Mittelstand oft unfähig zum E-Banking
Kleine und mittelständische Unternehmen verzichten bei der Kommunikation mit ihrer Bank auf zahlreiche empfohlene Sicherheitsmaßnahmen, teilte der Finanzberater PPI AG mit. So verwendet mehr als ein Viertel dieser Firmen noch unsichere, nicht indizierte Transaktionsnummern, um Bankaufträge freizugeben.
Zudem sind die Arbeitsabläufe im Mittelstand selbst oft nicht auf größtmögliche Sicherheit ausgerichtet. Dies ergab die Studie ‘Electronic Banking 2007’, die das Marktforschungsinstitut an der Universität Regensburg, ibi research, im Auftrag des Beratungs- und Softwarehauses PPI AG durchgeführt hat.
Demnach vernachlässigen kleine und mittlere Unternehmen in vielen Fällen die Sicherheitsempfehlungen der Experten, sobald sie mit ihrer Bank Daten austauschen. Mehr als ein Drittel der befragten Kleinfirmen und ein Viertel der Mittelständler autorisieren wenigstens einen Teil ihrer Bankaufträge mit nicht indizierten Transaktionsnummern (TANs). Diese Freigabemethode gilt aber als sehr unsicher, da Betrüger über Nachahmungen von Bank-Internetseiten an gültige TANs kommen können und damit Zugriff auf das Konto erlangen.
Die zuverlässigeren, indizierten TANs kommen immerhin bei zwei Fünfteln der Mittelständler und der Hälfte der Kleinunternehmen zum Einsatz. In diesem Verfahren wird per Zufallsgenerator aus der Liste aller TANs eine bestimmte ausgewählt, die der Kunde eingeben muss. Wie die Experten von PPI mitteilten, ist dieses Verfahren zwar sicherer, aber immer noch zu gefährlich für finanzielle Transaktionen. Es eröffnet dabei zwar weit weniger Möglichkeiten für Betrug, aber das erforderliche Sicherheitsniveau wird immer noch nicht erreicht. Das kommt, nach Angaben der Experten, nur mit Kartenlesegeräten oder mit dynamischen TANs, die erst bei Anforderung generiert werden, zustande.
Doch die Risiken lauern nicht nur beim Authentisierungsverfahren, sondern auch im Unternehmen. So mussten zwei Drittel der Mittelständler zugeben, dass sie das Vier-Augen-Prinzip bei der Freigabe von Zahlungsaufträgen vernachlässigen. In diesen Firmen erteilen Einzelpersonen ohne Gegenprüfung Zahlungsaufträge. Bei Kleinunternehmen ist die Quote zwar noch beträchtlich höher, stellten die Berater fest. Doch sie lassen gelten, dass dort oft das Sicherheitsplus durch ein Vier-Augen-Prinzip nicht im Verhältnis zum Aufwand steht.
Kritisiert wurde allerdings, dass bei neun von zehn der befragten mittelständischen Firmen, die in Deutschland Geschäfte machen, mehrere Mitarbeiter Zugriff auf die Unternehmenskonten haben. Sie haben also, den Angaben zufolge, jede Möglichkeit, ein sicheres Freigabesystem zu etablieren. Sie sollten auch entsprechend genutzt werden, hieß es. Die PPI-Berater empfahlen die Auftragsverwaltung durch mehrere Zeichnungsberechtigte mit dem neuen Electronic Banking-Standard EBICS. Dieser sei problemlos umzusetzen. Aufträge werden dabei erst bei der Bank verarbeitet, wenn alle notwendigen Unterzeichner ihre digitale Signatur hinterlassen haben. Dabei können diese Freigaben zu unterschiedlichen Zeitpunkten und von unterschiedlichen Orten aus erteilt werden.