Online-Banking

So schützen Sie Ihren Computer vor Hackern

Das Wichtigste in Kürze

  • Beim Online-Banking können Sie Ihre Bankgeschäfte bequem von zu Hause erledigen. Damit wächst allerdings auch die Gefahr, dass Kriminelle Ihr Konto knacken.
  • Sie können sowohl einen Computer als auch Smartphone oder Tablet für das Online-Banking nutzen.
  • Mit einigen einfachen Sicherheitsmaßnahmen schützen Sie Ihre Geräte effektiv vor Hackerangriffen.
  • Neben Namen und Passwort benötigen Sie für jede Buchung beim Online-Banking eine sechsstellige Zahl, die TAN.
  • TAN-Listen auf Papier gelten als unsicher, besser sind TAN-Generatoren oder das mTAN- Verfahren, bei dem die Bank die Codes per SMS verschickt. Oder aber generell kostenlose Verfahren wie photoTAN.

So gehen Sie vor

  • Vor dem Online-Banking müssen Sie Ihren Computer sichern: Installieren Sie einen Virenscanner und halten Sie diesen immer aktuell.
  • Klicken Sie keine Links in Mails unbekannter Absender an.
  • Achten Sie darauf, dass Sie in einem gesicherten, privaten Netzwerk surfen – und über eine verschlüsselte Verbindung.
  • Schützen Sie Ihr Online-Bankkonto mit einem guten Passwort.
  • Informieren Sie sich, welche TAN-Verfahren Ihre Bank zu welchen Konditionen anbietet und entscheiden Sie sich für eines. Einige der Verfahren wurden in der Praxis oder unter Laborbedingungen geknackt; ist Ihnen das zu unsicher, wählen Sie ein anderes.
  • Unser Tipp: Bleiben Sie zum Thema Geldanlage immer auf dem Laufenden - mit unserem kostenlosen Newsletter!

    Bitte bestätigen Sie jetzt Ihre Anmeldung!

    Wir haben Ihnen eine E-Mail an Ihre Adresse gesendet.

    Schauen Sie gleich in Ihr E-Mail-Programm.

    Sie haben keine E-Mail erhalten? Kann es sein, dass die Nachricht im SPAM-Ordner Ihres E-Mail-Anbieters gelandet ist?
    Bitte schauen Sie auch dort einmal nach und fügen die Mail-Adresse von Finanztip.de Ihrem Adressbuch hinzu.

Öffnungszeiten rund um die Uhr und keine Warteschlangen: Es ist viel bequemer, Bankgeschäfte zu Hause am Computer oder Smartphone zu erledigen, als die Öffnungszeiten abzupassen und extra in die Filiale zu laufen. Allerdings wächst damit die Gefahr, zum Opfer von Kriminellen zu werden. Computer und Konto lassen sich aber mit einigen Handgriffen so schützen, dass Angreifer beim Online-Banking kaum eine Chance haben.

Wie schütze ich meinen Computer?

Grundlage für sicheres Online-Banking, zum Beispiel wenn Sie ein Online-Girokonto führen, ist ein gut geschützter Computer. Dafür muss der Rechner vor allem frei von Viren und Trojanern sein. Ansonsten können die Schädlinge zum Beispiel sensible Informationen wie Passwörter und Kontonummern abfangen.

Um sich die unerwünschten Gäste auf den Rechner zu holen, müssen Sie nicht unbedingt in den dunklen Ecken des Internets surfen: Theoretisch können Viren und Trojaner sich auch auf seriösen Webseiten verstecken, zum Beispiel in Werbebannern. Downloads und Speichermedien sind weitere mögliche Infektionsherde.

Ein guter Virenscanner ist daher Pflicht. Aktuelle Windows-Versionen haben eine eigene Gefahrenabwehr an Bord. Die stand lange in Verruf; inzwischen konnte der Windows Defender aber auch Experten in Tests überzeugen (AV-Test von Juni 2018, Real-World Protection Test von Juni 2018). Guten Schutz bieten darüber hinaus auch die kostenpflichtigen Programme Internet Security 1.0 von Trend Micro, Norton Security 22.14 von Norton sowie Internet Security 22.0 von Bitdefender. Die Programme bieten verschiedene Extras wie eine Kindersicherung oder einen Spamfilter.

Wie wehre ich Angriffe ab?

