https://www.faz.net/-hbv-8krky

Online-Banking : Mit dem Herzschlag ins Bankkonto

Daumen drauf: Viele Bankkunden loggen sich schon per Fingerabdruck in ihr Konto ein. Bild: dpa

Sicher ist Sicher: Ob Fingerabdruck, Iris-Scan oder Pulsmessung – der Erfindergeist bei neuen Login-Methoden ins Online-Banking scheint unbegrenzt. Will der Kunde das?

          4 Min.

          Man kennt das aus Agentenfilmen. Um in den Hochsicherheitstrakt zu kommen, muss der Mitarbeiter in eine Art Kamera schauen, die seine Iris scannt. Die Tür öffnet sich erst, wenn der Mitarbeiter einwandfrei identifiziert ist – oder wenn ein Bösewicht ihm das Auge herausgeschnitten hat. Da das im echten Leben selten vorkommt, gehört für manche Angestellte in amerikanischen Unternehmen ein solcher Iris-Scan inzwischen schon zum Alltag. Erst wenn das Muster im Auge überprüft ist, können sie einen größeren Geldbetrag an einen Geschäftspartner überweisen.

          Tim Kanning
          Redakteur in der Wirtschaft.

          Die Nutzung biometrischer Daten im Bankgeschäft greift immer mehr um sich. Auch für Privatkunden, die ihre Geschäfte online erledigen, könnte das bald schon üblich werden. Die Zeit der Passwörter und Pincodes wäre dann vorbei. Statt sich immer neue und kompliziertere Kombinationen aus Zahlen, Buchstaben und Satzzeichen auszudenken, kann der Kunde dann einfach mit seinem Auge, seinem Fingerabdruck oder sogar der Art seiner Bewegungen und dem Rhythmus seines Herzens bezahlen. Dem Forschergeist der Finanztechnologen scheinen keine Grenzen gesetzt.

          Denn eines ist klar: Ganz sicher ist Online-Banking nicht. Zwar registriert das Bundeskriminalamt im Schnitt nur 5000 Fälle im Jahr, bei denen Bankräuber durch das Abfischen von Zugangsdaten Konten leerräumen. Angesichts von zig Millionen Bankkonten in Deutschland ist das Risiko für den Einzelnen also gering. Doch die Daten zeigen auch, dass jede neue Sicherheitsmaßnahme der Banken die Kriminellen nur für kurze Zeit zurückdrängt und die Fallzahlen schon kurz darauf wieder in die Höhe schnellen. Hinzu kommen regelmäßige Warnmeldungen, wie jene von IBM vor wenigen Tagen, wonach sich Hacker Zugang zu den Daten von 13 deutschen Banken verschafft hätten (24. August). Beruhigend ist das nicht.

          Leergeräumte Online-Konten

          Der Kölner Internet-Rechtsanwalt Jakob Wahlers vertritt im Jahr gut 20 Mandanten, deren Online-Konten leergeräumt wurden, oft geht es um mehrere zehntausend Euro. In der Regel zeigen sich die Banken zwar kulant, weil sie nicht wollen, dass mögliche Sicherheitslücken an die große Glocke gehängt werden. Doch den Ärger hat der Kunde trotzdem. Und: Wenn die Bank ihm einen Tan-Generator zur Verfügung gestellt hat und trotzdem etwas passiert, zieht der Kunde vor Gericht inzwischen öfter den Kürzeren, wie Wahlers erzählt. Denn diese Methode hätten viele Gutachter bereits als unknackbar für Hacker beurteilt.

          Doch komfortabel ist anders: Erst muss der Kunde seine EC-Karte in das Gerät stecken, sie dann vor den flackernden Bildschirm halten, überprüfen, ob alle Daten mit der gewünschten Überweisung übereinstimmen und dann die generierte Tan-Nummer eingeben. „Er muss inzwischen so viele Sachen überprüfen, dass die Überweisung auf Papier fast schon wieder einfacher ist, findet Wahlers. Doch gerade das wollen die Banken auch wieder nicht. Schließlich ist es für sie wesentlich günstiger, wenn die Kunden ihre Geschäfte online erledigen statt in der Filiale. Deswegen soll die Autorisierung über biometrische Daten die Identifizierung nicht nur sicherer, sondern auch bequemer machen.

