TAN-Klau, Phishing und mehr

Online-Banking-Sicherheit: Empfehlenswerte Maßnahmen

Sicherheit beim Online-Banking

© © Calado / fotolia.com

Sicherheit beim Online-Banking: So geht's!

Es gibt verschiedene Mittel, sich in fremde Netzwerke einzuschalten: zum Beispiel über einen manipulierten Rechner in einem WLAN oder über einen gehackten Router. Malware auf einem PC kann Internet-Adressen umleiten oder die Daten abfangen, bevor sie gesendet werden.Besonders einfach geht es mit Hotspots. Wenn Sie sich mit so einem öffentlichen Einwahlpunkt verbinden, kann dessen Betreiber sich als Man-in-the-middle in Ihre Verbindung einschalten. Deshalb sollten Sie Bankgeschäfte nicht in unbekannten WLANs erledigen. Benutzen Sie das Netz Ihres gewohnten Providers zu Hause.

Sind Sie gezwungen, über ein fremdes Netz zu kommunizieren, sollten Sie einen VPN-Dienst (Virtual Private Network) benutzen. So ein Dienst leitet Ihre Daten über eine verschlüsselte Verbindung, sodass der jeweilige Netzanbieter (zum Beispiel ein Hotspot) nicht erkennen kann, mit wem Sie kommunizieren. Er „sieht“ nur die Verbindung zum VPN-Dienst.Damit am heimatlichen Rechner nichts passiert, ist ein guter Schutz gegen Schadsoftware Pflicht. Dazu gehören auch regelmäßige Updates der Router-Software

Mehr lesen

Wir zeigen, wie Sie Daten verschlüsseln und verstecken können.
TrackMeNot & AdNauseam

Google, Microsoft & Co. wollen Ihre Daten! Dann geben Sie ihnen doch Daten – genauer gesagt: Datenmüll. Verwirrungs-Tools schaffen Privatsphäre.

Zwei-Kanal-Banking

Zusätzlich sollten Sie ein sicheres Verfahren beim Online-Banking verwenden. Sicher sind zum einen Verfahren, die einen zweiten Kommunikationskanal benutzen. Geht man davon aus, dass eine Verbindung, zum Beispiel die Internetverbindung über den Router durch einen Mann in der Mitte manipuliert wird, so benutzt man zur Sicherheit eine zweite Verbindung zum Beispiel über das Smartphone. – Das ist beim mTan-Verfahren der Fall, bei dem Ihnen Ihre TAN-Nummer meist samt Überweisungsdaten auf das Handy geschickt wird. Ein Angreifer kann zwar alle Daten von und zum PC manipulieren, aber gleichzeitig auch das Smartphone zu überwachen, ist um einiges komplizierter.

Bessere TAN

Weiterhin sollten die Daten der Überweisung, also zum Beispiel die IBAN des Empfängers, der überwiesene Geldbetrag und die Bankleitzahl bei der TAN-Generierung benützt werden. So kann mit einer bestimmten TAN nur eine bestimmte Überweisung genehmigt werden. Nämlich die, die der Kunde gerade durchführen will. Wenn der Hacker damit Geld auf sein eigenes Konto verschieben möchte, passt die TAN nicht zur gefälschten Überweisung. Die Bank, oder besser der Bank-Server, verweigert dann die Transaktion.

Bei modernen Verfahren wie chipTAN, photoTAN oder Display-TAN werden diese Überweisungsdaten verwendet. Sie gelten deshalb als besonders sicher. Bei chipTAN übermittelt die Bank die nötigen Daten mit einem Flickercode im Browser, den ein spezielles Lesegerät vom Computerbildschirm abliest. Der Kunde bestätigt die Überweisungsdaten, und das Lesegerät erzeugt die TAN, wobei meist auch noch der Code einer Kundenchipkarte berücksichtigt wird.

Auch photoTAN funktioniert so, allerdings läuft die Software auf einem Smartphone. Der Kunde fotografiert einen Farbcode ab, der in seinem Browser erscheint. In diesem Code verborgen liegen die Überweisungsdaten, die dann im Klartext in der Smartphone-App erscheinen. Bei Display-TAN hat der Online-Banker ein Bankkarten-ähnliches Gerät. Dieses kommuniziert per Bluetooth mit einem Smartphone. Das Gerät zeigt die per Bluetooth vom Handy übertragenen Überweisungsdaten an, die der Benutzer quittieren muss. Erst dann erscheint die TAN, die am Smartphone eingegeben wird.​

Sicherheit beim Online-Banking

© Commerzbank AG

Beim photoTAN-Verfahren fotografiert man einen farbigen Code.

Man-in-the-Browser-Attacke

Bei einer Man-in-the-middle-Attacke ist der Rechner, auf dem der Anwender seine Bankaufträge eingibt, unter Umständen gar nicht direkt betroffen und virenfrei – anders beim Man-in-the-Browser-Angriff. Hier läuft eine Schadsoftware direkt auf dem Rechner des Anwenders und manipuliert den Browser beim Online-Banking.

Das Malware-Plugin manipuliert nun über sogenannte Webinjects die im Browser angezeigten Seiten und blendet so zum Beispiel eigene Eingabefelder ein. Auf diese Weise kann auch die ganze originale Bank-Seite überdeckt und durch eine gefälschte Hacker-Seite ersetzt werden. Die Eingaben des Benutzers landen direkt auf den Servern des Hackers. Diese Attacke ist äußerst gefährlich, weil ein Benutzer kaum Chancen hat, sie zu bemerken.

Mehr zum Thema

IT Sicherheit (Symbolbild)
Warnung von Sicherheitsfirma

Hacker haben insgesamt acht Chrome Add-ons durch Phishing-Attacken übernommen. Lesen Sie hier, welche Erweiterungen betroffen sind.
Hohes Spam-Aufkommen im Sommer
Gefährliche E-Mail

Kriminelle schicken mit Kollegen als Absender gefälschte E-Mails an Firmen-Adressen. Worauf Sie achten müssen, um die gefährlichen E-Mails zu…
Browser Sicherheit
Spear-Phishing-Mails

Eine Hackergruppe spionierte das deutsche Regierungsnetzwerk IVBB aus. Update: Es gibt neue Hinweise, wie die Hacker auf das Regierungsnetz zugreifen…
Warnung vor Phishing-Mails
E-Mails von Cyberkriminellen

Die Verbraucherzentrale Nordrhein-Westfalen warnt Kunden der Sparkasse vor Phishing-Versuchen. Zusätzlich fälschen Cyberkriminelle PayPal-Mails.
Amazon Phishing-Mail Warnung Vebraucherzentrale
Verbraucherzentrale warnt

Aktuell kursieren Phishing-Mails, die es auf Amazon-Kunden abgesehen haben. Die Betrüger versprechen einen 15-Euro-Gutschein. Der Vorwand: Die DSGVO.