Gerät ein Handy entsperrt in die falschen Hände, dann kann das katastrophale Folgen haben. Deshalb sollten Handys gut gegen missbräuchliches Entsperren geschützt sein und man sollte sie nicht leichtfertig entsperrt aus der Hand geben.
Zur Vorbeugung gegen Defekt, Diebstahl oder Verlust meines primären Handys habe ich ein Ersatzhandy, welches bereits zur Authentifizierung (via Password Manager und Authenticator App) und für alle Finanz-Apps freigeschaltet ist. Das ist mir besonders auf Reisen wichtig.
Wenn man sein Handy gerne mal aus der Hand gibt - zum Telefonieren, nach dem Wetter gucken, Bilder scrollen - ist es erwägenswert, dafür einen Gast-Zugang einzurichten.
Bei Abgabe von Handys zu Reparaturen den Repair Mode aktivieren. Bei Laptops einen Reparatur-Account ohne Adminrechte einrichten. Alle Daten sollten ohnehin immer verschlüsselt sein (Bitlocker, FileVault, Device Encryption auf Handy). Auf Windows sollten sicherheitsrelevante Daten im Nutzerverzeichnis liegen.
Zum Entsperren sind heute Face ID und Fingerprint sicherer als kurze numerische PINs. Wischgesten halte ich für zu unsicher. Da man Handys immer auch per PIN (Passcode) entsperren kann, sollte diese mindestens 6-ziffrig sein oder besser (aber umständlicher) ein gutes, langes, leicht einzugebendes Passwort, siehe "Toward better Master Passwords". Handy-PIN (PassCode) und App-PINs sollten unterschiedlich sein. App PINs kann man wie Passwörter in einem Passwortmanager speichern.
Mit Überwindung der biometrischen Sperre eines Handys ist auch die biometrische Sperre aller Apps (Finanz, Passwort-Manager, Authenticator, Gesundheit, ...) überwunden. Dieses Szenario ist zwar unwahrscheinlich, aber für Banking-Apps kann man erwägen, zumindest die Freigabe von Transaktionen nur per App-PIN zu erlauben. Bei ING kann man die Anmeldung per Biometrie zulassen, aber für Transaktionen PIN-Eingabe fordern - das halte ich für einen guten Kompromiss zwischen Bequemlichkeit und Sicherheit. Bei DKB und der Postbank (BestSign) lässt sich leider nicht getrennt einstellen, ob Biometrie nur für die Anmeldung oder auch für Freigaben genutzt wird.
Temporär lässt sich die biometrische Authentifizierung von Handys schnell deaktivieren und damit PIN-Eingabe erzwingen: Bei Android über den Lockdown-Button im Power-Menü. Bei iPhones wohl über die Funktion "Notruf SOS". Vorausschauend getan, könnte das gegen biometrische Entsperrung durch Betäubung oder unter Zwang helfen.
Man kann auf einem Handy, mit welchem man Unterwegs ist, nur die unbedingt unterwegs nötigen Banking-Apps installieren und nur die wirklich nötigen Karten ins Wallet aufnehmen.
Zum Schutz gegen Angriffe durch manipulierte öffentliche Ladebuchsen kann man unter Android die USB-Standardeinstellung "Keine Datenübertragung" wählen. Unter Android 16 kann man "Advanced Protection" aktivieren, welches Datensignale beim Laden eines gesperrten Handys abschaltet. Alternativ kann man USB-Datenblocker nutzen.
Seit Android 16 gibt es eine erweiterte Theft Protection. Diese soll u.a. bemerken, wenn einem das Handy entrissen wurde. Habe aber noch keine Erfahrung damit. Es könnte ja nervige Fehlauslösungen geben.
Man sollte den Timeout für automatische Sperre des Handy nicht zu lang einstellen.
