Online-Banking

So schützt Du Deine Bankgeschäfte vor Hackern

Josefine Lietzau
Finanztip-Expertin für Bank und Kredit
07. Oktober 2021
Das Wichtigste in Kürze
  • Wenn Du Bankgeschäfte online erledigst, solltest Du Deine Endgeräte absichern.
  • Die Banken bieten Dir unterschiedliche Tan-Verfahren an, nicht alle funktionieren auf allen Geräten.
  • Die Tan-Verfahren müssen nicht kostenlos sein.
So gehst Du vor
  • Sichere Dich ab, indem Du die Software für Handy und Computer aktuell hältst.
  • Klicke nicht auf Links in E-Mails von unbekannten Absendern.
  • Surfe in einem gesicherten, privaten Netzwerk und über eine verschlüsselte Verbindung.
  • Schütze Dein Online-Bankkonto mit einem sicheren Passwort.

Öffnungszeiten rund um die Uhr und keine Warteschlangen: Es ist viel bequemer, Bankgeschäfte online zu erledigen, als die Öffnungszeiten abzupassen und extra in die Filiale zu gehen. Allerdings wächst mit dem Online-Banking auch die Gefahr, zum Opfer von Kriminellen zu werden.

Wie schützt Du Deinen Computer?

Grundlage für sicheres Online-Banking ist ein gut geschützter Computer. Ganz egal, ob Du ein Online-Girokonto führst oder Dein Depot verwaltest. Dafür muss der Rechner vor allem frei von Viren und Trojanern sein. Ansonsten können die Schädlinge zum Beispiel sensible Informationen wie Passwörter und Kontonummern abfangen.

Um Dir die unerwünschten Gäste auf den Rechner zu holen, musst Du nicht unbedingt in den dunklen Ecken des Internets surfen: Theoretisch können Viren und Trojaner sich auch auf seriösen Webseiten verstecken, zum Beispiel in Werbebannern. Downloads und Speichermedien sind weitere mögliche Infektionsherde.

Ein guter Virenscanner ist daher Pflicht. Aktuelle Windows-Versionen haben eine eigene Gefahrenabwehr an Bord. Die stand lange in Verruf; inzwischen konnte der Windows Defender aber auch Experten in Tests überzeugen (Real-World Protection Test von Juli/August 2021). Guten Schutz bieten darüber hinaus auch die teilweise kostenpflichtigen Programme von Norton, Panda, Avast, und AVG. Die Programme bieten verschiedene Extras wie eine Kindersicherung oder einen Spamfilter.

Wie wehrst Du Angriffe ab?

Virenscanner helfen allerdings nur dann, wenn sie immer auf dem neuesten Stand sind. Angebotene Updates solltest Du daher immer installieren. Das gilt nicht nur für Sicherheitssoftware, sondern auch für andere Programme wie den Browser, das Betriebssystem sowie Dienstprogramme. Denn die Entwickler stopfen mit den Updates regelmäßig neu entdeckte Sicherheitslücken. Installierst Du die Updates nicht, wird ein Programm möglicherweise zum Einfallstor für Schädlinge. Sollten die Entwickler die Programme nicht mehr aktualisieren, wird es Zeit, sie vom Computer zu entfernen, so wie es zum Beispiel der Fall bei Adobe Flash war.

Alle Schutzprogramme sind außerdem nutzlos, falls Du Deine sensiblen Daten selbst an Kriminelle lieferst, weil Du zum Beispiel auf eine Phishing-Mail hereinfällst. Das sind E-Mails, die scheinbar von Banken, Dienstleistern wie Paypal oder Onlineshops stammen. Die Nachrichten gaukeln oft Sicherheitsprobleme vor, auf die Du als Kunde reagieren sollst.

Tatsächlich stecken dahinter aber Kriminelle, die versuchen, Dich mit den Mails auf Websites zu lotsen, um Dir dort Passwörter zu entlocken. Andere Phishing-Mails versuchen, Schadsoftware auf den Rechner der Opfer zu schmuggeln. Hier gilt: Genau hinschauen und im Zweifelsfall nicht reagieren, vor allem aber keine Anhänge öffnen.

Die Betrüger versuchen ihr Glück nicht nur mit E-Mails, es kam auch bereits zu Phishing-Versuchen per Post. Die Briefe sahen aus wie Nachrichten von Banken, auch in diesen Fällen wurden die Verbraucher aufgefordert, ihre Zugangsdaten auf einer Website einzugeben.

