Schutz vor Betrug

Online-Banking: 7 Verhaltensregeln für mehr Sicherheit

Seine Bankgeschäfte am Computer, Tablet und Smartphone zu erledigen, ist bequem. Doch ist es trotz Phishing, Trojanern und Co. auch sicher? Ja! Sofern man entsprechende Vorsicht beim Online-Banking walten lässt, wichtige Verhaltensregeln beherzigt und einige Programme zur Absicherung seiner Daten verwendet.

Sicherheit beim Online-Banking

© © Calado / fotolia.com

Symbolfoto: Sicherheit beim Online-Banking.

Die zunehmende Akzeptanz und Verbreitung von Online-Banking führt dazu, dass immer weniger Bankkunden für ihre gewöhnlichen Finanzgeschäfte eine Filiale vor Ort aufsuchen müssen. Doch fühlt sich die Hälfte der im Rahmen einer Studie von Kaspersky Lab und B2B International befragten deutschen Internetnutzer beim Online-Banking nicht sicher – wegen Gefahren wie Phishing, Trojanern und anderen Betrügern. Es sei sicherer, seine Bankgeschäfte traditionell am Schalter durchzuführen als das Online-Banking zu nutzen.

Diesen Bedenken zum Trotz, erledigen 88 Prozent der Befragten ihre Zahlungen dennoch online. Viele Bankkunden achten dabei nach eigenem Bekunden nicht auf grundlegende Sicherheitsmaßnahmen und nehmen so ein erhöhtes Risiko in Kauf. Dabei ist es recht einfach, sein Geld beim Online-Banking vor Online-Kriminellen in Sicherheit zu bringen, sofern man sich an einige wichtige Regeln hält und die passende Software installiert hat.

Wir geben Ihnen 6 Verhaltensregeln und Tipps für sicheres Online-Banking an die Hand:

1. Seien Sie misstrauisch bei E-Mails, SMS und Co.

Für Online-Kriminelle ist das Phishing eine höchst lukrative Methode, Bankdaten per Social Engineering abzugreifen. Beim Phishing werden wahllos offiziell wirkende Schreiben einer Bank als Massen-Mails verschickt. Die Aufmachung und die hinterlegten Webadressen sehen Mails echter Banken zum Verwechseln ähnlich. Nicht selten sind die nachgebauten Mails und Webseiten auch von Experten nicht mehr auf den ersten Blick als Fälschung zu erkennen. Der Empfänger muss nicht unbedingt Kunde der Bank sein, der Phisher arbeitet einfach nach dem Zufallsprinzip.

Stadtsparkasse Webbrowser

© Weka/ Archiv

Die Webseite der Stadtsparkasse im Browser: Phishing-Seiten sehen den Originalen meist zum Verwechseln ähnlich.

Mit fadenscheinigen Begründungen wie anstehenden Wartungsarbeiten oder einem neuen Sicherheitssystem wird das Opfer auf die Phishing-Seite gelotst. Dort soll sich der Empfänger mit seinen Zugangsdaten im gefälschten Online-Banking-Portal anmelden und seine „Echtheit“ mit einer gültigen TAN bestätigen. Mit den so gestohlenen Zugangsdaten kann der Urheber der Phishing-Attacke die Identität seines Opfers übernehmen und mit der erbeuteten TAN eine Überweisung auf ein x-beliebiges Konto vornehmen. Landet das Geld auf dem Konto einer Auslandsbank, ist es in den meisten Fällen für alle Zeiten verloren.

Seien Sie also vorsichtig, wenn Sie entsprechende E-Mails, SMS oder Anrufe erhalten. Auch soziale Netzwerke können für Phishing-Attacken genutzt werden, wie unser Artikel “Facebook-Betrug mit Fake-Profilen - wie Sie sich und Ihre Kontakte schützen” zeigt.

Starmoney 10

© Weka/ Archiv

Online-Zugang zu Ihren Konten erhalten Sie am PC auch über Banking-Software – hier Starmoney 10.

2. Sicher(er) mit Banking-Software

Seine Bankgeschäfte kann man am Windows-PC entweder im Browser erledigen oder mit einer speziellen Homebanking-Software wie Alf-Banco, Hibiscus, Moneyplex, StarMoney und Subsembly Banking. Diese Programme besitzen Funktionen für sämtliche Transaktionen, die Banken für Online-Bankgeschäfte bereitstellen.

