bleib-Virenfrei

Sicherheit beim Online-Banking – Tipps und Hinweise

| Von Felix Bauer
Online Banking Sicher

Egal ob online oder offline, das A und O des sicheren Bankings ist, dass kein Unbefugter in Ihrem Namen Aufträge von Ihrem Bankkonto ausführen kann. Beim Online-Banking kann ein Auftrag nur mit den entsprechenden persönlichen Zugangsdaten und dem richtigen Authentifizierungsmittel ausgeführt werden. Beides darf also nicht in die Hände Unbefugter gelangen.

Es gibt einige Dinge, die Sie beim Online-Banking unbedingt beachten sollten.

Persönliche Zugangsdaten: Benutzerkennung Passwörter und PINs

Mit Ihren persönlichen Zugangsdaten können Sie sich online in Ihr Konto einloggen und z.B. Ihren Kontostand und Ihre Kontobewegungen einsehen. Diese Zugangsdaten erhalten Sie in der Regel per Post von Ihrer Bank. Sie bestehen in der Regel aus zwei Teilen

  • Eine Benutzerkennung: eine Zeichenfolge (Benutzer- oder Anmeldename) oder manchmal auch einfach die Kontonummer
  • Passwort oder PIN: Passwörter sind Zeichenfolgen, PINs („Personal Identification Number“) sind Zahlenfolgen. Welche Sie erhalten, hängt von der Bank ab. Manche Banken verwenden auch eine Kombination aus Passwort und PIN.

Mit den persönlichen Zugangsdaten können jedoch noch keine Bankaufträge ausgeführt werden. Dazu benötigen Sie zusätzlich ein Authentifizierungsmittel.

Authentifizierungsmittel: TANs oder Digitale Signatur

Mit dem Authentifizierungsmittel „unterschreiben“ Sie sozusagen einen Bankauftrag. Da dies der wichtigste Schritt für die Sicherheit ist, gibt es hier immer wieder neue Verfahren und Mittel, aus denen Sie wählen können.

eTAN, iTAN, mTAN: Welche denn nun?

Das derzeit am häufigsten angebotene Verfahren ist das so genannte PIN/TAN-Verfahren. Eine TAN besteht aus einer Ziffernfolge, die genau einmal für einen Bankauftrag verwendet wird. Die Bank generiert die TAN und stellt sie auf verschiedenen Wegen zur Verfügung – als ausgedruckte TAN-Liste mit Hilfe eines TAN-Generators oder über das Mobiltelefon. Der Kunde setzt dann die TAN als „Unterschrift“ unter einen Bankauftrag und weist mit der TAN gegenüber der Bank nach, dass er dazu berechtigt ist.

Die verschiedenen TAN-Verfahren und ihre Sicherheitsbewertung:

TAN-VerfahrenSicherheit
i-TANUnsicher
m-TANRelativ sicher
Push-TANHohe Sicherheit
App-TANHohe Sicherheit
Chip-TANHohe Sicherheit
Photo-TANHohe Sicherheit

Egal ob iTAN-Verfahren, Chip-TAN oder App-TAN: Jeder Fremde, der sowohl in den Besitz der persönlichen Zugangsdaten als auch der Authentifizierungsmittel gelangt, kann auf Ihr Konto zugreifen und in Ihrem Namen Überweisungen tätigen. Sicheres Online-Banking bedeutet daher, den Zugriff Unbefugter zu jeder Zeit zu verhindern.

Sicheres Online-Banking: Wie gehe ich vor?

Im Folgenden werden grundlegende Maßnahmen für ein sicheres Online-Banking beschrieben. Der Schwerpunkt liegt dabei auf dem am weitesten verbreiteten Online-Banking mit dem Webbrowser und dem PIN/TAN-Verfahren. Die Maßnahmen gelten aber auch für die Nutzung einer Finanzsoftware oder mit dem Verfahren der digitalen Signatur.