Virenscanner helfen allerdings nur dann, wenn sie immer auf dem neuesten Stand sind. Angebotene Updates sollten Sie daher immer installieren. Das gilt nicht nur für Sicherheitssoftware, sondern auch für andere Programme wie den Browser, das Betriebssystem sowie Dienstprogramme wie Flash. Denn die Entwickler stopfen mit den Updates regelmäßig neu entdeckte Sicherheitslücken. Installieren Sie die Updates nicht, wird ein Programm möglicherweise zum Einfallstor für Schädlinge.

Alle Schutzprogramme sind außerdem nutzlos, falls Sie Ihre sensiblen Daten selbst an Kriminelle liefern, weil Sie zum Beispiel auf eine Phishing-Mail hereinfallen. Das sind E-Mails, die scheinbar von Banken, Dienstleistern wie Paypal oder Online-Shops stammen. Die Nachrichten gaukeln oft Sicherheitsprobleme vor, auf die Sie als Kunde reagieren sollen.

Tatsächlich stecken dahinter aber Kriminelle, die versuchen, Sie mit den Mails auf Webseiten zu lotsen, um Ihnen dort Passwörter zu entlocken. Andere Phishing-Mails versuchen, Schadsoftware auf den Rechner der Opfer zu schmuggeln. Hier gilt: Genau hinschauen und im Zweifelsfall nicht reagieren, vor allem aber keine Anhänge öffnen.

Die Betrüger versuchen ihr Glück nicht nur mit E-Mails, es kam auch bereits zu Phishing-Versuchen per Post. Die Briefe sahen aus wie Nachrichten von Banken, auch in diesen Fällen wurden die Verbraucher aufgefordert, ihre Zugangsdaten auf einer Website einzugeben.

Zudem versuchen die Kriminellen, Trojaner für Phishing-Aktionen zu nutzen. Einmal auf den Computer geladen, fordern die Kriminellen über sie beispielsweise Testüberweisungen an. Folgen Bankkunden dieser Aufforderung, ist das Geld weg. Das Oberlandesgericht Oldenburg entschied in einem solchen Fall, dass sich der Kunde grob fahrlässig verhalte habe (Urteil vom 21. August 2018, Az. 8 U 163/17).

Der Kunde hatte eine Testüberweisung gemacht. In der Überweisungsmaske fehlten Angaben zu Summe und IBAN, in der SMS zur Freigabe der Überweisung wurden sie genannt. Der Kunde achtete nicht auf die polnische IBAN und überwies 8.000 Euro. Das Gericht begründete weiter, dass die Bank auf ihrer Website darauf hingewiesen habe, dass sie keine Testüberweisungen verlange. Auch sei eine solche Aufforderung allgemein unüblich. Die Bank musste dem Kunden das Geld nicht erstatten.

Haben Sie schon mal Erfahrungen mit Datenklau-E-Mails gemacht? Dann diskutieren Sie darüber in unserer Community.

Wie sichere ich meine Internetverbindung?

Ist der Rechner geschützt, müssen die Daten im nächsten Schritt sicher zur Bank gelangen. Wichtig ist dabei vor allem, dass sie verschlüsselt werden. Angreifer könnten die Informationen so zwar immer noch abfangen, aber nicht viel damit anfangen.

Ob eine Internetverbindung verschlüsselt ist, erkennen Sie an dem Kürzel „https“ statt des üblichen „http“ sowie an einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers (siehe Screenshot rechts).

Trotz Verschlüsselung sollten Sie Online-Bankgeschäfte, etwa den Wertpapierhandel, nach Möglichkeit immer zu Hause erledigen. In einem öffentlichen W-Lan lässt sich nämlich nur schwer kontrollieren, ob jemand mit Ihnen im selben Netz surft und so womöglich Zugriff auf Ihre Daten und Ihren Computer erlangt. Auch das heimische Netzwerk sollten Sie immer mit einem Passwort verschlüsseln, damit Nachbarn oder andere Neugierige in der Nähe nicht eindringen können.

Wie sieht ein sicheres Passwort aus?

Der Zugangscode zum Online-Bankkonto sollte sich nicht ohne Weiteres erraten oder knacken lassen. Acht Zeichen muss ein Passwort dafür mindestens lang sein, raten die Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), weisen aber auch auf den Grundsatz „Je länger, desto besser“ hin. Sie können sich also ruhig austoben, solange Ihre Bank die Passwortlänge nicht begrenzt.

