Das liegt an der "bösen Welt" bzw. an der Technik an sich. Eines der Haupt-Einfallstore für Viren ist nun einmal der Browser bzw. die von ihm verwalteten Erweiterungen für die Betrüger am attraktivsten, weil hier alles zusammen kommt, nicht nur das Online Banking. Betrüger verdienen ja seltener an gehackten Online Banking, sondern eher am Verkauf der Daten, wie Mailadressen, Shop-Zugängen oder an der Vermietung von Bot-Netzen.
Da kann ein erbeuteter Online Banking Zugang oder eine ausgespähte Kreditkartennummer ein Abfallprodukt sein.
Eine HBCI-Software ist dagegen nicht so universell wie ein Browser und lässt sich üblicherweise halt nur unter Kontrolle bringen, wenn das trojanische Pferd das Programm unterwandern kann. Das ist wesentlich aufwändiger und deshalb nicht so lohnend.
Außerdem kann der Softwarehersteller sehr gezielt mit entsprechenden Updates eine evtl. entdeckte Sicherheitslücke stopfen.
HBCI ist eine deutsche Eigenart und weltweit nicht so weit verbreitet - weder unter den deutschen Bankkunden noch im Ausland. Wer diesen Zugang nutzt, hat also einen gewissen Exotenstatus. Aus dem gleichen Grund gilt Online Banking per Linux oder Mac auch als sicherer als mit Windows. Die meisten Angriffe starten ja aus dem Ausland, wenn man sich die Statistiken so ansieht.
Und: Wenn ein Betrüger einen Banktrojaner programmiert und nach dem Gießkannenprinzip verteilt, muss dieser ja eine gewisse Verbreitung erreichen, damit sich der Aufwand lohnt.
Das eine Software nach Hause telefoniert, ist eher eine Datenschutzfrage und man kann das über entsprechende Tests einfach überprüfen, indem man den Netzwerkverkehr verfolgt. Die Hersteller müssten sich ziemlich schnell peinlich rechtfertigen, wenn hier mehr Daten übertragen würden als nötig.
Auch wenn man also eigentlich nicht sagen kann, dass ein HBCI-Zugang per se bereits sicherer ist, ich lasse jetzt mal bewusst Techniken wie eine unkopierbare HBCI-Chipkarte außen vor, sprechen doch einige Gründe dafür, diesen Zugang nicht nur aus Bequemlichkeit zu nutzen.
Gruß
Raimund