Online Banking erfreut sich wachsender Beliebtheit. Obwohl die Bankfiliale für viele Kunden noch ein wichtiger Anlaufpunkt ist, nutzen immer mehr Menschen die Möglichkeit, ihre Konten online zu führen. Zurückzuführen ist dies vor allem auf die wachsende Zahl an Kunden der Direktbanken. Bedenken gibt es jedoch wegen der Sicherheit beim Online Banking. Wie sicher ist es für den Endkunden? Und was gilt es zu beachten?

Vieles spricht für die Kontoführung per Internet. Man kann bequem von der heimischen Couch aus Überweisungen buchen und Aktien ordern, völlig unabhängig von Wind, Wetter und Öffnungszeiten der Banken. Darüber hinaus ist Online Banking ein gute Möglichkeit, Geld zu sparen. Zahlreiche Filialbanken bieten Kunden verbesserte Bedingungen, wenn sie ihr Konto online führen. Die besten Konditionen bieten jedoch in der Regel Direktbanken, die ihr Geschäft ausschließlich über Telefon und Internet abwickeln.

Andererseits genießt das Online Banking noch nicht den hohen Grad an Vertrauen, der den klassischen Filialbanken, die man mit persönlichen Ansprechpartnern verbindet, entgegengebracht wird. Abseits dieses eher psychologisch zu erklärenden Vertrauensvorteils steht jedoch die Frage im Raum, wie sicher die technische Umsetzung der Online Banking ist, und was der Kunde selbst tun kann, um keine bösen Überraschungen zu erleben.

SSL, https, HBCI, PIN & iTAN – oder: Die Sicherheitsmaßnahmen der Banken

Auf den Websites der Banken existieren verschiedene Sicherheitsmaßnahmen, die Betrug beim Online Banking verhindern sollen. So erfolgen Zugriffe auf Konten ausschließlich verschlüsselt, so dass die Daten zwischen den Computern von Kunde und Bank sicher übertragen werden. Hierfür wird von praktisch allen Instituten das SSL-Protokoll verwendet. Mit SSL verschlüsselte Websites erkennt man an dem „https://“ in der URL, sowie an dem Schloss- bzw. Schlüsselsymbol im Browser. Darüber hinaus überprüft der Browser das SSL-Protokoll der Website. Dadurch wird die Echtheit der Website sichergestellt.

Um die Identität des Kunden zu überprüfen, werden PIN- und TAN-Nummern für den Zugriff auf das Online-Konto benötigt. Die Persönliche Identifikationsnummer PIN dient dabei in der Regel als klassisches Zugangspasswort, während die Transaktionsnummer TAN für Geldtransfers jeglicher Art verwendet wird. Dies entspricht dem aktuellen Online Banking-Sicherheitsstandard HBCI.

Üblich sind mittlerweile die sogenannte iTAN, eine indizierte TAN-Nummer. Dadurch kann nicht mehr eine beliebige TAN für eine Überweisung benutzt werden, sondern nur eine vom System der Bank genau spezifizierte (z.B. TAN Nr. 34). Eine, auch wegen eventuell anfallender Kosten, eher selten genutzte Methode ist die mobile TAN, die mTAN. Die auch SMSTAN bekannte mTAN wird von der Bank per SMS an das bei der Bank registrierte Handy geschickt, und ist zudem nur zeitlich begrenzt gültig. TAN-Nummern können auch mit einem TAN-Generator erzeugt werden, ein Verfahren, dass jedoch nur sehr wenige Banken anbieten.

Die sicherste Methode der Identitätsüberprüfung ist ein Kartenlesegerät mit Chipkarte, dass, von der Bank gestellt, an den PC angeschlossen wird und lediglich die Eingabe der PIN-Nummer verlangt. Manipulationen sind hierbei kaum möglich.

Zwei weitere Möglichkeiten, Online Banking sicherer zu machen, sind Limits für Online-Überweisungen und SMS-Versand bei Kontobewegungen. Durch ein Limit für Überweisungen kann der eventuelle Schaden minimiert werden, wenn man z.B. die TAN-Liste verliert. Der von einigen Banken angebotene Service, bei jeder Kontobewegung eine Benachrichtigungs-SMS zu senden, ermöglicht es, Missbrauch schnell zu erkennen.

Von Phishern und Trojanern – Gefahren im Netz

„Bitte reaktivieren Sie Ihr gesperrtes Konto“. Design und Inhalt der E-Mail lassen auf eine dringende Nachricht der Bank schließen. Doch in Wahrheit handelt es sich bei dieser und Millionen ähnlicher Nachrichten um sogenannte Phishing-Mails (Phishing steht für „Password Fishing“, ist also eine recht genaue Beschreibung des Zwecks dieser Art von E-Mail). Sie sehen aus wie echte Bankmitteilungen, und immer wird man aufgefordert, einem Link im Text zu folgen um, die eigenen Daten zu bestätigen, sein Konto zu reaktivieren, oder Unregelmäßigkeiten zu überprüfen. Der Link der vermeintlich offiziellen E-Mail führt jedoch nicht auf die Website der Bank, sondern auf eine täuschend echt aussehende Kopie. Hier wird man darum gebeten, Passwort, bzw. PIN und TAN einzugeben – ein Fehler, der kostspielig sein kann. Mit den so erschlichenen Daten versuchen die Urheber der Phishing-Mail die Konten ihrer Opfer zu leeren. Eine ähnliche Methode ohne Einsatz von E-Mails baut auf kleine Verschreiber in der Seitenadresse der Bank. Die gefälschten Bankseiten ähneln den Originalen, bis hin zur Webadresse, die lediglich um ein oder zwei Buchstaben verändert wurde (z.B. www.b-bank.de statt www.bb-bank.de).

