Sicheres Online-Banking So schützt Du Dein Geld vor Hackern

Online-Banking ist für viele Verbraucher inzwischen Standard. Auch deshalb steigt die Anzahl an Angriffen und Betrugsfällen. Denn schließlich gibt es viel zu holen. Wir zeigen Dir, wie Du die Risiken senken kannst. 

Willst Du Deine Bankgeschäfte online erledigen – egal ob Girokonto oder Depot  – solltest Du immer daran denken: Grundlage für sicheres Online-Banking ist ein gut geschütztes Endgerät. Das gilt, egal, ob es sich um ein Laptop, Handy oder Tablet handelt.   

Dafür muss zum Beispiel der Rechner frei von Viren und Trojanern sein. Ansonsten können die Schädlinge sensible Informationen wie Passwörter, Kontonummern oder anderes abfangen. Dabei ist es aber recht einfach, sich unerwünschte Gäste auf den Computer zu holen, Du musst nicht unbedingt in den dunklen Ecken des Internets surfen. Viren und Trojaner können sich auch auf seriösen Webseiten verstecken, zum Beispiel in Werbebannern. Downloads und Speichermedien sind weitere mögliche Infektionsherde.

Ein guter Virenscanner ist daher Pflicht. Dabei kannst Du die Gefahrenabwehr bei Windowscomputern nutzen oder andere, teilweise kostenpflichtigen Programme. Diese Programme bieten verschiedene Extras wie eine Kindersicherung oder einen Spamfilter. In den Real World Protection-Tests von der unabhängigen Test-Organisation AV Comparative siehst Du, wie sich die Programme schlagen.

Ukraine-Krieg: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt davor, die Sicherheitssoftware des russischen Herstellers Kaspersky einzusetzen. Grund dafür ist, dass mit einem Krieg auch das Risiko eines Cyberangriffes wächst. Zu so einem Schritt können russische IT-Unternehmen genutzt, aber auch gezwungen werden. Für Dich als Verbraucher, aber auch für Firmen, kann dies also zu einem schweren Problem werden.

Virenscanner helfen allerdings nur, wenn sie immer auf dem neuesten Stand sind. Angebotene Updates solltest Du immer installieren. Das gilt nicht nur für Sicherheitssoftware, sondern auch für andere Programme wie den Browser, das Betriebssystem sowie Dienstprogramme. 

Entwickler stopfen mit Updates neu entdeckte Sicherheitslücken. Installierst Du die Updates nicht, wird ein Programm möglicherweise zum Einfallstor für Schädlinge. Falls es für eines Deiner genutzten Programme keine Updates mehr gibt, wird es Zeit, sie vom Computer zu entfernen. Das war zum Beispiel bei Adobe Flash der Fall.

Wie funktioniert Phishing? 

Alle Schutzprogramme sind nutzlos, falls Du Deine sensiblen Daten selbst an Kriminelle lieferst, weil Du zum Beispiel auf eine Phishing-Mail hereinfällst. Das sind E-Mails, die scheinbar von Banken, Dienstleistern wie Paypal oder Onlineshops stammen. Die Nachrichten gaukeln oft Sicherheitsprobleme vor, auf die Du als Kunde reagieren sollst.

Tatsächlich stecken dahinter aber Kriminelle. Sie versuchen, Dich mit den Mails auf gefälschte Websites zu lotsen, um Dir Passwörter zu entlocken. Andere Phishing-Mails versuchen, Schadsoftware auf den Rechner der Opfer zu schmuggeln. Hier gilt: Genau hinschauen und im Zweifelsfall nicht reagieren, vor allem aber keine Anhänge öffnen.

Zudem versuchen Kriminelle, Trojaner für Phishing-Aktionen zu nutzen. Einmal auf den Computer geladen, fordern Kriminelle über sie beispielsweise Testüberweisungen an. Folgen Bankkunden dieser Aufforderung, ist das Geld weg. 

Phishing-Angriffe per Post und Social Media

Die Betrüger versuchen ihr Glück nicht nur mit E-Mails oder manipulierten Websites, sondern auch per Post. Die Briefe sehen beispielsweise aus wie Nachrichten von Banken. Auch in solchen Fällen werden Verbraucher aufgefordert, ihre Zugangsdaten auf einer Website einzugeben.

