Von den rund 99 Millionen Girokonten, die es 2013 laut amtlicher Statistik der Bundesbank in Deutschland gab, wurden mehr als 54 Millionen online geführt. Die Zahl der Online-Banking-Nutzer nimmt seit Jahren stetig zu: 1998 lag ihr Anteil noch bei 8 Prozent, 2014 bereits bei 54 Prozent.

Diese Entwicklung kommt nicht von ungefähr: Online-Banking ist für Verbraucher eine bequeme und kostengünstige Möglichkeit, sich über den Kontostand zu informieren sowie Überweisungen und andere Bankgeschäfte am heimischen PC, mit dem Tablet oder dem Smartphone durchzuführen. Kehrseite der Medaille ist die Gefahr durch Betrüger. Mag das Verfahren selbst auch noch so sicher sein: Auch der Kunde muss sich so verhalten, dass sich niemand unbefugt Zugriff auf sein Konto verschaffen kann. Der vorliegende Beitrag erläutert die gängigen Online-Banking-Verfahren, beschreibt die häufigsten Einfallstore für Angreifer und sagt, worauf Verbraucher achten sollten.

Zugang zum Online-Konto

Die Online-Banking-Zugänge, die die deutschen Kreditinstitute bereitstellen, folgen grundsätzlich einem einheitlichen Schema: Sobald der Verbraucher die Internet-Adresse seiner Bank in die Adresszeile tippt, wird diese grün eingefärbt und vor dem Banknamen ein Schloss als Sicherheitssymbol abgebildet. Die Internet-Adresse beginnt stets mit https://, wobei das „s“ für „Security“ steht, also Sicherheit.

Nun muss sich der Kunde zunächst mit Anmeldekennung (zum Beispiel Zugangsnummer, Kontonummer oder Benutzername) und Passwort beziehungsweise Persönlicher Identifikationsnummer (PIN) legitimieren. Passwort oder PIN werden dem Verbraucher nach der Beantragung des Online-Banking-Kontos durch die Bank per Brief mitgeteilt. Wenn er zum ersten Mal online auf sein Konto zugreift, sollte er das Passwort beziehungsweise die PIN so ändern, dass sie möglichst schwer zu erraten sind. Begriffe wie „Passwort“ oder PIN-Kombinationen wie „12345“ sollten Bankkunden daher nicht verwenden. Besser sind Zeichen-Kombinationen wie „6k#Y+“ oder „N2*b?G“. Die Banken schützen den Zugang zum Konto, indem sie ihn automatisch sperren, wenn der Nutzer dreimal hintereinander falsche Anmeldedaten eingibt.

Die Legitimierung (Anmeldung) zum Online-Banking erfolgt verschlüsselt, so dass niemand die Kommunikation zwischen Kunde und Bank mitlesen kann. Nach aktuellem Stand der Technik sollten die Banken die Verbindung zum Bankserver mit mindestens AES 128 Bit – via TLS 1.2 – verschlüsseln.

Transaktionsnummer (TAN)

Beim Online-Banking müssen alle Zahlungsvorgänge mit einer Transaktionsnummer (TAN) bestätigt (autorisiert) werden. Das gleiche gilt für Aktionen wie die Änderung der PIN oder des Überweisungslimits. Hierzu gibt es verschiedene TAN-Verfahren, die die Institute ihren Kunden anbieten können.

Sicherheit der TAN-Verfahren

Je nach Ausgestaltung haben diese Verfahren unterschiedliche Vor- und Nachteile, was die Sicherheit betrifft. Grundsätzlich ermöglichen jedoch alle angebotenen TAN-Verfahren ein hohes Sicherheitsniveau, wenn sich der Kunde beim Online-Banking an die Sicherheitsanforderungen hält, auf die der Beitrag noch eingehen wird. Denn die häufigste Fehlerquelle ist bedauerlicherweise der Online-Banking-Nutzer selbst. So verwundert es nicht, dass Betrüger primär beim Kunden ansetzen. Zentrales Ziel dabei ist es, an die PIN und TANs zu kommen, um selbst Transaktionen über das Konto des Kunden vornehmen zu können.

Eine Betrugsvariante ist beispielsweise, dem Kunden per Telefon unter verschiedenen Vorwänden PIN und TANs zu entlocken (Social Engineering). Eine andere Betrugsform sind Phishing-E-Mails, in denen Verbraucher aufgefordert werden, einen Link zu einem Online-Formular anzuklicken und dort ihre PIN sowie die iTAN-Liste einzutippen.

Aber auch die anderen Verfahren, bei denen der Kunde die TANs über ein gesondertes Gerät generiert, werden angegriffen – meist durch Trojaner, die sich der Kunde durch Anklicken infizierter Internetseiten unwissentlich auf dem eigenen PC installiert hat. Nachdem sich der Kunde zum Online-Banking angemeldet hat, ersetzt der Trojaner in Echtzeit den Originalinhalt der Bankseite durch betrügerischen Inhalt, beispielsweise die Aufforderung, für einen Sicherheitstest eine über ein technisches Gerät generierte TAN einzugeben. Dies suggeriert dem Kunden einen besseren Schutz seines Kontos; tatsächlich gibt er dem Trojaner und damit dem Betrüger jedoch eine TAN preis.