Das Passwort sollte zudem aus kleinen und großen Buchstaben sowie Ziffern und Sonderzeichen bestehen. Begriffe aus Wörterbüchern sind ebenso leichte Beute für Datendiebe wie Tastatur-Zeichenketten im Stil von „QWERTZ“. Wie Sie ein gut zu merkendes, schwer zu knackendes Kennwort bilden, lesen Sie in unserem Artikel „Sichere Passwörter“.

Ganz wichtig: Verwenden Sie für das Online-Banking niemals dasselbe Passwort, das Sie auch für andere Dienste nutzen. Schließlich passiert es immer wieder, dass Kriminelle massenhaft Passwörter von einzelnen Firmen erbeuten – in einem solchen Fall wäre dann auch Ihr Bankkonto nicht mehr sicher.

Welche TAN-Verfahren gibt es?

Als zusätzliche Sicherheitsmaßnahme kommt beim Online-Banking neben der Passwort-Abfrage das TAN-Verfahren zum Einsatz. Dabei gibt es verschiedene Varianten, die meisten Banken bieten mehrere davon an und die Kunden können sich für eine entscheiden. Die Konditionen sind allerdings von Geldinstitut zu Geldinstitut unterschiedlich – und nicht jede TAN-Methode ist überall kostenlos. Nachfragen lohnt sich also.

Einige der Verfahren wurden in der Praxis oder zumindest unter Laborbedingungen bereits ausgehebelt. Oft mussten die Kriminellen oder die Sicherheitsforscher dafür zunächst Computer oder Handy des Kunden mit Schadsoftware infizieren. Zumindest das HBCI-Verfahren wurde in den letzten Jahren nicht überlistet.

Auch wenn ein TAN-Verfahren schon einmal geknackt wurde, heißt das nicht, dass die Methode immer unsicher ist. Die Anbieter reagieren auf viele Vorfälle und können die Schlupflöcher stopfen. Wenn Sie unsere Tipps zum sicheren Online-Banking befolgen, können Sie außerdem die Wahrscheinlichkeit deutlich verringern, dass Fremde Ihr TAN-Verfahren knacken.

Die Banken bieten folgende TAN-Verfahren an:

TAN-Listen - TAN-Listen auf Papier waren früher weit verbreitet. Nach Erfahrung des BSI gelten sie nicht mehr als sicher, vor allem wegen der hohen Anfälligkeit für sogenannte Phishing-Angriffe und Diebstahl. Die Banken bieten sie nicht mehr an.

Etwas sicherer sind die iTAN-Listen, bei denen die Codes durchnummeriert sind. Überweisungen sind dann nur noch mit einer bestimmten, von der Bank angefragten Nummer möglich. Aber auch dieses Verfahren gehört bald der Vergangenheit an.

Grund dafür ist die zweite Zahlungsdienstrichtlinie (Payment Service Directive 2). Die Richtlinie verlangt, dass Verbraucher bei elektronischen Zahlvorgängen sich immer über zwei Faktoren identifizieren. Außerdem muss jeder Zahlung ein Empfänger und ein bestimmter Betrag zugeordnet werden. Das ist beim iTan-Verfahren nicht der Fall. Noch läuft eine Übergangfrist, die dürfte aber im September 2019 vorbei sein.

mTAN - Bei fast jeder Bank gibt es das mTAN-Verfahren, bei denen die Codes per SMS auf das Handy kommen. Inzwischen verlangen einige Banken Gebühren für diese SMS. Kriminelle haben es in einigen Fällen geschafft, das mTAN-Verfahren zu knacken. Dabei haben sie zum Beispiel erst die Daten des Kunden über Phishing-Mails erschlichen und dann eine Schwachstelle im Handy-Netzwerk ausgenutzt.

chipTAN - Eine weitere Methode sind sogenannte TAN-Generatoren: kleine Extrageräte von der Bank, die bei Bedarf zusammen mit der Girocard die nötigen Codes erzeugen. Dazu geben Sie zunächst die Überweisungsdaten ein. Das geht am Computer, aber auch am Smartphone oder einem anderen Gerät. Dann erscheint eine Grafik auf dem Bildschirm. Sie stecken die Girocard in den Generator und scannen die Grafik ein. Gleichzeitig liest das Gerät die Überweisungsdaten ab.

Manchmal müssen Sie die Kontonummer des Empfängers oder andere Daten auch selbst in das Gerät eintippen. Der Generator zeigt am Ende noch einmal alle Überweisungsdaten an. Stimmen die, bestätigen Sie dies per Knopfdruck und erhalten die TAN, mit der Sie dann die Überweisung freigeben.

