Online-Banking

So schützt Du Deine Bankgeschäfte vor Hackern

Josefine Lietzau Stand: 18. Dezember 2019
Das Wichtigste in Kürze
  • Bankgeschäfte von Computer, Smartphone oder auch Tablet zu erledigen, ist bequem. Mit wenigen Handgriffen kannst Du Dich vor Angreifern schützen.
  • Wie Du Dein Konto optimal absicherst, hängt auch von der Zugangstechnik Deiner Bank ab.
  • Achtung: TAN-Verfahren der Banken für die Überweisungen müssen nicht kostenlos sein.
So gehst Du vor
  • Installiere einen Virenscanner auf dem Computer.
  • Klicke nicht auf Links in E-Mails von unbekannten Absendern.
  • Surfe in einem gesicherten, privaten Netzwerk und über eine verschlüsselte Verbindung.
  • Schütze Dein Online-Bankkonto mit einem sicheren Passwort.
  • Banken bieten unterschiedliche TAN-Verfahren an. Egal welches Du wählst: Sichere diese Verfahren ab, indem Du die Software für Handy und Computer aktuell hältst.

Öffnungszeiten rund um die Uhr und keine Warteschlangen: Es ist viel bequemer, Bankgeschäfte zu Hause am Computer oder Smartphone zu erledigen, als die Öffnungszeiten abzupassen und extra in die Filiale zu laufen. Allerdings wächst damit die Gefahr, zum Opfer von Kriminellen zu werden. Computer und Konto lassen sich aber mit wenigen Handgriffen so schützen, dass Angreifer beim Online-Banking kaum eine Chance haben.

Wie schütze ich meinen Computer?

Grundlage für sicheres Online-Banking ist ein gut geschützter Computer. Ganz egal, ob Du ein Online-Girokonto führst oder Dein Depot verwaltest. Dafür muss der Rechner vor allem frei von Viren und Trojanern sein. Ansonsten können die Schädlinge zum Beispiel sensible Informationen wie Passwörter und Kontonummern abfangen.

Um Dir die unerwünschten Gäste auf den Rechner zu holen, musst Du nicht unbedingt in den dunklen Ecken des Internets surfen: Theoretisch können Viren und Trojaner sich auch auf seriösen Webseiten verstecken, zum Beispiel in Werbebannern. Downloads und Speichermedien sind weitere mögliche Infektionsherde.

Ein guter Virenscanner ist daher Pflicht. Aktuelle Windows-Versionen haben eine eigene Gefahrenabwehr an Bord. Die stand lange in Verruf; inzwischen konnte der Windows Defender aber auch Experten in Tests überzeugen (AV-Test von Oktober 2019, Real-World Protection Test von Juli 2019). Guten Schutz bieten darüber hinaus auch die teilweise kostenpflichtigen Programme Internet Security 19.7 und 19.8  von AVG, Free AntiVirus 19.7 und 19.8 von Avast sowie Internet Security 19.7 und 19.8 von Avira. Die Programme bieten verschiedene Extras wie eine Kindersicherung oder einen Spamfilter.

Wie wehre ich Angriffe ab?

Virenscanner helfen allerdings nur dann, wenn sie immer auf dem neuesten Stand sind. Angebotene Updates solltest Du daher immer installieren. Das gilt nicht nur für Sicherheitssoftware, sondern auch für andere Programme wie den Browser, das Betriebssystem sowie Dienstprogramme wie Flash. Denn die Entwickler stopfen mit den Updates regelmäßig neu entdeckte Sicherheitslücken. Installierst Du die Updates nicht, wird ein Programm möglicherweise zum Einfallstor für Schädlinge.

Alle Schutzprogramme sind außerdem nutzlos, falls Du Deine sensiblen Daten selbst an Kriminelle lieferst, weil Du zum Beispiel auf eine Phishing-Mail hereinfällst. Das sind E-Mails, die scheinbar von Banken, Dienstleistern wie Paypal oder Online-Shops stammen. Die Nachrichten gaukeln oft Sicherheitsprobleme vor, auf die Du als Kunde reagieren sollst.

Tatsächlich stecken dahinter aber Kriminelle, die versuchen, Dich mit den Mails auf Websites zu lotsen, um Dir dort Passwörter zu entlocken. Andere Phishing-Mails versuchen, Schadsoftware auf den Rechner der Opfer zu schmuggeln. Hier gilt: Genau hinschauen und im Zweifelsfall nicht reagieren, vor allem aber keine Anhänge öffnen.

