Presse-Dossier

Online-Banking und Sicherheit

Es soll Bankkunden geben, die überhaupt nicht mehr wissen, wie ein Überweisungsträger aus Papier aussieht. Das kann nicht verwundern, denn rund 41 Prozent der Deutschen führen ihr Konto mittlerweile übers Web (BITKOM). Tendenz weiter steigend. Online-Banking ist heute so selbstverständlich wie Shopping im Internet, Musikdownloads oder eMails. 

Besucherzahlen Banken-Webseiten
(Quelle: Marktforschungsinstut Nielsen August 2012)
zum Vergrößern bitte klicken

Download Bild-Datei (JPG, 631 KB)

Allein die Webseite der Postbank besuchen mehr als drei Millionen Kunden pro Monat, um ihre Bankgeschäfte zu erledigen (Marktforschungsinstitut Nielsen, August 2012). Damit ist die Postbank Marktführer in Deutschland.

Die hohe Kundenzahl der Postbank erklärt sich auch aus der langen Zeit, in der sie in Deutschland das Online-Banking entwickelte und ausbaute. Bereits 1983 startete sie als Pionier die ersten Versuche mit "Homebanking per BTX".

Der große Durchbruch für Bankgeschäfte am PC kam aber erst mit Siegeszug des Internets Anfang der 90er Jahre, das aus den USA nach Deutschland kam. Denn das Internet vereinfachte die Kontoführung vom heimischen Schreibtisch.

Mittlerweile hat das Online-Banking seinen Weg auch auf mobile Endgeräte gefunden. Unter dem Namen Mobile-Banking setzen sich heute Smartphones an die Spitze der technologischen Weiterentwicklung.

Sicherheit hat Priorität

Die Beliebtheit des Online-Bankings in Deutschland ruft auch immer wieder Betrüger auf den Plan. „Neue Tatphänomene ersetzen zunehmend klassische Delikte. Es gibt kaum noch Kriminalitätsbereiche, in denen Betrüger auf das Internet verzichten“, stellte BKA-Präsident Jörg Ziercke bereits im Jahr 2009 fest. Und weiter: "„Internet-User müssen wissen, dass die Straftäter von heute das Internet zunehmend als Tatmittel nutzen und sich dabei den oftmals sorglosen Umgang mit persönlichen Daten sowie die Möglichkeiten moderner Schadsoftware zunutze machen.“

Die Banken und Sparkassen haben darauf bereits frühzeitig reagiert. Seit im Jahre 2004 erstmals sogenannte "Phishing-mails" in Deutschland in den Umlauf kamen, sind gerade die großen und international bekannten Banken das Ziel der gefälschten Bankmails. Als Marktführer im Online-Banking war die Postbank frühzeitig gefordert. So schnürte sie sofort ein umfangreiches Sicherheitspaket gegen Phishing, Trojaner & Co.

Das Sicherheitspaket umfasst vier Aspekte:

  • die kontinuierliche Erhöhung der Sicherheitsstandards im Online-Banking,
  • die verstärkte Aufklärung der Kunden,
  • die intensive Zusammenarbeit mit der Polizei zur Festnahme der Betrüger und
  • die Beauftragung internationaler Sicherheitsunternehmen zum Abschalten der betrügerischen Webseiten im Ausland.

„IT-Wirtschaft, Banken, Behörden und die Medien haben schon viele Nutzer überzeugt, dass es wichtig ist, sich aktiv vor Angreifern zu schützen“, so Prof. Kempf, BITKOM-Präsidiumsmitglied und Vorstandsvorsitzender des Vereins „Deutschland sicher im Netz“ im Jahr 2009. Und weiter: " „Wer sich selbst schützt, trägt auch dazu bei, dass Viren und Trojaner nicht weiter verbreitet werden.“

Auf der technischen Seite gehören zu ihrem Maßnahmenpaket neben einem für den Kunden frei wählbaren Überweisungslimit zum Beispiel die Einführung der kostenlosen mobilen TAN. Für einen sichtbareren Schutz beim Online-Banking sorgen EV-SSL-Zertifikate. Seit 2005 – und damit als eine der ersten Banken in Deutschland – stattet sie ihre Mails mit einer fälschungssicheren Signatur aus. Anhand dieser können die Kunden erkennen, ob die Mail echt oder gefälscht ist.

