Konten und Karten

Onlinebanking: So ist das Bankkonto vor Betrug sicher

Update: 07.10.2020
Auf einen Blick
  • Eine aktuelle Studie von Penta und Weltsparen zeigt: Mehr als 90 Prozent der Deutschen bevorzugen und nutzen – egal ob im Privat- oder Geschäftsbereich – heutzutage das Onlinebanking für ihre Bankgeschäfte.

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, WLAN-Netzwerke für Online-Transaktionen wie Onlinebanking und -Shopping zu nutzen.

  • Grundsätzlich gilt: Sicherer ist das Onlinebanking auf zwei Geräten mit der sogenannten Zwei-Faktor-Authentifizierung – zum Beispiel auf dem Computer und dem Smartphone.

  • Entscheidend für die Sicherheit beim Onlinebanking ist neben einer sicheren Internetverbindung auch die richtige Wahl des TAN-Verfahrens. IT-Experten empfehlen die Chip- oder Photo-TAN-Methode.
Grundsätzlich gilt: Onlinebanking ist sicherer auf zwei Geräten und mit Zwei-Faktor-Authentifizierung.
alphaspirit / Shutterstock.com

Für viele Privatleute und Unternehmen in Deutschland sind Onlinebanking und Banking-Apps der wichtigste Draht zur Hausbank. Eine aktuell veröffentlichte Umfrage der Business-Banking-Plattform Penta und Weltsparen ergab, dass in puncto Finanzmanagement mittlerweile für bereits 94,3 Prozent von rund 800 Geschäftsführern, Inhabern, Selbstständigen und Personen aus dem Senior Management das digitale Banking der bevorzugte Kommunikationskanal ist. Die Onlinebanking-Quote der 2.250 befragten Privatpersonen liegt mit 92 Prozent knapp darunter. Interessant dabei auch, dass sich die Befragten grundsätzlich sicher beim Onlinebanking fühlen, allerdings wird beim Datenmissbrauch der größte Verbesserungsbedarf kundgetan.

Im Gegenzug dazu ermittelte der Digitalverband Bitkom, dass unter mehr als 1.000 Internetnutzern in Deutschland weniger als die Hälfte ihre PIN beziehungsweise ihr Passwort beim Banking mit PC, Smartphone oder Tablet wechseln und gerademal 37 Prozent haben eine aktuelle Virenschutz-Software auf den genutzten Geräten installiert.

Die Regeln der Europäischen Union (EU), die vor gut einem Jahr am 14. September 2019 mit der sogenannten Zahlungsdiensterichtlinie II (PSD2) in Kraft getreten sind, sollen Betrügern im Netz zwar ihr Handwerk erschweren. "Eine hundertprozentige Sicherheit wird es jedoch nicht geben. Bank und Kunde können die Risiken bestenfalls minimieren", sagt David Riechmann, Fachanwalt für Bank- und Kapitalmarktrecht der Verbraucherzentrale Nordrhein-Westfalen.

Generell rät das Netzwerk der Verbraucherzentralen in Deutschland dazu, Onlinebanking nie in einem öffentlichen WLAN-Netz zu betreiben, sondern nur im heimischen Netzwerk. Dabei gilt: Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollte am besten nicht alles übers Smartphone abgewickelt werden.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, vertrauliche Daten über ein fremdes WLAN-Netz abzurufen. Sollte dies aber beispielsweise unterwegs beim Internet-Einkauf unvermeidbar sein, dann ist zu beachten, dass alle Daten bei der Übermittlung zum Online-Händler immer verschlüsselt übertragen werden. Dabei gilt als eines der sichersten Verfahren die "Secure Socket Layer" (SSL)-Übertragung. Doch was allen erforderlichen Sicherheitsmaßnahmen vorausgehen sollte: "Jeder sollte ein Bewusstsein entwickeln, dass häufig der Kunde selbst das Einfallstor für Kriminelle sein kann", sagt Riechmann.

Die sechs wichtigsten Regeln für sicheres Onlinebanking:

Hohe Sicherheit mit Zwei-Faktor-Authentisierung

In vielen Bereichen elektronischer Geschäftsprozesse – vom mobilen Bezahlen über Online-Payment mit Google Pay, Apple Pay, Paypal und Co bis hin zum Homebanking – ist eine sichere Authentisierung nötig. Noch immer wird in vielen Bereichen die Ein-Faktor-Authentisierung benutzt, die üblicherweise allein auf den Faktor Wissen in Form eines Passworts setzt. Dies hat mehrere Nachteile:

  • Zum einen reicht der Besitz dieses einen Faktors, um den Authentisierungsmechanismus zu brechen.