Noch ein paar Aspekte in diesem Kontext:
Gestohlenes oder verlorenes Bargeld ist meist unwiederbringlich verloren. Dagegen ist die Haftung bei Missbrauch von Karten gesetzlich auf 50 € begrenzt – außer bei grober Fahrlässigkeit (z. B. PIN auf Karte oder Zettel notiert). Nach Sperrung der Karte haftet man generell nicht mehr. Viele Banken erstatten sogar die 50 €, wenn keine Mitschuld vorliegt.
Kartenzahlung per Handy-Wallet ist insofern sicherer, als mit physischer Karte, weil selbst Kleinstbeträge nur mit entsperrtem Handy möglich sind und weil dabei PIN und CVC-Code nicht ausgespäht werden können (diese werden auch nicht an das Händlersystem übertragen). Wird aber ein Handy gestohlen und dem Dieb gelingt die Entsperrung (technisch oder durch Zwang oder Betäuben), kann das gefährlicher sein als ein Kartenverlust - dieses Szenario ist aber sehr unwahrscheinlich:
- Mit der Karte kann ohne PIN nur bis 50 € gezahlt oder abgehoben werden, mit erpresster PIN bis zum Kartenlimit (bei Girocards sogar bis zum Kontolimit). Mit ausgespähtem CVC-Code kann bis zum Kartenlimit online eingekauft werden.
- Mit entsperrtem Handy kann der Dieb die Karten im Wallet bis zu deren Limit belasten, bei manchen bis zum Guthaben des Kartenkontos. Je nach installierten Apps und deren Sicherheitseinstellungen kann er die Limits der Karten erhöhen.
Bei Kredit- und Debitkarten lässt sich meist über ihre Apps einstellen, wo sie eingesetzt werden können (an Geldautomaten, an POS-Terminals, für Online-Zahlungen, in welchen Ländern sie gültig sind), welche Tages- und Wochenlimits für sie gelten, ob man über jede einzelne Buchung informiert werden möchte und man kann sie temporär sperren.
Bei allen neuen Karten sollte man prüfen, wofür sie freigeschaltet sind und was konfigurierbar ist.
Temporäre Sperren helfen gegen die max. 50€ Abbuchung ohne PIN und missbräuchliche Online-Käufe mit dem CVC-Code, wenn dieser ausgespäht oder durch Hacken eines Händlersystems bekannt wurde und gegen die heute nur noch seltene Möglichkeit, dass Händler ganz ohne CVC abbuchen können. Aber man kann sich damit auch selbst aussperren, wenn man den Zugriff auf seine Karten-App verliert.
Ländersperren können unerwartete Auswirkungen haben, z.B. wurde meine Mastercard für Zahlungen bei Amazon abgelehnt, weil Amazon Deutschland aus Luxemburg abbuchte und ich nur Deutschland freigeschaltet hatte.
Bei einigen Karten (wie Wise und Curve) ist der CVC-Code aus Sicherheitsgründen nicht auf der Karte gedruckt, sondern nur in der App sichtbar, das schützt gegen missbräuchliche Online-Zahlungen. Am sichersten ist es, nur Karten ohne aufgedruckten CVC-Code physisch mitzuführen und solche mit aufgedrucktem CVC-Code nur übers Handy-Wallet zu nutzen. Falls eine Karte mit aufgedrucktem CVC sich nicht (temporär) für Online-Käufe sperren lässt, kann man diesen unkenntlich machen (aber nicht vergessen, den Code sicher im Passwortmanager zu speichern) - das hilft aber nur gegen Ausspähen, bei meinen Versuchen mit Übermalen und Wegkratzen war der Code mit etwas Mühe doch wieder erkennbar.
Girokarten sind i.A. automatisch für bargeldlose Zahlungen mit gesteckter Karte freigeschaltet und es ist nicht möglich, dies zu deaktivieren. Auch wenn man sie nur zum Abheben an Geldautomaten nutzt und nie zum Zahlen, kann ein Dieb trotzdem damit bis zu 50€ ohne PIN zahlen. Zu ihrem Einsatz lässt sich meist nichts per App einstellen.
