Online-Banking So schützt Du Deine Bankgeschäfte vor Hackern

Öffnungszeiten rund um die Uhr und keine Warteschlangen: Es ist viel bequemer, Bankgeschäfte online zu erledigen, als die Öffnungszeiten abzupassen und extra in die Filiale zu gehen. Allerdings wächst mit dem Online-Banking auch die Gefahr, zum Opfer von Kriminellen zu werden.

Grundlage für sicheres Online-Banking ist ein gut geschützter Computer. Ganz egal, ob Du ein Online-Girokonto führst oder Dein Depot verwaltest. Dafür muss der Rechner vor allem frei von Viren und Trojanern sein. Ansonsten können die Schädlinge zum Beispiel sensible Informationen wie Passwörter und Kontonummern abfangen.

Um Dir die unerwünschten Gäste auf den Rechner zu holen, musst Du nicht unbedingt in den dunklen Ecken des Internets surfen: Theoretisch können Viren und Trojaner sich auch auf seriösen Webseiten verstecken, zum Beispiel in Werbebannern. Downloads und Speichermedien sind weitere mögliche Infektionsherde.

Ein guter Virenscanner ist daher Pflicht. Aktuelle Windows-Versionen haben eine eigene Gefahrenabwehr an Bord. Die stand lange in Verruf; inzwischen konnte der Windows Defender aber auch Experten in Tests überzeugen (Real-World Protection Test von Juli/Oktober 2023). Guten Schutz bieten darüber hinaus auch die teilweise kostenpflichtigen Programme von F-Secure, McAfee, Avast, AVG und weitere. Die Programme bieten verschiedene Extras wie eine Kindersicherung oder einen Spamfilter.

Virenscanner helfen allerdings nur dann, wenn sie immer auf dem neuesten Stand sind. Angebotene Updates solltest Du daher immer installieren. Das gilt nicht nur für Sicherheitssoftware, sondern auch für andere Programme wie den Browser, das Betriebssystem sowie Dienstprogramme. Denn die Entwickler stopfen mit den Updates regelmäßig neu entdeckte Sicherheitslücken. Installierst Du die Updates nicht, wird ein Programm möglicherweise zum Einfallstor für Schädlinge. Sollten die Entwickler die Programme nicht mehr aktualisieren, wird es Zeit, sie vom Computer zu entfernen, so wie es zum Beispiel bei Adobe Flash der Fall war.

Alle Schutzprogramme sind nutzlos, falls Du Deine sensiblen Daten selbst an Kriminelle lieferst, weil Du zum Beispiel auf eine Phishing-Mail hereinfällst. Das sind E-Mails, die scheinbar von Banken, Dienstleistern wie Paypal oder Onlineshops stammen. Die Nachrichten gaukeln oft Sicherheitsprobleme vor, auf die Du als Kunde reagieren sollst.

Tatsächlich stecken dahinter aber Kriminelle, die versuchen, Dich mit den Mails auf Websites zu lotsen, um Dir dort Passwörter zu entlocken. Andere Phishing-Mails versuchen, Schadsoftware auf den Rechner der Opfer zu schmuggeln. Hier gilt: Genau hinschauen und im Zweifelsfall nicht reagieren, vor allem aber keine Anhänge öffnen.

Die Betrüger versuchen ihr Glück nicht nur mit E-Mails, es kam auch bereits zu Phishing-Versuchen per Post. Die Briefe sahen aus wie Nachrichten von Banken. Auch in diesen Fällen wurden Verbraucher aufgefordert, ihre Zugangsdaten auf einer Website einzugeben.

Zudem versuchen Kriminelle, Trojaner für Phishing-Aktionen zu nutzen. Einmal auf den Computer geladen, fordern Kriminelle über sie beispielsweise Testüberweisungen an. Folgen Bankkunden dieser Aufforderung, ist das Geld weg. 