Das richtige Vorgehen

Online-Banking vorbereiten

Zu Beginn des Online-Bankings melden Sie sich bei der Bank Ihrer Wahl für das Online-Banking an. Schon jetzt sollten Sie einige Sicherheitsmaßnahmen treffen. Informieren Sie sich dazu bei Ihrer Bank. Dort erfahren Sie nicht nur, was die Bank für die Sicherheit tut, sondern auch, welche Rechte und Pflichten Sie gegenüber der Bank haben und unter welchen Voraussetzungen sie Ihnen im Schadensfall hilft.

Postsendungen nur unbeschädigt akzeptieren

Die Zugangsdaten sowie die Authentifizierungsmittel – TAN-Listen, TAN-Generator oder Chipkarte – erhalten Sie in der Regel per Post. Achten Sie darauf, dass diese Postsendungen unbeschädigt und ungeöffnet sind. Sonst könnte jemand schon darauf zugegriffen haben, bevor Sie mit dem Online-Banking begonnen haben. Bestellen Sie in diesem Fall am besten sofort Ersatz bei Ihrer Bank.

Daten und Mittel sicher aufbewahren

Bestimmen Sie sichere Aufbewahrungsorte für die Zugangsdaten und das Authentifizierungsmittel. Diese müssen scheinbar widersprüchliche Eigenschaften erfüllen: Einerseits müssen sie vor dem Zugriff anderer sicher sein, andererseits sollten sie für Sie leicht zugänglich sein. Denn wenn es zu umständlich wird, die Mittel und Daten immer wieder hervorzuholen, neigen viele Menschen im Alltag dazu, sie für andere zugänglich liegen zu lassen.

Weiterhin sollten Sie beachten:

  • Authentifizierungsmittel wie TAN-Listen, Chipkarte oder TAN-Generator müssen getrennt von den Zugangsdaten (Nutzerkennung, Passwörter, PIN) aufbewahrt werden.
  • Viele Banken verbieten explizit, Zugangsdaten und TAN-Listen im Computer zu speichern. Dies schließt auch die Aufbewahrung in Kennwortverwaltern oder im Mobiltelefon ein.

Computer vorbereiten

Die Bank verlangt, dass Sie Ihren Computer ausreichend sichern. Hierzu gehört die Installation einer modernen Antiviren-Software und eine aktivierte Firewall, ein sicheres Betriebssystem und ein sicherer Webbrowser (oder Finanzsoftware).

All diese Software muss immer auf dem neuesten Stand gehalten werden. Bei der Antivirensoftware sollte z.B. die automatische Aktualisierung der Virendefinitionen eingestellt sein. Lassen Sie Ihren Computer auch regelmäßig von der Antivirensoftware nach Schadsoftware scannen.

Ihre Internetverbindung sollte sicher sein: Verwenden Sie eine sichere WLAN-Verbindung (WPA2) mit einem starken Passwort. Vermeiden Sie Online-Banking über unbekannte Verbindungen wie Hotspots. Oder treffen Sie zusätzliche Sicherheitsvorkehrungen.

Erkundigen Sie sich bei Ihrer Bank, ob sie weitere konkrete Anforderungen stellt.

Und lesen Sie unbedingt unseren Virenschutz Leitfaden. Wer es ganz sicher haben möchte, führt Bankgeschäfte nur per Live-CD durch.

Notfallinformationen bereitlegen

Wenn trotz aller Sicherheitsvorkehrungen ein Schadensfall eintritt, ist Eile geboten. Je schneller ein Schaden bemerkt wird und je schneller Sie richtig reagieren, desto geringer ist der Schaden. Deshalb ist es wichtig zu wissen, wie man einen Schaden bemerkt und was im Schadensfall zu tun ist. Auch bei einem unguten Gefühl oder einem Verdacht ist es ratsam, vorsichtshalber bei der Bank nachzufragen.

