Dit blijkt althans uit onderzoek van Comsec Security Consulting, een specialist in beveiligingsconsultancy. Aangezien het gebruik van de online bankierdiensten enorm is gestegen, zijn ook de risico's van identiteitsfraude door onder andere phishing enorm toegenomen, aldus de consultant.

Het onderzoek heeft zich gericht op de vraag of er een verband bestaat tussen iets oudere beveiligingsconcepten en de hedendaagse risico's. Daarvoor heeft Comsec gekeken welke eisen banken wereldwijd stellen aan de identificatie van hun klanten bij het internetbankieren en hoe makkelijk het voor buitenstaanders is om deze beveiliging te omzeilen.

Onder de ruim dertig banken die zijn onderzocht waren onder andere de Nederlandse Rabobank, ABN Amro, SNS Bank, ING, de Postbank en de Belgische Dexia Bank. Daarnaast zijn diverse andere Europese, Amerikaanse en Aziatische banken bekeken.

Geavanceerd

Comsec stelt dat banken het nodige hebben gedaan aan het verbeteren van hun beveiliging. Banken gebruiken steeds vaker geavanceerde identificatiemethoden. "Maar het verbeteren van de beveiligingsinfrastructuur is niet genoeg", weten de onderzoekers.

Het gebruik van identificatiemethoden verschilt per bank. Het meest populair als identificatiemethode is de tan-procedure. De klant voert zijn bankpas in in een kaartlezer en moet vervolgens zijn pincode of bankrekeningnummer intoetsen of krijgt de tan-code als sms opgestuurd. Met de code kan hij dan gebruikmaken van de dienst.

Phishing

Maar niet alle banken stellen even hoge eisen aan de identificatie. Bij eenderde van de onderzochte banken zijn alleen een gebruikersnaam en wachtwoord voldoende om toegang tot het systeem te krijgen. "Deze banken stellen hun klanten daardoor bloot aan de gevaren van diefstal van hun identiteit", aldus Comsec.

Nederlandse banken doen het volgens Henk van der Heijden van Comsec Benelux beter dan het gemiddelde. "Maar er zijn ook nog steeds Nederlandse banken waarbij het invoeren van een naam en wachtwoord voldoende is." Namen wil Van der Heijden echter niet geven.

Banken zouden daarom volgens de onderzoekers meer tijd moeten investeren in de technische mogelijkheden om te kunnen verifiëren of degene die inlogt ook werkelijk de rekeninghouder is. Hierbij valt te denken aan een digitale handtekening of biometrische informatie. Als een klant namelijk eenmaal ingelogd is op zijn account hoeft hij zich bij 67 procent van de onderzochte banken niet opnieuw te identificeren zolang hij gebruik maakt van de dienst.

Bij drie van de tien banken die geen gebruik maken van de tan-procedure of smartcards hoeven gebruikers bovendien niet eens hun initiële password te wijzigen. Daardoor zijn deze gebruikers een nog makkelijkere prooi voor phishing, besluit Comsec.