TAN-Klau, Phishing und mehr

Online-Banking-Sicherheit: Empfehlenswerte Maßnahmen

Sicherheit beim Online-Banking

© © Calado / fotolia.com

Sicherheit beim Online-Banking: So geht's!

Es gibt verschiedene Mittel, sich in fremde Netzwerke einzuschalten: zum Beispiel über einen manipulierten Rechner in einem WLAN oder über einen gehackten Router. Malware auf einem PC kann Internet-Adressen umleiten oder die Daten abfangen, bevor sie gesendet werden.Besonders einfach geht es mit Hotspots. Wenn Sie sich mit so einem öffentlichen Einwahlpunkt verbinden, kann dessen Betreiber sich als Man-in-the-middle in Ihre Verbindung einschalten. Deshalb sollten Sie Bankgeschäfte nicht in unbekannten WLANs erledigen. Benutzen Sie das Netz Ihres gewohnten Providers zu Hause.

Sind Sie gezwungen, über ein fremdes Netz zu kommunizieren, sollten Sie einen VPN-Dienst (Virtual Private Network) benutzen. So ein Dienst leitet Ihre Daten über eine verschlüsselte Verbindung, sodass der jeweilige Netzanbieter (zum Beispiel ein Hotspot) nicht erkennen kann, mit wem Sie kommunizieren. Er „sieht“ nur die Verbindung zum VPN-Dienst.Damit am heimatlichen Rechner nichts passiert, ist ein guter Schutz gegen Schadsoftware Pflicht. Dazu gehören auch regelmäßige Updates der Router-Software

Mehr lesen

Wir zeigen, wie Sie Daten verschlüsseln und verstecken können.
TrackMeNot & AdNauseam

Google, Microsoft & Co. wollen Ihre Daten! Dann geben Sie ihnen doch Daten – genauer gesagt: Datenmüll. Verwirrungs-Tools schaffen Privatsphäre.

Zwei-Kanal-Banking

Zusätzlich sollten Sie ein sicheres Verfahren beim Online-Banking verwenden. Sicher sind zum einen Verfahren, die einen zweiten Kommunikationskanal benutzen. Geht man davon aus, dass eine Verbindung, zum Beispiel die Internetverbindung über den Router durch einen Mann in der Mitte manipuliert wird, so benutzt man zur Sicherheit eine zweite Verbindung zum Beispiel über das Smartphone. – Das ist beim mTan-Verfahren der Fall, bei dem Ihnen Ihre TAN-Nummer meist samt Überweisungsdaten auf das Handy geschickt wird. Ein Angreifer kann zwar alle Daten von und zum PC manipulieren, aber gleichzeitig auch das Smartphone zu überwachen, ist um einiges komplizierter.

Bessere TAN

Weiterhin sollten die Daten der Überweisung, also zum Beispiel die IBAN des Empfängers, der überwiesene Geldbetrag und die Bankleitzahl bei der TAN-Generierung benützt werden. So kann mit einer bestimmten TAN nur eine bestimmte Überweisung genehmigt werden. Nämlich die, die der Kunde gerade durchführen will. Wenn der Hacker damit Geld auf sein eigenes Konto verschieben möchte, passt die TAN nicht zur gefälschten Überweisung. Die Bank, oder besser der Bank-Server, verweigert dann die Transaktion.

Bei modernen Verfahren wie chipTAN, photoTAN oder Display-TAN werden diese Überweisungsdaten verwendet. Sie gelten deshalb als besonders sicher. Bei chipTAN übermittelt die Bank die nötigen Daten mit einem Flickercode im Browser, den ein spezielles Lesegerät vom Computerbildschirm abliest. Der Kunde bestätigt die Überweisungsdaten, und das Lesegerät erzeugt die TAN, wobei meist auch noch der Code einer Kundenchipkarte berücksichtigt wird.

Auch photoTAN funktioniert so, allerdings läuft die Software auf einem Smartphone. Der Kunde fotografiert einen Farbcode ab, der in seinem Browser erscheint. In diesem Code verborgen liegen die Überweisungsdaten, die dann im Klartext in der Smartphone-App erscheinen. Bei Display-TAN hat der Online-Banker ein Bankkarten-ähnliches Gerät. Dieses kommuniziert per Bluetooth mit einem Smartphone. Das Gerät zeigt die per Bluetooth vom Handy übertragenen Überweisungsdaten an, die der Benutzer quittieren muss. Erst dann erscheint die TAN, die am Smartphone eingegeben wird.​

Sicherheit beim Online-Banking

© Commerzbank AG

Beim photoTAN-Verfahren fotografiert man einen farbigen Code.

Man-in-the-Browser-Attacke

Bei einer Man-in-the-middle-Attacke ist der Rechner, auf dem der Anwender seine Bankaufträge eingibt, unter Umständen gar nicht direkt betroffen und virenfrei – anders beim Man-in-the-Browser-Angriff. Hier läuft eine Schadsoftware direkt auf dem Rechner des Anwenders und manipuliert den Browser beim Online-Banking.

Das Malware-Plugin manipuliert nun über sogenannte Webinjects die im Browser angezeigten Seiten und blendet so zum Beispiel eigene Eingabefelder ein. Auf diese Weise kann auch die ganze originale Bank-Seite überdeckt und durch eine gefälschte Hacker-Seite ersetzt werden. Die Eingaben des Benutzers landen direkt auf den Servern des Hackers. Diese Attacke ist äußerst gefährlich, weil ein Benutzer kaum Chancen hat, sie zu bemerken.

Mehr zum Thema

Online Banking
Multi-Plattform-Banking mit Smartphone und Tablet

Online-Banking ist nicht mehr nur via PC oder Laptop möglich. Mit den richtigen Apps erledigen Sie Bankgeschäfte mit Smartphone und Tablet.
Netzsieger: Malware-Statistik
Infografik

Eine Infografik von Netzsieger bringt Sie auf den aktuellen Stand rund um Malware in Deutschland. Wie verseucht ist unsere Hardware? Riskieren Sie…
Hacker greifen vBulletin-basierte Foren an
Skimming

Laut BSI sind mindestens 1.000 Online-Shops in Deutschland von Skimming betroffen. Dabei können Cyberkriminelle Kundendaten bei einer Bestellung…
Windows 10 Einstellungen
Microsoft

Microsoft spielt den ersten Patch Day 2017 aus. Es kommen nur vier Security Bulletins. Dazu gibt es spannende Neuigkeiten zum Creators Update.
Acronis True Image 2017 New Generation Backup-Quelle
Backup-Sicherheit durch Blockhain

91,0%
Acronis True Image 2017 New Generation verspricht mit einem neuen Ransomware-Wächter Schutz vor Erpressern. Wir haben…