Die Betrüger versuchen ihr Glück nicht nur mit E-Mails, es kam auch bereits zu Phishing-Versuchen per Post. Die Briefe sahen aus wie Nachrichten von Banken, auch in diesen Fällen wurden die Verbraucher aufgefordert, ihre Zugangsdaten auf einer Website einzugeben.

Zudem versuchen die Kriminellen, Trojaner für Phishing-Aktionen zu nutzen. Einmal auf den Computer geladen, fordern die Kriminellen über sie beispielsweise Testüberweisungen an. Folgen Bankkunden dieser Aufforderung, ist das Geld weg. Das Oberlandesgericht Oldenburg entschied in einem solchen Fall, dass sich der Kunde grob fahrlässig verhalte habe (Urteil vom 21. August 2018, Az. 8 U 163/17).

Der Kunde hatte eine Testüberweisung gemacht. In der Überweisungsmaske fehlten Angaben zu Summe und IBAN, in der SMS zur Freigabe der Überweisung wurden sie genannt. Der Kunde achtete nicht auf die polnische IBAN und überwies 8.000 Euro. Das Gericht begründete weiter, dass die Bank auf ihrer Website darauf hingewiesen habe, dass sie keine Testüberweisungen verlange. Auch sei eine solche Aufforderung allgemein unüblich. Die Bank musste dem Kunden das Geld nicht erstatten.

Hast Du schon mal Erfahrungen mit Datenklau-E-Mails gemacht? Dann kannst Du darüber in unserer Community diskutieren.

Wie sichere ich meine Internetverbindung?

Ist der Rechner geschützt, müssen die Daten im nächsten Schritt sicher zur Bank gelangen. Wichtig ist dabei vor allem, dass sie verschlüsselt werden. Angreifer könnten die Informationen so zwar immer noch abfangen, aber nicht viel damit anfangen.

Ob eine Internetverbindung verschlüsselt ist, erkennst Du an dem Kürzel „https“ statt des üblichen „http“ sowie an einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers.

Trotz Verschlüsselung solltest Du Online-Bankgeschäfte, etwa den Wertpapierhandel, nach Möglichkeit immer zu Hause erledigen. In einem öffentlichen W-Lan lässt sich nämlich nur schwer kontrollieren, ob jemand mit Dir im selben Netz surft und so womöglich Zugriff auf Deine Daten und Deinen Computer erlangt. Auch das heimische Netzwerk solltest Du immer mit einem Passwort verschlüsseln, damit Nachbarn oder andere Neugierige in der Nähe nicht eindringen können.

Wie finde ich ein sicheres Passwort fürs Online-Banking?

Der Zugangscode zum Online-Bankkonto sollte sich nicht ohne Weiteres erraten oder knacken lassen. Acht Zeichen muss ein Passwort dafür mindestens lang sein, raten die Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), weisen aber auch auf den Grundsatz „Je länger, desto besser“ hin. Du kannst Dich also ruhig austoben, solange Deine Bank die Passwortlänge nicht begrenzt.

Das Passwort sollte zudem aus kleinen und großen Buchstaben sowie Ziffern und Sonderzeichen bestehen. Begriffe aus Wörterbüchern sind ebenso leichte Beute für Datendiebe wie Tastatur-Zeichenketten im Stil von „QWERTZ“. Wie Du ein gut zu merkendes, schwer zu knackendes Kennwort bildest, liest Du in unserem Artikel Sichere Passwörter.

Ganz wichtig: Verwende für das Online-Banking niemals dasselbe Passwort, das Du auch für andere Dienste nutzt. Schließlich passiert es immer wieder, dass Kriminelle massenhaft Passwörter von einzelnen Firmen erbeuten – in einem solchen Fall wäre dann auch Dein Bankkonto nicht mehr sicher.

Welche TAN-Verfahren gibt es?

Als zusätzliche Sicherheitsmaßnahme kommt beim Online-Banking neben der Passwort-Abfrage das TAN-Verfahren zum Einsatz. Dabei gibt es verschiedene Varianten, die meisten Banken bieten mehrere davon an und die Kunden können sich für eine entscheiden. Die Konditionen sind allerdings von Geldinstitut zu Geldinstitut unterschiedlich – und nicht jede TAN-Methode ist überall kostenlos. Nachfragen lohnt sich also.

Einige der Verfahren wurden in der Praxis oder zumindest unter Laborbedingungen bereits ausgehebelt. Oft mussten die Kriminellen oder die Sicherheitsforscher dafür zunächst Computer oder Handy des Kunden mit Schadsoftware infizieren. Zumindest das HBCI-Verfahren wurde in den letzten Jahren nicht überlistet.

