Sicherheit beim Online-Banking – Tipps und Hinweise

Online Banking Sicher

Egal ob online oder offline, das A und O des sicheren Online-Bankings ist: Kein Unbefugter darf in Ihrem Namen Aufträge von Ihrem Bankkonto ausführen können. Konkret beim Online-Banking kann man nur einen Auftrag ausführen, wenn man die zugehörigen persönlichen Zugangsdaten sowie das korrekte Authentifizierungsmittel benutzt. Unbefugte dürfen also diese beiden nicht in ihre Hände bekommen.

Unbedingt sollten Sie ein paar Dinge beachten, wenn Sie Online-Banking nutzen.

Persönliche Zugangsdaten: Benutzerkennung Passwörter und PINs

Mit den persönlichen Zugangsdaten melden Sie sich bei Ihrem Online-Konto an und können sich dann etwa Kontostand und Kontobewegungen anzeigen lassen. Diese Zugangsdaten erhalten Sie meist per Post von Ihrer Bank. Sie bestehen in der Regel aus zwei Teilen:

  • Eine Benutzerkennung: Eine Zeichenfolge (Benutzer- oder Anmeldename) oder manchmal auch einfach die Kontonummer
  • Passwort oder PIN: Passwörter sind Zeichenfolgen, während PINs („Persönliche Identifikationsnummer“) Ziffernfolgen sind. Welche Sie erhalten, hängt von der jeweiligen Bank ab. Manche Banken verwenden auch eine Kombination aus Passwörtern und PINs.

Mit den persönlichen Zugangsdaten kann man allerdings noch keine Bankaufträge ausführen. Hierzu benötigen Sie zusätzlich noch ein Authentifizierungsmittel.

Authentifizierungsmittel: TANs oder Digitale Signatur

Mithilfe des Authentifizierungsmittel ‚unterschreiben‘ Sie sozusagen einen Bankauftrag. Da dies der für die Sicherheit der wesentlichste Schritt darstellt, gibt es hier immer wieder neue Verfahren und Mittel, aus denen Sie wählen können.

eTAN, iTAN, mTAN: Welche denn nun?

Derzeit am häufigsten angeboten wird das sogenannte PIN/TAN-Verfahren. Eine TAN besteht aus einer Ziffernfolge, die genau einmal für einen Bankauftrag verwendet wird. Die Bank erzeugt die TANs und stellt sie Ihnen über unterschiedliche Mittel – als gedruckte TAN-Liste, mithilfe eines TAN-Generators oder über das Mobiltelefon – bereit. Der Kunde setzt die TAN dann als ‚Unterschrift‘ unter einen Bankauftrag und weist mit der TAN der Bank gegenüber nach, dass er dazu berechtigt ist.

Die verschiedenen TAN-Verfahren und ihre Sicherheitsbewertung:

TAN-VerfahrenSicherheit
i-TANUnsicher
m-TANRelativ sicher
Push-TANHohe Sicherheit
App-TANHohe Sicherheit
Chip-TANHohe Sicherheit
Photo-TANHohe Sicherheit

Egal ob iTAN-Verfahren, Chip- TAN oder App-TAN: Jeder Fremde, dem sowohl die persönlichen Zugangsdaten als auch Authentifizierungsmittel in die Hände fallen, kann in Ihrem Namen auf Ihr Konto zugreifen und Überweisungen tätigen. Sicheres Online-Banking heißt also zu jeder Zeit zu verhindern, dass Unbefugte Zugriff darauf erhalten.

Sicheres Online-Banking: Wie gehe ich vor?

Die nächsten Abschnitte beschreiben die grundsätzlichen Maßnahmen für sicheres Online-Banking. Der Schwerpunkt liegt dabei auf dem verbreitetsten Online-Banking mit dem Webbrowser und per PIN/TAN-Verfahren. Die Maßnahmen gelten aber auch für die Benutzung einer Finanzsoftware bzw. mit dem Digitale-Signatur-Verfahren.