Empfehlenswert ist etwa StarMoney in der neuen 10er-Version. Pluspunkte erntet die Software für das integrierte Sicherheitssystem mit Schutz vor Trojaner, Phishing-Angriffen und Keyloggern sowie stets verschlüsselten Datentransfers.

Die meisten Programme bieten ein mehrstufiges Sicherheitssystem: Das beginnt mit einem Kennwort, das beim Start der Software abgefragt wird. Die angelegten Konten sind mit einer gleichbleibenden PIN (Persönliche Identifikationsnummer) geschützt und bei den auszuführenden Aktionen wird eine Transaktionsnummer (TAN) angefordert. Dabei unterstützen die Programme die aktuellen TAN-Verfahren (siehe Kasten auf der nächsten Seite) und arbeiten mit Chipkarten-Lesegeräten zusammen. Die Internetverbindungen zu den Bank-Servern sind verschlüsselt und können nicht oder nur mit einem immensen technischen Aufwand abgehört werden.

Erhält man bei seiner Bank keine kostenlose oder subventionierte Banking-Software, muss man sich die selbst kaufen. Bei Preisen von bis zu 50 Euro und dem mitunter zu großen Funktionsumfang für die eigenen Bedürfnisse scheuen viele Nutzer diese Investition und weichen stattdessen lieber auf das Webbrowser-Banking aus.

3. Webbrowser absichern

Mit einem Webbrowser wie Edge (Windows 10), Internet Explorer, Chrome, Firefox, Safari und Opera öffnet man die Seiten des Internet-Bankings seiner Bank. Die Zugangsdaten bekommt man nach Registrierung von der Bank. Der Anmeldename ist vorgegeben, das Passwort legt man selbst fest und kann es in der Regel ändern – eine Bestätigung mit einer gültigen TAN genügt dazu.

Da der Webbrowser nicht nur die Zugangs-Software für das Homebanking ist, sondern gleichermaßen auch das Einfallstor für Angreifers sein kann, sollten Sie den Browser stets aktuell halten. Oftmals missbrauchen Angreifer nämlich bekannte Sicherheitslücken in älteren Browser-Versionen für ihre Zwecke. Schalten Sie Flash und Java ab, sofern Sie die Komponenten nicht zwingend für andere Zwecke benötigen.

Sicherheits-Einstellungen in aktuellen Browsern

© Weka/ Archiv

Aktuelle Browser besitzen einen Betrugsschutz und erkennen viele angesurfte Phishing-Seiten.

Die Standardeinstellungen der aktuellen Webbrowser sind weitgehend sicher – als Extra bringt Firefox einen eigenen Phishing-Schutz mit: Immer dann, wenn Sie eine Webseite öffnen, prüft der Betrugsversuch- und Schadprogrammschutz, ob sie bereits in einer Liste mit Betrugsversuchen oder Schadseiten enthalten ist. Diese Listen werden alle 30 Minuten automatisch aktualisiert, wenn die Schutzfunktion aktiviert ist.

Chrome setzt auf die Safe-Browsing-Technologie von Google. Sie schlägt dann Alarm, falls es sich bei der Webseite, die Sie besuchen möchten, um eine potenzielle Phishing- oder Malware-Website handelt. Mit ähnlichen Filtern arbeiten auch andere Browser, sodass man zumindest eine Grundsicherheit hat. Viele aktuelle Virenscanner haben ebenfalls einen wirkungsvollen Phishing-Schutz eingebaut.

Nur hundertprozentig verlassen kann und sollte man sich darauf nicht. Die Phishing-Filter werden mit vorliegenden Daten aktualisiert. Ist eine Webseite noch nicht in der Phishing-Datenbank hinterlegt, kann sie folglich auch noch nicht erkannt werden. Also ist nicht jede Banking-Webseite, die Sie im Browser aufrufen und die ohne Warnung geöffnet wird, auch automatisch sicher.

Wichtig: Rufen Sie das Online-Banking-Portal Ihrer Bank stets über ein selbst angelegtes Lesezeichen oder direkt von der Startseite der Bank auf. Achten Sie darauf, dass die Übertragung zur angeforderten Bank-Website der Bank verschlüsselt erfolgt. Das erkennen Sie am https:// vor der Webadresse.