Banken entscheiden für und gegen Kunden

Wenn Du ein Opfer eines Angriffes geworden bist, wende Dich zunächst an Deine Bank. Falls diese Dir das Geld nicht erstatten will, bekommst Du kostenlose Hilfe über die zuständige Schlichtungsstelle oder eine Verbraucherzentrale. Als nächster Schritt steht Dir der Gang vor ein Gericht mit Hilfe eines Fachanwaltes offen.

Lange haben Gerichte vor allem für die Banken entschieden. Inzwischen sieht es etwas anders aus. Neben Fällen, die für die Kunden ausgehen kommt es auch öfter zu Vergleichen. So kriegst Du zumindest ein Teil Deines Geldes zurück.

Ein paar Beispiele:

Ein Kunde hatte eine Testüberweisung gemacht. In der Überweisungsmaske fehlten Angaben zu Summe und Iban, in der SMS zur Freigabe der Überweisung wurden sie genannt. Der Kunde achtete nicht auf die polnische Iban und überwies 8.000 Euro. Das Oberlandesgericht Oldenburg entschied, dass sich der Kunde grob fahrlässig verhalte habe (Urteil vom 21. August 2018, Az. 8 U 163/17).

Es begründete weiter, dass die Bank auf ihrer Website darauf hingewiesen habe, dass sie keine Testüberweisungen verlange. Auch sei eine solche Aufforderung allgemein unüblich. Die Bank musste dem Kunden das Geld nicht erstatten.

Ein weiterer Fall, der für die Bank ausging: Ein Kunde wurde per SMS informiert, dass sein Konto gesperrt worden sei. Über einen Link sollte er sich für ein neues Anmeldeverfahren anmelden und das Konto so entsperren. Die SMS sah so aus, als ob sie von der Bank käme, also folgte der Kunde dem Link und wurde prompt von den Betrügern angerufen.

Der Kunde bestätigte dann im Gespräch „etwas“ mit Tan-App, am selben Tag wurden 49.999 Euro abgehoben. Das Gericht sah im Verhalten des Kunden grobe Fahrlässigkeit, auch aufgrund seiner beruflichen Erfahrung als Anwalt und dem Nutzen von Tan-Verfahren bei mehreren Banken. Es sei davon auszugehen, dass er genug Erfahrung und Wissen habe, um Betrugsmaschen zu erkennen (OLG Frankfurt, Urteil vom 6. Dezember 2023, Az. 9 U 3/23).

In einem anderen Fall ist eine ältere Frau Opfer eines Enkeltricks geworden. Ein angeblicher Polizist hatte sie angerufen und behauptet, ihre Tochter habe einen Verkehrsunfall verursacht. Für die Freilassung müsse die Mutter nun 25.000 Euro zahlen. Normalerweise hob die Frau nur kleinere Summen bei der Bank ab, sie musste diese Abhebung anmelden und zur Filiale kommen.

Die Frau klagte später. Sie sah eine Vernachlässigung der Warnpflichten der Bank. Das Landgericht wies die Klage ab. Die Bank habe keine Schutzpflichten verletzt und sei ihren Zahlungspflichten nachgekommen (Urteil vom 24. Januar 2024, 3 O 340/23).

Besser erging es einem Kunden, der einem Betrüger Zugang zu seinem Konto gab und so 14.000 Euro verlor. In dem Fall gab sich ein Betrüger am Telefon als Bankmitarbeiter aus. Der Betrüger setzte dabei auf Call-ID-Spoofing, der Kunde sah also im Display die Nummer der Sparkasse. Der Betrüger gab an, dass der Kunde sein Konto über die Eingabe einer Tan entsperren müsste. Über diese Tan gelang es dem Täter, eine virtuelle Debitkarte zu registrieren, mit der er dann Geld ausgab. Die Bank ersetzte dem Kunden aber lediglich etwas mehr als 4.000 Euro.

