Die Geschichte des Online-Bankings

So hat sich Online-Banking bis heute entwickelt

Es war nicht etwa eine der Großbanken aus den USA, die ihren Kunden im Rahmen eines Pilotprojektes 1980 erstmalig Online-Banking ermöglichte. Das Verfahren, wie wir es heute kennen, startete im Großraum Düsseldorf, und zwar initiiert von der kleinen und mittlerweile unbekannten Verbraucherbank GmbH, die 1984 von der Norisbank übernommen wurde.

Das erwartet Sie im Folgenden:

Selbstbedienungssysteme

Bereits Mitte der 1970er Jahre setzte die Verbraucherbank GmbH auf ein Selbstbedienungssystem mit Terminals in den Schalterhallen. Damit konnten Kunden in den Filialen auch außerhalb der Öffnungszeiten ihre Bankgeschäfte tätigen. Was heute selbstverständlich ist, war damals eine Sensation: Berufstätige konnten so nach der offiziellen Schließung der Filialen um 16 Uhr nachmittags noch Geld abheben oder eine Überweisung tätigen.

Entstehung von PIN und TAN

Voraussetzung dafür waren Kundenkarten, die mit einem PIN-TAN Verfahren arbeiteten. Damit hatte die Bank einen Sicherheitsmechanismus geschaffen, wie er bis heute in den Grundzügen im Online-Banking seine Verwendung findet. Doch die Verbraucherbank wollte es ihren Kunden noch leichter machen. 1980 befand sich der BTX-Dienst der Deutschen Post in seiner Testphase und für Teilnehmer im Großraum Düsseldorf hielt die Verbraucherbank einen besonderen Service bereit: Über BTX konnten die Bankgeschäfte von zu Hause aus getätigt werden. Mit einer Zugangs- und einer Schlüsselnummer - heute Login und Passwort - konnten die Kunden Transaktionen vornehmen. Jede einzelne davon musste mit einer einmalig geltenden Transaktionsnummer verifiziert und bestätigt werden - heute ist es eine TAN oder mTAN. Nach dem offiziellen Start von BTX im Jahr 1983 führten auch viele andere Banken und Sparkassen das Online-Banking ein.

Wie sicher war das Banking von zuhause aus?

In den Anfangsjahren war Online-Banking erstaunlich sicher, was nicht zuletzt auf den etwas umständlichen Verbindungsprozess zurückzuführen war. Für BTX wurden spezielle Terminals von der Bundespost (später Telekom) an die Verbraucher ausgegeben, die bereits über ein integriertes Modem oder sogar noch über einen Akustikkoppler-Anschluss ans Telefonnetz verfügten. Die direkte Verbindung mit dem jeweiligen Bank-Computer wurde über ein hoheitlich von der Telekom betriebenes Netz hergestellt. Die Manipulation war kaum möglich, zumindest ist kein Fall bekannt, bei dem eine Transaktion direkt abgefangen wurde.

Angriff auf den BTX-Dienst

Der spektakuläre Fall des Chaos Computer Clubs (CCC) im Jahr 1984, in dem er die Hamburger Sparkasse um 134.000 DM erleichterte, beruhte auf einem anderen Prinzip. Dabei wurden quasi im Namen der Sparkasse Mehrwertdienste beauftragt und nicht gezielt ein Kundenkonto angegriffen. Der CCC hat im BTX-Datenstrom die Kennung der Sparkasse abgefangen und mit dieser Kennung eine selbst eingerichtete Mehrwertnummer angerufen. Dadurch wurde pro Anruf der Bank immer ein bestimmter Betrag abgebucht, der dem Konto des CCC gutgeschrieben wurde. Dieser Fall hat gezeigt, dass Kriminelle durchaus eine Chance gehabt hätten, die damals revolutionären Angebote der "elektronischen Banken" zu infiltrieren.

