Datenklau beim Online-Banking

Mit diesen Tipps bleibt alles sicher

Online-Banking ist komfortabel, spart Zeit und Bankgebühren. Gleichzeitig bleibt ein ungutes Gefühl: Ist mein Geld wirklich sicher? Wir stellen Ihnen Verfahren vor, die sicherer als PIN und TAN sind, und geben praktische Tipps für die Absicherung Ihres PCs.

Online-Banking ist für viele Menschen eine Selbstverständlichkeit, und dafür gibt es gute Gründe: Finanztransaktionen, die online abgewickelt werden, sind billiger als Geschäfte am Bankschalter. Vor allem aber überzeugt die Kunden, dass sie Bankgeschäfte bequem von zu Hause aus abwickeln können, rund um die Uhr. Doch immer wieder kommen Zweifel an der Sicherheit des Online- Bankings auf.

Wir haben uns durch das Dickicht der verschiedenen Techniken geschlagen und sagen Ihnen, was davon zu halten ist. Und wir versorgen Sie mit Tipps für die Absicherung Ihres Rechners.

Bedingt sicher: PIN/TAN, iTAN, eTAN

Viele Jahre setzte Online-Banking vorwiegend auf das PIN/TAN-Verfahren. Dabei rückt der Bank-Server Informationen, wie zum Beispiel die Kontoumsätze, erst nach Eingabe einer Geheimzahl, der PIN, heraus. Für Transaktionen ist zusätzlich die Eingabe einer nur einmal gültigen Transaktionsnummer (TAN) erforderlich, die man einer von der Bank per Post übermittelten Liste entnimmt.

Den immer zahlreicheren Phishing-Angriffen der letzten Jahre zeigte sich PIN/TAN aber nicht gewachsen. Beim Phishing erhalten arglose Nutzer scheinbar von ihrer Hausbank stammende E-Mails, die sie auf eine gefälschte Website führen, wo man ihnen PIN und eine oder mehrere TANs entlockt. So versorgt, ist es für Betrüger ein leichtes, das Konto abzuräumen. Als Reaktion auf dieses Szenario sind viele Banken auf die neueren Verfahren iTAN und eTAN ausgewichen.

Bei iTAN kann man nicht mehr frei auswählen, mit welcher der fünfzig oder hundert TANs der TAN-Liste man eine Überweisung freischaltet, sondern der Bank-Server fordert gezielt eine bestimmte TAN an. Bei eTAN erhalten Sie ein kleines Gerät, das auf Knopfdruck eine nur wenige Minuten gültige TAN erzeugt.

Die große Gefahr: Trojaner

Beide Verfahren erschweren das Abfischen von TANs. Prompt geht die Zahl dieser Angriffe zurück, stattdessen mehren sich die Attacken durch Banking-Trojaner. Die Schadprogramme installieren sich unbemerkt auf dem PC. Sobald der Anwender die Online- Banking-Website im Browser aufruft oder seine Banking-Software startet, klinkt sich der Trojaner in die Kommunikation ein. Dabei ersetzt er zum Beispiel Überweisungsaufträge des Anwenders durch eigene und luchst dem ahnungslosen Benutzer sogar die richtige TAN (bzw. iTAN/eTAN) ab.

Deshalb kann keines der genannten Verfahren als sicher gelten. Wie professionell die Angreifer zu Werke gehen, zeigt beispielsweise der Trojaner "Win32.Banker.hq": Er kann die Websites mehrerer Dutzend Banken simulieren, greift Zugangsdaten ab und verschickt sie per E-Mail an Betrüger. Um auf den Rechner einzudringen, nutzen Trojaner Sicherheitslücken aus. Im einfachsten Fall reicht schon das Surfen mit einem fehlerbehafteten Browser aus.

Gerade der weit verbreitete Internet Explorer zeigt sich in dieser Hinsicht immer wieder anfällig. Weil sich der Befall durch einen Trojaner allen Vorkehrungen zum Trotz nicht ausschließen lässt, geht der Trend hin zu Verfahren, die Betrügern auch auf infizierten PCs keine Chance lassen. Für etwas mehr Sicherheit sorgt das auf iTAN basierende Verfahren iTANplus.