Das Landesgericht Köln sah das anders und verpflichtete die Bank, dem Kunden auch den Restbetrag zu erstatten. Der Kunde hätte darauf vertrauen können, dass hinter der Sparkassen-Nummer auch ein Mitarbeiter der Bank stecken würde. Damit handele es sich nicht um einen Fall grober Fahrlässigkeit. Auch der Hinweis bei der Tan-Freigabe, dass es sich um die Registrierung einer Karte handele, war zu weit gefasst, um dem Kunden die Schuld zu geben (Urteil vom 8. Januar 2024, Az. 22 O 43/22).

Hast Du schon mal Erfahrungen mit Phishing-Attacken und ähnlichen Betrügereien gemacht? Dann kannst Du darüber in unserer Community diskutieren.

Ist der Rechner geschützt, müssen die Daten im nächsten Schritt sicher zur Bank gelangen. Wichtig ist dabei vor allem, dass sie verschlüsselt werden. Angreifer könnten die Informationen so zwar immer noch abfangen, aber weniger damit anfangen.

Ob eine Internetverbindung verschlüsselt ist, erkennst Du an dem Kürzel „https“ statt „http“ sowie an einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers.

Trotz Verschlüsselung solltest Du Online-Bankgeschäfte, etwa den Wertpapierhandel, nach Möglichkeit immer zuhause erledigen. In einem öffentlichen W-Lan lässt sich nämlich nur schwer kontrollieren, ob jemand mit Dir im selben Netz surft und so womöglich Zugriff auf Deine Daten und Deinen Computer erlangt. Auch das heimische Netzwerk solltest Du immer mit einem Passwort verschlüsseln, damit Nachbarn oder andere Neugierige in der Nähe nicht eindringen können.

Der Zugangscode zum Online-Bankkonto sollte sich nicht ohne Weiteres erraten oder knacken lassen. Acht Zeichen muss ein Passwort dafür mindestens lang sein, raten die Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), weisen aber auch auf den Grundsatz „Je länger, desto besser“ hin. Du kannst Dich also ruhig austoben, solange Deine Bank die Passwortlänge nicht begrenzt.

Das Passwort sollte zudem aus kleinen und großen Buchstaben sowie Ziffern und Sonderzeichen bestehen. Begriffe aus Wörterbüchern sind ebenso leichte Beute für Datendiebe wie Tastatur-Zeichenketten im Stil von „QWERTZ“. Wie Du ein gut zu merkendes, schwer zu knackendes Kennwort bildest, liest Du in unserem Artikel über Sichere Passwörter.

Ganz wichtig: Verwende für das Online-Banking niemals dasselbe Passwort, das Du auch für andere Dienste nutzt. Schließlich passiert es immer wieder, dass Kriminelle massenhaft Passwörter von einzelnen Firmen erbeuten – in einem solchen Fall wäre dann auch Dein Bankkonto nicht mehr sicher.

Die Bank muss den Log-In beim Konto zweimal absichern, das Passwort allein reicht nicht aus. Zusätzlich kann sie zum Beispiel nach einer Pin fragen. Dieser „doppelte“ Log-In muss nicht jedes Mal erfolgen, aber zumindest alle 90 Tage.

Als zusätzliche Sicherheitsmaßnahme kommt beim Online-Banking neben der Passwort-Abfrage das Tan-Verfahren zum Einsatz. Dabei gibt es verschiedene Varianten, die meisten Banken bieten mehrere davon an und die Kunden können sich für eine entscheiden. Die Konditionen sind allerdings von Geldinstitut zu Geldinstitut unterschiedlich – und nicht jede Tan-Methode ist überall kostenlos. Nachfragen lohnt sich also.

Einige der Verfahren wurden in der Praxis oder zumindest unter Laborbedingungen bereits ausgehebelt. Oft mussten die Kriminellen oder die Sicherheitsforscher dafür zunächst Computer oder Handy des Kunden mit Schadsoftware infizieren. Zumindest das HBCI-Verfahren wurde in den letzten Jahren nicht überlistet.

