Onlinebanking funktioniert natürlich auch ohne Gnucash, Moneyplex und HBCI – nämlich über SSL-gesicherte Browserverbindungen. Linux-Magazin-Leser berichteten aber immer wieder über Probleme bei der Darstellung. Was ist dran?
Immer wieder schreiben Leser an das Linux-Magazin, weil sie mit dem Onlineservice ihrer Hausbank unzufrieden sind. Manchmal sehen die Seiten grauenvoll aus, manchmal werden Anwender mit Linux als Betriebssystem systematisch ausgesperrt – Anlass genug, die Sache gründlicher zu untersuchen. Sechs Banken müssen stellvertretend für Deutschlands Finanzwelt zeigen, ob sie nur an Kunden mit Windows und Internet Explorer interessiert sind.
Das Unterfangen gestaltete sich schwieriger als gedacht: Viele Banken haben offenbar eine angeborene Testallergie (Kasten “Ein Test? Nein danke!”) und sträuben sich gegen solche Analysen. Deshalb mussten zum Teil die echten Bankkonten einiger Linux-Magazin-Redakteure herhalten. Bei den Sparkassen und den Volks- und Raiffeisenbanken kommt das Problem hinzu, dass sie keine organischen Großbanken, sondern Zusammenschlüsse vieler kleiner Banken sind, die in Sachen IT gern ihr eigenes Süppchen kochen.
In einem anderen Punkt gleichen alle Testkandidaten einander aber sehr: Keine Bank hält sich an W3C-Standards, alle begutachtete Seiten verfehlen den Test mit dem Validator [validator.w3.org] – meist erheblich. Daran gemessen ist es erstaunlich, wie gut die Seiten dennoch funktionieren. Von kleineren Ausrutschern abgesehen läuft alles – und sieht gut aus. Warum man sich aber nicht auf etablierte Standards wie HTML 4.01 verlässt, bleibt unverständlich.
Wenn die Seite mehr verlangt, als HTML und CSS hergeben, greifen die Designer zu Java und Javascript (ECMA-Skript) – aber mit mehr Glück als Programmierkunst. Die meisten Angebote führen in den Browserkonsolen zu Fehlermeldungen. Die Mehrzahl der Banken setzt bei ihren Onlinekunden (noch?) keine Breitbandanschlüsse voraus. Nur wenige Seiten sind mit auffällig großen Grafiken oder Java-Monstern aufgepeppt. So gesehen steht auch dem mobilen Banking nichts Größeres im Wege.
Das Aussieben von Benutzern mit bestimmten Browsern oder Betriebssystemen findet nur in einem Fall statt, Comdirect mag keine Benutzer mit dem Konqueror. Ansonsten wird anscheinend niemand ausgesperrt – schon aus marktwirtschaftlichen Überlegungen eine weise Strategie.
|
Ein Test? Nein |
|---|
|
Ursprünglich wollte das Linux-Magazin einen richtigen Vergleichstest durchführen, mit einer identischen Testplattform für alle Kandidaten. Dazu wäre die Unterstützung der Banken notwendig gewesen; es macht sich in Schufa-Statements für eine Einzelperson nicht so toll, ein Dutzend Konten zu eröffnen und nach ein paar Tagen wieder zu löschen. Doch die meisten Banken wollten offenbar nicht getestet werden. Und nicht jede Bank hat einen technisch gleichwertigen Demo-Zugang, in dem man sich gefahrlos austoben darf. Wenn das Stichwort “Test” fiel, war von einigen Pressesprechern nichts mehr zu hören. Hier sei die Commerzbank lobend erwähnt, die schriftlich bestätigte, dass ihr Demo-Konto einem echten genau gleiche. Die Sparkassen und Volks- und Raiffeisenbanken als Bankenzusammenschlüsse pflegen zudem eine inhomogene IT, ein paar Insellösungen eingeschlossen. Das Linux-Magazin sah sich aus Gerechtigkeitsgründen außer Stande, eine Sparkasse und ein VR-Institut als repräsentativ auszuwählen. Beide Vereinigungen reagierten nicht auf die Anfrage, doch ein Musterinstitut zu benennen. |
Advancebank
Bei der Tochter des Allianz-Konzerns ist man dem Pinguin ganz offiziell hold. Neben Internet Explorer und Netscape bis Version 7 supported die Advancebank Mozilla explizit, wobei sie eventuelle Fontprobleme des Letzteren in den FAQs behandelt. Es gibt eine fünfseitige Bedienanleitung als PDF-Datei, die Browser und Betriebssysteme auflistet. Konqueror steht nicht drin, funktioniert aber trotzdem. Wer will, kann sogar mit Lynx seine Kontostände abfragen.
