Presseerklärung des Chaos Computer Club e.V.
Restrisiko beim Homebanking bleibt ein Problem
(Hannover, 14.3.97) Ein pünktlich zur CeBIT aufgetauchtes Programm zum Mißbrauch eines Internet-Homebankingverfahrens, das u.a. von einer großen Deutschen Bank benutzt wird, ist Anlaß zur erneuten Diskussion über das Restrisiko beim Homebanking. Strittiger Punkt ist dabei in erster Linie die Haftungsfrage: die meisten Banken sind nicht bereit, die Haftung für den Fall eines Mißbrauchs zu übernehmen. Im Gegenteil muß derjenige, von dessen Konto Geld verschwindet, seiner Bank beweisen, daß er die entsprechende Transaktion nicht getätigt hat.
Dies ist nach Ansicht des Chaos Computer Club nicht akzeptabel. Schon aus Rentabilitätsgründen ist die technische Sicherheit für die Banken ein minder wichtiger Faktor. Für den Club ist damit auch klar, daß Homebanking ein bevorzugtes Experimentierziel für Angreifer bleibt. "Die Banken müssen sich halt überlegen was mehr kostet: die andauernde Diskussion um die Unsicherheit der Homebanking-Verfahren oder die Änderung der allgemeinen Geschäftsbedingungen." faßt Wau Holland die Position des CCC zusammen. Der Club empfiehlt den Banken umgehend ihre Allgemeinen Geschäftsbedindungen entsprechend kundenfreundlich zu gestalten.
Im konkreten Fall war dem Club ein Programm zugespielt worden, das eine Manipulation von Transaktionsdaten durch einen Angriff auf Windows 95 und die Java-Implementierung des Netscape Navigator ermöglichen sollte. Die möglichen Folgen wären auf Fremdkonten umgelenkte Überweisungen. Die Firma Brokat konnte diesen konkreten Fall jedoch umgehend durch eine geringfügige Änderung ihrer Homebankingsoftware abwehren.
Ein technisches Restrisiko verbleibt aber auch bei anderen Verfahren. Sicherheit ist immer nur die des schwächsten Glieds. Dadurch bieten andere Lösungen - auch hardwarebasierte - ähnliche Angriffsmöglichkeiten. Insofern kann der CCC vom Homebanking nur abraten, solange die Banken das Restrisiko nicht übernehmen.