Der Untersuchung zufolge erhielt kein einziges Angebot die Note "sehr gut". Zwei Banken, die sich ein technisches System teilen, erhielten ein "gut", elf weitere ein "befriedigend" und sechs Banken nur ein "genügend".
Die Mindestvoraussetzung für sichere Internet-Kommunikation ist bei allen untersuchten Finanzinstituten vorhanden. Dazu gehören verschlüsselte Datenübertragung, passwortgesicherter Zugang und Verwendung von Einmalcodes (TANs) bei Transaktionen.
Bereits bei den verwendeten TAN-Verfahren gibt es allerdings große Qualitätsunterschiede. So werden immerhin bei 22 Prozent der Banken veraltete Verfahren genutzt. Nur die beiden mit "gut" bewerteten Institute setzen ausschließlich auf das Token-Code-Verfahren. Dabei gibt ein kleines Gerät jede Minute einen 60 Sekunden lang gültigen Code aus. Digitale Signaturen setzen weniger als 0,5 Prozent aller Nutzer ein. Geringe Marktanteile haben außerdem Mobile Codes, die vom Server per SMS auf das Handy des Kunden geschickt werden.
Die Liste der Kritikpunkte ist noch viel länger. So funktionieren beispielsweise einige Online-Dienste nicht, wenn der Kunde die Sicherheitseinstellungen seines Internet Explorer 6.0 entsprechend den gängigen Empfehlungen konfiguriert. Außerdem werden bei der Kontoeröffnung häufig nicht erforderliche Daten erhoben. Das widerspricht dem Datenschutzgesetz.
Kunden besser vor Phishing schützen
Laut der Studie kann mit einfachen Maßnahmen die Phishing-Resistenz erheblich gestärkt werden. Mit der Einführung einer Bank-Servicecard mit Informationen, wie Web-Adresse, Zertifikatsdaten, Hotline- und Sperrnummern könnten schon viele Gefahren beseitigt werden.
Verbesserungswürdig sind zudem die Sperrmöglichkeiten des Online-Kontos bei Verdacht eines Missbrauchs. Insbesondere fehlen klare Vereinbarungen darüber, wie schnell Sperren wirksam werden. Bei vielen Instituten ist es außerdem nicht möglich rund um die Uhr ein Konto zu sperren.
Der Analyse zufolge geben auch reine Online-Banken keine Verfügbarkeitsgarantie für ihre Dienste. Sogar den Vorschriften über die Registrierung der Online-Banking-Angebote im Datenverarbeitungsregister kommen die Finanzinstitute nicht oder nur ungenügend nach. Lediglich ein Anbieter ermöglicht Limits für Online-Überweisungen. Ebenso verhindert nur ein einziges System das Festlegen unsicherer Zugangspasswörter.
Für die Untersuchung "Studienbericht Online Banking" testete Arge Daten im Auftrag des österreichischen Sozialministeriums 19 Banken in Österreich. Überprüft wurden zehn unterschiedliche technische Systeme von sieben Herstellern.