sb - Auch heute noch gibt es immer wieder einmal Meldungen über Banküberfälle. Doch ihre Zahl ist deutlich zurückgegangen, in den letzten zehn Jahren um beachtliche 68,8 Prozent auf 327 Fälle 2010. Gleichzeitig stieg der Anteil der erfolglosen Versuche laut polizeilicher Kriminalstatistik von 21,9 auf 28,1 Prozent. Diese offensichtliche Verbesserung der physischen Sicherheit ist vor allem der Technik zu verdanken. Im Zuge des Vordringens der Selbstbedienung sind in immer mehr Bankfilialen die Kassen ganz abgeschafft worden. Das gilt besonders für die kleinen Standorte. Vielerorts wird bereits an der Tür auf automatische Kassentresore mit Zeitverschluss-Systemen hingewiesen. Diese machen es unmöglich, innerhalb kürzester Zeit große Mengen an Banknoten in Taschen zu stopfen, mit denen der Bankräuber fliehen kann, ehe die Polizei eintrifft. Da die Zeit hier immer gegen den Täter arbeitet, hat sich das Chance-Risiko-Verhältnis für Bankräuber also massiv verschlechtert.
An anderer Stelle hat die technische Entwicklung Banken und Sparkassen dafür umso anfälliger gemacht. Im Onlinebanking ist das Risiko, gefasst zu werden, für professionelle Hacker vergleichsweise überschaubar. Und wenn sich die IT-Systeme der Anbieter selbst auch als uneinnehmbare Festungen erweisen, bietet doch die Schwachstelle Kunde mannigfaltige Angriffsmöglichkeiten. Eben das stellt die Kreditwirtschaft vor besondere Herausforderungen. Jede technische Aufrüstung, die potenziellen Tätern das Leben schwer machen soll, muss immer zuvor auf die Akzeptanz beim Kunden geprüft werden. So wurde der Sicherheitsstandard Homebanking Computer Interface (HBCI) zwar bereits 1998 entwickelt, konnte sich aber nie recht durchsetzen. Auch heute noch wird die i-TAN vielfach nur deshalb von der mobilen TAN anstelle der Chip-TAN abgelöst, weil ein beträchtlicher Anteil der Kunden es nach wie vor ablehnt, einen Chipkartenleser als TAN-Generator zu erwerben. Für die Sicherheit hat die Bank zu sorgen, so die verbreitete Kundenmeinung. Dass diese nur ihre eigenen Systeme, nicht aber das Internet und schon gar nicht die Endgeräte des Kunden absichern kann, ist vielen Kunden zwar grundsätzlich bewusst, hat aber die Bereitschaft, selbst in die Sicherheit zu investieren, nur mäßig erhöht - zumal es im Missbrauchsfall in der Regel die Bank ist, die auf dem Schaden sitzen bleibt. Sich in gerichtlichen Auseinandersetzungen auf den Anscheinsbeweis gegen den Kunden zu berufen, wäre möglicherweise hie und da aussichtsreich, aber in jedem Fall schädlich fürs Image. Die Kosten-Nutzen-Rechnung bliebe insofern fraglich. Natürlich könnten Anbieter es auf die harte Tour versuchen und etwa Onlinebanking standardmäßig nur mit Chip-TAN-Verfahren anbieten und andere Verfahren nur noch auf Kundenwunsch und ohne Übernahme der Schäden im Missbrauchsfall zulassen. Diesen Schritt zu wagen würde aber Mut erfordern. Denn ein öffentlicher Aufschrei über solch wenig kundenfreundliches Vorgehen wäre gewiss. Einstweilen bleibt deshalb nur die Hoffnung, dass sich das Mehr an Sicherheit vermarkten lässt - etwa indem Kunden für Kontomodelle, in denen der Chipkartenleser ohne Aufpreis enthalten ist, höhere Gebühren zu zahlen bereit sind. Bleibt das Einsehen der Kundschaft aber aus, wird längerfristig vielleicht doch kein Weg daran vorbeiführen, den Erwerb der Leser zur Bedingung für das Onlinebanking zu machen oder diese gratis zur Verfügung zu stellen, was man derzeit noch zu vermeiden hofft.
Ganz neue Fragen wirft das Mobile Banking auf: Ein Großteil der Kunden hat für die mobilen Endgeräte bislang weit weniger Sicherheitsmaßnahmen ergriffen als für PC oder Laptop - ein Dorado für Hacker, wie das BKA eindringlich warnt. Die Frage der Sicherheitsverfahren ist also drängend. Und sie wird anders beantwortet werden müssen als beim stationären Onlinebanking am PC. Denn die bisher als Kompromisslösung vordringende mobile TAN verbietet sich, sofern nicht zwei verschiedene mobile Endgeräte zum Einsatz kommen. Sonst würde deren Vorteil, die Kanaltrennung von Transaktionen und TAN-Übermittlung, wieder ausgehebelt.