Menü

Sicherheit 10 Tipps für sicheres Online-Banking

Überweisungen vornehmen, Gelder umbuchen, Kontoauszüge abrufen – all das funktioniert über das Internet besonders komfortabel. Und das bei maximaler Sicherheit – wenn Sie diese Tipps für sicheres Online-Banking beachten.
Zehn Tipps für sicheres Online-Banking © Archiv

Tipp 1: Domainkontrolle

Internet Explorer: Die größte Gefahr beim Online-Banking ist das Phishing, das Ausspähen der Login-Daten und der Transaktionsnummern (TAN) über gefälschte Webseiten, die den Online-Portalen der echten Banken täuschend ähnlich sehen. Der beste Schutz dagegen ist die Domain-Kontrolle.

Schließen Sie zunächst alle anderen Browser-Fenster, und geben Sie dann nach Möglichkeit die Webadresse Ihrer Bank von Hand ein. Ist die Seite geladen, erscheinen Teile der Webadresse abgesoftet, die Domain selber wird dadurch optisch hervorgehoben. Kontrollieren Sie diesen Eintrag unbedingt. Wirkt dieser verdächtig, weil er auf einen ausländischen Server verweist, schließen Sie die Seite sofort.

Tipp 2: Nur verschlüsselte Verbindungen

Internet Explorer: Der Online-Zugang zu Ihrer Bank muss verschlüsselt sein, damit Ihre Dateneingaben nicht im Internet abgehört werden können. Eine verschlüsselte Verbindung erkennen Sie an dem Protokoll HTTPS zu Beginn der Webadresse und dem kleinen Schloss-Symbol am Ende.

Der Internet Explorer visualisiert verschlüsselte Verbindungen und gibt Auskunft zum aktuell gültigen Sicherheits-zertifikat. © Hersteller/Archiv
Der Internet Explorer visualisiert verschlüsselte Verbindungen und gibt Auskunft zum aktuell gültigen Sicherheits-zertifikat.

Zudem färbt der Internet Explorer die Browserleiste grün ein. Zusätzlich muss die aufgerufene Seite über ein gültiges Sicherheitszertifikat verfügen. Um dieses abzurufen, ziehen Sie im Internet Explorer die Maus auf das Schloss-Symbol, sodass der Internet Explorer die Details einblendet.

Stellen Sie sicher, dass das Sicherheitszertifikat die gleiche Domain nennt wie die Adresszeile des Browsers. Erst wenn diese Kriterien erfüllt sind, sollten Sie sich einloggen.

Tipp 3: Sicher surfen

Firefox: Von einem vergleichbaren Schutz profitieren auch Firefox-Anwender. Auch hier werden die Domain hervorgehoben und verschlüsselte Verbindungen über eine grüne Färbung in der Browserzeile kenntlich gemacht. Wenn Sie zudem mit der Maus auf den grün markierten Bereich klicken, blendet der Firefox Details zum jeweiligen Sicherheitszertifikat ein.

Lesetipp: Die besten Firefox-Erweiterungen für YouTube-Videos

Tipp 4: Anti-Phishing-Funktionen nutzen

Sowohl Firefox als auch der Internet Explorer haben rudimentäre Anti-Phishing-Funktionen eingebaut. Im Internet Explorer 9 heißt die Funktion "SmartScreen Filter" und wird so aktiviert: Klicken Sie auf "Extras" und zeigen dann auf den Eintrag "SmartScreen-Filter".

Klicken Sie auf "SmartScreen-Filter einschalten", falls dieser nicht ohnehin aktiv ist. Wenn Sie beim Surfen auf eine verdächtige Seite stoßen, die der Internet Explorer nicht automatisch blockiert, klicken Sie auf "Unsichere Website melden", um die Seite von Experten prüfen zu lassen.

Stellen Sie sicher, dass der Phishing-Schutz im Firefox im Register „Sicherheit“ im Einstellungsmenü aktiviert ist. © Hersteller/Archiv
Stellen Sie sicher, dass der Phishing-Schutz im Firefox im Register „Sicherheit“ im Einstellungsmenü aktiviert ist.

Im Firefox klicken Sie auf "Extras/ Einstellungen" und dann auf die Registerkarte "Sicherheit". Stellen Sie sicher, dass bei den Optionen "Webseite blockieren, wenn sie als attackierend gemeldet wurde" und "Webseite blockieren, wenn sie als Betrugsversuch gemeldet wurde" jeweils ein Haken gesetzt ist.

Damit ist der Phishing-Schutz aktiv. Allerdings bietet dieser keinen hundertprozentigen Schutz, da die Browser-Funktionen bei brandneuen Phishing-Seiten, die noch nicht registriert wurden, in der Regel nicht anspringen.