Auch wenn ein TAN-Verfahren schon einmal geknackt wurde, heißt das nicht, dass die Methode immer unsicher ist. Die Anbieter reagieren auf viele Vorfälle und können die Schlupflöcher stopfen. Wenn Du unsere Tipps zum sicheren Online-Banking befolgst, kannst Du außerdem die Wahrscheinlichkeit deutlich verringern, dass Fremde Dein TAN-Verfahren knacken.

Die Banken bieten folgende TAN-Verfahren an:

mTAN - Bei fast jeder Bank gibt es das mTAN-Verfahren, bei dem die Codes per SMS auf das Handy kommen. Inzwischen verlangen einige Banken Gebühren für diese SMS. Kriminelle haben es in einigen Fällen geschafft, das mTAN-Verfahren zu knacken. Dabei haben sie zum Beispiel erst die Daten des Kunden über Phishing-Mails erschlichen und dann eine Schwachstelle im Handy-Netzwerk ausgenutzt.

chipTAN - Eine weitere Methode sind sogenannte TAN-Generatoren: kleine Extrageräte von der Bank, die bei Bedarf zusammen mit der Girocard die nötigen Codes erzeugen. Dazu gibst Du zunächst die Überweisungsdaten ein. Das geht am Computer, aber auch am Smartphone oder einem anderen Gerät. Dann erscheint eine Grafik auf dem Bildschirm. Du steckst die Girocard in den Generator und scannst die Grafik ein. Gleichzeitig liest das Gerät die Überweisungsdaten ab.

Manchmal musst Du die Kontonummer des Empfängers oder andere Daten auch selbst in das Gerät eintippen. Der Generator zeigt am Ende noch einmal alle Überweisungsdaten an. Stimmen die, bestätigst Du dies per Knopfdruck und erhältst die TAN, mit der Du dann die Überweisung freigibst.

Auch beim chipTAN-Verfahren haben Sicherheitsforscher gezeigt, dass sich dieses in manchen Fällen umgehen lässt. Die Forscher schafften das beispielsweise 2009 bei den Sparkassen, aber auch in diesem Fall mussten sie erst einmal Schadsoftware beim Kunden einschleusen.

photoTAN - Mit der photoTAN funktioniert Online-Banking sowohl auf zwei getrennten Endgeräten (etwa Computer und Smartphone) als auch komplett auf dem Handy. Wenn Du Deine Bankgeschäfte am Computer erledigst, erscheint nach der Eingabe der Überweisung eine Grafik auf dem Bildschirm. Diese scannst Du mit dem Handy oder einem Lesegerät ein. Die dazu passende Software entschlüsselt das Bild. Dann siehst Du Deine Transaktionsdaten und die Transaktionsnummer, die eigentliche photoTAN. Mit dieser gibst Du die Überweisung frei.

Solltest Du Deine Bankgeschäfte komplett über Dein Smartphone erledigen, arbeite mit zwei Apps auf dem Handy: einer Banking-App und einer TAN-App. In der Banking-App gibst Du Deine Überweisungsdaten ein. Diese App übermittelt die Daten an die TAN-App. In dieser überprüfst Du die Überweisungsdaten noch einmal und bestätigst die Überweisung.

pushTAN - Auch beim pushTAN-Verfahren funktionieren Bankgeschäfte entweder getrennt auf Computer und Smartphone oder gekoppelt auf einem mobilen Endgerät. Du gibst die Überweisungsdaten ein – egal ob auf dem Laptop, einem Tablet oder über das Smartphone. Danach erhältst Du eine Nachricht auf dem Smartphone, in der die Überweisungsdaten genannt werden. Nachdem Du diese bestätigt hast, wird die TAN angezeigt. Diese gibst Du dann entweder am Laptop ein oder aber sie wird automatisch in die Banking-App übertragen.

Die photoTAN- und pushTAN-Verfahren verschiedener Banken wurden von Sicherheitsforschern ausgehebelt. Dabei ging es um die Variante der Verfahren, bei der Nutzer Bankgeschäfte und TAN-Generierung auf demselben Gerät erledigen.

Solche Hacks geschehen aber unter Laborbedingungen. Wie gut sie tatsächlich im täglichen Leben funktionieren würden, ist unklar. Bei einigen der Hacks müssten die Kriminellen zunächst das Smartphone mit einem Virus infizieren, beispielsweise über eine bösartige App. Falls Du Dir trotzdem Sorgen machst, solltest Du Deine Bankgeschäfte einfach mit zwei separaten Geräten erledigen, etwa einem Laptop für das Online-Banking und dem Handy für den TAN-Versand.