          Per Daumendruck

          Wer ein halbwegs modernes Handy hat, spart sich schon heute gerne die Eingabe eines Passworts und loggt sich einfach mit dem Daumendruck auf den Powerknopf ein. Das nutzen nun die ersten Banken. Bei der Handy-App der Deutschen Bank zum Beispiel kommen die Kunden schon mit dem Fingerabdruck in ihr Online-Konto. Die ING Diba ermöglicht über eine eigene App sogar die Freigabe von Überweisungen mit einem Daumendruck auf das Scan-Gerät. Den Kunden gefällt der Service offenbar. „Damit können unsere Kunden im Mobile-Banking sicher und bequem auf ihr Konto zugreifen“, sagt Michael Koch, der bei der Deutschen Bank das Online- und das Mobile-Banking auf dem Handy leitet. „Allein im Monat Juli haben sich unsere Kunden mehr als 2 Millionen Mal per Fingerabdruck legitimiert.“ Auch die ING Diba ist mit den Zahlen zufrieden. Nach Angaben eines Sprechers nutzen immerhin 15 Prozent der Kunden mit Girokonto die Überweisung per Fingerabdruck.

          Wird mit der Einführung der neuen EU-Richtlinie PSD2 noch wichtiger: Der Tan-Generator
          Wird mit der Einführung der neuen EU-Richtlinie PSD2 noch wichtiger: Der Tan-Generator : Bild: dpa

          IT-Fachleute sind allerdings skeptisch. Denn schon haben erste Hacker gezeigt, dass auch ein Fingerabdruck nicht einmalig ist. Auch ohne den Finger abschneiden zu müssen, konnten sie ein Replikat der Daumenfläche herstellen und zum Login verwenden. „Die Frage ist, was passiert, wenn der Fingerabdruck einmal in den Untergrund gerät?“, wendet Roger Halbheer ein, der die IT-Sicherheit für Finanzdienstleister bei der Beratungsgesellschaft Accenture leitet. Dann könnten Kriminelle im Internet damit ihr Unwesen treiben. Hinzu kommt, dass es entsprechende Scanner zwar an modernen Mobilgeräten gibt. An Heim-Computern, wo immer noch viele Kunden ihr Online-Banking erledigen, sind sie aber nicht sehr verbreitet.

          Fortlaufende Authentifizierung

          Die Banken und Softwareunternehmen versuchen daher, die Instrumente zu nutzen, die ohnehin an den Rechnern vorhanden sind. Eine Methode ist die sogenannte fortlaufende Authentifizierung: Während der Kunde in seinem Online-Konto ist, verfolgt das System jede Bewegung mit der Maus und jede Eingabe auf der Tastatur. Dabei hat offenbar jeder so seine Eigenarten, die sich der Tracker merken kann. Haut der Kunde wie üblich mit viel Wucht in die Tasten, kann er seine Überweisungen ohne die Eingabe einer Tan-Nummer ausführen. Streicht er plötzlich ganz sanft über die Buchstaben, wird das System skeptisch und fragt eine Tan-Nummer ab.

          Sogar vor dem Herzschlag der Kunden schrecken die Entwickler in den Sicherheitsabteilungen nicht zurück. Mit den Möglichkeiten der neuesten Smartphones in Kombination etwa mit den beliebten Fitness-Armbändern ließe sich auch der Pulsschlag für die Autorisierung für Bankgeschäfte nutzen. „Da stellt sich dem Kunden natürlich die Frage: Will ich so weit gehen, dass meine Bank mein EKG bekommt?“, fragt Halbheer. „Ich denke, nein.“ Doch entscheiden wird das am Ende der Kunde. Im Umgang mit modernen Technologien sind vielen Nutzern in den vergangenen Jahren Fragen wie Datenschutz oder selbst das Bankgeheimnis zunehmend egal geworden – solange sie ihm einen Zusatznutzen bieten. Komfort steht da ganz oben auf der Liste.

          Weitere Themen

          Cherry muss kleinere Törtchen backen

          Börsengänge : Cherry muss kleinere Törtchen backen

          Auch wenn der Börsengang des Computerzubehör-Herstellers Cherry nicht ganz die Kirsche auf der Torte war, ist er gelungen. Auch sonst gibt es einiges an Neuigkeiten aus dem Geschäft.

          Topmeldungen

          Weiter keine Einreise für Individualtouristen: Israels Ministerpräsident Naftali Bennett kündigte dies am Dienstag auf einer Pressekonferenz am Flughafen Ben Gurion in Tel Aviv an.

          Delta-Variante verbreitet sich : Geimpfte in Israel neu infiziert

          Israel sorgt sich wegen der Ausbreitung der Delta-Variante des Coronavirus. Weil auch Geimpfte neu infiziert wurden, nimmt das Land Lockerungen zurück und lässt Individualtouristen vorerst nicht einreisen.

          Alle außer München : Kunterbunte Fußballstadien

          Ein Fest für Beleuchter: Ob Berliner Olympiastadion, Frankfurter Waldstadion oder Kölner, Augsburger und Wolfsburger Erstliga-Arenen: Sie alle erstrahlten stellvertretend für München in Regenbogenfarben.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.