Das richtige Vorgehen

Online-Banking vorbereiten

Am Anfang des Online-Bankings melden Sie sich der Bank Ihrer Wahl zum Online-Banking an. Bereits jetzt sollten Sie einige Sicherheitsmaßnahmen treffen. Informieren Sie sich hierzu auch bei Ihrer Bank. Dort erfahren Sie nicht nur, was die Bank für die Sicherheit tut, sondern auch, welche Rechte und Pflichten Sie gegenüber der Bank haben, und unter welchen Bedingungen sie Sie in einem Schadensfall unterstützt.

Postsendungen nur unbeschädigt akzeptieren

Die Zugangsdaten sowie Authentifizierungsmittel – TAN-Listen, TAN-Generator oder Chipkarte – erhalten Sie in der Regel per Post zugesendet. Achten Sie darauf, dass diese Postsendungen unbeschädigt und ungeöffnet sind. Anderenfalls könnte jemand bereits darauf zugegriffen haben, bevor Sie überhaupt mit dem Online-Banking begonnen haben. Bestellen Sie in diesem Falle besser gleich Ersatz von Ihrer Bank.

Daten und Mittel sicher aufbewahren

Bestimmen Sie für die Zugangsdaten sowie das Authentifizierungsmittel sichere Aufbewahrungsorte. Diese müssen scheinbar gegensätzliche Eigenschaften erfüllen: Zum einen müssen sie sicher vor dem Zugriff anderer sein, zum anderen sollten sie für Sie komfortabel erreichbar sein. Denn wenn es zu umständlich wird, die Mittel und Daten jedes Mal hervorzuholen, dann gehen im Alltag viele Menschen dazu über, diese dann doch für andere zugreifbar liegenzulassen.

Weiterhin sollten Sie beachten:

  • Authentifizierungsmittel wie TAN-Listen, Chipkarte oder TAN-Generator müssen getrennt von den Zugangsdaten (Nutzerkennung, Passwörter, PIN) aufbewahrt werden.
  • Viele Banken verbieten explizit, Zugangsdaten und TAN-Listen im Computer zu speichern. Dies schließt auch die Aufbewahrung in Kennwortverwaltern oder im Mobiltelefon ein.

Computer vorbereiten

Die Bank fordert von Ihnen, dass Sie Ihren Computer ausreichend sichern. Hierzu gehört die Installation einer modernen Antiviren-Software und eine aktivierte Firewall, ein sicheres Betriebssystem und ein sicherer Webbrowser (oder Finanzsoftware).

All diese Software muss stets aktuell gehalten werden. Bei der Antiviren-Software etwa sollte die automatische Aktualisierung der Virendefinitionen eingestellt sein. Lassen Sie Ihren Computer in regelmäßigen Abständen auch durch die Antivirus-Software auf Schadsoftware durchsuchen.

Ihre Internet-Verbindung sollte abgesichert sein: Verwenden Sie eine gesicherte WLAN-Verbindung (WPA2) mit starken Passwörtern für die Verbindung und den Internet-Router. Vermeiden Sie auch, Online-Banking über unbekannte Verbindungen wie etwa Hotspots durchzuführen, oder treffen Sie zusätzliche Sicherheitsmaßnahmen.

Informieren Sie sich bei Ihrer Bank, ob diese weitere konkrete Anforderungen an Sie stellt.

Und lesen Sie unbedingt unseren Virenschutz Leitfaden. Wer es ganz sicher haben möchte, führt Bankgeschäfte nur per Live-CD durch.

Notfallinformationen bereitlegen

Wenn trotz aller Sicherheitsvorkehrungen dennoch ein Schadensfall eintritt, ist Eile geboten. Je schneller ein Schaden bemerkt wird und je schneller Sie richtig reagieren, desto geringer ist der Schaden. Darum sollten Sie wissen, wie Sie einen Schaden bemerken und was in einem solchen Fall zu tun ist. Selbst bei einem unguten Gefühl oder Verdachtsmoment ist es ratsam, vorsichtshalber bei der Bank nachzufragen.