Dabei erscheint vor der Eingabe der iTAN ein Kontrollbild (ein so genanntes "Captcha"), das alle Transaktionsdaten zeigt, und das nur der Bank, nicht aber dem Trojaner bekannte Geburtsdatum des Nutzers enthält. Allerdings sind "Captchas" oft schwer zu lesen und es gibt bereits erfolgreiche Angriffe auf diese Technik.

Sicher: TAN per Handy

Als wirklich sicher dürfen derzeit die Verfahren mTAN und SMS-TAN gelten, die auf per Handy übermittelte TANs setzen (mobile TAN). Dabei erhalten Nutzer nach Übermittlung Ihres Überweisungsauftrags eine TAN per SMS. Weil die TAN nur für die der Bank bereits vorliegende Transaktion gültig ist, haben Phisher keine Chance, solange sie keinen Zugang zum Handy haben.

Und weil die Kurznachricht auch Teile des Überweisungsauftrags, insbesondere einige Stellen der Zielkontonummer enthält, können Trojaner Transaktionen nicht mehr unbemerkt manipulieren. Nützlich ist zudem, dass Sie keine umständliche TAN-Liste mehr mit sich führen müssen, wenn Sie unterwegs auf Ihr Konto zugreifen möchten.

Geht eine mTAN ein, ohne dass Sie etwas überwiesen haben, können Sie sofort Rücksprache mit der Bank halten und gegebenenfalls das Konto sperren lassen.

Teilweise sicher: Kartenleser

Die bisher vorgestellten Verfahren kommen alle ohne zusätzliche Hardware aus – sieht man mal vom ohnehin fast immer vorhandenen Handy ab. Es gibt aber auch Sicherungsverfahren fürs Online-Banking, die einen Kartenleser erfordern, der per USB mit dem PC verbunden wird. Bekanntester Vertreter dieser Zunft ist HBCI (Homebanking Computer Interface), das auch unter dem Namen FinTS firmiert. Zwar gibt es auch eine Form von HBCI, die auf PIN und TAN setzt, doch weil sie ähnlich unsicher ist wie das klassische PIN/TAN-Verfahren, gehen wir hier nicht näher darauf ein.

Interessanter ist HBCI mit Chipkarte. Hier übermittelt die Homebanking-Software die Überweisungsdaten an den Kartenleser. Sie schieben Ihre Bankkarte ein und geben zusätzlich eine PIN ein. Die Daten werden mit einem auf der Karte gespeicherten Geheimschlüssel digital unterschrieben und an die Bank übermittelt. Vor Trojanern, die die wichtige PIN durch Belauschen der PC-Tastatur ("Keylogging") abfangen, ist HBCI mit Chipkarte nur sicher, wenn Sie einen Kartenleser der Klasse 2 besitzen.

Der verfügt über eine eigene Tastatur, die PIN wird also gar nicht erst in den möglicherweise infizierten PC eingegeben. Dennoch bleibt dem Trojaner ein Einfallstor. Selbst Kartenleser mit Display (Klasse 3) zeigen Ihnen nicht, welche Transaktion Sie mit Ihrer PIN freischalten. Statt Ihres eigentlichen Auftrags kann es sich theoretisch also auch um eine von einem Trojaner manipulierte Transaktion handeln.

Erst der Standard Secoder setzt Kartenleser voraus, welche die Transaktionsdaten zur Kontrolle anzeigen. Bislang wird Secoder aber nur von wenigen Volks- und Raiffeisenbanken unterstützt.

Sicher: ChipTAN und Sm@rtTAN plus

Neben mTAN/SMS-TAN und Secoder gibt es noch einen dritten sicheren technischen Ansatz. Bei den Sparkassen heißt er ChipTAN, bei den Volks- und Raiffeisenbanken Sm@rtTAN plus. Hierfür erhalten Sie von der Bank ein zusätzliches Gerät, den TAN-Generator. Dieser generiert aus einem von der Bank vorgegebenen Zahlencode und Transaktionsdaten, wie zum Beispiel einigen Stellen der Zielkontonummer, eine TAN, die nur für den aktuellen Auftrag gilt.