Mehr lesen

Logos der Browser Firefox, Chrome und Internet Explorer
Browser-Sicherheit

Je mehr Cloud-Dienste Sie einsetzen, desto wichtiger wird der Browser. Lesen Sie, wie Sie Firefox, Chrome und Internet Explorer mit Add-ons sicherer…

Gute Arbeit leistet übrigens die Browser-Erweiterung HTTPS Everywhere von der Datenschutzorganisation Electronic Frontier Foundation (EFF) für Chrome, Firefox und Internet Explorer: Das Add-on sorgt dafür dass Internetseiten beim Surfen als HTTPS-verschlüsselte Variante geöffnet werden. Das Hypertext Transfer Protocol Secure ist ein verhältnismäßig sicheres Kommunikationsprotokoll, mit dem Daten abhörsicher zwischen Webserver und Browser übertragen werden. HTTPS setzen die Banken auf Ihren geschützen Seiten ein.

Sind Sie bei einer Webseite immer noch unsicher, ob es die richtige oder eine von Kriminellen nachgemacht ist, dann prüfen Sie das Zertifikat der Webseite. Klicken Sie im Browser auf das Schloss hinter beziehungsweise vor der Webadresse. Das Zertifikat muss gültig und von einer offiziellen Zertifizierungsstelle bestätigt sein.

4. Achten Sie auf eine sichere Umgebung

Loggen Sie sich niemals an einem öffentlich zugänglichen PC oder über ein freies WLAN bei Ihrer Bank ein und verwenden Sie keinen portablen Browser auf einem USB-Stick. Sie wissen ja nicht, ob Ihnen ein Trojaner im Hintergrund die Überweisungsdaten stiehlt.

Bitdefender Safepay

© Weka/ Archiv

Mit Bitdefender Safepay öffnen Sie Finanz-Webseiten in einem abgeschotteten Browser.

5. Keine falsche Bequemlichkeit bei Passwörtern

Wir haben zu Beginn des Artikels das Thema Social Engineering erwähnt. Darunter verstehen Sicherheitsexperten die Beeinflussung von Menschen mit dem Ziel, vertrauliche Informationen auszuspionieren. Das kann ein vermeintlicher Anruf Ihrer Bank sein, bei dem Sie ein Mitarbeiter zur Herausgabe Ihrer PIN und einer TAN auffordert.

Eine andere menschliche Schwäche ist die Bequemlichkeit: Man verwendet leicht zu erratende Passwörter, nutzt für viele Anwendungen das gleiche Passwort, notiert Kennwörter in einer unverschlüsselten Textdatei und hinterlegt die TANs innerhalb der Banking-Software in einer Liste. Wer nun Zugang zum PC beziehungsweise Notebook hat und bestenfalls auch noch im Besitz Ihres Smartphones ist, kann die komplette Kontrolle über das Online-Banking erhalten.

6. Tools für mehr Sicherheit

Wir predigen es seit Jahren: Eine Antiviren-Software gehört auf jeden Windows-PC. Einige aktuelle Programme wie die von Bitdefender bringen einen abgesicherten Browser mit, der Kreditkartennummern, Kontonummern und andere sensible Daten schützen will. Safepay erkennt automatisch eine Finanz-Webseite und öffnet sie in einem virtuellen Desktop, der eine funktionsreduzierte Version des Chromium-Browsers zur Verfügung stellt. Ihre Passwörter sollten Sie nie unverschlüsselt auf der Festplatte ablegen, sondern in Programmen wie Roboform, Keepass, Sticky Password und LastPass speichern.

Lesetipp: Die besten Antivirus-Programme 2015 im Vergleichs-Test

Erzeugen Sie dann mit einem Password Generator ein sicheres Master-Passwort. Auch wenn einige Tools das Speichern der Passworteinträge auf einem Server beim Hersteller oder in Ihrer Dropbox erlauben, sollten Sie darauf verzichten. Wird der Anbieter gehackt, haben die Angreifer auch Ihre Daten und können damit Zugang zu Ihren Bankdaten erhalten. Die sind zwar ohne TAN zunächst noch nicht viel wert, eignen sich aber bestens, um eine gezielte Phishing-Attacke oder einen Social-Engineering-Angriff vorzubereiten.