Im Juni 2009 stellte die OTA (Online Trust Alliance) fest, dass die Deutschen Banken weltweit führend beim Schutz der Online-Kunden sind. Unter anderen wurde die Deutsche Postbank beispielhaft für den konsequenten Einsatz der EV-SSL-Zertifikate im Online-Banking genannt.

eMails – aber sicher! (bitte klicken)

Noch im Jahr 2006 zweifelten 80% aller Online-Banker, ob sie eine gefälschte Mail erkennen würden. Dies war das alarmierende Ergebnis einer Studie des Marktforschers TNS Infratest. Dabei bietet die Technik schon seit langem verschiedene Möglichkeiten, dass Empfänger gefälschte eMails auf Anhieb erkennen können. Die Postbank engagiert sich seit Jahren bei der Sicherung des eMail-Verkehrs in Deutschland und unterstützt den weltweiten Kampf gegen SPAM und Phishing-mails.

1. Mail-Zertifikate: der digitale Ausweis für eMails

Echte Postbank eMail mit Zertifikat
Kein Zweifel, die Mail ist echt: mit Signatur-Symbol und zugehörigen Sicherheitsinformationen
zum Vergrößern bitte klicken

Download Bild-Datei (JPG, 981 KB)

Die Postbank signiert seit März 2006 alle Kunden-eMails, so wie es Sicherheitsexperten ausdrücklich fordern: Das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) empfiehlt die Mail-Signatur vor allem, wenn die Mails sensible Daten enthalten. Auch die Computerzeitschrift c't ruft die Unternehmen auf, ihre Mails zu signieren und „mit gutem Beispiel voranzugehen“. Anhand der Signatur können Postbank Kunden seit Jahren erkennen, ob die Mail ihrer Bank echt oder gefälscht ist. So sind sie sicher vor Phishing, dem Passwortklau per Mail im Internet.

Wie unterscheidet man Original und Fälschung?

Viele Mailprogramme bieten bereits eine automatische Signaturprüfung an. Wie diese aussieht, hängt vom jeweiligen Programm ab. Wie die wichtigsten Programme mit der Mail-Signatur umgehen, hat die Postbank im Internet zusammengestellt:
www.postbank.de/email-signatur

2. Sicherer eMail- und Newsletter-Versand mit DKIM

Für die Postbank ist die Mail-Kommunikation sehr wichtig. Denn kein Kunde möchte heute mehr auf einen Newsletter verzichten oder den schnellen Kontakt zur Bank durch einen Brief ersetzen.
Damit auch schon während der Mailbeförderung die gefälschten Postbank eMails gestoppt werden können, setzt die Postbank seit Mai 2008 zusätzlich auf das DKIM-Verfahren
(DomainKeys Identified Mail).
Dieser Standard erlaubt es, die Absenderangaben einer eMail und deren Integrität zu überprüfen. Geänderte Absenderinformationen und Inhalte werden sofort erkannt.

DKIM

Seit 2005 existiert der DKIM-Standard, der von großen Unternehmen in den USA ins Leben gerufen wurde. Mittlerweile hat sich der Standard weltweit etabliert. Mehr dazu auf folgenden Webseiten:

www.dkim.org (englisch)
Wikipedia
Arbeitskreis eMail im ECO-Verband
Computerzeitschrift c't 26/09 

Der weltweite Kampf gegen Phishing-mails und SPAM

DKIM-Eintrag der Postbank
Beispielhafte Abfrage der Postbank DKIM-Einträge
zum Vergrößern bitte klicken

Download Bild-Datei (JPG, 376 KB)

Entsprechend dem DKIM-Verfahren trägt jede Postbank eMail eine digitale Signatur in ihrem Header, der weltweit von den empfangenden Mailsystemen überprüft wird.