Will ein Trojaner durch Manipulation der Überweisungsdaten heimlich Geld auf ein anderes Konto überweisen, dann passt die TAN nicht mehr zum Auftrag – Betrug unmöglich. Einfache TAN-Generatoren, die die TAN schon nach dem Einschieben der Bankkarte herausrücken, gelten übrigens als unsicher. Fein heraus sind Sie, wenn Ihre Bank(en) eines der derzeit sicheren Verfahren mTAN/SMS-Tan, Secoder oder ChipTAN/Sm@rtTAN plus anbieten.

Wenn Sie noch eines der älteren Verfahren verwenden, sollten Sie unter Umständen die Bank(en) wechseln, falls Sie ein unsicheres Gefühl haben. Wenn Ihre Bank nur PIN/TAN oder andere schwache Verfahren anbietet, erkundigen Sie sich am besten telefonisch, wann die Einführung neuer Verfahren geplant ist. Die meisten Banken bieten eigene Hotlines für den Support von Online-Banking an – dort sollte man Sie informieren können.

Gibt es keine entsprechenden Planungen, könnte das ein Grund sein, die Bank zu wechseln. So oder so kennen Sie jetzt die Vor- und Nachteile der verschiedenen Verfahren, und können gut informiert entscheiden.

Den eigenen Rechner absichern

Ihren Rechner sollten Sie in jedem Fall gegen Trojaner und andere Gefahren absichern. So schützen Sie nicht nur Ihr Vermögen. Sie haben auch deutlich bessere Karten, wenn es nach einem Schadenfall vor Gericht geht und Sie beweisen müssen, dass Sie alle wichtigen Vorsichtsmaßnahmen getroffen haben. Ihr erster Verbündeter ist die in Windows integrierte Update-Funktion, die Sie im Sicherheitscenter der Systemsteuerung unter "Automatische Updates" konfigurieren.

Am besten aktivieren Sie hier die Option "Automatisch" und stellen eine Uhrzeit ein, zu der die Updates heruntergeladen und installiert werden sollen. Als Nutzer des Internet Explorers sollten Sie außerdem über einen Browser-Wechsel nachdenken. Seit Jahren fällt der Microsoft-Browser immer wieder durch Sicherheitslücken auf. Mit Firefox 3 finden Sie eine kostenlose Alternative in unserem Download-Bereich.

Im Anschluss haben wir weitere Tipps für Sie vorbereitet, die Ihnen bei der Absicherung Ihres Rechners fürs Online-Banking behilflich sind.

Tipp 1: Anti-Phishing-Funktion im Browser nutzen

Internet Explorer, Firefox und Opera bringen eigene Funktionen mit, die Sie vor gefährlichen Websites warnen.

Internet Explorer 7 fragt beim ersten Programmstart ab, ob Sie den Phishing-Filter aktivieren möchten. Haben Sie diese Gelegenheit verpasst, klicken Sie auf "Extras/Erweitert", klicken im Abschnitt "Phishingfilter" auf "Automatische Websiteprüfung einschalten" und bestätigen mit "OK". Rund ein Viertel aller Nutzer surft derzeit noch mit Internet Explorer 6, der keinen Phishing-Schutz bietet.

Sofern Sie, beispielsweise aus beruflichen Gründen, nicht auf den aktuellen Microsoft-Browser wechseln können, installieren Sie die kostenlose Netcraft Toolbar. Dieser Download rüstet auch den alten Microsoft-Browser mit einer Werkzeugleiste aus, die Anti-Phishing-Funktionen enthält.

Firefox warnt Sie vor dem Besuch von Websites, die Schadsoftware installieren oder als Phishing-Seiten bekannt sind. Ob der Schutz aktiv ist, überprüfen Sie, indem Sie mit Firefox die Test-Webseite unter http://tinyurl.com/y8yvgn aufrufen. Sollte der Schutz abgeschaltet sein, aktivieren Sie ihn unter "Extras/Einstellungen/ Sicherheit/Hinweis anzeigen, falls…".

