München, den 02. August 2016: Die Cliqz GmbH hat die Präsenz und das Verhalten von Tracking-Technologien beim Online-Banking untersucht. Die auf Stichproben basierende Studie des Anbieters von Browsern mit integrierten Schnellsuch- und Datenschutz-Funktionen offenbarte bei einigen Banken vermeidbare Risiken für die Privatsphäre und Sicherheit ihrer Kunden. Tracker von dritten Parteien finden sich nicht nur auf der Homepage der Banken, sondern teilweise auch beim und nach dem Login in den persönlichen Konto-Bereich sowie auf der Logout-Seite.
Wie die eigene Bank abschneidet, können Nutzer des Cliqz Desktop Browsers (für Windows, Mac und Linux) sowie der Cliqz-Erweiterung für den Firefox-Browser ganz einfach selbst herausfinden: Cliqz kostenlos herunterladen (https://cliqz.com), Bank besuchen und im Anti-Tracking-Fenster sehen, welche Firmen sich auf den Online-Banking-Seiten tummeln.

Das Risikopotenzial ist der Einschätzung der Cliqz-Experten zufolge unterschiedlich groß, je nachdem wo die Tracker sitzen und welche Technologien (Cookies, Fingerprinting, Javascript) im Einsatz sind. Im „harmlosesten“ Fall erhalten Dritte Daten anhand derer sie identifizieren könnten, wer bei der jeweiligen Bank ein Konto führt. Im „schlimmsten“ Fall eröffnen Javascript-Technologien Angriffspunkte für Hacker.

„Man sollte glauben, Bankgeschäfte seien auch im Internet etwas streng Vertrauliches – eine Sache nur zwischen Kunde und Bank. Das ist unserer Untersuchung nach leider nicht immer der Fall: Tracking-Technologien Dritter erheben ebenfalls Daten“, so Dr. Marc Al-Hames, Geschäftsführer der Cliqz GmbH. „Manche Banken gefährden unnötigerweise die Sicherheit und Privatsphäre ihrer Kunden.“

Schlusslicht der Stichprobe: N26
Die meisten Tracker entdeckten die Cliqz-Experten auf den Seiten von N26 (ehemals Number26). Beim und nach dem Login sowie auf der Logout-Seite werden hier Daten unter anderem an Google und Facebook gesendet. Teils führte Software dritter Firmen Javascript auf den Seiten aus.

Bild: Diese Tracker zeigte das Cliqz Anti-Tracking-Fenster im persönlichen Konto eines N26-Kunden (nach Login) am 21.Juli 2016

Vermeidbare Risiken
Cliqz beurteilt in der Untersuchung nicht, wie vertrauenswürdig die dritten Parteien sind, welche Vereinbarungen zwischen Banken und Tracking-Betreibern getroffen wurden, ob Bankkunden dem Tracking zugestimmt haben, ob es rechtlich zulässig ist und wie groß die tatsächlichen Gefahren sind. Die Ergebnisse zeigen bei einigen Banken jedoch potenzielle Risiken für die Privatsphäre und Sicherheit auf. Dass solche Risiken vermeidbar sind, zeigen die Beispiele von Banken, die weder auf der Login-Seite, noch nach dem Login oder auf der Logout-Seite Tracker dritter Parteien zulassen. In der Stichprobe waren dies fünf von zwölf.

Kein Tracking
(weder beim Login, nach dem Login noch beim Logout)

• Hypovereinsbank
• Postbank
• Stadtsparkasse München
• ING Diba
• Volksbank Mittelhessen

Mindestens ein Tracker
(entweder beim Login, nach dem Login oder beim Logout)
• Comdirect
• Commerzbank
• Consorsbank
• DAB-Bank
• Deutsche Bank
• DKB
• N26 (ehemals Number26)