Wie Sicher ist Online Banking?

Ausführliche Informationen über die Risiken beim Online Banking sowie die einzelnen Verfahren und Techniken der Banken, um Sicherheit zu garantieren.

Angst vor Betrügern: Millionen Deutsche nutzen kein Online Banking

wie sicher ist online bankingDas Internet hat den Zahlungsverkehr deutlich vereinfacht, zahlreiche Bürger erledigen ihre Bankgeschäfte online. Auf diese Weise sparen sie Zeit, weil der Gang zur Bankfiliale entfällt und häufig profitieren sie außerdem von attraktiveren Konditionen. Gerade bei kostenlosen Girokonten ist häufig vorgesehen, dass die Abwicklung des Zahlungsverkehrs online erfolgt.

Doch längst nicht alle Bankkunden sind umgestiegen. In Deutschland gibt es Millionen von Bankkunden, die auf die Nutzung des Online Bankings bewusst verzichten. Hauptgrund ist fast immer die Angst vor Betrügern. Viele Personen wollen schlichtweg kein Risiko eingehen und erledigen ihre Zahlungen lieber in der Filiale, auch wenn sie dadurch mehr Zeit aufwenden müssen und höhere Gebühren anfallen.

Berechtigte Angst: Diese Risiken bestehen

Die Angst vor Geldverlusten ist nicht unberechtigt, denn tatsächlich haben es zahlreiche Kriminelle auf die Ersparnisse ahnungsloser Bankkunden abgesehen. Das Risiko eines möglichen Geldverlustes ist daher nicht zu unterschätzen, fast täglich werden Konten abgeräumt – zumal sich die Kriminellen nicht gerade in Zurückhaltung üben. Wenn Online Banking Betrüger zuschlagen, räumen sie im Regelfall das gesamte Kontoguthaben ab und nehmen den Dispo (sofern vorhanden) auch noch in Anspruch.

Der größtmögliche Schaden beträgt: Kontoguthaben + Verfügungsrahmen des Dispokredits

  1. Wie entsteht der finanzielle Schaden?
  2. Weshalb Online Banking dennoch sicher ist!
  3. Warum Verzicht auf Online Banking keine zusätzliche Sicherheit schafft
  4. Sicherheitssysteme der Banken im Überblick
  5. So umgehen Kriminelle die Sicherheitsmaßnahmen der Banken
  6. Worauf der Bank Kunde zu achten hat
  7. 10 Tipps für maximale Sicherheit beim Online Banking

1. Wie entsteht der finanzielle Schaden?

Der eigentliche Schaden entsteht immer auf dieselbe Art und Weise. Die Betrüger verschaffen sich Zugriff auf die Konten ihrer Opfer und leiten deren Guthaben auf andere Konten weiter. Das Problem hierbei: Solche Transaktionen lassen sich nicht ohne weiteres rückgängig machen. Viele Banken agieren sehr langsam, weshalb Überweisungen erst rückgängig gemacht werden, wenn der Betrug eindeutig nachgewiesen ist. Dies kann jedoch Tage oder Wochen dauern, sodass sich auf den Zielkonten meist kein Geld mehr befindet und somit auch keine Beträge zurückgebucht werden können.

Ein Vorgehen gegen die Kontoinhaber lohnt sich nur selten. Im Regelfall handelt es sich um ahnungslose Dritte, die Opfer von Identitätsdiebstählen geworden sind. Oder die Konten befinden sich im Ausland, wodurch das Aufspüren von Beteiligten und Hintermännern zusätzlich erschwert wird.

2. Weshalb Online Banking dennoch sicher ist

sicherheit online bankingAngesichts solcher Schreckgeschichten sollte man meinen, dass vom Online Banking nur abgeraten werden kann. Dies ist jedoch nicht der Fall, denn genau betrachtet ist das Banking am Computer äußerst sicher. Dank der Sicherheitsverfahren, die bei den einzelnen Banken zum Einsatz gelangen, wird das Risiko auf ein absolutes Minimum reduziert. Sofern ein Bankkunde sehr vorsichtig ist, kann ihm nichts passieren. Angreifer müssten es schon auf ihn persönlich abgesehen haben und zugleich einen immens hohen Aufwand betreiben, um sein Konto via Internet zu plündern. Außerdem würden in solchen Fällen die Versicherungen der Banken greifen, sodass dem Opfer letztlich kein finanzieller Schaden entsteht.

