Sie sind auf Seite 1von 5

Quelle: http://www.bsi-fuer-buerger.

de

Online-Banking
In Deutschland entscheiden sich immer mehr Menschen dafür,
Bankgeschäfte vom eigenen PC aus abzuwickeln. Allerdings ist
dieser bequeme Weg auch nicht ganz ohne Risiko: So können
etwa unter Umständen sensible Daten abgefangen oder die
Online-Banking-Kunden gar auf eine gefälschte Seite gelockt
werden. Aber auch Viren und sonstige Schädlinge sind eine
Bedrohung. Eine breite Palette an Informationen - nicht nur -
zu Sicherheitsfragen rund um Ihre Bankgeschäfte im Internet
finden Sie auf den folgenden Seiten.

Online-Banking - was heißt das?


Unter Online-Banking versteht man die Abwicklung Ihrer Bankgeschäfte über PC,
Laptop oder auch Smartphones. Die Angebotspalette reicht vom bloßen Abfragen des
Kontostands oder einzelner Umsätze über die Durchführung von Überweisungen und die
Einrichtung von Daueraufträgen bis hin zu individuellen Auswertungen der
Kontobewegungen. Mittlerweile gibt es sogar Banken, die gar keine Filialen mehr
unterhalten, sondern ihre Geschäfte ausschließlich über elektronische
Kommunikationswege abwickeln. So wie man am Bankschalter oder beim
Geldautomaten darauf achten sollte, dass Gespräche oder die Eingabe von Kennwörtern
und PINs nicht von Fremden mitverfolgt werden, ist auch im Internet Vertraulichkeit
oberstes Gebot.
Man sollte Bankgeschäfte nicht über unbekannte Computer abwickeln, etwa in
Internetcafés. Nach dem Verlassen von Online-Banking-Seiten sollte der
Zwischenspeicher unbedingt gelöscht werden. Wie das geht erfahren Sie in den
Sicherheitstipps. Kennungen sollten regelmäßig geändert werden und darüber hinaus -
wenn möglich - nicht aus einfachen Begriffen, sondern komplizierten Zahlen-
/Buchstabenkombinationen bestehen.
Betrüger sind leider oft sehr kreativ – gerade, wenn es um Bankgeschäfte geht. In letzter
Zeit boomen etwa die Phishing-Attacken auf Banken: Dabei werden Kunden in E-Mails
aufgefordert, ihre Kontoinformationen online zu aktualisieren. Die angegebenen Links
führen allerdings auf täuschend echt aussehende - aber gefälschte - Seiten, auf denen
Betrüger die vertraulichen Daten „abfischen“.
Es gibt eine Reihe von Schutzmaßnahmen für Online-Bankkunden, die den virtuellen
Gang zu Ihrem Kreditinstitut sicher machen: So ist es etwa wichtig, die
Virenschutzsoftware, die persönliche Firewall und auch die Sicherheitspatches für das
Betriebssystem immer aktuell zu halten. Schließlich gibt es schon Viren wie z. B. das
Trojanische Pferd PWSteal.Refest, die Bankdaten ausspähen. Darüber hinaus sollten Sie
beim Online-Banking die Internetadresse Ihrer Bank jedes Mal wieder von neuem
eintippen oder über Ihre „Favoriten“ anwählen und keinesfalls über Verlinkungen
einsteigen.
Geradezu eine „Einladung zum Mitlesen“ für Betrüger kann der Einsatz von so
genannten Surf-Turbos bedeuten. Manche dieser Programme, die angeblich die

Seite 1 von 5
Geschwindigkeit beim Surfen erhöhen sollen, ermöglichen Dritten das Mitlesen auch
von sensiblen Daten.
Insgesamt gesehen sind auch sonstige Missbräuche von Online-Konten in der Realität
selten. Schließlich reicht es ja nicht aus, nur die PIN und Passwörter oder
Kundennummern herauszufinden. Die Betrüger benötigen für Transaktionen auch eine
TAN – und diese wird ja nach einmaligem Gebrauch wertlos. Falls es ihnen aber gelingt,
eine TAN vor der ersten Verwendung in Erfahrung zu bringen, ist die Lage für die
Geschädigten ernst. Schließlich müssen diese dann den Beweis erbringen, dass sie nicht
sorglos mit Zugangsdaten wie PIN oder TAN umgegangen sind – und so haften sie meist
selbst für den Schaden.
Eine weitere Möglichkeit, Bankgeschäfte auf Distanz zu erledigen, ist das
Telefonbanking. Dabei rufen Kunden die Servicemitarbeiter ihrer Bank an oder
kommunizieren mit Hilfe der Telefontastatur oder automatisierter Spracherkennung mit
einem Computer. Die Absicherung erfolgt dabei über den Einsatz von Passwörtern. Da
Telefongespräche relativ leicht abgehört werden können, ist dieser Kommunikationsweg
ziemlich riskant. Anders ist das beim Mobilen Banking über internetfähige Smartphones.
Über diese Geräte kann Online-Banking genauso wie vom PC oder Laptop ausgeführt
werden – mit den gleichen Sicherheitsstandards. In der mobilen Kommunikation gibt es
übrigens noch einen weiteren Punkt zu berücksichtigen: Mobile Funknetzwerke
(WLAN) sind besonders anfällig für Angriffe. Daher sollten Sie dabei unbedingt darauf
achten, dass Sie ihren Rechner und dessen WLAN-Schnittstelle ausreichend absichern,
falls Sie Ihre Bankgeschäfte über diesen Weg abwickeln.