Halten Sie daher schon jetzt alle wichtigen Informationen für solche Fälle bereit. Jede Bank bietet spezielle Telefonnummern und Vorgehensweisen für solche Fälle an. Praktisch ist auch die „Sperrnotrufnummer“ 116 116 (siehe unten), über die Sie sich rund um die Uhr zur Notfallnummer Ihrer Bank weiterleiten lassen können.

Eine Online-Banking-Sitzung

Sind die Vorbereitungen getroffen, kann das Online-Banking beginnen! Die folgenden Schritte sollten Sie bei jeder Online-Banking-Sitzung beachten, damit sie sicher ist. Diese Schritte mögen am Anfang umständlich erscheinen, werden aber schnell zur Routine.

Seien Sie beim Online-Banking stets aufmerksam und widmen Sie Ihren Bankgeschäften genügend Zeit und Konzentration, um Änderungen oder Auffälligkeiten zu bemerken und Flüchtigkeitsfehler zu vermeiden.

Online-Banking – Schritt für Schritt

Am Anfang: Computer und Internet, Online-Banking-Daten und Mittel

Überprüfen Sie Ihren Computer und Ihre Internetverbindung: Sind Betriebssystem, Browser und Finanzprogramm auf dem neuesten Stand? Ist die Antiviren-Software auf dem neuesten Stand und sind die neuesten Virendefinitionen heruntergeladen? Wann wurde der Computer das letzte Mal auf Schadsoftware überprüft? Ist die Internet-Verbindung sicher?

Halten Sie die notwendigen Zugangsdaten und das Authentifizierungsmittel (TAN-Liste, TAN-Generator, Chipkarte oder Handy) bereit. So müssen Sie den Computer während der Sitzung nicht verlassen, um etwas zu holen.

Bank-Webseite aufrufen

Der erste wichtige Schritt besteht darin, die richtige Webseite der Bank aufzurufen und eine sichere Verbindung herzustellen.

Stellen Sie sicher, dass Sie sich mit der richtigen Internetadresse bei Ihrer Bank anmelden. Am besten notieren Sie sich die korrekte Internetadresse und geben diese jedes Mal direkt in das Adressfeld (Textfeld oben im Browserfenster) Ihres Browsers ein. Denn Betrüger versuchen häufig, Sie mit ähnlich klingenden Adressen auf eine gefälschte Webseite umzuleiten und Ihre Zugangsdaten zu stehlen. Verwenden Sie daher auf keinen Fall einen Link aus einer E-Mail oder von einer anderen Webseite.

Sichere Browser-Verbindung

Der Browser und die Bank sollten immer über eine sichere Verbindung, eine so genannte „https“-Verbindung, miteinander kommunizieren. Alle Daten, die zwischen Ihnen und der Bank ausgetauscht werden, sind verschlüsselt und können nur von Ihnen und der Bank gelesen werden. Die Internetadresse Ihrer Bank sollte daher mit der Zeichenfolge „https://“ beginnen. Sie können dies in Ihrem Browser überprüfen:

  • Bei vielen Browsern sehen Sie vor der Internetadresse ein „https://“; Chrome, Firefox und EDGE zeigen ein Vorhängeschlosssymbol an.
  • Wenn der Browser eine Warnung für ein „ungültiges Zertifikat“ anzeigt, brechen Sie die Sitzung ab. Denn dies bedeutet, dass keine sichere Verbindung zur Bank aufgebaut werden kann.
  • Brechen Sie die Sitzung auch ab, wenn davor gewarnt wird, dass Teile der Webseite unverschlüsselt übertragen werden. Denn auch das ist ein möglicher Hinweis dafür, dass die Verbindung betrügerisch manipuliert wurde.

Zusätzlich können Sie einen VPN Dienst nutzen. Dieser schützt Ihre Daten vor Spähversuchen.

Anmelden

Wenn Sie die korrekte Bank-Website aufgerufen haben, können Sie jetzt loslegen und sich mit Ihren Zugangsdaten anmelden.

