HOME

Sicheres Online-Banking: Die Tan hat ausgedient

Für Schäden beim Online-Banking haftet der Kunde, urteilt der Bundesgerichtshof. Doch wie schützt man das Konto vor unbefugten Zugriffen? Diese Tipps geben Sicherheit.

Von Christoph Fröhlich und Martin Hintze

Online-Banking kann gefährlich werden. Doch mit den richtigen Vorsichtsmaßnahmen kann man das Betrugsrisiko minimieren

Online-Banking kann gefährlich werden. Doch mit den richtigen Vorsichtsmaßnahmen kann man das Betrugsrisiko minimieren

Online-Banking ist so beliebt wie nie zuvor: Mehr als 27 Millionen Deutsche nutzen das Internet für ihre Bankgeschäfte, das sind rund 43 Prozent aller Bundesbürger zwischen 16 und 74 Jahren. Doch so praktisch Online-Banking auch ist, es ist alles andere als sicher: Die Polizeiliche Kriminalstatistik meldet für 2010 insgesamt 5331 Fälle und einen Anstieg von 82 Prozent im Vergleich zum Vorjahr. Der Schaden beläuft sich im Durchschnitt auf 4000 Euro. Dabei geht das BKA sogar davon aus, dass nur rund 40 Prozent der Fälle überhaupt bekannt werden.

Die Tricks der Cyberkriminellen werden immer raffinierter: Die Methoden reichen von Phishing über Spionagesoftware auf dem Computer bis zum Abfangen und Manipulieren von Datenübertragungen an die Bank.

Wie Bankkunden sich davor schützen können:

Phishing, Pharming und Trojaner

Beim Phishing gaukeln die Täter dem Opfer vor, dass es sich auf der Homepage seiner Bank oder in einem seriösen Onlineshop befindet. Wenn er dann Benutzernamen und Passwort, vollständige Kreditkartendaten oder Kontodaten inklusive Pin und Tan eingibt, gelangen diese in die Hände der Gauner. Um ihre Opfer auf die häufig täuschend echt wirkenden Fälschungen bekannter Webseiten zu locken, werden Links meistens per E-Mail, aber auch über soziale Netzwerke und Twitter verschickt. Zwei Drittel der betroffenen Bankkunden fallen laut BKA auf solche Phishing-Webseiten herein. Deshalb gilt: Vorsicht vor fremden Links! Prüfen Sie immer, ob es sich wirklich um die gewünschte Internetseite handelt.

Fieser geht es beim sogenannten

Pharming

zu, der Weiterentwicklung des klassischen Phishings. Mit einer Schadsoftware wird das System des Nutzers manipuliert, sodass gezielt gefälschte Webseiten angezeigt werden, obwohl die korrekte Adresse eingegeben wurde. Sie können sich mit auf dem neuesten Stand gehaltener Sicherheitssoftware wie Virenschutzprogrammen und Firewalls schützen. Achten Sie zudem stets darauf, dass die Verbindung verschlüsselt ist. Das erkennen Sie daran, ob in der Adresszeile des Browsers vor der Adresse die Buchstabenfolge "https://" zu finden ist anstatt nur "http://". In vielen Browsern ist auf korrekt verschlüsselten Seiten ein kleines, verriegeltes Schloss eingeblendet.

Noch gefährlicher ist die Datenspionage mit spezialisierten

Trojanern

. Hierbei infizieren die Kriminellen den Rechner mit Schadsoftware, die häufig unbemerkt im Hintergrund den Datenverkehr überwacht. Bemerkt die Schnüffelsoftware eine Banktransaktion, manipuliert sie den Betrag und den Empfänger und leitet das Geld zu den Angreifern, ohne dass das Opfer etwas bemerkt. Das Resultat wird erst auf dem Kontoauszug sichtbar. Viele Gratis-Antiviren-Programme haben aufwendigen Trojanern nur wenig entgegenzusetzen, weshalb es sich lohnt, kostenpflichtige Sicherheitspakete zu erwerben. Stiftung Warentest hat im April mehrere Software-Pakete untersucht - mit teils erschreckenden Ergebnissen.

Welches Verfahren ist sicher?