Technische Grundlagen
Geldinstitute bieten beim Online-Banking unterschiedliche Sicherheitsstandards an,
über die Sie sich jeweils vorab informieren sollten. Bei manchen dieser Standards ergibt
sich auch für Sie ein zusätzlicher Bedarf an Infrastruktur – etwa Lesegeräte für
Chipkarten.
Die von den Banken verwendeten Verbindungen werden heute üblicherweise über SSL
verschlüsselt. Bei den meisten Banken wird zudem noch eine Benutzerschnittstelle
eingebaut, die für eine zusätzliche Verschlüsselung sorgt. Online-Banking von Banken
in Deutschland fast nur noch über das Internet angeboten, die Zugänge über BtX wurden
mittlerweile aus Kostengründen fast alle abgeschaltet. Hierfür wird als Online-Banking-
Standard auf HBCI aufgebaut. Seit 2002 ist dieser Standard umbenannt und
weiterentwickelt worden zu FinTS. FinTS bzw. HBCI bietet verschiedene Möglichkeiten
der Authentisierung: Die Absicherung erfolgt zumeist über das PIN/TAN-System. Der
Benutzer gibt neben seiner Kontonummer eine Persönliche Identifikationsnummer (PIN)
ein, um Zugang zu seinen Daten zu erhalten. Umsätze können aber erst getätigt werden,
wenn eine Transaktionsnummer (TAN) eingegeben wird, die jeweils nur für einen
Geschäftsfall gültig ist.
Eine neue Erweiterung des TAN-Verfahrens ist das so genannte indizierte TAN-
Verfahren (iTAN). Beim klassischen PIN/TAN-Verfahren kann eine beliebige freie
TAN aus der Liste zur Bestätigung der Aufträge verwendet werden. Mit iTAN werden
Sie aufgefordert, eine bestimmte TAN (z. B. Nr. 17) Ihrer TAN-Liste zu verwenden.
Hierbei ist die TAN an einen bestimmten Auftrag gebunden und kann nicht beliebig
verwendet werden.
Eine weitere Variante im TAN-Verfahren ist die mobile TAN (mTAN) oder SMSTAN.
Hierbei wird der Übertragungskanal SMS eingebunden. Wenn Sie die Überweisung im

Seite 2 von 5
Internet ausgefüllt und an Ihr Geldinstitut übermittelt haben, erhalten Sie von diesem
eine TAN per SMS auf Ihr Handy gesendet, welche ebenfalls nur für diesen Vorgang
gültig ist. Diese TAN geben Sie im Online-Banking ein schließen den
Überweisungsvorgang damit ab.
Eine gänzlich andere Alternative ist die Absicherung des Online-Banking über eine
Chipkarte. Diese Methode gewährleistet einen sehr hohen Sicherheitsstandard, denn es
wird sowohl die Kundenidentifizierung abgesichert als auch die Übertragung der Daten.
Selbst wenn die Zugangspasswörter im PC gespeichert sind, nützt einem Angreifer das
Auslesen der Passwörter nichts, da er für einen Kontenzugriff zusätzlich die Chipkarte
benötigt. Benötigt wird vom Nutzer dafür allerdings auch eine eigene Software und ein
Chipkartenlesegerät.