Auch wenn ein Tan-Verfahren schon einmal geknackt wurde, heißt das nicht, dass die Methode immer unsicher ist. Die Anbieter reagieren auf viele Vorfälle und können die Schlupflöcher stopfen. Wenn Du unsere Tipps zum sicheren Online-Banking befolgst, kannst Du außerdem die Wahrscheinlichkeit deutlich verringern, dass Fremde Dein Tan-Verfahren knacken.

Die Banken bieten folgende Tan-Verfahren an:

mTan - Das mTan-Verfahren war einmal Standard, verschwindet aber von der Bildfläche. Dabei wird Dir die Tan per SMS auf das Handy geschickt. Einige Banken verlangen Gebühren für diese SMS. Kriminelle haben es geschafft, das mTan-Verfahren zu knacken. Dabei haben sie zum Beispiel erst die Daten des Kunden über Phishing-Mails erschlichen und dann eine Schwachstelle im Handy-Netzwerk ausgenutzt.

chipTan - Eine weitere Methode sind sogenannte Tan-Generatoren: kleine Extrageräte von der Bank, die bei Bedarf zusammen mit der Girocard die nötigen Codes erzeugen. Dazu gibst Du zunächst die Überweisungsdaten ein. Das geht am Computer, aber auch am Smartphone oder einem anderen Gerät. Dann erscheint eine Grafik auf dem Bildschirm. Du steckst die Girocard in den Generator und scannst die Grafik ein. Gleichzeitig liest das Gerät die Überweisungsdaten ab.

Manchmal musst Du die Kontonummer des Empfängers oder andere Daten auch selbst in das Gerät eintippen. Der Generator zeigt am Ende noch einmal alle Überweisungsdaten an. Stimmen die, bestätigst Du dies per Knopfdruck und erhältst die Tan, mit der Du dann die Überweisung freigibst.

Auch beim chipTan-Verfahren haben Sicherheitsforscher gezeigt, dass sich dieses in manchen Fällen umgehen lässt. Die Forscher schafften das beispielsweise 2009 bei den Sparkassen, aber auch in diesem Fall mussten sie erst einmal Schadsoftware beim Kunden einschleusen.

photoTan - Mit der photoTan funktioniert Online-Banking sowohl auf zwei getrennten Endgeräten (etwa Computer und Smartphone) als auch komplett auf dem Handy. Wenn Du Deine Bankgeschäfte am Computer erledigst, erscheint nach der Eingabe der Überweisung eine Grafik auf dem Bildschirm. Diese scannst Du mit dem Handy oder einem Lesegerät ein. Die dazu passende Software entschlüsselt das Bild. Dann siehst Du Deine Trans­ak­ti­ons­da­ten und die Transaktionsnummer, die eigentliche photoTan. Mit dieser gibst Du die Überweisung frei.

Solltest Du Deine Bankgeschäfte komplett über Dein Smartphone erledigen, arbeitest Du meist mit zwei Apps auf dem Handy: einer Banking-App und einer Tan-App. In der Banking-App gibst Du Deine Überweisungsdaten ein. Diese App übermittelt die Daten an die Tan-App. In dieser überprüfst Du die Überweisungsdaten noch einmal und bestätigst die Überweisung.

pushTan - Auch beim pushTan-Verfahren funktionieren Bankgeschäfte entweder getrennt auf Computer und Smartphone oder gekoppelt auf einem mobilen Endgerät. Du gibst die Überweisungsdaten ein – egal ob auf dem Laptop, einem Tablet oder über das Smartphone. Danach erhältst Du per App eine Nachricht auf dem Smartphone, in der die Überweisungsdaten genannt werden. Nachdem Du diese bestätigt hast, wird die Tan angezeigt. Diese gibst Du dann entweder am Laptop ein oder aber sie wird automatisch in die Banking-App übertragen. In der Regel sind die App fürs Banking und die für die Tan getrennt. Teilweise packen Banken sie aber auch zusammen, die Vorgänge sind dann aber im Hintergrund technisch voneinander abgekoppelt.