Mit der neuen Version 9.5 ist der Phishing- und Malware-Schutz endlich auch in Opera ab Werk aktiv. Kontrollieren können Sie das am schnellsten unter "Extras/Einstellungen/Erweitert", wo ein Häkchen vor "Betrugsversuch-Schutz aktivieren" sitzen muss.

Tipp 2: Anti-Phishing im E-Mail-Client nutzen

Das kostenlose Mail-Programm Thunderbird bringt eine Anti-Phishing-Funktion von Haus aus mit. Für Outlook und Outlook Express gibt es mit dem Tool Delphish eine entsprechende Funktion zum Nachrüsten.

In Thunderbird aktivieren Sie den Phishing-Schutz unter "Extras/Einstellungen/Datenschutz". Wechseln Sie auf den Reiter "Betrugsversuche" und aktivieren Sie "Nachrichten auf Betrugsversuche (Phishing) untersuchen".

Um Outlook und Outlook Express vor Phishing-Mails zu schützen, beenden Sie das Mail-Programm und installieren Delphish. Nach dem Neustart von Outlook oder Outlook Express macht sich die Schutzfunktion am oberen Rand des Programmfensters bemerkbar.

Möchten Sie eine verdächtige Nachricht checken, dann markieren Sie diese im Posteingang und klicken danach auf "Auf Phishing prüfen". Ist Gefahr im Verzug, meldet sich Delphish mit einem plakativen Hinweis.

Tipp 3: Sichere Passwörter für den Bank-Zugriff

Ein sorgfältig ausgewähltes Passwort gehört zu den wichtigsten Grundlagen für sicheres Online-Banking. Das Programm KeyProducer erstellt Kennwörter für verschiedene Banken.

Zu den besonderen Stärken des kostenlosen KeyProducer gehört, dass Sie frei auswählen können, welche Zeichen ein generiertes Passwort enthalten darf. So können Sie auf die Erfordernisse der jeweiligen Banken flexibel generieren. Eine Bank akzeptiert ausschließlich vier Zeichen lange, nur aus Zahlen bestehende Passwörter? Entfernen Sie alle Häkchen bis auf das vor "Ziffern (0..9)" und ergänzen Sie "und enthält zwischen" mit "4 und 4 Zeichen".

Grundsätzlich gilt:

Je mehr verschiedene Zeichen das Passwort einer Bank enthalten darf, umso sicherer ist es. Wenn Ihre Bank Ihnen die Wahl bei der Länge des Passwortes lässt, bedeutet jedes zusätzliche Zeichen einen Sicherheitsgewinn.



Tipp 4: Bank-E-Mails nicht beantworten

Viele erfolgreiche Angriffe auf das Online-Banking klappen nur, weil Anwender immer wieder auf gefälschte Bank-E-Mails hereinfallen.

Grundsätzlich gilt: Reagieren Sie niemals auf E-Mails Ihrer Bank, in denen es um Ihre Kontodaten geht. Klicken Sie auch keine in der E-Mail enthaltenen Links an – sie könnten gefährlich sein.

Tipp 5: Bank-URLs selbst eingeben

Ein Banking-Trojaner kann im Browser gespeicherte Lesezeichen so verändern, dass sie nicht mehr auf die echte Bank-Website, sondern auf eine Fälschung verweisen.

Tippen Sie die Web-Adresse (URL) Ihrer Bank deshalb immer selbst ein, wenn Sie Online-Banking per Webbrowser nutzen.

Tipp 6: Konto sperren – so geht’s

Wann immer Ihnen Aktivitäten rund um Ihr Konto verdächtig vorkommen, sollten Sie den direkten Kontakt zu Ihrer Bank suchen.

Rufen Sie Ihren Kundenberater an oder die Hotline für das Online- Banking. Dort hilft man Ihnen bei der Interpretation von Verdachtsmomenten und kümmert sich auch um eine gegebenenfalls sinnvolle Kontosperre.