Andere mögliche Versuche sind zum Beispiel Kreditangebote, die Du über Whatsapp oder Facebook bekommst. Wieder geben sich Kriminelle als Mitarbeiter von Banken aus. Das tun sie ebenso, wenn sie versuchen, Dich über Telefonanrufe reinzulegen.

Denk immer daran: Mitarbeiter von Banken und Zahlungsdienstleister fragen Dich nie nach Deinen Log-in-Daten, egal ob sie Dich per Mail, Social Media oder anders kontaktieren. Und bei besonderes günstigen Angeboten solltest Du immer auf der Hut sein.

Die Verbraucherzentralen warnen Dich zu spezifischen Phishing-Attacken über ihren Phishing-Radar.

Für Bankgeschäfte auf Tablet und Smartphone bieten die meisten Banken eigene Apps an. Und bei Smartphone-Banken wie N26 oder Revolut liegt der Fokus ohnehin darauf, dass die Kunden ihre Bankgeschäfte ausschließlich mit dem Handy erledigen.

Beim Banking auf einem mobilen Endgerät wie Smartphone oder Tablet solltest Du einige zusätzliche Sicherheitstipps beachten:

• Nutze beim Mobile-Banking kein öffentliches W-Lan.
• Schütze Dein Smartphone über ein Passwort.
• Nutze auch beim Smartphone einen Virenscanner.
• Lade Apps nur aus sicheren Quellen herunter, zum Beispiel den App-Stores, die zur Handy-Software gehören, also Play Store von Google für Android und iTunes von Apple für iPhones. 

Falls Du Dein Smartphone für Deine Bankgeschäfte nutzt, solltest Du zudem das Betriebssystem aktuell halten und die Sicherheits-Updates der Hersteller installieren. Bei zu alten Betriebssystemen funktionieren die Apps der Banken nicht. 

Auch wenn das Smartphone selbst einige Jahre auf dem Buckel hat, wird die Bank die App dafür nicht anbieten. Denn die Betriebssysteme sind in solchen Fällen veraltet, Updates werden nicht mehr geliefert. Du brauchst ein neues Gerät, falls Du so Deine Bankgeschäfte erledigen willst.

Ist Rechner, Tablet oder Smartphone geschützt, müssen die Daten im nächsten Schritt sicher weitergegeben werden. Wichtig ist dabei vor allem, dass die Daten verschlüsselt werden. Angreifer könnten die Informationen so zwar immer noch abfangen, aber weniger damit anfangen.

Ob eine Internetverbindung verschlüsselt ist, erkennst Du an dem Kürzel „https“ statt „http“ sowie an einem kleinen Vorhängeschloss-Symbol in der Adresszeile des Browsers.

Trotz Verschlüsselung solltest Du Online-Bankgeschäfte, etwa den Wertpapierhandel, nach Möglichkeit immer zuhause erledigen. In einem öffentlichen W-Lan lässt sich nämlich nur schwer kontrollieren, ob jemand mit Dir im selben Netz surft und so womöglich Zugriff auf Deine Daten und Deinen Computer erlangt. Auch das heimische Netzwerk solltest Du immer mit einem Passwort verschlüsseln, damit Nachbarn oder andere Neugierige in der Nähe nicht eindringen können.

Der Zugangscode zum Online-Bankkonto sollte sich nicht ohne Weiteres erraten oder knacken lassen. Acht Zeichen muss ein Passwort dafür mindestens lang sein, raten die Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), weisen aber auch auf den Grundsatz „Je länger, desto besser“ hin. Du kannst Dich also ruhig austoben, solange Deine Bank die Passwortlänge nicht begrenzt.

Das Passwort sollte zudem aus kleinen und großen Buchstaben sowie Ziffern und Sonderzeichen bestehen. Begriffe aus Wörterbüchern sind ebenso leichte Beute für Datendiebe wie Tastatur-Zeichenketten im Stil von „QWERTZ“. Wie Du ein gut zu merkendes, schwer zu knackendes Kennwort bildest, liest Du in unserem Artikel über sichere Passwörter.