Ohne TAN geht es mit der sogenannten HBCI-Methode. Dabei kommt eine Chipkarte mit elektronischer Signatur und PIN-Code zum Einsatz. Voraussetzung dafür ist allerdings ein spezielles Lesegerät, das um die 50 Euro kostet. Ein Vorteil: Wenn Du im Internet den neuen Personalausweis einsetzt, etwa für Behördengänge, geht das in vielen Fällen mit demselben Lesegerät. Das spart zumindest ein wenig Platz auf dem Schreibtisch. HBCI wird beim Home-Banking benutzt, also wenn Du Deine Bankgeschäfte mit einer entsprechenden Software am Computer erledigst.

Seit September 2019 gibt es an vielen Stellen Probleme mit der HBCI-Methode. Grund dafür ist die Payment Service Directive 2. Die Banken müssen neue Schnittstellen zur Verfügung stellen und haben im Zuge dessen die Schnittstelle für das HBCI-Verfahren entweder komplett oder vorübergehend eingestellt. Auch wenn die Schnittstelle weiterhin funktioniert, läuft die Abfrage der Kontodaten nun anders ab. So musst Du zum Beispiel Deine Software aktualisieren oder öfter eine TAN eingeben, um die Daten abzurufen und Bankgeschäfte zu erledigen.

Ausnahme 30 Euro – Die zweite Zahlungsdienstrichtline verlangt bei elektronischen Zahlungen (zum Beispiel beim Überweisen über das Online-Banking), dass sich Kunden über zwei unterschiedliche Merkmale identifizieren. Ausnahmen gelten jedoch bei Beträgen bis 30 Euro. Die europäische Richtline erlaubt, dass solche Überweisungen fünfmal hintereinander komplett ohne TAN stattfinden können. Insgesamt dürfen dabei aber höchstens 100 Euro zusammenkommen.

Worauf muss ich beim Banking auf dem Smartphone achten?

Für Bankgeschäfte auf Tablet und Smartphone bieten die meisten Banken eigene Apps an. Und bei Smartphone-Banken wie N26, Revolut oder Yomo liegt der Fokus ohnehin darauf, dass die Kunden ihre Bankgeschäfte ausschließlich mit dem Handy erledigen.

Beim Banking auf einem mobilen Endgerät, wie Smartphone oder Tablet, solltest Du einige zusätzliche Sicherheitstipps beachten:

  • Nutze beim Mobile-Banking kein öffentliches W-Lan.
  • Schütze Dein Smartphone über ein Passwort.
  • Nutze auch beim Smartphone einen Virenscanner.
  • Lade Apps nur aus sicheren Quellen herunter, zum Beispiel den App-Stores, die zur Handy-Software gehören (Play Store von Google für Android, iTunes von Apple für iPhones).

Falls Du Dein Smartphone für Deine Bankgeschäfte nutzt, solltest Du zudem das Betriebssystem aktuell halten und die Sicherheitsupdates der Hersteller installieren. Bei zu alten Betriebssystemen funktionieren die Apps der Banken nicht. Auch wenn das Smartphone selbst einige Jahre auf dem Buckel hat, wird die Bank die App dafür nicht anbieten. Denn die Betriebssysteme sind in solchen Fällen veraltet, Updates werden nicht mehr geliefert.

Mehr dazu im Ratgeber Girokonto

  • Mit dem richtigen Girokonto kannst Du Gebühren sparen und bekommst gute Leistungen.
  • Unsere Anbieter-Empfehlung: Comdirect, DKB, Consorsbank, Norisbank

Zum Ratgeber

Autor
Josefine Lietzau

Stand: 18. Dezember 2019


* Was der Stern bedeutet:

Wir wollen mit unseren Empfehlungen möglichst vielen Menschen helfen, ihre Finanzen selber zu machen. Daher sind unsere Inhalte kostenlos im Netz verfügbar. Wir finanzieren unsere aufwändige Arbeit mit sogenannten Affiliate Links. Diese Links kennzeichnen wir mit einem Sternchen (*).

Bei Finanztip handhaben wir Affiliate Links aber anders als andere Websites. Wir verlinken ausschließlich auf Produkte, die vorher von unserer unabhängigen Experten-Redaktion empfohlen wurden. Nur dann kann der entsprechende Anbieter einen Link zu diesem Angebot setzen lassen. Geld bekommen wir, wenn Du auf einen solchen Link klickst oder beim Anbieter einen Vertrag abschließt.

Ob und in welcher Höhe uns ein Anbieter vergütet, hat keinerlei Einfluss auf unsere Empfehlungen. Was Dir unsere Experten empfehlen, hängt allein davon ab, ob ein Angebot gut für Verbraucher ist.

Mehr Informationen über unsere Arbeitsweise findest Du auf unserer Über-uns-Seite.