Auch beim chipTAN-Verfahren haben Sicherheitsforscher gezeigt, dass sich dieses in manchen Fällen umgehen lässt. Die Forscher schafften das beispielsweise 2009 bei den Sparkassen, aber auch in diesem Fall mussten sie erst einmal Schadsoftware beim Kunden einschleusen.

photoTAN - Mit der photoTAN funktioniert Online-Banking sowohl auf zwei getrennten Endgeräten (etwa Computer und Smartphone) als auch komplett auf dem Handy. Wenn Sie Ihre Bankgeschäfte am Computer erledigen, erscheint nach der Eingabe der Überweisung eine Grafik auf dem Bildschirm. Diese scannen Sie mit dem Handy oder einem Lesegerät ein. Die dazu passende Software entschlüsselt das Bild. Dann sehen Sie Ihre Transaktionsdaten und die Transaktionsnummer, die eigentliche photoTAN. Mit dieser geben Sie die Überweisung frei.

Sollten Sie Ihre Bankgeschäfte komplett über Ihr Smartphone erledigen, arbeiten Sie mit zwei Apps auf dem Handy: einer Banking-App und einer TAN-App. In der Banking-App geben Sie Ihre Überweisungsdaten ein. Diese App übermittelt die Daten an die TAN-App. In dieser überprüfen Sie die Überweisungsdaten noch einmal und bestätigen die Überweisung.

pushTAN - Auch beim pushTAN-Verfahren funktionieren Bankgeschäfte entweder getrennt auf Computer und Smartphone oder gekoppelt auf einem mobilen Endgerät. Sie geben die Überweisungsdaten ein – egal ob auf dem Laptop, einem Tablet oder über das Smartphone. Danach erhalten Sie eine Nachricht auf dem Smartphone, in der die Überweisungsdaten genannt werden. Nachdem Sie diese bestätigt haben, wird die TAN angezeigt. Diese geben Sie dann entweder am Laptop ein oder aber sie wird automatisch in die Banking-App übertragen.

Die photoTAN und pushTAN-Verfahren verschiedener Banken wurden von Sicherheitsforschern ausgehebelt. Dabei ging es um die Variante der Verfahren, bei der Nutzer Bankgeschäfte und TAN-Generierung auf demselben Gerät erledigen.

Solche Hacks geschehen aber unter Laborbedingungen. Wie gut sie tatsächlich im täglichen Leben funktionieren würden, ist unklar. Bei einigen der Hacks müssten die Kriminellen zunächst das Smartphone mit einem Virus infizieren, beispielsweise über eine bösartige App. Falls Sie sich trotzdem Sorgen machen, sollten Sie Ihre Bankgeschäfte einfach mit zwei separaten Geräten erledigen, etwa einem Laptop für das Online-Banking und dem Handy für den TAN-Versand.

Ohne TAN geht es mit der sogenannten HBCI-Methode. Dabei kommt eine Chipkarte mit elektronischer Signatur und PIN-Code zum Einsatz. Voraussetzung dafür ist allerdings ein spezielles Lesegerät, das um die 50 Euro kostet. Ein Vorteil: Wenn Sie im Internet den neuen Personalausweis einsetzen, etwa für Behördengänge, geht das in vielen Fällen mit demselben Lesegerät. Das spart zumindest ein wenig Platz auf dem Schreibtisch. HBCI wird beim Home-Banking benutzt, also wenn Sie Ihre Bankgeschäfte mit einer entsprechenden Software am Computer erledigen.

Ausnahme 30 Euro – Die zweite Zahlungsdienstrichtline verlangt bei elektronischen Zahlungen (zum Beispiel beim Überweisen über das Online-Banking), dass sich Kunden über zwei unterschiedliche Merkmale identifizieren. Ausnahmen gelten jedoch bei Beträgen bis 30 Euro. Die europäische Richtline erlaubt, dass solche Überweisungen fünfmal hintereinander komplett ohne TAN stattfinden können. Insgesamt dürfen dabei aber höchstens 100 Euro zusammenkommen.

Unser Tipp: Bleiben Sie zum Thema Geldanlage immer auf dem Laufenden - mit unserem kostenlosen Newsletter!

Bitte bestätigen Sie jetzt Ihre Anmeldung!

Wir haben Ihnen eine E-Mail an Ihre Adresse gesendet.

Schauen Sie gleich in Ihr E-Mail-Programm.