Ganz wichtig: Verwende für das Online-Banking niemals dasselbe Passwort, das Du auch für andere Dienste nutzt. Schließlich passiert es immer wieder, dass Kriminelle massenhaft Passwörter von einzelnen Firmen erbeuten – in einem solchen Fall wäre dann auch Dein Bankkonto nicht mehr sicher.

Die Bank muss den Log-in beim Konto zweimal absichern, das Passwort allein reicht nicht aus. Zusätzlich kann sie zum Beispiel nach einer Pin fragen. Dieser „doppelte“ Log-in muss nicht jedes Mal erfolgen, aber zumindest alle 90 Tage.

Als zusätzliche Sicherheitsmaßnahme kommt beim Online-Banking neben der Passwort-Abfrage das Tan-Verfahren zum Einsatz. Dabei gibt es verschiedene Varianten, die meisten Banken bieten mehrere davon an. Die Kunden können sich für eine entscheiden. Die Konditionen sind allerdings von Geldinstitut zu Geldinstitut unterschiedlich – und nicht jede Tan-Methode ist überall kostenlos. Nachfragen lohnt sich also.

Einige der Verfahren wurden in der Praxis oder zumindest unter Laborbedingungen bereits ausgehebelt. Oft mussten die Kriminellen oder die Sicherheitsforscher dafür zunächst Computer oder Handy des Kunden mit Schadsoftware infizieren. Zumindest das HBCI-Verfahren wurde in den letzten Jahren nicht überlistet.

Auch wenn ein Tan-Verfahren schon einmal geknackt wurde, heißt das nicht, dass die Methode immer unsicher ist. Die Anbieter reagieren auf viele Vorfälle und können die Schlupflöcher stopfen. Wenn Du unsere Tipps zum sicheren Online-Banking befolgst, kannst Du außerdem die Wahrscheinlichkeit deutlich verringern, dass Fremde Dein Tan-Verfahren knacken.

Die Banken bieten folgende Tan-Verfahren an:

mTan - Dabei wird Dir die Tan per SMS auf das Handy geschickt. Einige Banken verlangen Gebühren für diese SMS. Kriminelle haben es geschafft, das mTan-Verfahren zu knacken. Dabei haben sie zum Beispiel erst die Daten des Kunden über Phishing-Mails erschlichen und dann eine Schwachstelle im Handy-Netzwerk ausgenutzt. Das Verfahren gilt als veraltet und wird kaum noch angeboten.

chipTan - Eine weitere Methode sind sogenannte Tan-Generatoren: kleine Extrageräte von der Bank, die bei Bedarf zusammen mit der Girocard die nötigen Codes erzeugen. Dazu gibst Du zunächst die Überweisungsdaten ein. Das geht am Computer, aber auch am Smartphone oder einem anderen Gerät. Dann erscheint eine Grafik auf dem Bildschirm. Du steckst die Girocard in den Generator und scannst die Grafik ein. Gleichzeitig liest das Gerät die Überweisungsdaten ab.

Manchmal musst Du die Kontonummer des Empfängers oder andere Daten auch selbst in das Gerät eintippen. Der Generator zeigt am Ende noch einmal alle Überweisungsdaten an. Stimmen die, bestätigst Du dies per Knopfdruck und erhältst die Tan, mit der Du dann die Überweisung freigibst.

Auch beim chipTan-Verfahren haben Sicherheitsforscher gezeigt, dass sich dieses in manchen Fällen umgehen lässt. Die Forscher schafften das beispielsweise 2009 bei den Sparkassen, aber auch in diesem Fall mussten sie erst einmal Schadsoftware beim Kunden einschleusen.

photoTan - Mit der photoTan funktioniert Online-Banking sowohl auf zwei getrennten Endgeräten (etwa Computer und Smartphone) als auch komplett auf dem Handy. Wenn Du Deine Bankgeschäfte am Computer erledigst, erscheint nach der Eingabe der Überweisung eine Grafik auf dem Bildschirm. Diese scannst Du mit dem Handy oder einem Lesegerät ein. Die dazu passende Software entschlüsselt das Bild. Dann siehst Du Deine Transaktionsdaten und die Transaktionsnummer, die eigentliche photoTan. Mit dieser gibst Du die Überweisung frei.