Trojaner, Keylogger und Spyware. Also Software, die Sie bzw. Ihren Computer ausspioniert, um an Passwörter, PINs und TANs zu kommen. Diese finden die Programme entweder in einer Datei – nämlich dann, wenn Sie sie als Textdatei oder im Passwortspeicher gespeichert haben – oder indem ein Keylogger die Tastenanschläge protokolliert. Einfangen kann man sich die schädliche Software durch manipulierte E-Mails bzw. E-Mail-Anhänge, und auf manipulierten Websites, die die Schadsoftware dem eigenen Browser unbemerkt unterschieben.

Immer schön sauber bleiben – Was man selbst tun kann

An erster Stelle Offline-Maßnahmen, die eigentlich selbstverständlich sein sollten. Die eigenen PIN-Nummern sollten am besten überhaupt nicht aufgeschrieben, unter keinen Umständen jedoch zusammen mit der TAN-Liste aufbewahrt werden. PIN, TAN und Co. sollten auch niemals auf dem Computer gespeichert werden, da Trojaner sonst leichtes Spiel haben. Um Schadsoftware wie Trojanern und Keyloggern von vornherein den Zutritt zum Computer zu verweigern, sollten Sie Antivirensoftware und eine Firewall auf dem PC installieren. Hierbei darf nicht versäumt werden, die Programme regelmäßig mit Updates auf dem neuesten Stand zu halten. Ein Ratschlag, der auch für Browser und Betriebssystem Gültigkeit besitzt.

Nutzen Sie für Banktransaktionen nur den eigenen Rechner, vor allem öffentliche Internetcafés sollten unbedingt gemieden werden. Über WLAN zu surfen und Online Banking zu betreiben ist zwar nicht per se gefährlich, jedoch sind einige Regeln zu beachten. Zum einen sollte man keine fremden WLANs nutzen, da hier die eigenen Daten abgehört werden können. Das eigene WLAN wiederum darf nicht offen sein, eine Verschlüsselung mit WPA ist nötig, um sicher surfen und überweisen zu können.

Um nicht auf einer gefälschten Bankseite zu landen, achten Sie auf eine exakte Eingabe der Adresse der Bank, schon ein Tippfehler kann auf eine Phishing-Seite führen. Auch das Fehlen von „https://“ in der URL deutet auf eine gefälschte Seite hin. Die Vorsichtsmaßnahmen vor Phishing-Attacken sollten sich natürlich auch auf das eigene E-Mail-Konto erstrecken. Eine Bank fragt nie per E-Mail nach Passwort, PIN oder TAN, entsprechende Nachrichten sind ausnahmslos Phishing-Mails. Ignorieren bzw. Löschen der Phishing-Mails ist eine einfache und effektive Gegenmaßnahme.

Auf Nummer sicher gehen Sie mit einer regelmäßigen Kontrolle der Kontobewegungen. Verdächtige Transaktionen können frühzeitig aufgedeckt, größere Verluste dadurch vermieden werden. Dieser Fall sollte jedoch bei Beachtung aller oben genannten Sicherheitshinweise nicht eintreten.

Sicherheitshinweise:

1. Achten Sie auf Ihre PIN- und TAN-Nummern
2. Installieren und aktualisieren Sie Antivirensoftware und Firewall
3. Nutzen Sie nur den eigenen Computer
4. Achten Sie auf die richtige URL Ihrer Bank
5. Löschen Sie Phishing-Mails
6. Kontrollieren Sie regelmäßig Ihre Konten

Über direktbankvergleich.de

direktbankvergleich.de ist ein Portal zu den Themen Online-Banking und private Finanzen. Unter www.direktbankvergleich.de findet der Nutzer Vergleiche von Direktbanken und deren Leistungen, aber auch Produkte von Filialbanken, sofern der Service über das Internet oder per Telefon erfolgt und somit das Angebot jenem von Direktbanken entspricht. Darüber hinaus informiert die Seite den Verbraucher über aktuelle Meldungen, Hintergrundinformationen und Tipps rund ums Online-Banking. direktbankvergleich.de wird von dem renommierten Web-Adressbuch 2007 und 2008 empfohlen. Das Portal wird betrieben von der dialogbetrieb GmbH & Co. KG, Nürnberg.

Presseinformationen

dialogbetrieb GmbH & Co. KG
– direktbankvergleich.de –
Weinmarkt 10
90403 Nürnberg

Kontakt: Christine Halt
E-Mail: presse@direktbankvergleich.de
Fon: +49 (0)911 37 55 33-1
Fax: +49 (0)911 37 55 33-2

Weitere Presseinformationen finden Sie unter www.direktbankvergleich.de/presse.