Tipp 5: Profil für Online-Banking einrichten

Firefox: Einer der Vorteile des Firefox gegenüber dem Internet Explorer ist die große Anzahl an Add-ons, die den Browser aufwerten und den Funktionsumfang erweitern. Beim täglichen Surfen ist das ein Segen, beim Online-Banking jedoch ein Fluch, da Sie nie wissen, wie vertrauenswürdig die Zusatzprogramme sind.

Firefox bietet hier aber einen eleganten Ausweg. Sie können ein zweites Profil nur für Online-Banking anlegen – ohne zweifelhafte Add-ons. Beim Firefox-Start wird dann jedes Mal abgefragt, welches Profil Sie laden möchten.

So gehen Sie vor: Schließen Sie zunächst das oder die Firefox-Browser-Fenster. Klicken Sie dann auf das Windows-Symbol, und geben Sie im Feld für "Programme/ Dateien durchsuchen" das Kommando "firefox.exe -ProfileManager" ein. Klicken Sie dann im oberen Bereich des Startmenüs auf den gleichnamigen Eintrag. Der Profilmanager wird geöffnet. Klicken Sie auf "Profil erstellen" und dann auf "Weiter".

Im folgenden Dialogfeld geben Sie einen Namen für dieses Profil ein, beispielsweise "Online Banking" und klicken dann auf "Fertigstellen". Der Profilmanager erscheint erneut, aber dieses Mal mit dem Eintrag Ihres neuen Profils. Markieren Sie diesen Eintrag und klicken Sie auf "Firefox starten".

Die Auswahl zwischen "Default" und "Online Banking" erscheint nun bei jedem Firefox-Start. Bevor Sie aber mit Ihrem neuen Online-Banking-Profil die ersten Überweisungen tätigen, sollten Sie unbedingt über "Extras" und "Add-Ons" alle Elemente deaktivieren, die Sie nicht zwingend benötigen.

Dazu zählen auch die Plugins. Zudem sollten Sie das Profil so gegen Phishing absichern, wie in den vorhergehenden Tipps für den Firefox beschrieben. Erst dann ist das Profil Banking-ready.

Tipp 6: iTAN oder mTAN?

Wie sicher Ihre Online-Überweisung über das Internet ist, hängt auch vom jeweiligen TAN-Verfahren ab. Das unsichere, herkömmliche PIN/TAN-Verfahren, bei dem Sie eine beliebige TAN Ihrer gedruckten Liste zur Autorisierung einer Transaktion einsetzen können, ist ein Auslaufmodell und wird von zunehmend mehr Banken nicht mehr angeboten. Zu viele Betrugsfälle haben das Verfahren als ungeeignet ausgewiesen.

Der Nachfolger, das sogenannte iTAN-Verfahren (indizierte Transaktionsnummern), bei dem Sie bei einer OnlineÜberweisung um eine bestimmte, nummerierte TAN gebeten werden, ist sicherlich besser, weil ein Angreifer genau diese Nummer bräuchte. Dass aber auch iTAN keinen ausreichenden Schutz bieten kann, bewiesen Banking-Trojaner wie ZeuS oder SpyEye.

Aus diesem Grund setzen die meisten deutschen Kreditinstitute mittlerweile auf das sogenannte mTan-Verfahren (mobile TAN), bei dem Sie für jede Transaktion die erforderlichen Ziffern und Zahlen als SMS auf Ihr Handy bekommen. Dieses Prozedere ist deutlich sicherer, da Sie auf gedruckte TAN-Vorlagen komplett verzichten und der soeben übermittelte Code auf die aktuelle OnlineÜberweisung bezogen ist und nur wenige Minuten Gültigkeit besitzt.

Erkundigen Sie sich bei Ihrer Bank, ob diese mTAN unterstützt. Fragen Sie auch nach möglichen SMS-Preisen. Nicht alle Banken versenden die erforderlichen Kurzbotschaften kostenlos.

Allerdings ist das Verfahren für Smartphone-Besitzer nicht geeignet, sofern diese ihre Geräte bereits zum Online-Banking bei dieser Bank einsetzen. Aufgrund der technischen Nähe zu Kleincomputern sind Smartphones anfällig für Spyware und Viren. Deshalb müssen diese User entweder zum Online-Banking den PC nutzen oder aber für die mTAN-Anmeldung ein Zweit-Handy mit einer anderen Nummer benennen.

Tipp 7: TAN-Generatoren schützen

Zu den sichersten Verfahren überhaupt zählt die Übermittlung via TAN-Generator. Dazu gehören beispielsweise sogenannte ChipTAN- oder sm@rtTANLesegeräte. Diese erhalten oder kaufen Sie in der Regel bei Ihrer Bank. In dieses Lesegerät stecken Sie Ihre Bankkarte während des Online-Zugriffs ein. Bei einer Online-Überweisung erhalten Sie einen Code, den Sie in das kleine Gerät tippen. Im Anschluss wird eine TAN berechnet, die Sie online bestätigen.