Unterm Strich trüben nur leichte Darstellungsfehler wie das etwas zu schmal geratene Feld für das Datum (Konqueror) die Freude der Pinguin-Jünger. Zwei Cookies zeugen von geringer Datensammelleidenschaft, womit Überwachungskritiker gut surfen. Auch mit Javascript wird gespart, was Probleme reduziert. Die Geschwindigkeit der Seiten ist seit der letzten Site-Umstellung etwas träger geworden, aber immer noch sehr gut. Informationen zum Thema Sicherheit sind leicht zu finden, was das Bild abrundet. Fazit: Uneingeschränkt Linux-tauglich.
Abbildung 1: Die Advancebank kümmert sich schon lange um Linux-Kunden.
Abbildung 2: Wenn Comdirect einen Browser nicht mag, behauptet sie einfach, die Webseite seit ausgefallen.
Comdirect
Die Commerzbank leistet sich neben einer eigenen Internetpräsenz eine echte Internettochter, die Comdirect. Deren Webseiten bieten nicht so viele Funktionen wie die der Großbank, hübsch sind sie aber auch. Linux ist hier bekannt, in der Anleitung erwähnt die Bank, dass mit Linux-Browsern keine Probleme bekannt seien – Support möchte die Bank dafür jedoch nicht leisten.
Im Test gab es mit Mozilla keine Probleme, mit Opera kam es zuweilen zu Abstürzen. Comdirect siebt über eine Browserweiche Konqueror-Besitzer aus: Das System behauptet einfach, dass die Brokerage-Sektion zurzeit nicht verfügbar sei. (Abbildung 2).
Vorbildlich ist dagegen der völlige Verzicht auf Cookies, auch Sicherheitsbewusste können ohne Bestätigungsarien bequem banken. Sehr gut ist auch, dass Comdirect es geschafft hat, Java und Javascript so zu bauen, dass keine Fehlermeldungen zu Protokoll genommen werden. Auch ihre Geschwindigkeit gefällt. Fazit: Comdirect ist nur mit Mozilla und Netscape Linux-tauglich, dann aber voll.
Commerzbank
Die Präsenz der Commerzbank ist die üppigste im Test. Schon die Homepage lädt diverse Grafiken und startet mehrere Applets. Sicherlich ist es komfortabel, Xetra-Dax und einen Ticker stets up to date im Blick zu haben, aber der Komfort kostet Bandbreite. DSL sollte man schon haben. Die Bankingseite ist genauso ausladend. Sie bietet Funktionen en masse. Wer so viel geboten bekommt, muss nicht mehr in die Filiale gehen. Zudem integriert die Commerzbank Portfolio- und Kreditkartenmanagement in ihre Bankingseite.
Die Fontgrößen-Verwaltung gelingt der Commerzbank nicht so gut, mit Opera sind die Schriften in der Standardeinstellung ziemlich klein, wenn man X11 mit großer Auflösung benutzt (hier 1600 mal 1200). Zudem hat sich an vielen Stellen der Coba-Seiten ein beliebter Bug eingeschlichen, nämlich den nicht-umbrechenden Leerraum » « ohne das abschließende Semikolon zu schreiben (siehe Abbildung 3). Was Mozilla und Opera (genau wie der IE) tolerieren, mag Konqueror nicht.
Probleme mit Browserweichen und Cookies gab es nicht. Nur die Commerzbank weist außerdem darauf hin, dass sie HBCI unterstützt, und bietet die Freischaltung der elektronischen Signatur an. Fazit: Von ein paar Konqueror- und Fontproblemen abgesehen – uneingeschränkt Linux-tauglich.
Abbildung 3: Hier fehlt der Commerzbank das abschließende Semikolon beim Leerraum » «.
Abbildung 4: Mit diesem Testkonto ließen sich gute Geschäfte machen. Im Portfolio bekommt man von der Commerzbank 50 Aktien der Deutschen Bank (!) geschenkt (Kaufpreis 0 Euro) und kann sie zu 72,60 Euro verkaufen – fast 20 Euro über dem aktuellen Kurswert.
Abbildung 5: Die Deutsche Bank hat nicht sehr viele Funktionen im Onlinebanking, aber alles Wichtige ist dabei.
Deutsche Bank
Seit kurzem trägt die Online-Dependance der Deutschen Bank nicht mehr die “24” im Namen, ansonsten hat sich nicht viel geändert. Angenehm fällt bei der größten germanischen Bank auf, dass sich die Onlinepräsenz vornehm zurücknimmt. Keine ausladenden Java- oder Javascript-Orgien, nicht viel grafischer Schnickschnack. Die Folge: Sowohl die Homepage als auch die Bankingseiten laden sehr schnell, auch auf langsamen Leitungen.
