US-Banken schauen zur Sicherheit nach Europa

Derzeit häufen sich Meldungen aus den USA über Gefährdungen von Nutzer-Daten. So musste etwa LexisNexis 350.000 Personen informieren, dass persönliche Daten womöglich in die Hände von Dritten gefallen seien. Jetzt muss auch der Discount-Broker Ameritrade den Verlust eines Backup-Tapes mit 200.000-Kundendaten eingestehen. In beiden Fällen können auch Kreditkarten-Nummern betroffen sein.

In Europa sind solche Einbrüche und Verluste eher die Ausnahme. Und das ist kein Zufall, denn hier herrschen offenbar strengere Sicherheitsvorkehrungen. Daher blicken vermehrt US-Banken über den Teich, um sich in Sicherheitsfragen neu zu orientieren.

Viele große und kleine Banken in den USA begnügen sich bei der Authentifizierung oft mit Benutzername und Passwort. Auch einige deutsche Banken arbeiten lediglich mit Nutzername und Kennwort – zumeist mit Zahlenkombinationen. Die Royal Bank of Scotland verlangt hingegen das Geburtsdatum, eine 12-stellige PIN und zudem zufällige Kombinationen eines weiteren Passwortes. Aber das Problem scheint in den USA bekannt. Die Federal Insurance Corporation erklärte jüngst: “Es wird immer offensichtlicher, dass eine Ein-Faktor-, Passwort-basierte Authentifizierung für den Remote-Zugriff zu Online-Banking-Systemen nicht mehr länger sicher genug ist.”

Aber so einfach ist es für US-Banken oft nicht, das System umzustellen. Europäische Institute sind meist sehr viel kleiner und daher flexibler als US-Banken, die bis zu 10 Millionen Kunden zählen können. Doch auch einige amerikanische Finanzdienstleister reagieren jetzt. Die ETrade Financial Corporation aus New York etwa hat, für Kunden mit einem Kontostand über 50.000 Dollar, eine Authentifizierung über so genannte E-Token eingeführt. Das sind kleine Geräte, die nach dem Zufallsprinzip Passwörter produzieren. Auf Keylogger – bösartige Programme die alle Eingaben über die Tastatur festhalten und weiterleiten – hat das Bankhaus Barclays mit einer Web-basierten Tastatur reagiert, bei der sich der Anwender per Mausklick verifizieren kann.

Doch genau da sehen sich die Banken in einem strategischen Dilemma. US-Banken wollen ihren Kunden die Authentifizierung nicht all zu schwer machen. Denn Sicherheit ist auch eine Mentalitätsfrage. Europäer seien fanatisch in Sicherheitsfragen, daher könne man den europäischen Online-Banking-Anwendern auch einfacher komplexere Anmelde-Vorgänge schmackhaft machen, wie James Van Dyke, Analyst bei dem Bank-Beratungsunternehmen Javelin Strategy & Research, gegenüber dem Wallstreet Journal erklärte. “Banken, vor allem in den USA, stehen vor einer großen Herausforderung, denn viele Kunden wollen keine komplexe Authentifizierung.”