Zudem versuchen die Kriminellen, Trojaner für Phishing-Aktionen zu nutzen. Einmal auf den Computer geladen, fordern die Kriminellen über sie beispielsweise Testüberweisungen an. Folgen Bankkunden dieser Aufforderung, ist das Geld weg. Das Oberlandesgericht Oldenburg entschied in einem solchen Fall, dass sich der Kunde grob fahrlässig verhalte habe (Urteil vom 21. August 2018, Az. 8 U 163/17).

Der Kunde hatte eine Testüberweisung gemacht. In der Überweisungsmaske fehlten Angaben zu Summe und IBAN, in der SMS zur Freigabe der Überweisung wurden sie genannt. Der Kunde achtete nicht auf die polnische IBAN und überwies 8.000 Euro. Das Gericht begründete weiter, dass die Bank auf ihrer Website darauf hingewiesen habe, dass sie keine Testüberweisungen verlange. Auch sei eine solche Aufforderung allgemein unüblich. Die Bank musste dem Kunden das Geld nicht erstatten.

Hast Du schon mal Erfahrungen mit Datenklau-E-Mails gemacht? Dann kannst Du darüber in unserer Community diskutieren.

Wie sicherst Du Deine Internetverbindung?

Ist der Rechner geschützt, müssen die Daten im nächsten Schritt sicher zur Bank gelangen. Wichtig ist dabei vor allem, dass sie verschlüsselt werden. Angreifer könnten die Informationen so zwar immer noch abfangen, aber weniger damit anfangen.

Ob eine Internetverbindung verschlüsselt ist, erkennst Du an dem Kürzel „https“ statt „http“ sowie an einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers.

Trotz Verschlüsselung solltest Du Online-Bankgeschäfte, etwa den Wertpapierhandel, nach Möglichkeit immer zuhause erledigen. In einem öffentlichen W-Lan lässt sich nämlich nur schwer kontrollieren, ob jemand mit Dir im selben Netz surft und so womöglich Zugriff auf Deine Daten und Deinen Computer erlangt. Auch das heimische Netzwerk solltest Du immer mit einem Passwort verschlüsseln, damit Nachbarn oder andere Neugierige in der Nähe nicht eindringen können.

Wie findest Du ein sicheres Passwort fürs Online-Banking?

Der Zugangscode zum Online-Bankkonto sollte sich nicht ohne Weiteres erraten oder knacken lassen. Acht Zeichen muss ein Passwort dafür mindestens lang sein, raten die Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), weisen aber auch auf den Grundsatz „Je länger, desto besser“ hin. Du kannst Dich also ruhig austoben, solange Deine Bank die Passwortlänge nicht begrenzt.

Das Passwort sollte zudem aus kleinen und großen Buchstaben sowie Ziffern und Sonderzeichen bestehen. Begriffe aus Wörterbüchern sind ebenso leichte Beute für Datendiebe wie Tastatur-Zeichenketten im Stil von „QWERTZ“. Wie Du ein gut zu merkendes, schwer zu knackendes Kennwort bildest, liest Du in unserem Artikel Sichere Passwörter.

Ganz wichtig: Verwende für das Online-Banking niemals dasselbe Passwort, das Du auch für andere Dienste nutzt. Schließlich passiert es immer wieder, dass Kriminelle massenhaft Passwörter von einzelnen Firmen erbeuten – in einem solchen Fall wäre dann auch Dein Bankkonto nicht mehr sicher.

Die Bank muss den Log-In beim Konto zweimal absichern, das Passwort allein reicht nicht aus. Zusätzlich kann sie zum Beispiel nach einer Pin fragen. Dieser „doppelte“ Log-In muss nicht jedes Mal erfolgen, aber zumindest alle 90 Tage.

Welche Tan-Verfahren gibt es?

Als zusätzliche Sicherheitsmaßnahme kommt beim Online-Banking neben der Passwort-Abfrage das Tan-Verfahren zum Einsatz. Dabei gibt es verschiedene Varianten, die meisten Banken bieten mehrere davon an und die Kunden können sich für eine entscheiden. Die Konditionen sind allerdings von Geldinstitut zu Geldinstitut unterschiedlich – und nicht jede Tan-Methode ist überall kostenlos. Nachfragen lohnt sich also.

Einige der Verfahren wurden in der Praxis oder zumindest unter Laborbedingungen bereits ausgehebelt. Oft mussten die Kriminellen oder die Sicherheitsforscher dafür zunächst Computer oder Handy des Kunden mit Schadsoftware infizieren. Zumindest das HBCI-Verfahren wurde in den letzten Jahren nicht überlistet.