Wichtig ist außerdem, die aktuellen Sicherheitsverfahren fürs Onlinebanking zu nutzen, wenn die Bank die Möglichkeit dazu bietet. Wer sich mit Pin und Tan authentifiziert, sollte versuchen, auf mTan oder ChipTan zu setzen. Tan-Listen auf Papier sind lange überholt, und auch die als Nachfolgeverfahren geplante iTan wurde kurz nach der Einführung geknackt und wird inzwischen von vielen Banken wieder abgeschafft. Viele Banken bieten mehrere Alternativen zur gedruckten Tan-Liste an, fragen lohnt sich also. Die Verfahren im Überblick:

mTan: SMS von der Bank

Beim mTan-Verfahren, auch smsTan oder Mobil-Tan genannt, schickt die Bank eine nur wenige Minuten gültige Transaktionsnummer per SMS aufs Handy, die der Nutzer dann am Computer eintippt. Diese Tan gilt nur für die aktuelle Transaktion. Bei Änderungen an den Kontodaten oder am Überweisungsbetrag muss eine neue Tan angefordert werden.

Dieses Verfahren gibt es nicht für Banking mit dem Smartphone, denn seine Stärke liegt darin, dass die Tan auf einem anderen Kommunikationsweg übertragen wird als die Überweisung. Zudem sollten Kunden ihren PC und ihr Handy durch Firewalls und Anti-Viren-Software vor unerlaubten Zugriffen schützen. Nach einer Umfrage von "Stiftung Warentest" unter 75 Banken vom Oktober 2011 werden für eine mTan bis zu 15 Cent pro Überweisung fällig.

ChipTan: Kartenleser nötig

Für ChipTan benötigt man ein bis zu 15 Euro teures Lesegerät, in das man seine Bankkarte steckt. Das Gerät, das wie ein Taschenrechner mit Kartenslot aussieht, errechnet getrennt vom Internet für jede Überweisung eine ebenfalls nur wenige Minuten gültige Tan, die der Nutzer eingeben muss. Bei der Postbank und vielen anderen Banken funktioniert es in der Praxis so: Wie gewohnt werden die Überweisungsdaten am Rechner oder am Smartphone eingegeben. Dann erscheint eine Grafik, die das Lesegerät scannt und zusammen mit den Daten vom Chip der Bankkarte eine Tan errechnet. Alternativ können die Überweisungsdaten auch per Hand in das Lesegerät eingetippt werden. Der Kunde gibt dann die Tan am PC ein und bestätigt so den Auftrag.

Zwar benötigt der Kunde für jede Überweisung Bankkarte und Lesegerät, dafür bietet das System eine höhere Sicherheit. Hacker-Angriffe werden so erfolgreich verhindert. Selbst wenn Karte oder Lesegerät verloren gehen, besteht nur ein geringes Risiko. Nach der Kartensperrung können keine Tans mehr erzeugt werden.

Auch das bereits recht alte

HBCI-Verfahren

(Home Banking Computer Interface) funktioniert mit einem Kartenleser und einer eigens ausgestellten Chipkarte der Bank. Die Kosten sind allerdings recht hoch: Oftmals müssen Kunden mehr als 50 Euro zahlen.

Vorsicht im Internetcafe und auf Handys

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Verbrauchern, für Onlinebanking grundsätzlich den eigenen Computer zu nutzen. Doch unterwegs oder im Urlaub haben Sie häufig keine andere Wahl, als ein Internetcafé für Überweisungen aufzusuchen. Hier gilt besondere Vorsicht: Browser speichern Daten in einer Art Zwischenspeicher, dem "Cache". Dieser kann unter Umständen noch Stunden nach der eigentlichen Überweisung ausgelesen werden, weshalb er immer gelöscht werden sollte. Nach der Sitzung sollte Sie sich unbedingt abmelden! Zudem können Sie nie sicher sein, dass die Rechner auf dem neuesten Stand sind, weshalb Bankgeschäfte auf fremden Computern vermieden werden sollten.

Auch Handys sind vor Datendiebstahl nicht sicher, deshalb sollten dort niemals persönliche Zugangsdaten abgespeichert werden. Selbst das als sicher geltende mTan-Verfahren ist bereits vor Monaten geknackt worden. Häufig werden Smartphones via MMS oder verseuchten Links mit Schadsoftware infiziert. Nutzen Sie lediglich die Apps der jeweiligen Bank und seien Sie besonders aufmerksam. Installieren Sie auf keinen Fall fremde Software auf ihrem Telefon, die möglicherweise Trojaner enthalten könnte.

Kontoauszüge kontrollieren

Um sicherzugehen, dass sich niemand Zugriff auf das eigene Konto verschafft hat, sollten regelmäßig die Kontoauszüge überprüft werden. Tauchen unbekannte Abbuchungen auf, sollte umgehend die Bank informiert und die Karte gesperrt werden. Außerhalb der Geschäftszeiten hilft die kostenpflichtige zentrale Sperrnummer 01805-021021 oder die gebührenfreie Nummer 116116. Bei Kreditkarten ist der jeweilige Anbieter zuständig, also etwa Visa oder MasterCard.