  • Zum anderen ist es für Nutzer äußerst aufwändig, für jeden Dienst ein sicheres und individuelles Passwort anzulegen und auswendig zu lernen.

Eine sichere Zwei-Faktor-Authentisierung (2FA) schafft Abhilfe. In der Regel wird hiermit nach der Passwortabfrage auf externe Systeme zurückgegriffen, um somit eine zweistufige Überprüfung des Nutzers durchzuführen. Bei üblichen Zwei-Faktor-Systemen, sendet der Anbieter einen Bestätigungscode an ein weiteres Gerät, zum Beispiel an das Smartphone. Dieser zweite Faktor kann auch mit Fingerabdruck (Touch-ID), über einen zusätzlichen USB-Token oder eine Chipkarte authentisiert werden. Das Wichtige dabei ist, dass diese genannten Faktoren aus unterschiedlichen Kategorien stammen, also aus Wissen (Passwort, PIN), Besitz (Chipkarte,TAN-Generator) oder Biometrie (Fingerabdruck).

Auch beim Onlinebanking findet eine Mehrfaktor-Authentisierung mit unterschiedlichsten Technologien statt – sozusagen die Anmeldung mit Passwort und die Bestätigung von Transaktionen zusätzlich mit TAN mittels TAN-Verfahren.

Das könnte Sie auch interessieren: Kartenbetrug – Augen auf beim bargeldlosen Bezahlen

Rechner giroonline
3
Online-Girokonto
 
Anbieter
Monatspreis
Dispozinsen
Jahrespreis
Girocard
 
1.
0,00 €
Sofortdispo 6,65%
0,00 €
2.
  0,00 €
Sofortdispo 6,99%
0,00 €
ING
3.
0,00 €
Sofortdispo 7,25%
0,00 €

So sicher ist Onlinebanking

Gerade in Zeiten der Corona-Pandemie bieten Banken und Sparkassen ihren Kunden Neuerungen und nützliche Hilfestellungen für das Onlinebanking – Multibanking-Funktionen, optimierte Finanzplaner usw. Diese immer umfangreicher werdenden digitalen Services erleichtern aber nicht nur unsere privaten und gewerblichen Bankgeschäfte, sie bergen auch Risiken.

Das Thema Sicherheit beim Onlinebanking sollte jeder besonders ernst nehmen, schließlich sind es nicht nur die Daten, sondern es ist das ersparte Geld, das im Visier von Cyberkriminellen steht. Doch es gibt Möglichkeiten, das Onlinebanking gegen Hacker-Angriffe zu schützen – wie etwa die Wahl des richtigen TAN-Verfahrens. Doch egal, welches der Verfahren genutzt wird, Gewissenhaftigkeit im Umgang ist das A und O. Im Folgenden finden Sie die gängigen TAN-Verfahren kurz zusammengefasst.

Das Mobile-TAN-Verfahren

Beim sogenannten Mobile-TAN-Verfahren – kurz mTAN – müssen sich Bankkunden mit ihrer Mobilfunknummer bei ihrer Bank oder Sparkasse anmelden. Das Geldhaus verschickt bei jeder Transaktion die entsprechende TAN-Nummer per SMS auf das Handy des Kunden, wobei diese nur eine begrenzte Zeit nutzbar ist.

Das BSI empfiehlt jedoch, auf den Einsatz von mTAN zu verzichten. "Auf die Schwachstelle im SS7-Protokoll weisen wir schon seit einigen Jahren hin", kritisiert BSI-Präsident Arne Schönbohm. Kriminelle können die zur Authentifizierung verschickten SMS-Nachrichten der jeweiligen Bank leicht abfangen und die enthaltene TAN missbrauchen.

Das Push-TAN-Verfahren

Für dieses Verfahren müssen sich Verbraucher eine spezielle Push-TAN-App auf ihr Smartphone laden. Nach jeder Überweisung können sie darüber eine TAN anfordern und direkt ins Onlinebanking übertragen. PushTAN gilt nur als sicher, wenn Onlinebanking und TAN-Empfang nicht auf dem gleichen Gerät erfolgen.

Das Chip-TAN-Verfahren

Hier können Bankkunden einen speziellen TAN-Generator nutzen, der wahlweise mit oder ohne Girokarte funktioniert, und die TAN nach Übermittlung der Auftragsdaten auf dem Display abrufen. Sparkassen-Kunden beispielsweise erhalten dieses kompakte Zusatzgerät, auch Chipkartenleser genannt, über den Sparkassen-Shop in der günstigsten Variante für den Preis von 10,96 Euro. Wenn man sich als Nutzer gewissenhaft verhält, dann gilt dieses Verfahren als äußerst sicher.