Im Übrigen ist der reguläre Zahlungsverkehr bzw. das Erledigen von Finanzgeschäften am Bankschalter nicht sicherer als das Online Banking. Nachfolgend wird erläutert, weshalb selbst bei Verzicht auf das Online Banking immer noch hohe Risiken bestehen.

3. Warum Verzicht auf Online Banking keine zusätzliche Sicherheit schafft!

Kriminelle müssen nicht zwangsläufig auf Online Banking Betrug setzen, um ihre Opfer um größere Beträge zu erleichtern. Bankkunden, die elektronische Geldgeschäfte meiden, können trotzdem ganz leicht zu Opfern werden. Im Grunde genügt es schon, einen Überweisungsträger mit allen relevanten Daten auszufüllen und hierbei die Unterschrift des Kontoinhabers zu fälschen.

Die Beschaffung von Kontodaten und Unterschriftenvorlage stellt für erfahrene Betrüger keine große Herausforderung dar. Indem sie beispielsweise Postsendungen abfangen, lässt sich dies ganz leicht bewerkstelligen.

Weiterhin kann es passieren, dass Bankkarten (EC-Karte oder Kreditkarte) gestohlen oder schlichtweg neu beantragt werden – auch solche Sendungen lassen sich abfangen. Mit Hilfe der Karten sind anschließend Geldabhebungen am Automaten möglich.

Zusammengefasst lässt sich sagen: Wer auf das Online Banking verzichtet, minimiert das Risiko nur geringfügig. Zwar wird eine weitere Gefahrenquelle ausgeschlossen, dennoch kann der Kontoinhaber ganz leicht zum Betrugsopfer werden. Daher macht es letztlich keinen großen Unterschied, ob das Online Banking genutzt wird oder eben nicht.

4. Sicherheitssysteme der Banken im Überblick

Sicherheitsverfahren bei einzelnen Banken in Deutschland

Bank VerfahrenDetails
Commerz Bank mobile TAN, photoTANZur Homepage
Cortal Consors mobileTAN, TAN-GeneratorZur Homepage
Deutsche BankiTAN, mobileTANZur Homepage
ING-DiBaiTAN, mobile TANZur Homepage
Postbank chipTAN, mobileTAN, BestSignZur Homepage
SparkassenchipTAN, mobileTAN, HBCI ChipkarteZur Homepage
Volks- und RaiffeisenbankenchipTAN, mobileTANZur Homepage

Zum Schutz ihrer Kunden haben die Banken und deren IT-Partner leistungsstarke Sicherheitssysteme entwickelt. Diese sollen sicherstellen, dass Geldtransaktionen nur vom Kontoinhaber und anderen berechtigten Personen durchgeführt werden. Das Spektrum an Sicherheitsverfahren ist in den letzten Jahren stark gewachsen, nachfolgend werden die einzelnen Systeme vorgestellt.


  • Klassiches TAN Verfahren

Der Bankkunden erhält eine Liste mit TANs (meist sechsstellige Geheimnummern). Zur Freigabe jeder einzelnen Transaktion ist es erforderlich, eine TAN einzugeben. Die Nummern können wahllos aus der Liste verwendet werden, weshalb das Verfahren als relativ unsicher gilt. Schon eine abgefangene Nummer kann den Verlust von viel Geld bedeuten. Wegen der geringen Sicherheit ist dieses Verfahren nur noch selten anzutreffen.