Auch wenn ein Tan-Verfahren schon einmal geknackt wurde, heißt das nicht, dass die Methode immer unsicher ist. Die Anbieter reagieren auf viele Vorfälle und können die Schlupflöcher stopfen. Wenn Du unsere Tipps zum sicheren Online-Banking befolgst, kannst Du außerdem die Wahrscheinlichkeit deutlich verringern, dass Fremde Dein Tan-Verfahren knacken.

Die Banken bieten folgende Tan-Verfahren an:

mTan – Das mTan-Verfahren war einmal Standard, verschwindet aber langsam von der Bildfläche. Dabei wird Dir die Tan per SMS auf das Handy geschickt. Einige Banken verlangen Gebühren für diese SMS. Kriminelle haben es geschafft, das mTan-Verfahren zu knacken. Dabei haben sie zum Beispiel erst die Daten des Kunden über Phishing-Mails erschlichen und dann eine Schwachstelle im Handy-Netzwerk ausgenutzt.

chipTan - Eine weitere Methode sind sogenannte Tan-Generatoren: kleine Extrageräte von der Bank, die bei Bedarf zusammen mit der Girocard die nötigen Codes erzeugen. Dazu gibst Du zunächst die Überweisungsdaten ein. Das geht am Computer, aber auch am Smartphone oder einem anderen Gerät. Dann erscheint eine Grafik auf dem Bildschirm. Du steckst die Girocard in den Generator und scannst die Grafik ein. Gleichzeitig liest das Gerät die Überweisungsdaten ab.

Manchmal musst Du die Kontonummer des Empfängers oder andere Daten auch selbst in das Gerät eintippen. Der Generator zeigt am Ende noch einmal alle Überweisungsdaten an. Stimmen die, bestätigst Du dies per Knopfdruck und erhältst die Tan, mit der Du dann die Überweisung freigibst.

Auch beim chipTan-Verfahren haben Sicherheitsforscher gezeigt, dass sich dieses in manchen Fällen umgehen lässt. Die Forscher schafften das beispielsweise 2009 bei den Sparkassen, aber auch in diesem Fall mussten sie erst einmal Schadsoftware beim Kunden einschleusen.

photoTan - Mit der photoTan funktioniert Online-Banking sowohl auf zwei getrennten Endgeräten (etwa Computer und Smartphone) als auch komplett auf dem Handy. Wenn Du Deine Bankgeschäfte am Computer erledigst, erscheint nach der Eingabe der Überweisung eine Grafik auf dem Bildschirm. Diese scannst Du mit dem Handy oder einem Lesegerät ein. Die dazu passende Software entschlüsselt das Bild. Dann siehst Du Deine Trans­ak­ti­ons­da­ten und die Transaktionsnummer, die eigentliche photoTan. Mit dieser gibst Du die Überweisung frei.

Solltest Du Deine Bankgeschäfte komplett über Dein Smartphone erledigen, arbeite mit zwei Apps auf dem Handy: einer Banking-App und einer Tan-App. In der Banking-App gibst Du Deine Überweisungsdaten ein. Diese App übermittelt die Daten an die Tan-App. In dieser überprüfst Du die Überweisungsdaten noch einmal und bestätigst die Überweisung.

pushTan - Auch beim pushTan-Verfahren funktionieren Bankgeschäfte entweder getrennt auf Computer und Smartphone oder gekoppelt auf einem mobilen Endgerät. Du gibst die Überweisungsdaten ein – egal ob auf dem Laptop, einem Tablet oder über das Smartphone. Danach erhältst Du per App eine Nachricht auf dem Smartphone, in der die Überweisungsdaten genannt werden. Nachdem Du diese bestätigt hast, wird die Tan angezeigt. Diese gibst Du dann entweder am Laptop ein oder aber sie wird automatisch in die Banking-App übertragen. In der Regel sind die App fürs Banking und die für die Tan getrennt. Teilweise packen Banken sie aber auch zusammen, die Vorgänge sind dann aber im Hintergrund technisch voneinander abgekoppelt.

Die photoTan- und pushTan-Verfahren verschiedener Banken wurden von Sicherheitsforschern ausgehebelt. Dabei ging es um die Variante der Verfahren, bei der Nutzer Bankgeschäfte und Tan-Generierung auf demselben Gerät erledigen.

Solche Hacks geschehen aber unter Laborbedingungen. Wie gut sie tatsächlich im täglichen Leben funktionieren würden, ist unklar. Bei einigen der Hacks müssten die Kriminellen zunächst das Smartphone mit einem Virus infizieren, beispielsweise über eine bösartige App. Falls Du Dir trotzdem Sorgen machst, solltest Du Deine Bankgeschäfte einfach mit zwei separaten Geräten erledigen, etwa einem Laptop für das Online-Banking und dem Handy für den Tan-Versand.

