Die Schweizer Computerzeitung «PCtipp» prüfte Sicherheit und Komfort der wichtigsten Schweizer E-Bankinganbieter. Zwei Finanzinstitute haben beim Einwahlverfahren die Nase vorn. 

Der «PCtipp», die meistverkaufte und meistgelesene Schweizer PC-Zeitschrift, hat die in der Schweiz gängigsten Login-Verfahren auf Sicherheit sowie Komfort geprüft.

Zwei Faktoren seien für die Sicherheit besonders wichtig: Ein Medienbruch, das heisst separate Geräte, und die Generierung der Sicherheitscodes bei jeder Transaktion, hiess es in der Computerzeitung (Artikel online nicht verfügbar).

Diese zwei Merkmale waren danach auschlaggebend für die Kategorie Sicherheit im Punkte- und Bewertungssystem. So erhielt das SMS-Verfahren (mTAN) beispielsweise lediglich 4 von möglichen 5 Punkten, weil diese Methode in den letzten Jahren ausgetrickst wurde.

Auch Komfort muss sein

Das verbreitete mTAN-Verfahren, bei dem der Nutzer einen Code per SMS erhält, punktete dafür beim Komfort. «Sicherheitstechnisch überzeugt diese Methode jedoch nur bedingt», schrieb «PCtipp». Bislang haben Hacker und Betrüger zwei Schwächen ausgenützt. In einem Fall wurden Schädlinge auf dem Handy installiert, welche das  eingehende SMS automatisch weiterleiteten.

In einem anderen Fall in Deutschland liessen die Betrüger weitere SIM-Karten für die dieselbe Telefonnummer registrieren. Sie erhielten auch dadurch die SMS mit Codes zum Einloggen. Das mTAN-Verfahren wird derzeit bei der Credit Suisse, Zürcher Kantonalbank und optional  auch bei der Raiffeisen angeboten.

Für das Kriterium Komfort war insbesondere entscheidend, ob das Einwahlverfahren bequem funktioniert. Für zusätzliche Geräte wie Kartenleser, die man unterwegs aus der Tasche klauben muss,  gab es Punkteabzug. Ideal ist darum trotz Sicherheitsbedenken das SMS-Verfahren, bei dem ausser dem Mobiltelefon keine zusätzlichen Geräte oder Karten benötigt werden.

Hier die Ergebnisse des Tests (Maximum 5 Punkte pro Kategorie):

  • Kartenleser: Das Standardverfahren. Für den Login braucht es die Bankkarte, einen PIN-Code und einen Kartenleser. Dieser spuckt den entsprechenden Sicherheitscode aus.

Anbieter: PostFinance (PostCard), UBS (Access Card Display)

Sicherheit: 5
Komfort: 3,5

  • Display-Karte: Ähnlich wie der Kartenleser, aber mit einer elektronischen Karte. Die Karte kostet bei der PostFinance 18 Franken pro Jahr, die UBS verlangt pauschal 25 Franken.

Anbieter: PostFinance, UBS

Sicherheit: 5
Komfort: 4

  • Karte mit NFC-Chip: Für die Near-Field-Communication-Variante (NFC) ist ein Android-Smartphone und eine entsprechende App nötig, das die drahtlose Datenübertragung (NFC) unterstützt. Beim Login wird die App geöffnet und die Karte an das Smartphone gehalten. Nach der Eingabe der Vertragsnummer und der Karten-PIN erfolgt die Anmeldung bei der Onlinebanking-Plattform automatisch.

Anbieter: UBS

Sicherheit: 5
Komfort: 4,5

  • USB-Stick: Die Funktionsweise unterscheidet sich je nach Anbieter. Ein Stick mit entsprechenden Daten und Programmen dient grundsätzlich der Authentifizierung und Identifizierung mit PIN-Code.

Anbieter: Migros Bank, UBS, ZKB

Sicherheit: 5
Komfort: 4

  • SMS (mTAN): Die die Bank verschickt nach dem ersten oder zweiten Login-Schritt eine SMS an die Handy-Nummer des Kunden mit dem Code, der auf der E-Banking-Seite eingegeben werden muss.

Anbieter: Credit Suisse, Raiffeisen, ZKB
Sicherheit: 4
Komfort: 5 von 5 Punkte

  • Mobile ID: Beim Login am PC erscheint auf dem Handy ein Hinweis, dass ein Login-Versuch stattfindet. Nun wird ein zusätzlicher zweiter PIN-Code am Handy eingegeben, um die Anmeldung abzuschliessen. Aktuell funktioniert das Verfahren nur mit Swisscom. Sunrise- und Orange-Kunden müssen sich noch bis Ende Jahr gedulden.

Anbieter: PostFinance

Sicherheit: 5
Komfort: 5

  • Phototan: Dieses Verfahren benötigt eine App auf dem Smartphone. Beim Login wird auf der Bankenwebseite ein farbiges Mosaik angezeigt. Dieser Farbcode wird abfotografiert. Die App errechnet einen Code, den man auf der Webseite eingeben muss.

Anbieter: Raiffeisen

Sicherheit: 5
Komfort: 5

  • Codeliste:Die Codes sind auf einer physischen Liste. Beim Login wird der Listenplatz vorgegeben, der entsprechende Code dann am PC eingetippt.

Anbieter: Raiffeisen

Sicherheit: 3,5
Komfort: 4

  • Sicherheits-Token SecurID: Hier handelt es sich um ein kleines Gerät, das per Knopfdruck einen Sicherheitscodes anzeigt, der beim Login auf der Webseite zum Benutzernamen und Passwort eingegeben werden muss.

Anbieter: Credit Suisse

Sicherheit: 4,5
Komfort: 4

photoTAN und Mobile ID überzeugen

Überzeugen konnten danach besonders zwei Systeme: photoTAN von Raiffeisen und Mobile ID von PostFinance. Diese zwei Verfahren erhielten in punkto Sicherheit und Komfort die volle Punktzahl. Beide Methoden nutzen ausser Benutzernamen und Passwort das Smartphone zur Verifizierung.

 Hier die Übersicht der wichtigsten Schweizer Onlinebanken

pctipp1

Welche Schweizer Privatbank bietet an der Börse nun das grösste Potenzial?
Welche Schweizer Privatbank bietet an der Börse nun das grösste Potenzial?
  • Julius Bär, weil der Kurs seit dem Signa-Debakel genügend gesunken ist.
    20.22%
  • Vontobel, weil das Unternehmen 2024 die Wende im Asset Management schaffen wird.
    8.81%
  • EFG International, weil die Bank keinerlei interne Probleme bekundet und stark wächst.
    14.94%
  • UBS, weil die Grossbank auch als Privatbank enormes Potenzial bietet.
    46.39%
  • Banque Cantonale Vaudoise, weil sie unter den Kantonalbanken ein grosses Private Banking anbietet.
    9.64%
pixel