Legen Sie sich daher jetzt schon alle wichtigen Informationen für solche Fälle bereit. Jede Bank bietet spezifische Telefonnummern und Prozeduren für solche Fälle an. Praktisch ist auch der „Sperr-Notruf“ 116 116 (siehe unten), mit dem Sie sich rund um die Uhr zur Notfallnummer Ihrer Bank weiterleiten lassen können.

Eine Online-Banking-Sitzung

Wenn Vorbereitungen getroffen sind, kann das Online-Banking beginnen! Die folgenden Schritte sollten Sie bei jeder Online-Banking-Sitzung einhalten, um sie sicher zu gestalten. Diese Schritte erscheinen am Anfang vielleicht noch umständlich, werden aber schnell zur Routine.

Immer gilt, aufmerksam beim Online-Banking zu sein und genügend Zeit und Konzentration für Ihre Bankgeschäfte zu haben, so dass Sie eventuelle Änderungen oder Merkwürdigkeiten bemerken und Flüchtigkeitsfehler vermeiden.

Online-Banking – Schritt für Schritt

Am Anfang: Computer und Internet, Online-Banking-Daten und Mittel

Prüfen Sie Ihren Computer und die Internetverbindung: Ist Ihr Betriebssystem, Browser bzw. Ihr Finanzprogramm aktuell? Ist die Antiviren-Software aktuell und sind die neuesten Virendefinitionen heruntergeladen worden? Wann wurde der Computer das letzte Mal auf Schadsoftware durchsucht? Ist die Internetverbindung sicher?

Legen Sie sich die notwendigen Zugangsdaten und das Authentifizierungsmittel (TAN-Liste, TAN-Generator, Chipkarte oder Mobiltelefon) bereit. Dann müssen Sie während der Sitzung nicht den Computer verlassen, um noch etwas zu holen.

Bank-Webseite aufrufen

Der erste wichtige Schritt besteht darin, die richtige Bank-Webseite aufzurufen, und eine sichere Verbindung dazu aufzubauen.

Achten Sie darauf, dass Sie sich mit der korrekten Internetadresse zu Ihrer Bank verbinden. Idealerweise notieren Sie sich die richtige Internetadresse und geben diese dann jedes Mal direkt in das Adressfeld (das Textfeld oben im Browserfenster) Ihres Browsers ein. Denn Betrüger versuchen häufig, mit ähnlich lautenden Adressen auf eine gefälschte Webseite umzuleiten und Ihre Zugangsdaten zu stehlen. Verwenden Sie also keinesfalls einen Link aus einer E-Mail oder von einer anderen Webseite.

Sichere Browser-Verbindung

Browser und Bank sollten immer über eine gesicherte Verbindung kommunizieren, eine sogenannte „https“-Verbindung. Alle zwischen Ihnen und der Bank ausgetauschten Daten werden so verschlüsselt und können dadurch nur von Ihnen und der Bank gelesen werden. Die Internetadresse Ihrer Bank sollte also mit der Zeichenfolge „https://“ beginnen. Sie können dies dann auch in Ihrem Browser nachprüfen:

  • Bei vielen Browsern sehen Sie vor der Internetadresse ein „https://“; Firefox und Internet Explorer zeigen ein Vorhängeschlosssymbol an.
  • Wenn der Browser eine Warnung für ein „ungültiges Zertifikat“ anzeigt, brechen Sie die Sitzung ab. Denn dies bedeutet, dass keine sichere Verbindung zur Bank aufgebaut werden kann.
  • Brechen Sie die Sitzung auch ab, wenn davor gewarnt wird, dass Teile der Webseite unverschlüsselt übertragen werden. Denn auch das ist ein möglicher Hinweis dafür, dass die Verbindung betrügerisch manipuliert wurde.