Im Alltag wirkt dieses Vorgehen mitunter unpraktisch, da Sie die gleichen Informationen sowohl online als auch an dem Gerät eingeben müssen. Tatsächlich aber sind Sie auf diese Weise nicht nur gegenüber Phishing, sondern auch vor sogenannten Abhör-Attacken über das Web (Man-in-the-Middle-Angriff ) bestens geschützt.

Sicher, flexibel und in der Regel kostenlos: der TAN-Service wie hier von der Stadtsparkasse. © Hersteller/Archiv
Sicher, flexibel und in der Regel kostenlos: der TAN-Service wie hier von der Stadtsparkasse.

Zudem setzen Sparkassen und Postbank vermehrt auf ein optisches ChipTAN-Verfahren, bei dem Sie das Lesegerät an den Bildschirm halten müssen, um ein auf der Bankseite gezeigtes Muster per optischen Sensor zu übertragen. Sparkassen bezeichnen dies als "ChipTAN Comfort-Verfahren".

Einziger, aber gravierender Nachteil: Sie können Überweisungen nur vornehmen, wenn Sie den Kartenleser und Ihre EC-Karte bei sich haben.

Tipp 8: Gefälschte E-Mails von der Bank

Der Klassiker aller Phishing-E-Mails ist die vermeintliche E-Mail-Benachrichtigung Ihrer Bank zu Serverarbeiten, die eine Kontrolle Ihrer Login-Daten und Ihrer TANs erforderlich machen. Häufig reicht es aus, den Text zu überfliegen, um den Betrugsversuch zu entlarven.

Fehler in Rechtschreibung und Grammatik, fehlende Anrede und falsche Platzierung der Firmenlogos sind eindeutige Anzeichen einer Phishing-E-Mail. Das muss aber nicht immer so sein.

Lesetipp: Wie Sie Phishing-Mails erkennen

Im Oktober kursierte eine Phishing-Mail in Namen der eBay-Bank PayPal mit der Bitte, die eigenen Kreditkartendaten per HTML-Formular anzugeben. Perfide: Die E-Mail enthielt eine korrekte Anrede und auch die korrekte, bei PayPal hinterlegte Adresse. Da kamen auch erfahrene Anwender ins Grübeln.

Wenn Ihnen ein ähnlicher Fall passiert, sollten Sie nicht vorschnell auf die E-Mail antworten und keineswegs den Aufforderungen folgen. Surfen Sie stattdessen zu der offiziellen Seite über die Ihnen vertraute Webadresse, und melden Sie sich online an. Banken und Sparkassen informieren auf ihren Seiten sofort über mögliche Wartungsarbeiten oder Online-Störungen. 

Wenn Sie hier nicht einen Text finden, der mit der E-Mail weitgehend identisch ist, handelt es sich um Phishing. Last but not least gilt ohnehin die Regel: Keine Bank würde Sie jemals per E-Mail auffordern, Passwörter, PIN oder TAN zu übermitteln.

Tipp 9: Online-Banking an fremden PC

Einer der wichtigsten Sicherheits-Tipps überhaupt: Niemals sollten Sie Online-Banking-Angelegenheiten von öffentlichen oder fremden PCs ausführen. Selbst beim Notebook-Zugang zu öffentlichen WLAN-Hotspots sollten Sie darauf verzichten, da Sie nicht ausschließen können, dass Ihre Dateneingabe mitgeschnitten oder abgehört wird.

Ein Datendieb könnte auf diese Weise Ihre PIN und Ihre Kontonummer erfahren. Das reicht unter Umständen aus, um die Konfiguration der Kontoeinstellungen zu ändern. Auf jeden Fall aber bieten diese Infos eine perfekte Grundlage für Spear-Phishing-Angriffe, also Attacken, die nicht auf eine große und anonyme Zahl an Opfern abzielen, sondern auf bestimmte Personen.

Lesetipp: Die besten Antivirus-Programme 2015 im Vergleichs-Test

Solche Attacken führen häufig zum Erfolg, weil die Botschaften aufgrund der realen Angaben wie Name und Kontonummer authentisch wirken.

Tipp 10: Sichern Sie Ihren PC

Hat sich erst einmal ein Trojaner eingeschlichen, nützt die sicherste Online-Verbindung zur Bank nichts. Dann werden Ihre Eingaben trotzdem mitgeschnitten und heimlich an einen Hacker-Server übertragen. Aus diesem Grund sollten Sie Ihr Antiviren-Tool stets aktuell halten und die Firewall in Windows 7 nie abschalten.

x