  • iTAN

Beim iTAN Verfahren gibt es ebenfalls eine Liste, jedoch ist jeder TAN eine konkrete Position in der Liste zugeteilt, meist enthalten die Listen 150 oder 200 iTANs. Um eine Transaktion zu autorisieren, hat der Nutzer genau die iTAN Nummer einzugeben, deren Position vom System vorgegeben wird. Das Abfangen von Nummern ist daher wenig attraktiv: Kriminelle müssten viel Glück haben, damit sie eine iTAN abfangen, die später bei Missbrauch des Systems tatsächlich abgefragt wird.


  • mobileTAN (auch: SMS TAN)

Dieses Verfahren wird via Handy / Smartphone realisiert, TAN-Listen gibt es nicht mehr. Soll eine Geldtransaktion durchgeführt werden, erhält der Nutzer sofort eine SMS, in welcher die mobileTAN enthalten ist. Das Abfangen von TAN-Nummern wird hierdurch maßgeblich erschwert, weil die Mitteilung der TAN auf einem anderen Kommunikationskanal erfolgt. Außerdem wird für jede Transaktion eine neue mobileTAN generiert. Das Abfangen von mobileTANs nutzt Kriminellen daher wenig, sobald sie nämlich eine eigene Transaktion durchführen möchten, wird für diese eine eigene und somit andere TAN erforderlich.


  • chipTAN (auch: SmartTAN)

Hier wird auf ein ähnliches Systeme wie bei der mobileTAN gesetzt, denn für jede Transaktion wird eine neue TAN-Nummer generiert, weshalb ein Abfangen in Verbindung mit einer späteren Neuverwendung der TAN-Nummer nutzlos ist. Allerdings wird die TAN-Nummer über denselben Kanal, nämlich das Internet kommuniziert: Der Nutzer bekommt auf seinem Monitor einen grafischen Code angezeigt, der mit einem speziellen Lesegerät direkt am Bildschirm erfasst und ausgelesen wird.

Obwohl viele solcher Lesegeräte im Umlauf sind, ist das Verfahren sicher, weil jedes Lesegerät mit einem anderen Codierungsschlüssel arbeitet. Zudem lassen sich viele Lesegeräte nur in Verbindung mit einer speziell zugeordneten EC-Karte (daher die Bezeichnung chipTAN) aktivieren. Kriminelle müssten also die Zugangsdaten zum Online Banking kennen und dann außerdem noch das persönliche Lesegerät des Opfers sowie dessen EC-Karte besitzen, damit ein Betrug möglich ist.

Übrigens: Bei der Commerzbank wird dieses Verfahren als photoTAN bezeichnet. Anstatt eines Lesegeräts wird ein Smartphone eingesetzt, welches den optischen Code entschlüsselt und somit die TAN-Nummer anzeigt.


  • TAN Generator

Der TAN-Generator funktioniert ganz ähnlich wie das Lesegerät beim chipTAN Verfahren. Allerdings ist es nicht erforderlich, eine grafische Codierung zu entschlüsseln, stattdessen wird dem Nutzer ein Zahlencode übermittelt, welchen er in seinen TAN-Generator einzugeben hat. Auch hier ist es so, dass kein beliebiges Gerät verwendet werden kann. Das System der Bank hat mit dem TAN-Generator des Kunden einen individuellen Codierungsschlüssel vereinbart.


  • HBCI Chipkarte (auch: BestSign, USB-Monitor)

Bei diesem Verfahren entfällt das Arbeiten mit TAN-Nummern, weshalb es sich in erster Linie an Bankkunden richtet, die vergleichsweise viele Transaktionen durchführen. Es wird gerne von Unternehmen eingesetzt, doch bei einigen Banken ist es auch Privatkunden zugänglich.

Im Mittelpunkt steht ein Lesegerät, das ggf. nur in Verbindung mit einer Chipkarte aktiviert werden kann und via USB-Anschluss mit dem Computer verbunden ist. Die Bank kommuniziert mit dem Gerät über eine verschlüsselte Datenverbindung. Wird eine Transaktion durchgeführt, gilt es diese nicht nur am Computerbildschirm, sondern auch auf dem Display des Geräts zu prüfen. Dem Display sind die einzelnen Daten der Transaktion (Empfänger, Kontonummer, Überweisungsbetrag etc.) direkt zu entnehmen, damit der Nutzer umgehen erkennen kann, ob alles mit rechten Dingen zugeht.