Sie haben keine E-Mail erhalten? Kann es sein, dass die Nachricht im SPAM-Ordner Ihres E-Mail-Anbieters gelandet ist?
Bitte schauen Sie auch dort einmal nach und fügen die Mail-Adresse von Finanztip.de Ihrem Adressbuch hinzu.

Worauf muss ich beim Banking auf dem Smartphone achten?

Für Bankgeschäfte auf Tablet und Smartphone bieten die meisten Banken eigene Apps an. Und bei Smartphone Banken wie N26, Revolut oder Yomo liegt der Fokus ohnehin darauf, dass die Kunden ihre Bankgeschäfte ausschließlich mit dem Handy erledigen.

Beim Banking auf einem mobilen Endgerät, wie Smartphone oder Tablet, sollten Sie einige zusätzliche Sicherheits-Tipps beachten:

  • Nutzen Sie beim Mobile-Banking kein öffentliches W-Lan.
  • Schützen Sie Ihr Smartphone über ein Passwort.
  • Nutzen Sie auch beim Smartphone einen Virenscanner.
  • Laden Sie Apps nur aus sicheren Quellen herunter, zum Beispiel den App-Stores, die zur Handy-Software gehören (Play Store von Google für Android, iTunes von Apple für iPhones).

Mehr dazu im Ratgeber Girokonto

Josefine Lietzau
von Finanztip,
Expertin für Bankprodukte

Bei Direktbanken sparen

  • Direktbanken bieten kostenlose Girokonten.
  • Es können allerlei Gebühren anfallen.
  • Ersparnisse gehören nicht auf das Girokonto.
  • Denken Sie an die Sicherheit beim Online-Banking.

» Zum Ratgeber

Unsere Anbieter-Empfehlung:

Sollen wir Sie
zum Thema Geldanlage
sowie zu weiteren Themen auf dem Laufenden halten?

Einmal pro Woche die wichtigsten Verbraucher-Tipps - kostenlos und werbefrei direkt in Ihr Postfach.

  • Wertvolle Spartipps für Ihr Geld
  • Urteile, die Sie kennen sollten
  • Updates zu unseren beliebten Rechnern und Musterschreiben
  • Unverbindlich und jederzeit kündbar


Finanztip-Chefredakteur
Hermann-Josef Tenhagen

Vielen Dank für Ihre Anmeldung

Bitte bestätigen Sie Ihre E-Mail-Adresse

  1. Schauen Sie gleich in Ihrem Postfach nach.
  2. Öffnen Sie die Mail von Finanztip Newsletter.
  3. Klicken Sie auf den Bestätigungslink.

Schauen Sie bitte auch im Spam-Ordner nach.

Finanztip Newsletter

  • Jede Woche die besten Tipps
  • Absolut kostenlos
  • 100% werbefrei

* Was der Stern bedeutet

Ein Stern* neben einem Link bedeutet, dass Finanztip vom verlinkten Anbieter möglicherweise bezahlt wird: manchmal, sobald Sie den Link klicken – oft nur dann, wenn Sie einen Vertrag abschließen. So finanzieren wir unseren Service und können ihn kostenlos anbieten. Wichtig ist: Auf den Preis, den Sie zahlen, wirkt sich das nicht aus. Und wir verlinken nur auf Angebote, die unsere unabhängigen Experten und Redakteure zuvor uneingeschränkt empfohlen haben. Das hängt allein davon ab, ob ein Angebot gut für Sie als Verbraucher ist. Erst wenn das geklärt ist, verhandelt eine andere Abteilung über eine mögliche kostenpflichtige Verlinkung. Mehr zu unserer Arbeitsweise lesen Sie hier.

 

Artikel verfasst von

Josefine Lietzau

Finanztip-Expertin für Bankprodukte

Josefine Lietzau ist Redakteurin im Team Bank & Geldanlage. Bereits während ihres Studiums der Germanistik und Anglistik war sie für die Redaktionen der Grünen Liga, der Jüdischen Zeitung und der Superillu tätig. Nach ihrem Magister-Abschluss absolvierte Josefine Lietzau ein Volontariat bei den Online-Verbraucherportalen Banktip und Posttip, wo sie im Anschluss als Redakteurin arbeitete.

Tobias Hanraths

ehemaliger freier Finanztip-Mitarbeiter

Tobias Hanraths war Finanztip-Autor und schrieb als freier Journalist vor allem über Digital- und Verbraucherthemen. Er war unter anderem für die Deutsche Presse-Agentur und Wired tätig.