Electronic Banking: KMUs unterschätzen das Sicherheitsrisiko

Kleine und mittelständische Firmen verzichten bei der Kommunikation mit ihrer Bank auf empfohlene Sicherheitsmaßnahmen. Mehr als ein Viertel verwendet unsichere, nicht indizierte Transaktionsnummern. Zudem sind die Arbeitsabläufe oft nicht auf größtmögliche Sicherheit ausgerichtet. Zu diesem Ergebnis kommt die Studie "Electronic Banking 2007" des Beratungshauses PPI AG.

Beim Datenaustausch mit ihrer Bank vernachlässigen kleine und mittlere Unternehmen in vielen Fällen die Sicherheitsempfehlungen der Experten. Mehr als ein Drittel der Kleinfirmen und ein Viertel der Mittelständler autorisieren laut Untersuchung der PPI AG wenigstens einen Teil ihrer Bankaufträge mit nicht indizierten Transaktionsnummern (TANs). Diese Freigabemethode gilt als sehr unsicher, da Betrüger über Nachahmungen von Bank-Internet-Seiten an gültige TANs kommen können und damit Zugriff auf das Konto erlangen. Die zuverlässigeren indizierten TANs kommen bei zwei Fünftel der Mittelständler und der Hälfte der Kleinunternehmen zum Einsatz. In diesem Verfahren wird per Zufallsgenerator aus der Liste aller TANs eine bestimmte ausgewählt, die der Kunde eingeben muss. Dies ist zwar weniger betrugsanfällig, erreicht jedoch nicht das Sicherheitsniveau, das beispielsweise mit Kartenlesegeräten oder mit dynamischen TANs, die erst bei Anforderung generiert werden möglich ist.

Vertrauen ist gut, Kontrolle ist besser
Risiken zeigen sich allerdings nicht nur beim Authentisierungsverfahren, sondern auch im Unternehmen. Zwei Drittel der Mittelständler vernachlässigen das Vier-Augen-Prinzip bei der Freigabe von Zahlungsaufträgen. In diesen Firmen erteilen Einzelpersonen ohne Gegenprüfung Zahlungsaufträge. Bei Kleinunternehmen ist die Quote zwar noch beträchtlich höher - hier steht das Sicherheitsplus durch ein Vier-Augen-Prinzip jedoch nicht im Verhältnis zum Aufwand.

Bei neun von zehn mittelständischen Firmen hingegen haben mehrere Mitarbeiter Zugriff auf die Unternehmenskonten. Die strukturellen Voraussetzungen für ein sicheres Freigabesystem sind somit gegeben und sollten auch entsprechend genutzt werden. Die Auftragsverwaltung durch mehrere Zeichnungsberechtigte ist mit dem neuen Electronic Banking-Standard EBICS problemlos umzusetzen: So werden Aufträge erst bei der Bank verarbeitet, wenn alle notwendigen Unterzeichner ihre digitale Signatur hinterlassen haben. Dabei können diese Freigaben zu unterschiedlichen Zeitpunkten und von unterschiedlichen Orten aus erteilt werden.

---