5. So umgehen Kriminelle die Sicherheitsmaßnahmen der Banken

betrüger Kriminelle haben nur zwei Möglichkeiten, um ihre Opfer hereinzulegen und somit um deren Gelder zu bringen. Entweder sie überwachen Bankkunden während des Online Bankings heimlich im Hintergrund, um auf diesem Weg die Zugangsdaten abzufangen oder die Opfer werden auf gefälschte Seiten umgeleitet, damit die benötigten Daten dort abgefangen werden.

Das Überwachen der Opfer im Hintergrund, während diese auf ihren Online Banking Plattformen aktiv sind, setzt aktive Schadsoftware voraus. Dies bedeutet, dass ein Computersystem via Virus oder Trojaner angegriffen werden muss. Zum Umleiten der Opfer auf gefälschte Webseiten, die genauso wie die Bankwebseiten aussehen, werden ebenfalls Viren oder Trojaner eingesetzt. Des Weiteren ist das so genannte Phishing sehr verbreitet: Per E-Mail werden die Bankkunden dazu aufgefordert, die Bankwebseiten aufzusuchen. Allerdings sind die Links gefälscht, tatsächlich werden die Nutzer auf andere Seiten umgeleitet.

Sofern eine der genannten Maßnahmen funktioniert, werden die Zugangsdaten zum Online Banking System erbeutet. Damit das Tätigen von Transaktionen möglich ist, müssen die Kriminellen noch in den Besitz einer gültigen TAN-Nummer gelangen. Genau dies gestaltet sich jedoch schwieriger als je zuvor. Im Wesentlichen beschränken sich Angreifer darauf, die Handynummern ihrer Opfer in Erfahrung zu bringen und Ersatz-SIM-Karten anzufordern. Über diese Nummern werden dann kurzzeitig mobileTANs abgefangen.

6. Worauf der Bankkunde zu achten hat

Die Sicherheitsmechanismen der Banken funktionieren hervorragend. Wenn Kriminelle dennoch erfolgreich sind, liegt dies fast immer daran, dass die Opfer schwerwiegende Fehler gemacht haben. Nachfolgend wird gezeigt, wie sich das Gefahren- und Fehlerpotential senken lässt.

A. Computersystem schützen

Zunächst ist wichtig, den Computer sicher zu machen. Es sollte mit einem zuverlässigen Antivirenprogramm gearbeitet werden, wie zum Beispiel Kaspersky Antivirus. Gute Programme kosten auf längere Zeit ca. 20 Euro pro Jahr. In Anbetracht der gebotenen Sicherheit ist dieses Geld gut investiert.

Zugleich ist es ratsam, Systemupdates fortlaufend zu installieren. Es spielt keine Rolle, ob Windows, Mac OS oder Linux zum Einsatz gelangt. Sicherheitsupdates tragen dazu bei, das Gefahrenpotential zu verringern.

B. Richtiges Verhalten zeigen 

Selbst ein optimal geschütztes System verspricht keine Sicherheit, wenn Fehler vom Anwender gemacht werden. Gerade bei Phishing-Mails sollte große Vorsicht angebracht sein. Keine Bank erkundigt sich via E-Email nach Kontonummern, Benutzernamen oder PIN-Nummern. Besser ist es, solche Mails zu löschen. Sollte die Bank wirklich Informationen benötigen, wird sie sich im Regelfall per Brief melden.

Ebenso wichtig ist es, beim Laden der Bankwebsite genau hinzusehen. Es gilt zu prüfen, ob wirklich die gewünschte URL geladen wird – eine Kontrolle im Browser ist unerlässlich. Auch sonst gilt es genau hinzusehen. Wie schon erwähnt wurde, werden die Online Banking Seiten der Banken oft bis in das kleinste Details nachgebaut. Allerdings wissen die Kriminellen häufig nicht, wie die Kontonummern ihrer Opfer lauten und wie es um die Kontostände augenblicklich bestellt ist. Bevor Transaktionen getätigt werden, empfiehlt sich eine kurze Kontrolle der Konten und Kontostände. Wurde man auf eine gefälschte Seite gelockt, fällt dies meist sofort auf, weil die angezeigten Daten nicht stimmen.