Bei Cookies gibt es Erfreuliches zu melden: Es sind nur drei, das freut Browserbesitzer, die jedes Cookie bestätigen wollen. Es wird keine Browserweiche sichtbar und eine »Browser-Update«-Funktion zeigt, dass sich die Deutschbanker der Existenz von Browsern jenseits von IE und Netscape bewusst sind. Man kann im Extremfall die Seite sogar ohne Javascript bedienen.
Die Fonts sind gut dimensioniert und auf allen drei Browsern gut lesbar. Das Problem mit dem Eurozeichen umgeht auch die Deutsche Bank dadurch, dass sie statt des Symbols nur die ISO-Abkürzung EUR verwendet. Vermisst hat der Tester jedoch eine Hilfe. Zwar ist die Bankingseite durchaus intuitiv, aber es könnte ja doch eine Frage aufkommen. Dafür hat die DB-Seite eine Bedienungsanleitung, die man vor dem Anmelden als PDF herunterladen muss – danach wird sie nicht mehr gezeigt.
Sehr gut gefällt dafür die Tatsache, dass beim Einloggen immer eine Sicherheitsinformation angeboten wird, die auch auf aktuelle Browserversionen hinweist. Fazit: Uneingeschränkt Linux-tauglich.
|
Verschenkte |
|---|
|
Dass Banken ihre Webauftritte kundenfreundlich gestalten und die Benutzer mit möglichst wenigen Klicks zu den gewünschten Inhalten führen, ist lobenswert. An einer Stelle geht das aber viel zu weit: Eingabefelder für Benutzerkennung und PIN gehören nicht auf eine Seite, die der Server per HTTP (ohne SSL/TLS) zum Browser schickt. Auf den Startseiten einiger Banken ist aber genau das der Fall! Beispiel Hypovereinsbank: Wer [www.hypovereinsbank.de] in seinen Browser eintippt, erhält [http://www.hypovereinsbank.de/pub/home/home.jsp] – eine ungeschützt übertragene Seite inklusive Direct-Banking-Login (siehe Abbildung 6). Unter dem Eingabefeld soll ein stilisiertes Vorhängeschloss den User davon überzeugen, dass seine Daten verschlüsselt übertragen werden. Wer darauf klickt (und Javascript aktiviert hat) darf dann die Sicherheitsinfos lesen. Der Bankkunde kann jedoch praktisch nicht überprüfen, ob das tatsächlich stimmt. Er müsste den Quelltext der Seite analysieren – bei 1200 Zeilen keine leichte Aufgabe. Wenn ein Angreifer die Webseite während der Übertragung modifiziert, kann er sich problemlos Kennung und PIN zusenden lassen. Geht der Datendieb geschickt vor, bemerkt der Bankkunde nichts davon – ein Redirect zur echten Bankingseite genügt. Ab jetzt schützt zwar SSL die Verbindung, für Kennung und PIN ist das aber zu spät. Im Ergebnis täuscht diese Homepage eine nicht vorhandene Sicherheit vor. Der Kunde kann sich aber selbst helfen: Er muss nur [https://www.hypovereinsbank.de] eingeben, dann erhält er die Startseite per sicherem SSL/TLS – verschlüsselt, authentifiziert und Integritäts- gesichert. Am besten setzt er ein Bookmark auf diese Seite, um Tippfehler zu verhindern, denn hinter einer falsch geschriebenen URL kann sich auch eine gefälschte Bankseite verbergen. (fjl)  Abbildung 6: Die Homepage der Hypovereinsbank enthält ein Login-Feld für das Onlinebanking. Da die Seite ohne SSL übertragen wurde, könnte sie im schlimmsten Fall manipuliert worden sein und den Kunden in falscher Sicherheit wiegen. |
Hypovereinsbank
Die Hypovereinsbank gibt sich im Netz fast ebenso opulent wie die Commerzbank, jedoch unterlaufen ihr dabei einige unnötige Patzer. Eigentlich ist ihr Design ansprechend und übersichtlich, annähernd perfekt aber nur mit dem IE unter Windows. Bei Opera fehlen sogar einige Beschriftungen: Der Kunde muss raten, in welches Feld er seine Kennung und wo die PIN eingeben soll. Unter Opera tritt der seltsame Effekt auf, dass manche Funktionen nach längerer Benutzung ausfallen. Passiert ist uns das regelmäßig nach dem Versuch, den Kalender (ein Zusatztool beim Überweisen) zu benutzen.