Die photoTan- und pushTan-Verfahren verschiedener Banken wurden von Sicherheitsforschern ausgehebelt. Dabei ging es um die Variante der Verfahren, bei der Nutzer Bankgeschäfte und Tan-Generierung auf demselben Gerät erledigen.

Solche Hacks geschehen aber unter Laborbedingungen. Wie gut sie tatsächlich im täglichen Leben funktionieren würden, ist unklar. Bei einigen der Hacks müssten die Kriminellen zunächst das Smartphone mit einem Virus infizieren, beispielsweise über eine bösartige App. Falls Du Dir trotzdem Sorgen machst, solltest Du Deine Bankgeschäfte einfach mit zwei separaten Geräten erledigen, etwa einem Laptop für das Online-Banking und dem Handy für den Tan-Versand.

Ohne Tan geht es mit der sogenannten HBCI-Methode. Dabei kommt eine Chipkarte mit elektronischer Signatur und Pin-Code zum Einsatz. Voraussetzung dafür ist allerdings ein spezielles Lesegerät, das um die 50 Euro kostet. HBCI wird beim Home-Banking benutzt, also wenn Du Deine Bankgeschäfte mit einer entsprechenden Software am Computer erledigst.

Seit September 2019 gibt es an vielen Stellen Probleme mit der HBCI-Methode. Grund dafür ist die Payment Service Directive 2. Die Banken müssen neue Schnittstellen zur Verfügung stellen und haben im Zuge dessen die Schnittstelle für das HBCI-Verfahren entweder komplett oder vorübergehend eingestellt. Auch wenn die Schnittstelle weiterhin funktioniert, läuft die Abfrage der Kontodaten nun anders ab. So musst Du zum Beispiel Deine Software aktualisieren oder öfter eine Tan eingeben, um die Daten abzurufen und Bankgeschäfte zu erledigen.

Ausnahme 30 Euro - Die zweite Zahlungsdienstrichtline verlangt bei elektronischen Zahlungen (zum Beispiel beim Überweisen über das Online-Banking), dass sich Kunden über zwei unterschiedliche Merkmale identifizieren. Ausnahmen gelten jedoch bei Beträgen bis 30 Euro. Die europäische Richtline erlaubt, dass solche Überweisungen fünfmal hintereinander komplett ohne Tan stattfinden können. Insgesamt dürfen dabei aber höchstens 100 Euro zusammenkommen.

Tan-Verfahren bei ausgewählten Banken

Quelle: Websites der Banken (Stand: 9. Januar 2024)

Für Bankgeschäfte auf Tablet und Smartphone bieten die meisten Banken eigene Apps an. Und bei Smartphone-Banken wie N26, Revolut oder Vivid Money liegt der Fokus ohnehin darauf, dass die Kunden ihre Bankgeschäfte ausschließlich mit dem Handy erledigen.

Beim Banking auf einem mobilen Endgerät, wie Smartphone oder Tablet, solltest Du einige zusätzliche Sicherheitstipps beachten:

• Nutze beim Mobile-Banking kein öffentliches W-Lan.
• Schütze Dein Smartphone über ein Passwort.
• Nutze auch beim Smartphone einen Virenscanner.
• Lade Apps nur aus sicheren Quellen herunter, zum Beispiel den App-Stores, die zur Handy-Software gehören (Play Store von Google für Android, iTunes von Apple für iPhones).

Falls Du Dein Smartphone für Deine Bankgeschäfte nutzt, solltest Du zudem das Betriebssystem aktuell halten und die Sicherheits-Updates der Hersteller installieren. Bei zu alten Betriebssystemen funktionieren die Apps der Banken nicht. Auch wenn das Smartphone selbst einige Jahre auf dem Buckel hat, wird die Bank die App dafür nicht anbieten. Denn die Betriebssysteme sind in solchen Fällen veraltet, Updates werden nicht mehr geliefert.