Reine Online-Banken entstehen

Erst als 1999 BTX eingestellt wurde, kamen die ersten Online-Banking-Zugänge über das Internet auf. Übrigens wurde aufgrund des großen Erfolges von "BTX-Banking" der Dienst als T-Online Classic über Computer noch parallel zum Internet-Banking bis 2009 weiter geführt. 2005 kam Schwung in die Abwicklung von Bankgeschäften über Online- Dienste: Rund 30 Prozent aller Bankkunden weltweit nahmen diese Services schon in Anspruch. Das führte zur verstärkten Präsenz von Online-Banken, die komplett auf Filialen verzichten und ihren Kunden ausschließlich über das Internet Zugang zu den Bankgeschäften bieten. Die Übertragung der Daten zwischen den Servern der Banken und den Kunden erfolgte und erfolgt über eine SSL-verschlüsselte Verbindung.

Online-Banking-Nutzer im Visier von Kriminellen

Kriminelle nutzen daher lieber einfachere Methoden, um an die Kundendaten zu gelangen. So sind Phishing-Seiten ein simpler Weg für Online-Verbrecher, die "Schwachstelle Mensch" zu nutzen. Hierbei wird eine falsche Bankseite erstellt, die dem Original verblüffend ähnlich sieht. Per E-Mail werden die Kunden dann aufgefordert, auf dieser vermeintlichen Bankseite möglichst viele Transaktionsnummern einzugeben. Was auf den ersten Blick sehr durchschaubar erscheint, hat aufgrund der großen Menge an Online-Banking-Nutzern eine gewisse Erfolgsquote. Laut Statista haben 2014 rund 54 Prozent der insgesamt 20,5 Millionen Kunden mit Girokonten in Deutschland ihre Bankgeschäfte online erledigt. Eine Studie von Google in Kooperation mit der University of San Diego in 2014 besagt, dass die erfolgreichsten Phishing-Sites eine Quote von 45 Prozent haben. Das bedeutet, dass 45 Prozent der angemailten Personen auf einen Phishing-Link geklickt haben. Angesichts dieser Zahlen wird schnell klar, dass gerade in den Anfangsjahren des Online-Banking diese Methode für Kriminelle die einfachste und lukrativste Methode war, um relativ problemlos an das Geld der Nutzer zu gelangen.

Gegenmaßnahmen

Nicht zuletzt aufgrund dieser Erfahrungen wurden nach 2005 weitere Sicherheitsmechanismen eingeführt. Da der Erfolg von Phishing-Betrügern unter anderem darauf gründet, dass möglichst viele Transaktionsnummern abgegriffen und dann sukzessive genutzt werden, wurde ein Verfallsdatum für TANs eingeführt. Für eine Transaktion ist eine TAN beispielsweise nur zehn Minuten lang gültig, nachdem sie im Dialog des Online-Banking angefordert wurde. Auch mTANs, die direkt auf ein Mobiltelefon des Nutzers gesendet werden, beruhen auf dieser Idee.

Rasantes Wachstum in Deutschland

In den letzten Jahren hat sich das Online-Banking durch seine breite Akzeptanz bei mehr als der Hälfte der Girokonten-Inhaber in Deutschland rasant weiterentwickelt. Parallel dazu haben auch die Kriminellen ihre Methoden verfeinert, mit denen sie ahnungslose Bankkunden um ihr Geld betrügen. In diesem Zusammenhang sind Man-in-the-Middle-Attacken besonders heimtückisch, denn bei derartigen Angriffen werden die aktuellen Daten in einem infizierten Browser des Nutzers umgeleitet, ohne dass er es bemerkt. Hier hilft nur eine ebenso ausgeklügelte Schutzsoftware, die diese Attacken aufspürt und schon proaktiv in Echtzeit unterbindet.

Und wie wird es weitergehen? Derzeit gibt es Bestrebungen, das klassische Online-Banking enger mit Bezahldiensten wie PayPal zu verzahnen und den Kunden dadurch mehr Komfort zu bieten. Zusätzlich soll der Schutz der Bankkunden gerade bei Transaktionen im Internet verbessert werden, sodass Kriminelle auch dort schlechter an das Geld argloser Nutzer gelangen können. Darüber hinaus rückt das Personal Finance Management als Ganzes in den Fokus der Online-Dienstleister: Alle Finanzgeschäfte können unter einer Oberfläche getätigt und überwacht werden. Es bleibt also spannend!