Sind Sie sich nicht sicher, dass die Bank-Website, die Ihr Browser zeigt, echt ist, dann sollten Sie die notwendigen Telefonnummern nicht dort ablesen, sondern aus dem Telefonbuch heraussuchen.

Tipp 7: Flash, Javascript und ActiveX abschalten

Viele Websites machen mit Flash, Javascript und ActiveX erst richtig Spaß. Doch die drei Techniken bergen auch Sicherheitsrisiken, die Angriffe auf die Sicherheit Ihres Online-Bankings erleichtern.

Deaktivieren Sie diese Techniken deshalb, bevor Sie mit dem Online-Banking beginnen, starten Sie den Browser neu und laden Sie ausschließlich die Website Ihrer Bank. Lädt die Banking-Website anschließend nur mit einer Fehlermeldung, schalten Sie die darin angegebene Technik wieder ein.

Für Internet Explorer 7 gibt es die Erweiterung IE7Pro. Sie integriert einen Knopf, über den Sie den Flash-Blocker aktivieren. ActiveX und JavaScript schalten Sie unter "Extras/Internetoptionen/Sicherheit/Internet/Stufe anpassen" aus.

Für Firefox gibt es die Add-Ons NoScript und Flashblock, die JavaScript und Flash abschalten. Sie verankern sich mit Schaltflächen in der Werkzeug- bzw. Statusleiste. Weil Firefox ActiveX ohnehin nicht beherrscht, müssen Sie hier auch nichts deaktivieren.

Tipp 8: Autovervollständigen deaktivieren

Internet Explorers Funktion zum automatischen Vervollständigen von Formular-Feldern verrät anderen Nutzern Ihres Rechners unter Umständen Einzelheiten über Ihr Online-Banking.

Deshalb sollten Sie diese Funktion für Formulare deaktivieren. Die entsprechende Einstellung finden Sie unter "Extras/ Internetoptionen/ Inhalte".

Damit tun Sie einen wichtigen Schritt, damit niemand Ihre Formulareingaben auslesen kann.

Tipp 9: Sichere Verbindung überprüfen mit Internet

Wenn Sie die Online-Banking-Seiten Ihrer Bank im Browser aufrufen, kann dieser über ein digitales Zertifikat feststellen, ob er die Daten auch wirklich vom Bank-Server erhält.

Internet Explorer 7 zeigt durch eine farbige Adresszeile an, was vom Zertifikat der gerade besuchten Website zu halten ist. Färbt sich die Leiste rot, ist Vorsicht angebracht.

Das Zertifikat ist veraltet, ungültig oder enthält einen Fehler. Gelb signalisiert, dass sich die Echtheit des Zertifikats nicht bestätigen lässt. Keine Bedenken bestehen bei einer weißen oder einen grünen Adressleiste.

Dass eine Verbindung per Zertifikat gesichert wird bedeutet nicht zwangsläufig, dass Ihr Rechner und der Bank-Server auch verschlüsselt kommunizieren. Ob das der Fall ist, kontrollieren Sie mit einem Klick auf das Bügelschloss-Symbol am rechten Ende der Adresszeile.

Tipp 10: Sichere Verbindung überprüfen mit Firefox

Noch einen Tick besser als Internet Explorers Zertifikat-Überprüfung ist die Kombination aus Firefox 3 und dem Add-On Perspectives.

Wie Internet Explorer zeigt auch Firefox den Sicherheitsstatus einer Website durch eine Färbung der Adresszeile an. Bei ernsthaften Problemen wird außerdem der Ladevorgang der Seite unterbrochen und Sie können ihn nur durch Hinzufügen einer Ausnahmeregel fortsetzen. Mit dem Perspectives-AddOn (http://tinyurl.com/6gu8tl) erschwert Firefox Betrügern das Fälschen von Zertifikaten durch Manipulation Ihrer Online-Verbindung. Dazu gleicht Perspectives die vom Bank-Server erhaltenen Zertifikat- Infos mit denen ab, die der Bank-Server anderen Nutzern mitteilt. Bei Abweichungen gibt Perspectives eine Warnung aus.