Hier eine Auswahl an 10 Tools für sicheres Online-Banking:

  1. StarMoney 10: Die Finanz-Software erledigt grundlegende Aufgaben rund um das  Girokonto und bietet viele Extras. Die PROMON-Sicherheitstechnologie will für einen aktiven Trojaner-Schutz sorgen.
  2. Subsembly Banking 4W: Homebanking-Paket mit eingängiger Bedienung. Das Programm bietet Unterstützung für alle aktuellen Bankstandards. Die Daten werden mit einem AES-256-Algorithmus verschlüsselt.
  3. Web of Trust (WOT): Die kostenlose Erweiterung für Chrome, Firefox und IE warnt rechtzeitig vor möglichen Betrugsversuchen, Phishing-Angriffen, Identitätsklau, Schädlingen und unseriösen Webseiten.
  4. HTTPS Everywhere: Die Erweiterung für Firefox und Chrome hat als Aufgabe, die Verbindungen zu Webseiten automatisch verschlüsselt über HTTPS anzufordern.
  5. Password Generator: Mit dem Gratis-Programm erstellen Sie sichere und dennoch leicht zu merkende Passwörter. Dabei lassen sich verschiedene Kriterien angeben, die die Sicherheit erhöhen.
  6. Keepass: Organisiert Kennwörter in einer Baumstruktur. Durch eine verschlüsselte Speicherung mit einem Master-Passwort kommt außer Ihnen niemand an die Codes heran.
  7. Roboform: Statt Zugangsdaten für passwortgeschützte Bereiche von Hand in Online-Formulare einzutippen, füllen Sie die entsprechenden Felder künftig auf Mausklick mit Roboform aus.
  8. Malwarebytes Anti-Malware Free: Das deutschsprachige Programm überprüft das System auf Viren, Würmer, Trojaner, Rootkits, Backdoors und Spyware-Verseuchung.
  9. Sandboxie Free: Mit Sandboxie starten Sie Programme in einer sicheren Umgebung isoliert vom Rest des Betriebssystems. Alle Daten landen automatisch in der Quarantänezone von Sandboxie.
  10. Virtualbox: Mit der kostenlosen Virtualisierungs-Software betreiben Sie einen Windows-PC in einer abgeschotteten Systemumgebung, die keine Zugriffe von außen ermöglicht.
Passwortgenerator

© Weka/ Archiv

Sichere Kennwörter für den Online-Banking-Zugang erstellen Sie etwa mit einem Passwortgenerator.

7. Achtung beim Mobile Banking

Für das iPhone und iPad, Windows-Phones sowie Android-basierte Smartphones und Tablets sind Banking-Apps zu haben. Damit kann man auch unterwegs den Kontostand abfragen und sogar Überweisungen auf die Reise schicken.

Doch sicher ist nicht immer sicher: Was für die Banking-Software am PC gilt, trifft auch für die mobilen Apps zu. Sie sollten unbedingt darauf achten, dass aktuelle Sicherheitsstandards eingehalten werden und eine unabhängige Instanz wie der TüV die Datensicherheit geprüft und für ausreichend befunden hat.

Auch drohen beim Mobile Banking Gefahren bei Geräteverlust. Wenn Sie für das Banking am Smartphone und Tablet das mTAN-Verfahren nutzen, dann sollten Sie sich über die möglichen Gefahren im Zusammenspiel mit einer Banking-App im Klaren sein: Hat ein Unbefugter Zugriff auf Ihr Smartphone und ist die Banking-Software nicht oder nur mit einem schwachen Kennwort gesichert, dann kann er mühelos eine Überweisung tätigen.

Die benötigte TAN wird nämlich als SMS auf das Smartphone geschickt. Sie sollten daher möglichst starke und verschiedene Kennwörter für das Entsperren von Smartphone und Banking-App wählen. So machen Sie es einem Dieb schwerer und Sie haben Zeit, Ihre Konten bei der Bank zu sperren.

Egal ob PC oder Smartphone: Bleiben Sie wachsam beim Online-Banking und lassen sich nicht aufs Kreuz legen – es ist schließlich Ihr Geld.

Mehr zum Thema

IT-Symbolbild
Anonym surfen

Wenn Sie im Internet surfen, dann hinterlassen Sie Spuren. Wir zeigen, wie Sie im Netz anonym und unsichtbar bleiben.
Spam-Mails
6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing E-Mails erkennen und sich schützen.
VPN-Verbindungen einrichten
Anleitung

Unsere Anleitung zeigt Schritt für Schritt, wie Sie ind en Windows-Netzwerkeinstellungen eine VPN-Verbindung einrichten.
IT Sicherheit (Symbolbild)
Sicherheits-Quiz

Wissen Sie, worauf es bei einem sicheren Passwort ankommt? In unserem Quiz erfahren Sie, wie es um die Sicherheit Ihrer Passwörter bestellt ist.
PC Magazin Sicherheitsradar
Aktuelle News zu PC-Sicherheit

Die Security-News der Woche im PC Magazin Sicherheitsradar: Ransomware-verseuchte Werbebanner, Betrug mit Whatsapp Gold und mehr.