Generell bezahlen wir schon lange viele Dinge digital – etwa Miete, Strom oder Versicherungen – per Abbuchungsgenehmigung oder Überweisung. Selbst SEPA-Lastschriftmandate lassen sich wohl relativ leicht fälschen, also kann grundsätzlich jeder von irgendeinem Konto abbuchen.
Ich habe, so möglich, bei allen Konten und Karten Benachrichtigungen über Transaktionen aktiviert und prüfe zusätzlich alle paar Tage meine Konten auf verdächtige Buchungen, damit ich möglichst zeitnah Unstimmigkeiten bemerke.
(Missbräuchliche) Transkationen mit Kreditkarten oder Debitkarten lassen sich relativ leicht zurückbuchen (Chargeback), wenn man sie rechtzeitig bemerkt und nicht fahrlässig gehandelt hat. Mit Girokarten ist das generell nicht so einfach. Ich musste z.B. auf Forderung der Bank wegen Skimming meiner Girocard mal Anzeige erstatten, obwohl die Banksysteme den Betrug schon vor mir bemerkt hatten.
Zurückbuchen irrtümlicher Überweisungen kann schwierig bis unmöglich sein. Man hat diese ja selbst freigeben und trotz Herausgabeanspruch bei ungerechtfertigter Bereicherung muss man vielleicht gegen den Empfänger klagen, mit unklarem Erfolg.
Für betrügerische Überweisungen und unauthorisierte Zahlungen haftet zwar prinzipiell die Bank, aber nur, wenn keine grobe Fahrlässigkeit des Kunden vorliegt, z.B. Weitergabe von PINs (selbst an Bankmitarbeiter), Ignorieren offensichtlicher Warnhinweise oder Sicherheitsvorkehrungen (z.B. Eingabe von Daten auf einer offensichtlich gefälschten Website, klicken auf Links in E-Mails) oder unzureichender Schutz der Zugangsdaten (ich vermute Wischgesten zum Entsperren eines Handys zählen dazu). Auch die Nutzung eines gerooteten / gejailbreakten Handys sowie einer nicht aktuellen Version einer Banking-App (typisch für deGoogled Handy) kann von Banken als grobe Fahrlässigkeit gewertet werden.
Vorsicht bei (unerwarteten) E-Mails oder Nachrichten von (angeblichen) Banken - insbes. wenn die Mail vor Missbrauch warnt! Phishing ist weitverbreitet. Keine Links anklicken, keine Nummern aus Mails anrufen - auch dann nicht, wenn man ganz sicher ist, dass es eine normale E-Mail von einer Bank ist. Immer direkt per App oder gespeicherter URL ins Onlinebanking gehen. Nicht nach URLs oder Kontakt-Infos im Web suchen, nur die Infos nutzen, die man sich mal in Ruhe bei Kontoeröffnung im Passwortmanager eingetragen hat.
Auf Reisen gibt es keine wirklich sicheren Aufbewahrungsorte für Wertgegenstände. Selbst für Hotelsafes muss es Nachschlüssel geben, viele lassen sich schon mit einem festen Faustschlag öffnen und manche sind nicht mal festgeschraubt. Hier hilft nur, möglichst wenig Wertvolles dabei zu haben (Bargeld ist am schlechtesten) und seine Wertsachen zu verteilen auf Hotelsafe und unterschiedliche Stellen in der getragenen Kleidung - von "schlauen" Verstecken in Zimmer oder Gepäckstücken halte ich nichts - habe aber auch schon in Airbnbs meinen Notebook in Backofen versteckt 
Es gab schon Fälle, bei denen E-Mails abgefangen und die IBAN in Rechnungen geändert wurde. Erst abt Okt 2025 sind Banken verpflichtet zu prüfen, ob Empfängername und IBAN zusamenpassen.
Numerische PINs kann man sich leicht verschlüsselt auf einem Papier-Spickzettel notieren.