Zusätzlich wendet die Postbank bei ihren mails auch noch den älteren Standard SPF an, um eine möglichst große Abdeckung im weltweiten "Mailsystem" zu ereichen.

In ihren Vorgaben an die Mailprovider, den sogenannten ADSP (Author Domain Signing Practices), hat die Postbank festgelegt, dass unsignierte eMails mit Postbank Absenderadresse sofort als SPAM-verdächtig zu kennzeichnen sind!

ADSP-Eintrag der Postbank
Links die drei möglichen Konfigurationen der Policy und und rechts die Umsetzung auf dem Nameserver der Postbank.
zum Vergrößern bitte klicken

Download Bild-Datei (JPG, 490 KB)

Bei konsequenter Anwendung dieser Vorgaben durch die Mail-Admins sollten so nur noch echte Postbank eMails in die Postfächer der Kunden gelangen.

Mehr dazu auch in einem Anwenderbericht von CISCO.

3. Trusted Dialog von Web.de und GMX

Mit der Initiative "Trusted Dialog" geht die Postbank den Weg der SPAM-Bekämpfung konsequent weiter.

Postbank eMail mit Logo in der Inbox von GMX
zum Vergrößern bitte klicken

Download BIld-Datei (JPG, 78 KB)

TrustedDialog ist ein Zusammenschluss von mehreren Unternehmen, die gemeinsam den Ansatz verfolgen, den Kundendialog per eMail langfristig zu stärken und das Vertrauen in die eMailKommunikation zu festigen. Technisch setzt Trusted Dialog auf das DKIM-Verfahren auf.

Kunden, die ein eMail-Konto bei WEB.de oder GMX.de besitzen, können bereits anhand des Logos im Posteingang erkennen, ob es sich um eine echte eMail der Postbank handelt. Bisher mussten sie dazu die eMail erst öffnen. Seit Anfang des Jahres 2010 unterstützt der eco-Verband die Trusted Dialog-Inititiative.

Auch weltweit gehen immer mehr Internet Service Provider dazu über, DKIM und SPF zu prüfen und so mögliche Phishing-Mails gleich als SPAM zu kennzeichnen. Beispielsweise Yahoo oder Gmail.

Selbstversuch

Möchten Sie prüfen, ob auch Ihre eigene eMail-Adresse bereits mit dem SPAM-Schutz von DKIM ausgestattet ist? Das DKIM Reputation Projekt bietet auf seiner Webseite www.dkim-reputation.org die Überprüfung der eigenen eMail-Adresse an.

Aufklärung der Kunden

Bei allen Vorkehrungen gegen Betrüger ist auch die enge Zusammenarbeit mit Kunden wichtig. Um ratsuchende Kunden zum Beispiel in allen Fragen zur Sicherheit zu unterstützen, hat die Postbank eine kostenlose Hotline unter der 0800 – 100 89 06 sowie eine eigene Mailadresse missbrauch@postbank.de ins Leben gerufen.

2010 und 2011 erweiterte die Postbank kontinuierlich ihre Sicherheitsverfahren im Online-Banking, um es Betrügern noch schwerer zu machen.

Neben der kostenlosen mobileTAN zählen zu den neuen Sicherheitsverfahren die chipTAN comfort sowie das Signaturverfahren Postbank BestSign. Darüber hinaus stellte sie im Oktober 2011 bundesweit das Verfahren mit der iTAN-Papierliste ein. Mehr dazu in den Presseinformationen.

Mehr zum Sicherheitskonzept der Postbank unter www.postbank.de/sicherheit.