Einige Banken nehmen vermeidbare Risiken für die Privatsphäre und Sicherheit ihrer Kunden in Kauf. Das ergab eine aktuelle Untersuchung von Cliqz, einem Anbieter von Browsern mit integrierten Schnellsuch- und Datenschutz-Funktionen. Trackende Elemente, die Daten an dritte Unternehmen senden, finden sich nicht nur auf der Homepage mancher Institute, sondern teilweise auch beim und nach dem Login in den persönlichen Konto-Bereich sowie auf der Logout-Seite.
„Man sollte glauben, Bankgeschäfte seien auch im Internet etwas streng Vertrauliches – eine Sache nur zwischen Kunde und Bank. Das ist unserer Untersuchung nach leider nicht immer der Fall: Tracking-Technologien Dritter erheben ebenfalls Daten“, so Dr. Marc Al-Hames, Geschäftsführer von Cliqz. „Manche Banken gefährden unnötigerweise die Sicherheit und Privatsphäre ihrer Kunden.“
Das Risikopotenzial ist der Einschätzung der Cliqz-Experten zufolge unterschiedlich groß, je nachdem wo die Tracker sitzen und welche Technologien (Cookies, Fingerprinting, Javascript) im Einsatz sind. Im harmlosesten Fall erhalten Dritte Daten anhand derer sie identifizieren könnten, wer bei der jeweiligen Bank ein Konto führt. Im schlimmsten Fall eröffnen Javascript-Technologien Angriffspunkte für Hacker.
Schlusslicht der Stichprobe: N26
Die meisten Tracker entdeckten die Cliqz-Experten auf den Seiten von N26 (ehemals Number26). Beim oder nach dem Login sowie auf der Logout-Seite wurden Daten unter anderem an Google und Facebook gesendet. Teils führte Software dritter Unternehmen Javascript auf den Seiten aus.
Cliqz beurteilt in der Untersuchung nicht, wie vertrauenswürdig die dritten Parteien sind, welche Vereinbarungen zwischen Banken und dritten Parteien getroffen wurden, welchen Zweck die trackenden Technologien haben, ob Bankkunden dem Tracking zugestimmt haben, ob es rechtlich zulässig ist und wie groß die tatsächlichen Gefahren sind. Die Ergebnisse zeigen bei einigen Banken jedoch potenzielle Risiken für die Privatsphäre und Sicherheit auf. Dass solche Risiken vermeidbar sind, zeigen die Beispiele von Banken, die weder auf der Login-Seite, noch nach dem Login oder auf der Logout-Seite dritte Parteien zulassen. In der Stichprobe waren dies fünf von zwölf.
Kein Tracking (weder beim Login, nach dem Login noch beim Logout):
•DAB-Bank
•Hypovereinsbank
•Postbank
•Stadtsparkasse München
•Volksbank Mittelhessen
Mindestens ein trackendes Element dritter Firmen(entweder beim Login, nach dem Login oder beim Logout):
•Comdirect
•Commerzbank
•Consorsbank
•Deutsche Bank
•DKB
•ING Diba
•N26 (ehemals Number26)
Wie die eigene Bank abschneidet, können Nutzer des Cliqz Desktop Browsers (für Windows, Mac und Linux) sowie der Cliqz-Erweiterung für den Firefox-Browser selbst herausfinden: Cliqz kostenlos herunterladen (https://cliqz.com) und im Anti-Tracking-Fenster sehen, welche Unternehmen sich auf den Online-Banking-Seiten tummeln.
Interview mit Claudia Zimmermann
