassendere Untersuchung durchführen. Direktbanken gibt es noch einige mehr und aus dem Sparkassen und Geno-Sektor hätte man wenigstens ein Institut je RZ verwenden können.

Dem Fraunhofer Institut fehlen zudem viel zu viele Hintergrund Infos, in unserem Bereich werden bei kleinstem Phishing Verdacht sehr konkrete Handlungen vollzogen, z.B. IBANs als ZV Empfänger gesperrt, ganze Länder als ZV-Empfänger ausgeschlossen, Login über Kontonummer führt ins Leere...

Die in der Studie angegebene HBCI Unterstützung stimmt hinten und vorn nicht... Ich gehe mal davon aus, dass der Punkt "HBCI wird unterstützt" ausschließlich das Verfahren "HBCI mit Chipkarte/Diskette" einschließt, da sonst Institute die nur "HBCI mit PIN/TAN" anbieten doppelt bewertet würden! Diese Institute erhalten schließlich schon einen Punkt bei "PIN/TAN wird unterstützt". Andersrum würde bspw. die CoBa benachteiligt, da diese ausschließlich signaturgestütztes HBCI anbietet. Das ist doch paradox...

Deutsche Bank:
unterstützt kein "HBCI PIN/TAN"
das PIN/TAN Verfahren kann jedoch (noch bis Jahresende) mit einer Onlinebanking Software per T-Online Classic (BTX) genutzt werden

Postbank:
das PIN/TAN Verfahren kann mit einer Onlinebanking Software per T-Online Classic (BTX) genutzt werden. "HBCI PIN/TAN" ist für Anfang 2005 geplant.

Commerzbank:
Unterstützt auch HBCI mit Diskette. In der Studie wird dies mit dem Wort "vermutlich nur Chipkarte" verneint.

Dresdner Bank:
siehe Commerzbank

Netbank:
unterstützt ausschließlich "HBCI PIN/TAN" - jedoch nicht signaturgestütztes HBCI

Volksbank Darmstadt:
unterstützt (noch) kein "HBCI PIN/TAN"
das PIN/TAN Verfahren kann jedoch mit einer Onlinebanking Software per T-Online Classic (BTX) / CAT Client genutzt werden

Sparda-Bank Hamburg:
siehe Netbank

Finde die Studie auch etwas kurzgefaßt. Sicher sind einige Hinweise ganz gut, aber an folgenden Sachverhalten krankt die Studie:

1. Der Einsatz einer Software (auch mit HBCI PIN/TAN) wird als das Nonplusultra hingestellt. Dies ist an der aktuellen Entwicklung der Webnutzung vorbeigedacht.

2. Der Hinweis mit dem Fingerprint und die Zertifikatsprüfung ist gut, aber ich kenne kaum Kunden, die sich so viel Mühe machen würden. In einigen ostdeutschen Sparkassen ist der Hinweis auf den Fingerprint sogar mit im Onlinebanking-Vertrag.

3. Phishing ist kein alleiniges Bankenproblem, sondern betrifft viele Branchen (Shops, Kreditkarten usw.)

Deshalb stellt sich für mich die Frage: Helfen die dargestellten Vorschläge zur Phishingbekämpfung wirklich? Vielleicht muß ganz neu über den Aufbau und die Überwachung des Internets nachgedacht werden, wie oft bei Heise usw. disktuiert wird?

Aber alle Achtung, dass sich mal jemand an das Thema heranwagt.

Gruß ELDI-Man