Die Schweizer Postfinance macht auf sicher: Wegwerf-Codes fürs Online-Banking aus dem privaten Kartenleser. Das System ist flexibler als andere und wäre ideal für einen Standard der Banken, um nicht für jedes Konto ein anderes Gerät mitschleppen zu müssen.

Nachdem sich auch die Streichlisten mit Wegwerf-Codes fürs Online-Banking als nur bedingt geeignet erwiesen haben, weil offenbar selbst damit Leute betrogen wurden, weil sie auf Phishing-Webseiten reinfielen (gefälschte Portale, die aussehen wie jene der Bank, aber nur das Passwort und die Codes abfragen, worauf der Cracker im Hintergrund Zugriff aufs Konto kriegt), hat jetzt auch die Schweizer Post Bank namens “Postfinance” (auf die ich derzeit nicht sonderlich gut zu sprechen bin) auf einen Code-Dongle umgestellt.

Wir kennen diese Geräte von andern Online-Banken und neuerdings von Ebay und Paypal in Europa: Kleine Geräte, die aufgrund der Uhrzeit alle paar Minuten einen neuen Passcode-generieren, der mit dem Schlüssel des Benutzers erzeugt wurde.

Postfinance hat einen andern Weg gewählt, der zwar ein etwas grösseres Gerät nötig macht, aber meiner Meinung nach ein paar Vorteile bietet (ich kann kaum glauben, dass ich den Laden lobe…).

Zunächst handelt es sich nicht um ein geschlossenes System, das mit dem digitalen Schlüssel des Benutzers ausgestattet ist. Es ist nur ein Kartenlesegerät. Der Benutzer erhält zusätzlich eine neue Automatenkarte, auf welcher sein digitaler Schlüssel und die gewohnte PIN für den Bargeldbezug und das Bezahlen an Kartenterminals gespeichert ist.

Der Vorgang beim Online-Zugang ist ebenfalls zweistufig: Der Wegwerf-Code für jede Sitzung wird nicht aus der Uhrzeit generiert, sondern aus einem weiteren Code, den der Webserver vorgibt. Das läuft so ab:

Der Benutzer geht mit seiner ID und seinem fixen Passwort Online. Das System liefert ihm daraufhin einen sechsstelligen Zahlencode. Der Benutzer steckt seine Konto-Karte in den Leser und tippt den von der Webseite vorgegebenen Code ein. Das Lesegerät fragt daraufhin nach der PIN. Wird die richtige PIN eingetippt, so liefert das Gerät einen Wegwerf-Code von bis zu neun Stellen, den der Benutzer nun wiederum auf der Webseite eingeben muss.

Zwar ist der Aufwand für den Benutzer ein bisschen grösser als mit den rein Uhrzeit-abhängigen Dongles, und das Lesegerät liegt schwerer in der Reisetasche als die winzigen Dongles anderer Anbieter. Dafür ist die Sicherheit meiens Erachtens noch höher. Zudem bietet das Gerät Zusatzfunktionen, die ich sehr schätze: Man kann damit jederzeit die PIN der Kontokarte verändern.

Vor allem aber liesse sich das Gerät zum universalen Dongle für ALLE Bankkarten machen, weil alle Informationen auf der Karte gespeichert sind. Wenn also mehr Geldinstitute auf dieses System umstellten, könnten sie sich die Ausgabe der Lesegeräte gemeinsam übernehmen und Geld sparen. Und die Benutzer hätten nur noch ein Gerät und die Kontokarten rumzuschleppen, die sie sowieso dabei haben.

Wenn ich das alles vergleiche mit dem, was die US-Banken an Sicherheit oder Bequemlichkeit anbieten, ist Europa ein Paradies. Ich habe bisher hier keine Bank gefunden, deren Online-System mehr als zwei Sicherheitsstufen aufweist. Die meisten fragen nach einer ID und einem Passwort – und das war’s. Ein Trojaner auf dem eigenen Rechner, und schon ist das Konto leergeräumt. Meine aktuelle Bank setzt zwar noch ein Cookie im Browser, und wenn ich auch nur mit Firefox statt Opera auf meine Konti zugreife, muss ich mich mit einem sofort per Mail verschickten Code neu identifizieren. Aber das ist auch nicht sonderlich vertrauenserweckend. Und wenn ich die PIN auf meiner Bankomatkarte geändert haben will, muss ich in einr Filiale vorbeigehen.