Das Photo-TAN-Verfahren

Auch dieses Verfahren gilt als sicher und funktioniert mit dem Smartphone und der Photo-TAN-App beziehungsweise einem speziellen Lesegerät. Nach eintippen der Überweisungsdaten wird eine bunte Barcode-Grafik auf dem Bildschirm angezeigt und nachdem diese gescannt wurde, erhält der Nutzer anschließend die TAN.

Wenn nun Kunden von zum Beispiel der Commerzbank beziehungsweise der Comdirect in ihrer Photo-TAN-App die Push-Funktion aktivieren, erübrigt sich sogar das Abtippen der TAN und mit nur einem Klick können Aufträge wie Überweisungen freigegeben werden.

Die photoTAN-Push Funktion der Commerzbank.

Wie sicher ist Mobile-Banking mit dem Smartphone?

Grundsätzlich drohen beim Mobile-Banking dieselben Gefahren wie beim Onlinebanking mit dem privaten Computer zu Hause. Hinzu kommen allerdings spezifische Sicherheitsrisiken mobiler Geräte, die auf der Hand liegen. So sollten nie PINs oder TANs auf dem Handy abgespeichert werden, ansonsten haben Betrüger beim Diebstahl leichtes Spiel, um an die persönlichen Bankdaten zu gelangen.

Biallo-Tipp

In einer Videoreihe zur Cyber-Sicherheit von Smartphone, Tablet & Co gibt das BSI hilfreiche Tipps. 

Wer haftet im Schadensfall?

"Grundsätzlich haftet die Bank für jede Überweisung, die nicht direkt vom Bankkunden autorisiert wurde. Sie kann aber Schadensersatzansprüche geltend machen. Bei grober Fahrlässigkeit kann die Bank sogar die komplette Schadenssumme verlangen", warnt Christian Solmecke, Rechtsanwalt für IT-Recht. Als grob fahrlässig gilt bereits, wenn Bankkunden eine veraltete Virensoftware auf dem Rechner installiert haben.

Mehr noch: Gemäß Paragraf 675l Bürgerliches Gesetzbuch (BGB) ist jeder Onlinebanking-Nutzer dazu verpflichtet, alle "zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen". So begeht einen klaren Verstoß, wer zum Beispiel seine PIN zusammen mit seiner EC-Karte im Geldbeutel aufbewahrt.

Was tun, bei Onlinebanking-Betrug?

Seit Anfang Juni berichtete die Verbraucherzentrale vermehrt von Phishing-E-Mails, die vorzugsweise die Sparkassen im Absender trugen. Sprachlich korrekt, mit Sparkassen-Logo und mit emotionalen Worten versuchten Betrüger, die Corona-Krise als Vorteil auszunutzen. Die Empfänger dieser Nachrichten sollten auf einen Button klicken und damit "entsprechende Schritte" durchführen. Doch gerade das sollten Betroffene keinesfalls tun. Denn sämtliche Daten, die dort womöglich eingegeben werden, landen nicht bei der Sparkasse, sondern direkt in den Händen von Kriminellen.

Thomas Rienecker, Pressesprecher des Deutschen Sparkassen- und Giroverbands (DSGV) sagt dazu: "Sicherlich versuchen Betrüger derzeit verstärkt, die Corona-Pandemie als Vorwand zu nutzen, um persönliche Daten abzugreifen – nicht nur von Sparkassen-Kunden. Jedes große Unternehmen mit vielen Kunden ist davon betroffen, da die Wahrscheinlichkeit hoch ist, dass die Betrüger mit ihren falschen Mails 'echte' Kunden erreichen."

Opfer eines Onlinebanking-Betrugs sollten:

  • ihr Bankkonto sperren – mit einheitlichem Sperr-Notruf: 49 116 116 (aus dem Ausland: 49 30 40 50 40 50),

  • sich mit ihrer Bank in Verbindung setzen und die Umsätze ihres Bankkontos kontrollieren,

  • nach der Entsperrung ausschließlich neue Passwörter und PINs für ihr Konto nutzen,

  • bei Bedarf die Polizei informieren und einen Rechtsanwalt kontaktieren, der auf Internetbetrug spezialisiert ist.

Biallo-Tipp

Die Verbraucherzentrale sammelt kontinuierlich Betrügereien, die den sogenannten  Phishing-Radar erreichen. 



  Kerstin Weinzierl
  Kevin Schwarzinger


 
Exklusive Informationen und Angebote per Mail erhalten.


 
 
 
Powered by Telsso Clouds