Betrugsversuch: Aufforderung zur Eingabe einer TAN

Beliebt bei Betrügern sind auch vorgetäuschte E-Mails großer Dienstleister wie DHL, Telekom und Vodafone, die ebenfalls einen Link oder Anhang enthalten. Auf diese Weise versuchen sie, Schadsoftware auf den Kundenrechner aufzuspielen, so genannte Trojaner. Der Trojaner ermöglicht es dem Betrüger, PIN und TAN mitzulesen.

Screenshot Betrugsversuch

Betrugsversuch: Aufforderung zur Eingabe einer TAN BaFin

Weitere Betrugsmaschen

Aber sogar ganz ohne PIN und TAN kommen Betrüger an das Geld von Online-Banking-Kunden – indem sie diese dazu motivieren, ihnen freiwillig bestimmte Beträge zu überweisen.

Eine aktuelle Betrugsmasche ist etwa das Vortäuschen unrechtmäßiger Zahlungseingänge auf dem Kundenkonto. Betrüger blenden solche Mitteilungen ebenfalls über Trojaner auf der Bankseite ein. Der Verbraucher wird darin subtil aufgefordert, den Betrag zurück zu überweisen und mit einer gültigen TAN zu bestätigen – und verliert dadurch umgehend sein Geld.

Tipps für sicheres Online-Banking

So, wie wir im Auto den Sicherheitsgurt nutzen, ist es auch beim Online Banking notwendig, einige grundlegende Sicherheits- und Schutzregeln zu beachten. Sie sind freilich keine Garantie dafür, dass Betrüger keine neuen Methoden finden, um Mensch oder Maschine zu überlisten – 100-prozentige Sicherheit wird es nie geben.

• Halten Sie Betriebssystem, Virenscanner und Firewall auf dem Gerät, das Sie für das Online-Banking nutzen, auf dem neuesten Stand.
• Arbeiten Sie nicht mit Administratorrechten am PC und Laptop. So wird verhindert, dass unbemerkt Programme installiert werden können, die Ihre Kontobeziehung ausspähen.
• Geben Sie die URL (Internet-Adresse) Ihrer Bank immer per Hand in die Adresszeile ein, wählen Sie also nicht die Auto-Vervollständigung. Prüfen Sie, ob das Schlosssymbol angezeigt wird, die URL grün eingefärbt ist und mit https:// beginnt.
• Behandeln Sie Ihre PIN/TAN vertraulich.
• Legen Sie ein Tages- oder Maximallimit für Inlandsüberweisungen fest. Wenn Sie keine Auslandsüberweisungen planen, setzen Sie deren Limit auf Null.
• Betreiben Sie Online-Banking grundsätzlich mit einem Konto, auf dem keine hohen Beträge sind.
• Sofern Sie ein Autorisierungsgerät nutzen, das Ihnen Ihre Bank zu Verfügung gestellt hat, prüfen Sie vor Bestätigung der Überweisung auf dessen Display, ob für die Überweisung wirklich die von Ihnen eingegebene IBAN (International Bank Account Number – Internationale Girokonten-Nummer) angezeigt wird.
• Informieren Sie sich über aktuelle Betrugsversuche und lesen Sie die Sicherheitshinweise Ihrer Bank.
• Betreiben Sie Online-Banking nicht von fremden Rechnern aus, insbesondere nicht in Internetcafés.
• Prüfen Sie regelmäßig Ihre Kontoauszüge.
• Befürchten Sie, dass Ihr PC, Tablet oder Smartphone „gehackt“ oder sogar bereits eine Online-Banking-Transaktion manipuliert wurde, kontaktieren Sie umgehend Ihre Bank und erstatten Sie Anzeige bei der Polizei.

Mobile-Banking

Online-Banking ist inzwischen auch über Smartphones möglich (Mobile-Banking). Transaktionen über die Banking-App, die das kontoführende Institut bereitstellt, sind normalerweise über ein TAN-Generator-basiertes oder ein Mobiltelefon-basiertes Verfahren zu bestätigen.

Die TAN sollte auf keinen Fall auf demselben Smartphone generiert werden, auf dem das Online-Banking stattfindet. Hat ein Betrüger das Smartphone gehackt, so kann er dadurch auf beide Verfahren zugreifen. Außerdem sollte der Verbraucher unbedingt darauf achten, dass sein Smartphone durch das Herunterladen anderer Apps nicht mit Schadsoftware infiziert wird. Wer nicht genau weiß, welche Apps auf seinem Smartphone wie und mit wem interagieren, ist beim Mobile-Banking grundsätzlich einem erhöhten Sicherheitsrisiko ausgesetzt. Zudem verfügen Smartphones derzeit standardmäßig nicht über Firewall und Virenschutz.

Mobile-Banking ist somit insgesamt als unsicherer einzustufen als andere Formen des Online-Bankings. Verbraucher sollten deshalb kritisch hinterfragen, ob es wirklich notwendig ist, Finanztransaktionen per Smartphone abzuwickeln.