Solltest Du Deine Bankgeschäfte komplett über Dein Smartphone erledigen, arbeitest Du meist mit zwei Apps auf dem Handy: einer Banking-App und einer Tan-App. In der Banking-App gibst Du Deine Überweisungsdaten ein. Diese App übermittelt die Daten an die Tan-App. In dieser überprüfst Du die Überweisungsdaten noch einmal und bestätigst die Überweisung.

pushTan - Auch beim pushTan-Verfahren funktionieren Bankgeschäfte entweder getrennt auf Computer und Smartphone oder gekoppelt auf einem mobilen Endgerät. Du gibst die Überweisungsdaten ein – egal ob auf dem Laptop, einem Tablet oder über das Smartphone. Danach erhältst Du per App eine Nachricht auf dem Smartphone, in der die Überweisungsdaten genannt werden. Nachdem Du diese bestätigt hast, wird die Tan angezeigt. Diese gibst Du dann entweder am Laptop ein oder aber sie wird automatisch in die Banking-App übertragen. In der Regel sind die App fürs Banking und die für die Tan getrennt. Teilweise packen Banken sie aber auch zusammen, die Vorgänge sind dann aber im Hintergrund technisch voneinander abgekoppelt.

Die photoTan- und pushTan-Verfahren verschiedener Banken wurden von Sicherheitsforschern ausgehebelt. Dabei ging es um die Variante der Verfahren, bei der Nutzer Bankgeschäfte und Tan-Generierung auf demselben Gerät erledigen.

Solche Hacks geschehen aber unter Laborbedingungen. Wie gut sie tatsächlich im täglichen Leben funktionieren würden, ist unklar. Bei einigen der Hacks müssten die Kriminellen zunächst das Smartphone mit einem Virus infizieren, beispielsweise über eine bösartige App. Falls Du Dir trotzdem Sorgen machst, solltest Du Deine Bankgeschäfte mit zwei separaten Geräten erledigen, etwa einem Laptop für das Online-Banking und dem Handy für den Tan-Versand.

FinTS / früher: HBCI – Über FinTS kannst Du eine Software nutzen, um Deine Bankgeschäfte zu erledigen. Über die Software rufst Du die Daten bei Deiner Bank ab und kannst auch Überweisungen auslösen. Dabei kommt eine Chipkarte mit elektronischer Signatur und ein Pin-Code zum Einsatz. Außerdem brauchst Du ein spezielles Lesegerät, das erfahrungsmäßig um die 50 Euro kostet. 

Überweisungen ohne Tan - Die zweite Zahlungsdienstrichtline verlangt bei elektronischen Zahlungen, zum Beispiel beim Überweisen über das Online-Banking, dass sich Kunden über zwei unterschiedliche Merkmale identifizieren. Ausnahmen gelten jedoch bei Beträgen bis 30 Euro. Die europäische Richtline erlaubt, dass solche Überweisungen fünfmal hintereinander komplett ohne Tan stattfinden können. Insgesamt dürfen dabei aber höchstens 150 Euro zusammenkommen.

Tan-Verfahren bei ausgewählten Banken

Quelle: Websites der Banken (Stand: 8. Juli 2025)

Wenn Du Opfer eines Angriffes geworden bist, wende Dich an Deine Bank. Falls diese Dir das Geld nicht erstatten will, bekommst Du kostenlose Hilfe über die zuständige Schlichtungsstelle oder eine Verbraucherzentrale. Als nächster Schritt steht Dir der Gang vor ein Gericht mit Hilfe eines Fachanwaltes offen.

Lange haben Gerichte vor allem für die Banken entschieden. Inzwischen sieht es etwas anders aus. Neben Fällen, die für die Kunden ausgehen, kommt es auch nach Finanztip-Erfahrungen öfter zu Vergleichen. So kriegst Du zumindest ein Teil Deines Geldes zurück.

Ein paar Beispiele:

Hast Du schon mal Erfahrungen mit Phishing-Attacken und ähnlichen Betrügereien gemacht? Dann kannst Du darüber in unserer Community diskutieren.

In unserem Ratgeber zum Thema Phishing findest Du zudem Angaben zu Fachanwälten, die Dir in Phishing-Fällen helfen können.