Anmelden Online Banking

Bei der Eingabe sollte Ihnen natürlich niemand über die Schulter (oder auf die Tastatur) schauen können. Achten Sie auch darauf, dass Sie die Zugangsdaten nicht versehentlich im Browser speichern. Manche Browser bieten eine solche Komfortfunktion an. Diese Speicherung ist jedoch unsicher und wird von den meisten Banken ausdrücklich untersagt. Am besten ist es, die Speicherung der Zugangsdaten im Browser mit der Option „Passwörter für diese Website nie speichern“ abzulehnen.

Nach erfolgreicher Anmeldung befinden Sie sich im persönlichen Kontobereich Ihres Online-Kontos. Hier können Sie beispielsweise Ihren Kontostand und Ihre Kontobewegungen einsehen oder weitere Informationen abrufen.

Aufträge tätigen

Um eine Überweisung oder einen anderen Bankauftrag zu tätigen, müssen Sie sich gegenüber der Bank authentifizieren: Sie werden jetzt nach einer Transaktionsnummer (TAN) gefragt.

Je nachdem, welches TAN-Verfahren Sie gewählt haben, finden Sie Ihre TAN entweder in der TAN-Liste, aus der Sie die richtige TAN-Nummer heraussuchen, Sie nutzen einen TAN-Generator (mit oder ohne Chipkarte), der Ihnen die TAN berechnet, oder Sie erhalten von Ihrer Bank eine SMS mit der aktuellen TAN auf Ihr Mobiltelefon. Diese TAN geben Sie in das Formular auf der Internetseite Ihrer Bank ein, um den Auftrag freizugeben.

Wenn Sie statt des PIN/TAN-Verfahrens die digitale Signatur verwenden, hängt die Anmeldung und Auftragsbestätigung von der jeweiligen Finanzsoftware ab. Natürlich sollten Sie darauf achten, dass Sie bei der Eingabe sensibler Daten wie der Chipkarten-PIN nicht beobachtet werden.

Ausloggen

Loggen Sie sich immer aus, wenn Sie Ihre Bankgeschäfte erledigt haben. Wenn Sie eingeloggt bleiben, werden Sie zwar nach kurzer Zeit automatisch ausgeloggt, sind aber für kurze Zeit eine angreifbare Schwachstelle. Achten Sie deshalb darauf, sich nach jedem Online-Banking auszuloggen.

Sicherheit außerhalb einer Online-Banking-Sitzung

Sicherheitstipps

Zugangsdaten und Authentifizierungsmittel sicher verwahren

Auch wenn Sie sicher sind, dass niemand zu Hause die Zugangsdaten, die TAN-Liste oder den TAN-Generator vom Schreibtisch entwenden kann: Verwahren Sie diese unmittelbar nach der Online-Banking-Sitzung wieder an den sicheren Aufbewahrungsorten. Dies gilt umso mehr, wenn Sie das Online-Banking unterwegs nutzen müssen. Eine kleine Unachtsamkeit genügt und Betrüger haben Zugriff auf Ihr Konto.

Kontobewegungen beobachten

Absolute Sicherheit gibt es nicht – das gilt auch für Online-Banking. Trotz aller Vorsichtsmaßnahmen kann es vorkommen, dass unberechtigt auf Ihr Konto zugegriffen wird. Kontrollieren Sie daher regelmäßig Ihre Kontobewegungen auf Auffälligkeiten und melden Sie diese sofort Ihrer Bank. Wenn Sie zu spät oder gar nicht handeln, kann ein finanzieller Schaden möglicherweise nicht mehr abgewendet werden.