Anmelden

Wenn Sie die korrekte Bank-Website aufgerufen haben, können Sie jetzt loslegen und sich mit Ihren Zugangsdaten anmelden.

Anmelden Online Banking

Während der Eingabe sollte Ihnen selbstverständlich keiner über die Schulter (oder auf die Tastatur) schauen können. Achten Sie auch darauf, dass Sie nicht versehentlich die Zugangsdaten im Browser speichern. Einige Browser bieten eine solche Komfortfunktion an. Diese Speicherung ist aber unsicher und wird von den meisten Banken explizit verboten. Am besten lehnen Sie die Speicherung der Zugangsdaten im Browser mit der Option „Passwörter für diese Website nie speichern“ ab.

Nach erfolgreicher Anmeldung befinden Sie sich im persönlichen Kontenbereich Ihres Online-Kontos. Hier können Sie beispielsweise Kontostand und Kontenbewegungen einsehen oder andere Informationen abrufen.

Aufträge tätigen

Um eine Überweisung oder einen anderen Bankauftrag zu tätigen, müssen Sie sich gegenüber der Bank authentifizieren: Sie werden jetzt nach einer Transaktionsnummer (TAN) gefragt.

Abhängig von dem gewählten TAN-Verfahren finden Sie Ihre TAN entweder in der TAN-Liste, aus der Sie die korrekte TAN-Nummer raussuchen; oder Sie nutzen einen TAN-Generator (mit oder ohne Chipkarte), der Ihnen die TAN berechnet; oder Sie erhalten von Ihrer Bank eine SMS mit der aktuellen TAN auf Ihr Mobiltelefon. Diese TAN geben Sie in das Formular auf der Bank-Webseite ein, um damit den Auftrag freizugeben.

Sollten Sie statt des PIN/TAN-Verfahrens eine Digitale Signatur verwenden, so hängt Anmeldung und Auftragstätigung von der jeweiligen Finanzsoftware ab. Natürlich sollten Sie dabei darauf achten, dass Sie bei der Eingabe sensibler Daten wie etwa der Chipkarten-PIN nicht beobachtet werden.

Ausloggen

Wenn Sie mit dem Banking fertig sind, loggen Sie sich unbedingt immer aus. Bleiben Sie eingeloggt, werden Sie zwar nach kurzer Zeit automatisch ausgeloggt, doch für kurze Zeit sind Sie eine angreifbare Schwachstelle. Achten Sie also darauf, sich nach jedem Online Banking auszuloggen.

Sicherheit außerhalb einer Online-Banking-Sitzung

Auch wenn Sie keine Online-Banking-Sitzung durchführen, versuchen Betrüger oder Schadprogramme, die sich auf das Ausrauben von Konten spezialisiert haben, auf immer wieder neue Arten an Ihre Zugangsdaten und Authentifizierungsmittel zu gelangen. Daher sollten Sie die nachfolgenden Punkte beachten.

Sicherheitstipps

Zugangsdaten und Authentifizierungsmittel sicher verwahren

Selbst wenn Sie sicher sind, dass Ihnen zu Hause niemand die Zugangsdaten, TAN-Liste oder TAN-Generator vom Schreibtisch entwenden kann: Verwahren Sie diese sofort nach der Online-Banking-Sitzung wieder an den sicheren Aufbewahrungsorten. Dies gilt erst recht, wenn Sie Online-Banking unterwegs benutzen müssen. Schon eine kleine Nachlässigkeit genügt, und Betrüger könnten Zugang zu Ihrem Konto erlangen.