Außerdem kann das Add-On auch das aktuelle Zertifikat mit dem früherer Online-Banking-Sitzungen vergleichen. Ein neues Zertifikat kann ein Signal für eine Aktualisierung seitens der Bank sein – oder es handelt sich um einen Betrugsversuch.

Tipp 11: Richtig abmelden nach dem Banking

Moderne Online-Banking-Websites melden den Benutzer nach einigen Minuten Inaktivität automatisch ab. Darauf sollten Sie nicht vertrauen.

Wenn Sie fertig sind, sollten Sie immer den "Abmelden"-, "Logout"-, "Log off"-Knopf oder einen ähnlich beschrifteten Knopf auf der Bank-Website drücken. Damit machen Sie auch den "Zurück"-Knopf des Browsers wirkungslos.

Tipp 12: Surf-Spuren verwischen

Moderne Browser können Ihre Surf-Spuren, insbesondere verräterische Cache-Inhalte, beim Beenden des Programms automatisch löschen.

In Internet Explorer 7 finden Sie diese Funktion unter "Extras/Browserverlauf löschen". Klicken Sie hier zumindest auf "Temporäre Internetdateien löschen". Firefox 3 lässt Sie unter "Extras/Einstellungen/Datenschutz" wählen, ob Sie die "Privaten Daten" beim Beenden von Firefox automatisch löschen lassen möchten. Welche Daten dabei in den Orkus wandern, definieren Sie unter "Einstellungen" rechts davon. Vorsicht vor dem unbedachten Löschen von Cookies!

Diese Dateien zu löschen, fördert die Sicherheit beim Online-Banking kaum. Weil aber Amazon, eBay, YouTube und andere Websites hier ihre Einstellungen speichern, drohen Komfort-Einbußen beim weiteren Surfen.

Tipp 13: WLAN verschlüsseln

Online-Banking von der Couch aus ist dank WLAN kein Problem. Damit Dritte die Kommunikation zwischen Ihrem Laptop und dem WLAN-Router nicht belauschen können, sollten Sie unbedingt die Verschlüsselungsfunktion in den beteiligten Geräten aktivieren.

Wie das geht, verrät die Bedienungsanleitung des Routers. Bietet Ihr Router lediglich die veralteten Verfahren WEP 64 und WEP 128 an, wird es Zeit für ein neues Gerät, denn beide sind längst geknackt. Als sicher gelten die Verfahren WPA und WPA2.

Tipp 14: Abbuchungen prüfen

Sollte einem Betrüger allen Vorkehrungen zum Trotz ein Angriff auf Ihr Konto gelingen, dann fällt das spätestens durch eine Abbuchung auf, die Sie nicht einordnen können.

Je schneller Sie jetzt bei der Bank anrufen, desto größer ist die Chance, dass Sie Ihr Geld noch zurückerhalten. Um zeitnah reagieren zu können, sollten Sie deshalb die Umsätze auf Ihrem Konto in kurzen Zeitabständen kontrollieren.

Tipp 15: Homebanking-Software nutzen

Wenn Sie beim Online-Banking besonderen Wert auf Komfort legen und am PC nicht nur Überweisungen vornehmen wollen, sondern beispielsweise auch den Gesamtüberblick über Ihre Ein- und Ausnahmen behalten wollen, sollten Sie über den Einsatz einer Homebanking-Software nachdenken, statt Online-Banking im Browser zu machen.

Mit aktuellen Programmen wie Quicken 2009 von Lexware für 49,99 Euro oder Star Money 6.0 von StarFinanzfür 49,90 Euro können Sie mehrere Konten sowie Depots übersichtlich verwalten, Überweisungen vornehmen, Daueraufträge managen und Auswertungen zu allen Kontobewegungen vornehmen.

Und Ihre Finanzdaten lassen sich auch exportieren, zum Beispiel als Excel-Datei oder für die Weiterverwendung in einer Steuerspar-Software.
lyrics sms messages neujahrs weihnachst