Scrollbars hält die Hypovereinsbank wohl für nicht hip genug, weshalb man sie durch selbst programmierte Javascripts ersetzt hat, die per DHTML geladen werden. Alle Non-IE-Browser scheitern hier: Was die Scrollmenüs (linke Spalte) nicht von sich aus anzeigen, ist auch nach einem Scrollversuch nicht zu sehen. Selbst unter Windows ist diese Funktion schlecht zu nutzen, da sich der Text so lange bewegt, wie der Mauszeiger über den Buttons ruht.
Auch beim Konqueror hat es der HV-Bankkunde manchmal schwer: Die Seite setzt die Breite einer Dropdown-Liste (siehe Abbildung 7) so schmal, dass nur noch der Scrollbar zu sehen ist. Die Auswahlliste bleibt dabei im Verborgenen – den Tag für Anfang und Ende der Umsatzliste festlegen ist fast möglich. Die Fonts sind bei Mozilla und Konqueror manchmal etwas zu groß (absolute Größe angewiesen), aber lesbar.
Diese Schrullen beeinträchtigen die generelle Funktion in der Regel nicht dauerhaft. Bei Cookies ist die Bank erfreulich zurückhaltend. Dennoch ist die optische Opulenz ein Bremsfaktor, die Internetanbindung sollte nicht zu träge sein. Fazit: Mit kleinen Einschränkungen für Linux geeignet.
Abbildung 7: Wer mit Konqueror den Zeitraum seiner Umsatzliste ändern will, muss bei der HVB raten: Die Dropdown-Liste (links) ist viel zu schmal geraten.
Abbildung 8: Die große Übersicht aller Konten bei der Postbank. Auf ihrer Login-Seite kann sich der Kunde sogar um einen Job bewerben.
Postbank
Auch die Postbank – eine Tochter der Deutschen Post – bietet umfangreiches Onlinebanking (Abbildung 8). Dabei verzichtet sie offenbar darauf, Linux-Anhänger zu diskriminieren: Ihre Onlinepräsenz lief unter allen getesteten Browsern reibungslos – auch ohne Javascript. Kleiner Patzer: Im Test geschah das erste Laden der Unterseite für das Banking [banking.postbank.de] nicht über eine gesicherte Verbindung, sondern unverschlüsselt, was zu dem gleichen Problem wie bei der Hypovereinsbank führt (siehe Kasten “Verschenkte Sicherheit”). Das Verhalten war später nicht mehr reproduzierbar – wahrscheinlich wurde an der Seite gerade gearbeitet.
Auf Mozilla könnten die Fonts größer sein, doch richtig störend wirkt es nicht. Interessant ist, dass die Postbank auf der Login-Seite die Kunden nicht nur nach ihrer Meinung fragt, sondern um Mitarbeit bittet: Man kann sich gleich online für einen Job bewerben. Trotz des grafisch aufwändigen Designs sind die Lade- und Bildaufbauzeiten kurz, das spricht für die Webdesigner. So kommen auch Besitzer langsamer Leitungen in den Genuss der hübschen Seite.
Auch die Postbank-Präsenz nervt nicht mit Cookie-Orgien. Im Hintergrund arbeitet ein Javascript als Browserweiche und testet, welches Document Object Model, sprich: welcher Browser, am Werk ist. Sehr gut ist, dass die Javascript-Konsole nur eine einzige Fehlermeldung zu Protokoll nehmen muss. Es geht wohl sogar ohne dieses Skript, denn die Seite läuft auch mit abgeschaltetem Skripting. Fazit: Uneingeschränkt Linux-tauglich.
Fazit & Aufruf
Homebanking in Deutschland funktioniert auch mit Linux-Desktops! Von Patzern wie bei der Hypovereinsbank abgesehen haben offenbar alle Banken – auch jene, die nach eigenem Bekunden Linux und seine Nicht-Mainstream-Browser nicht unterstützen – ausreichend unter Linux getestet.
Das widerspricht in dankenswerter Weise dem Eindruck, den die Linux-Magazin-Redaktion aus Leserbriefen der letzten Monate gewonnen hatte: Die Bankenwelt habe sich gegen ihre Linux-Endkunden verschworen. Das recht ordentliche Bild, das die Großbanken hier hinterlassen – oft entgegen ihren Willen -, kann und sollte Kunden kleinerer oder ausländischer Institute ermuntern, guten Gewissens Linux-Support einfordern, falls nicht schon vorhanden.
Um mehr Licht in das vermeintliche Dickicht anderer Institute zu werfen, ruft das Linux-Magazin auf: Diskutieren Sie mit der Redaktion und anderen Onlinebank-Kunden über Ihre Erfahrungen und schildern Ihre Erlebnisse. Dazu gibt es ein extra Forum auf [www.linux-community.de]. Wir sind gespannt. (jk)
|
Tabelle |
|---|
|
|