Übrigens gilt es auch bei Anrufen skeptisch zu sein. Kein Bankmitarbeiter wird sich telefonisch nach PIN-Nummern erkundigen. Bankkunden sollten bei solchen Anrufen stets misstrauisch sein und im Zweifelsfall lieber erst eine Bankfiliale aufsuchen.

7. 10 Tipps für maximale Sicherheit beim Online Banking

  • Eigenen Computer nutzen: Online Banking immer nur am eigenen Computer nutzen, im Idealfall an einem System, das speziell zu diesem Zweck zur Verfügung steht. Die Computer der Kinder (dort werden oft täglich neue Programm installiert und gelöscht, wodurch das Risiko einer Vireninfektion sehr hoch liegt) werden besser gemieden.
  • Software und Updates: Systemupdates sollten regelmäßig durchgeführt werden außerdem empfiehlt sich der Einsatz einer namhaften Antivirenlösung.
  • Kritische Daten nicht digital sichern: Benutzernamen, Passwörter und Kontonummern werden besser gar nicht erst auf dem Computer gespeichert. So können die Daten auch nicht ausgelesen werden und in die falschen Hände gelangen.
  • Sichere Passwörter wählen: Es ist erschreckend, wie primitiv die Passwörter vieler Nutzer sind. Gerade beim Online Banking genügt es nicht, das Geburtsdatum oder eine Zahlenfolge wie „123456“ als Passwort zu wählen. Ein anspruchsvolles Passwort, das ausschließlich für das Online Banking verwendet wird, erhöht die Sicherheit deutlich.
  • Chip-Leser und EC-Karte sicher aufbewahren: TAN-Generatoren, Chip-Leser und EC-Karte sollten stets sicher und außerdem voneinander getrennt aufbewahrt werden. Sofern ein Diebstahl festgestellt wird, gilt es unmittelbar die Bank zu kontaktieren, damit diese eine Sperrung vornimmt.
  • Skepsis zeigen: Auf E-Mails oder Anrufe, in denen Bankdaten erfragt werden, sollte mit großer Vorsicht reagiert werden. Besser ist es, zunächst keine Auskünfte zu geben und besser eine Bankfiliale aufzusuchen.
  • URLs prüfen: Vor jedem Login sollte geprüft werden, ob der Webbrowser tatsächlich die richtige Seite geladen hat. Auch hier sind die Betrüger kreativ, oft sehen die URLs der betrügerischen Seiten ganz ähnlich wie die URLs der Originalseiten aus. Außerdem sollten nur sichere Verbindungen genutzt werden, sie beginnen stets mit „https://“.
  • Cache löschen: Vor und nach dem Online Banking empfiehlt es sich, den Browser-Cache zu leeren. Dieser Schritt ist ratsam, denn theoretisch könnte sich darin Schadcode befinden. Außerdem könnten Cyberangreifer den Cache auslesen und dadurch womöglich an Logindaten gelangen.
  • Regelmäßige Kontokontrolle: Mindestens alle sechs Wochen sollten Konto- und Depotstände überprüft werden. Dies ist nämlich der Zeitraum, indem bei vielen Banken die Möglichkeit besteht, unzulässige Geldbewegungen anzuzeigen. Übrigens empfiehlt es sich, genau hinzusehen. Einige Kriminelle räumen die Konten ihrer Opfer nicht auf einmal ab, sondern stehlen immer wieder unbemerkt Kleinbeträge.
  • Im Verdachtsfall rasch handeln: Sofern ein Betrug vermutet wird, sollte nicht lange gerätselt werden. Es ist immer besser, der Sache auf den Grund zu gehen, indem die Bank informiert wird.