Ohne Tan geht es mit der sogenannten HBCI-Methode. Dabei kommt eine Chipkarte mit elektronischer Signatur und Pin-Code zum Einsatz. Voraussetzung dafür ist allerdings ein spezielles Lesegerät, das um die 50 Euro kostet. HBCI wird beim Home-Banking benutzt, also wenn Du Deine Bankgeschäfte mit einer entsprechenden Software am Computer erledigst.

Seit September 2019 gibt es an vielen Stellen Probleme mit der HBCI-Methode. Grund dafür ist die Payment Service Directive 2. Die Banken müssen neue Schnittstellen zur Verfügung stellen und haben im Zuge dessen die Schnittstelle für das HBCI-Verfahren entweder komplett oder vorübergehend eingestellt. Auch wenn die Schnittstelle weiterhin funktioniert, läuft die Abfrage der Kontodaten nun anders ab. So musst Du zum Beispiel Deine Software aktualisieren oder öfter eine Tan eingeben, um die Daten abzurufen und Bankgeschäfte zu erledigen.

Ausnahme 30 Euro – Die zweite Zahlungsdienstrichtline verlangt bei elektronischen Zahlungen (zum Beispiel beim Überweisen über das Online-Banking), dass sich Kunden über zwei unterschiedliche Merkmale identifizieren. Ausnahmen gelten jedoch bei Beträgen bis 30 Euro. Die europäische Richtline erlaubt, dass solche Überweisungen fünfmal hintereinander komplett ohne Tan stattfinden können. Insgesamt dürfen dabei aber höchstens 100 Euro zusammenkommen.

Worauf musst Du beim Banking auf dem Smartphone achten?

Für Bankgeschäfte auf Tablet und Smartphone bieten die meisten Banken eigene Apps an. Und bei Smartphone-Banken wie N26, Revolut oder Vivid Money liegt der Fokus ohnehin darauf, dass die Kunden ihre Bankgeschäfte ausschließlich mit dem Handy erledigen.

Beim Banking auf einem mobilen Endgerät, wie Smartphone oder Tablet, solltest Du einige zusätzliche Sicherheitstipps beachten:

  • Nutze beim Mobile-Banking kein öffentliches W-Lan.
  • Schütze Dein Smartphone über ein Passwort.
  • Nutze auch beim Smartphone einen Virenscanner.
  • Lade Apps nur aus sicheren Quellen herunter, zum Beispiel den App-Stores, die zur Handy-Software gehören (Play Store von Google für Android, iTunes von Apple für iPhones).

Falls Du Dein Smartphone für Deine Bankgeschäfte nutzt, solltest Du zudem das Betriebssystem aktuell halten und die Sicherheits-Updates der Hersteller installieren. Bei zu alten Betriebssystemen funktionieren die Apps der Banken nicht. Auch wenn das Smartphone selbst einige Jahre auf dem Buckel hat, wird die Bank die App dafür nicht anbieten. Denn die Betriebssysteme sind in solchen Fällen veraltet, Updates werden nicht mehr geliefert.

Mehr dazu im Ratgeber Girokonto

  • Mit dem richtigen Girokonto kannst Du Gebühren sparen und bekommst gute Leistungen.
  • Gute Konten: DKB, ING, Comdirect

Zum Ratgeber

* Was der Stern bedeutet:

Finanztip gehört zu 100 Prozent der gemeinnützigen Finanztip Stiftung. Die hat den Auftrag, die Finanzbildung in Deutschland zu fördern. Alle Gewinne, die Finanztip ausschüttet, gehen an die Stiftung und werden dort für gemeinnützige Projekte verwendet – wie etwa unsere Bildungsinitiative Finanztip Schule.

Wir wollen mit unseren Empfehlungen möglichst vielen Menschen helfen, ihre Finanzen selber zu machen. Daher sind unsere Inhalte kostenlos im Netz verfügbar. Wir finanzieren unsere aufwändige Arbeit mit sogenannten Affiliate Links. Diese Links kennzeichnen wir mit einem Sternchen (*).

Bei Finanztip handhaben wir Affiliate Links aber anders als andere Websites. Wir verlinken ausschließlich auf Produkte, die vorher von unserer unabhängigen Experten-Redaktion empfohlen wurden. Nur dann kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Geld bekommen wir, wenn Du auf einen solchen Link klickst oder beim Anbieter einen Vertrag abschließt.

Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Empfehlungen. Was Dir unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Verbraucher ist.

Mehr Informationen über unsere Arbeitsweise findest Du auf unserer Über-uns-Seite.