Kontobewegungen beobachten

Es gibt keine absolute Sicherheit – dies gilt auch für das Online-Banking. Bei allen Vorsichtsmaßnahmen kann es vorkommen, dass unrechtmäßig auf Ihr Konto zugegriffen wurde. Kontrollieren Sie daher regelmäßig die Kontobewegungen auf Auffälligkeiten und melden Sie solche sofort Ihrer Bank. Handeln Sie zu spät oder gar nicht, lässt sich ein finanzieller Schaden eventuell nicht mehr verhindern.

Phishing-E-Mails und ‑Anrufe ignorieren

Vermutlich haben Sie solche E-Mails auch schon mal erhalten: Scheinbar teilt Ihnen eine Bank per E-Mail mit, dass Sie für eine „Sicherheitsüberprüfung“ einen Link anklicken und sich mit Ihren Zugangsdaten für das Online-Banking anmelden sollen; oder es wird verlangt, die Zugangsdaten und eine oder mehrere TANs einzugeben oder zuzuschicken.

Manchmal sind diese E-Mails in schlechtem Deutsch verfasst oder Sie haben gar kein Konto bei dieser Bank. Es kommt aber immer häufiger vor, dass diese E-Mails täuschend echt aussehen, als kämen Sie von Ihrer Bank. Selbst die Absenderadresse scheint real von Ihrer Bank zu sein, oder es wird gar Ihr Name, Kontonummer und Adresse genannt – aber auch hier handelt es sich um eine Fälschung!

Besonders dreist ist es, wenn Betrüger Sie anrufen und sich als Bankangestellter ausgeben. Dabei kann es sogar vorkommen, dass diese Ihren Namen und Kontonummer oder andere persönliche Daten kennen.

Daher: Ignorieren Sie solche E-Mails oder Anrufe! Klicken Sie keinesfalls auf einen der Links in den E-Mails, und geben Sie nie die Zugangsdaten oder TANs preis. Mit solchen Methoden, „Phishing“ genannt, versuchen Betrüger Ihr Online-Konto auszuräumen.

Banken verlangen niemals Ihre Zugangsdaten, weder per E-Mail noch per Telefon. Im Zweifelsfall rufen Sie Ihre Bank über die Ihnen bekannte Nummer an oder fragen persönlich bei Ihrer Bank nach.

Tipp: Moderne Virenscanner enthalten einen Schutz gegen Phishing-Versuche.

Bei Verdacht: Sofort die Bank kontaktieren

Sollten Sie einmal Zugangsdaten, TAN-Liste, TAN-Generator, Chipkarte oder das Mobiltelefon verloren haben, oder auch nur den Verdacht haben, dass diese in falsche Hände gelangt sind, dann kontaktieren Sie unverzüglich Ihre Bank! Jede Bank bietet Notfallnummern an, die Sie Tag und Nacht erreichen können. Sie benötigen hierzu in der Regel Ihre Kontonummer und weitere persönliche Daten.

Falls sie im Notfall die Nummer Ihrer Bank nicht parat haben, können sie den „Sperr-Notruf“ 116 116 (kostenlos innerhalb Deutschlands), im Ausland +49 116 116 (kostenpflichtig) anrufen. Dieser Dienst ist Tag und Nacht erreichbar und leitet zur jeweiligen Notrufzentrale Ihrer Bank weiter. Halten Sie hierzu die Bankleitzahl Ihrer Bank bereit. Weitere Informationen finden Sie auf deren Webseite https://www.sperr-notruf.de/

Sperr Notruf Bankkarte
Felix Bauer
Felix Bauer
Felix Bauer ist Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples. Zahlreiche Publikationen von Schwachstellenbeschreibungen hat er unter einem Pseudonym veröffentlicht.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und Mimikama. Er wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf seiner Internetseite.

Er besitzt den Abschluss Master of Science in Security and Forensic Computing.

Seine Spezialgebiete: Intrusion Detection, Penetration Testing of Web Applications, Network-, System-Security Analysis and Firewalling.

Er ist Mitbegründer der Initiative bleib-Virenfrei.