Phishing-Schutz im Online-Banking. Hilfe zum Selbstschutz für Nutzer

Anbieter von Online-Diensten und deren Nutzer sind zunehmend von Phishing- Angriffen betroffen. Phishing unterscheidet sich von anderen Bedrohungen in der IT-Sicherheit: Die Täter täuschen die Nutzer mit gefälschten E-Mails und Webseiten, um sie zur Eingabe vertraulicher Daten zu verleiten. Herkömmliche Sicherheitstechnik kann dagegen wenig ausrichten. Die Forschung zu geeigneten Gegenmitteln steckt noch in den Kinderschuhen. Am wirksamsten sind derzeit aufmerksame, misstrauische Benutzer. Anbieter können bereits jetzt einige grundlegende Maßnahmen ergreifen, um ihren Kunden die Erkennung und Abwehr von Phishing-Angriffen zu erleichtern. Bisher konzentrierten sich die Phishing-Versuche in Deutschland auf Banken und ihre Kunden. Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat in einer unabhängigen Studie die Web-Angebote von 12 Banken bewertet. Im Hintergrund stand die Frage, wie gut die getesteten Banken ihren Kunden dabei helfen, Phishing-Versuche zu erkennen. Die Bewertung erfolgte in drei Kategorien: technische Gestaltung des Online-Banking-Angebots, Unterstützung von HBCI als Alternative zum Web, sowie Kundeninformation. Zu jeder Kategorie gehören mehrere Einzelkriterien, für deren Erfüllung jeweils Punkte vergeben wurden. Die Ergebnisse zeigen ein deutliches Potenzial für Verbesserungen. Nur ein Testkandidat, die Deutsche Bank, erreichte ein sehr gutes Ergebnis. Die Note gut wurde nicht vergeben. Mit befriedigend wurden fünf getestete Angebote bewertet: Postbank, Commerzbank, Dresdner Bank, ING-DiBA und Comdirect. Die übrigen Testteilnehmer erzielten ein ausreichendes Ergebnis, mit Ausnahme des Schlusslichts Sparda-Bank Hamburg. Insgesamt zeigt dass Testergebnis, dass die Mehrzahl der Banken ihre Kunden besser vor Phishing schützen könnte. Dazu sind im ersten Schritt keine komplizierten Sicherheitsmaßnahmen erforderlich. Bereits ein konsistentes, erwartungskonformes Erscheinungsbild des Web-Angebots kann vorsichtigen Nutzern dabei helfen, Phishing-Angriffe zu erkennen. Auf lange Sicht erfordert der effektive Schutz vor Phishing verfeinerte Kriterien, geeignete Benutzermodelle und technische Schutzmaßnahmen.