Phishing-E-Mails und ‑Anrufe ignorieren

Solche E-Mails haben Sie wahrscheinlich schon einmal erhalten: Eine Bank teilt Ihnen per E-Mail scheinbar mit, dass Sie für eine „Sicherheitsüberprüfung“ einen Link anklicken und sich mit Ihren Zugangsdaten beim Online-Banking anmelden sollen; oder Sie werden aufgefordert, die Zugangsdaten und eine oder mehrere TANs einzugeben oder zu versenden.

Manchmal sind diese E-Mails in schlechtem Deutsch verfasst oder Sie haben gar kein Konto bei dieser Bank. Immer häufiger sehen diese E-Mails aber täuschend echt aus, als kämen sie von Ihrer Bank. Sogar die Absenderadresse scheint von Ihrer Bank zu sein oder es werden sogar Ihr Name, Ihre Kontonummer und Ihre Adresse angegeben – aber auch das ist eine Fälschung!

Besonders dreist sind Betrüger, die sich am Telefon als Bankangestellte ausgeben. Dabei kann es sogar vorkommen, dass sie Ihren Namen und Ihre Kontonummer oder andere persönliche Daten kennen.

Deshalb: Ignorieren Sie solche E-Mails oder Anrufe! Klicken Sie auf keinen Fall auf die in den E-Mails enthaltenen Links und geben Sie niemals Zugangsdaten oder TANs heraus. Mit solchen Methoden, dem so genannten Phishing, versuchen Betrüger, Ihr Online-Konto leer zu räumen.

Banken fragen niemals nach Ihren Zugangsdaten, weder per E-Mail noch per Telefon. Rufen Sie im Zweifelsfall Ihre Bank unter der Ihnen bekannten Nummer an oder fragen Sie persönlich bei Ihrer Bank nach.

Tipp: Moderne Virenscanner enthalten einen Schutz gegen Phishing-Versuche.

Bei Verdacht: Sofort die Bank kontaktieren

Wenn Sie Ihre Zugangsdaten, Ihre TAN-Liste, Ihren TAN-Generator, Ihre Chipkarte oder Ihr Mobiltelefon verloren haben oder auch nur den Verdacht haben, dass diese in falsche Hände geraten sein könnten, wenden Sie sich umgehend an Ihre Bank! Jede Bank bietet Notfallnummern an, unter denen Sie Tag und Nacht erreichbar sind. In der Regel benötigen Sie dazu Ihre Kontonummer und weitere persönliche Daten.

Wer im Notfall die Nummer seiner Bank nicht parat hat, kann den Sperr-Notruf 116 116 anrufen (in Deutschland kostenlos), aus dem Ausland +49 116 116 (kostenpflichtig).

Sperr Notruf Bankkarte

Dieser Service ist rund um die Uhr erreichbar und verbindet Sie mit der jeweiligen Notrufzentrale Ihrer Bank. Halten Sie dazu die Bankleitzahl Ihrer Bank bereit. Weitere Informationen finden Sie auf deren Webseite https://www.sperr-notruf.de/

Felix Bauer
Felix Bauer ist IT-Security Consultant (IT-Sicherheitsberater) mit 20 Jahren Erfahrung in der IT-Sicherheitsbranche. Felix Bauer begann im Alter von 14 Jahren mit der Analyse von Malwaresamples.

Zusätzlich zur Tätigkeit als Sicherheitsberater schreibt Felix Bauer häufig Fachbeiträge zu den Themen IT-Sicherheit und Internet-Technik. Seine Themenschwerpunkte: Antivirus, Sicherheitslücken und Malware. Unter anderem schrieb Felix Bauer bereits Fachbeiträge für die IT-Fachzeitschriften Computerwelt, Heise und IT-Administrator. Felix Bauer wurde in zahlreichen Fach- und News-Beiträgen erwähnt (u. a. in der Wiener Zeitung und in der Computerworld). Einige Referenzen finden Sie auf Felix Bauers Internetseite.

Felix Bauer besitzt den Abschluss Master of Science in Security and Forensic Computing.

Felix Bauer ist Mitbegründer der Initiative bleib-Virenfrei.