Sicherheitstipps
So schützen Sie sich beim Online-Banking
• Setzen Sie Verschlüsselung ein.
Schützen Sie sensible Daten bei der Übertragung über offene Netze. Informationen zu
Verschlüsselung finden Sie hier. Vergewissern Sie sich zudem, dass die
Datenübertragung etwa bei WLAN-Verbindungen ausreichend verschlüsselt ist.
• Das Sicherheitsniveau einer Seite lässt sich danach beurteilen, ob
Verschlüsselungstechniken eingesetzt werden. Dazu zählt insbesondere das Verfahren
SSL. Diese Technik gewährleistet mit Hilfe von kryptographischen Verfahren, dass
Daten während der Übertragung nicht gelesen oder manipuliert werden. Außerdem
kann man mit Hilfe von SSL erkennen, ob eine damit gesicherte Internetseite gefälscht
ist. SSL wird von allen gängigen Browsern unterstützt. Ob SSL gerade zum Einsatz
kommt, können Sie leicht dadurch erkennen, dass an das "http" in der Internetadresse
plötzlich ein "s" angeschlossen wird. Eine solche "https"-Internetadresse wird von
Ihrem Browser dann automatisch überprüft. Falls der Anbieter sich nicht mit einem
gültigen Zertifikat als echter Besitzer der Adresse ausweisen kann, erhalten Sie eine
Warnmeldung.
• Prüfen Sie die Echtheit der Bank-Website.
Achten Sie darauf, dass Sie auch tatsächlich auf der Seite Ihrer Bank sind. Geben Sie
die Internetadresse Ihrer Bank bei jedem Einstieg erneut über die Tastatur ein. Wenn
Sie beim Login nach einer TAN gefragt werden, befinden Sie sich mit Sicherheit auf
einer gefälschten Seite! Generell verdächtig sind Seiten, deren Adresse mit einer
Nummer und keinem Domain-Namen beginnt (z .B.: http://1357.246.579/...) oder
Seiten, in deren Adresse der Name Ihres Geldinstituts nur „eingebaut“ ist (z.B.:
http://Musterbank.Domainname.de).
• Wählen Sie Zugangsdaten sorgfältig aus und gehen Sie vorsichtig damit um.
Wenn beim Online-Banking Passwörter zum Einsatz kommen, dann wählen Sie schwer
zu erratende Buchstaben-/Zahlenkombinationen. Schützen Sie Kennwörter und
Zugangsdaten wie PIN und TAN vor dem Zugriff Dritter und speichern Sie solche
Kennungen keinesfalls ab – auch nicht im Passwort-Manager!
• Betreiben Sie Online-Banking soweit möglich nur von eigenen Geräten aus.
Vorsicht ist insbesondere bei öffentlich zugänglichen Computern wie etwa in
Internetcafés geboten. Melden Sie sich nach jeder Online-Banking-Sitzung ab
(„Logout“) und löschen Sie nach der Beendigung von Banktransaktionen den
Zwischenspeicher (Cache) Ihres Computers. Im Internetexplorer wählen Sie dazu die
„Internetoptionen“ im Menü „Extras“. Im Abschnitt „Temporäre Internetdateien“
betätigen Sie nun den Befehl „Dateien löschen“ – achten Sie darauf, dass die Option
„Alle Offlineinhalte löschen“ angeklickt ist! Bei Netscape finden Sie die betreffenden
Befehle in der Browserleiste unter „Bearbeiten“ in den „Einstellungen“, und zwar unter

Seite 3 von 5
„Erweitert“. Bei Firefox klicken Sie in der Browserleiste auf „Extras“ und dann auf
„Einstellungen“. Die Möglichkeit, den Cache zu löschen, finden Sie dort unter
„Datenschutz“.
• Setzen Sie nur Programme aus vertrauenswürdiger Quelle ein.
Generell sollten Sie darauf achten, keine Software aus unseriösen oder unsicheren
Quellen auf Ihrem Computer zu speichern. Diese können mit schädlichen Programmen
wie etwa Spyware versehen sein, die Ihr Gerät ausspionieren. Zu den gefährlichen
Tools zählen beispielsweise einige Surf-Turbos, die das Mitlesen durch Fremde
ermöglichen.
• Schützen Sie Ihren PC vor unerlaubten Zugriffen.
Nutzen Sie die Möglichkeiten, die Ihr Betriebssystem für den Schutz Ihrer Festplatte
vorsieht: Definieren Sie beispielsweise ein Passwort, das beim Starten oder auch vom
Bildschirmschoner abgefragt wird.
• Setzen Sie aktuelle Virenschutzsoftware und Firewalls ein.
Die Programme zum Schutz vor Infektionen im Internet werden laufend aktualisiert.
Stellen Sie sicher, dass Sie die Updates immer von den Seiten Ihres Softwareanbieters
herunterladen und installieren.
• Spielen Sie aktuelle Sicherheitsupdates für Ihr Betriebssystem ein.
Immer wieder treten in Betriebssystemen Sicherheitslücken auf, die durch
Aktualisierungen geschlossen werden. Sie sollten daher darauf achten, die Patches
regelmäßig von der Internetseite der Hersteller herunter zu laden und zu installieren.
• Überprüfen Sie regelmäßig Ihre Kontenbewegungen!
Falls Ihnen etwas unschlüssig erscheint, sollten Sie so schnell wie möglich reagieren
und sich mit Ihrer Bank in Verbindung setzen.
• Vereinbaren Sie mit Ihrer Bank ein Limit für tägliche Geldbewegungen beim
Online-Banking.
Durch einen gemeinsam mit Ihrem Kreditinstitut fixierten Höchstbetrag können Sie
sicherstellen, dass Betrüger nicht unbemerkt hohe Summen von Ihrem Konto
abbuchen.
• Reagieren Sie nicht auf Phishing-Mails!
Ihre Bank fordert Sie niemals per E-Mail dazu auf, vertrauliche Daten wie PIN, TAN
oder Kontonummer bekannt zu geben. Falls Sie derartige Nachrichten erhalten,
informieren Sie Ihre Bank darüber – aber folgen Sie keinesfalls den in der E-Mail
enthaltenen Anweisungen.
• Sperren Sie Ihren Online-Banking-Zugang, wenn Ihnen etwas verdächtig
vorkommt.
Das können Sie entweder telefonisch bei der Bank erledigen oder über die
entsprechende Funktion im Online-Banking-Fenster.

Seite 4 von 5
© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved

Seite 5 von 5