Sicherheit – die oberste Priorität im Online-Banking

Online-Banking ist bequem und lässt sich heutzutage nicht mehr wegdenken, 68% der Deutschen erledigen, laut bitkom.org, ihre Bankgeschäfte über den Computer oder speziellen Applikationen auf mobilen Geräten. Die meisten Kreditinstitute bieten ihren Kunden häufig günstigere Konditionen auf komplett online-geführte Konten, anders als bei herkömmlichen, traditionellen Girokonten. Ebenso haben die meisten Banken Tochterunternehmen, die sich komplett auf Online-Banking spezialisiert haben, sogenannte Direktbanken.

Die Nutzer von Online-Banking stehen oft im Fadenkreuz von Kriminellen, die mit allen möglichen Tricks versuchen, das schwer verdiente Geld vom Konto zu stehlen. Zwar zeigen die seit 2008 vom BKA erhobenen Daten, dass die Betrugsversuche beim Online-Banking stetig zurückgehen, trotzdem steigen die Fälle von Cyberkriminalität an.

Die Banken reagierten auf die hohen Betrugsfälle: neue Techniken und Verfahren wurden entwickelt, um Online-Banking sicherer zu machen und das Angriffspotenzial zu verringern.

 

Ausgewählte Verfahren im Überblick

Das am weitesten verbreitete Verfahren beim Online-Banking ist das PIN/TAN-Verfahren. Hierbei erhält der Kunde über die verschlüsselte Internetseite (erkennbar an „https“ in der Adresse) des Kreditinstituts, unter Eingabe seiner persönlichen Identifikationsnummer (PIN), Zugriff auf sein Konto. Zur Legitimation eines auszuführenden Zahlungsauftrags muss eine Transaktionsnummer (TAN) angegeben werden.

PIN/TAN – Verfahren

Der Kunde erhält separat über den Postweg seine PIN und eine zeitlich unbegrenzt gültige TAN-Liste. Jeder Zahlungsauftrag bzw. jede Transaktion muss durch Eingabe einer TAN legitimiert werden, dabei kann der Kunde frei aus der Liste wählen. Dieses klassische Verfahren gilt heutzutage als sehr unsicher. Haben Kriminelle die PIN, sowie eine ungenutzte TAN aus der Liste, können diese ohne Probleme Transaktionen ausführen und so das Konto leeren.

PIN/iTAN – Verfahren

Der Unterschied zum ersten Verfahren liegt hierbei in der TAN-Liste, welche hier vollständig durchnummeriert ist. Zum Ausführen eines Zahlungsauftrags wird der Kunde aufgefordert, eine bestimmte TAN aus der Liste einzugeben. Erfolgt die Eingabe nicht innerhalb weniger Minuten, wird die Transaktion ungültig und der Vorgang abgebrochen. Das Verfahren ist zwar um einiges sicherer als das normale PIN/TAN-Verfahren, gelangen Betrüger aber an mehrere der nummerierten TANs oder sogar an die komplette Liste, ist das Plündern des Kontos relativ einfach.

PIN/mTAN (auch SMS-TAN) – Verfahren 

Der Kunde hat selbst keine eigene TAN-Liste, sondern erhält vor Ausführung einer Transaktion eine SMS auf sein Mobiltelefon mit den relevanten Daten des Zahlungsauftrages, sowie die einzugebende TAN. Erst nach Eingabe erfolgt die Zahlung. Die Kosten für das Senden der SMS trägt dabei meist der Kunde. Das Verfahren gilt als technisch sehr sicher, da die TAN erst mit der Transaktion erstellt wird und somit für Dritte nicht „abgreifbar“ ist. Weil in der SMS neben der TAN auch Zahlungsempfänger und der Betrag stehen, ist eine Manipulation leicht erkennbar. Problematisch kann es nur werden, wenn das Mobiltelefon verloren geht oder gestohlen wird und dies dem Kreditinstitut nicht sofort gemeldet wird. Viele Banken haben in ihren AGBs außerdem festgelegt, dass die SMS mit der TAN nicht auf Handys empfangen werden darf, die gleichzeitig für das Online-Banking genutzt werden, sodass hier zwei unterschiedliche Mobiltelefone benutzt werden müssen.

sm@rt-TAN – Verfahren

Bei diesem Verfahren erhält der Kunde einen Kartenleser über den die TAN generiert wird. Nach der Online-Eingabe der nötigen Transaktionsdaten im Online-Banking-Portal, erhält der Kunde einen Code. Nachdem die Bankkarte in den Kartenleser gesteckt wurde, muss man in diesen den zuvor erhaltenen Code, sowie die letzten Ziffern des Empfängerkontos eingeben. Danach generiert das Gerät eine TAN, welche wiederum im Online-Banking-Portal eingegeben werden muss. Anschließend wird die Zahlung freigegeben.

Ein anderes sm@rt-TAN – Verfahren funktioniert mit einem sogenannten Flicker-Code. Dabei ist der Kartenleser mit einem Lichtsensor ausgerüstet, der dann an den Bildschirm gehalten werden muss. Der Flicker-Code, der wie ein blinkender Barcode aussieht, übergibt durch das ständige Aufleuchten alle nötigen Informationen an den Kartenleser. Auf dem Display erscheinen dabei die Transaktionsdaten, die nochmals bestätigt werden müssen, danach erst erhält man eine TAN. Eine Manipulation ist, insbesondere durch die Kontrollfunktion, nur schwer realisierbar. Kriminelle können nur mit der Kunden-PIN in Verbindung mit der Bankkarte, sowie dem bankenspezifischen Kartenlesegerät eine TAN erzeugen.

 

Online-Banking sicher nutzen

Wenn Sie bemerkt haben, dass Ihr aktuelles Verfahren nur bedingt sicher ist, erkundigen Sie sich bei ihrem Kreditinstitut nach neueren Methoden, mTAN und sm@rt-TAN gelten derzeit als sicherste Techniken.

Um sein Konto und sich vor Kriminellen zu schützen, muss man die Gefahren und die Methoden, mit denen diese heutzutage arbeiten, kennen. Wir stellen Ihnen die häufigsten Praktiken vor und wie Sie sich am besten dagegen schützen können!

 

Phishing

Als Phishing bezeichnet man den Versuch über gefälschte Internetseiten und/oder E-Mails das Vertrauen des Empfängers zu erhalten und diesen zur Herausgabe von Passwörtern und anderen persönlichen und vertraulichen Daten zu bewegen. Der Begriff ist an den englischen Begriff für „fischen“ bzw. „angeln“ angelegt, also dem Angeln von Passwörtern und persönlicher Daten. 

Ein Beispiel:

Sie erhalten eine E-Mail von Ihrer Bank, in der Sie aufgrund einer Routine-Kontrolle aufgefordert werden, sich im Online-Portal anzumelden. Darunter befindet sich der Link zum Online-Portal ihrer Bank. Sie klicken auf den Link und landen tatsächlich auf der Internetseite. Sie geben ihre PIN ein und wollen sich einloggen, doch nichts passiert. Sie probieren es nochmal, schließlich kann es ja auch ein Fehler gewesen sein, aber keine Veränderung. Sie rufen bei ihrer Bank an, die Ihnen dann erklärt, dass keine E-Mails versendet wurden. Sie wurden Opfer eines Phishing-Angriffs.

Bei mehr als jedem vierten Phishing-Angriff werden die Namen von Banken missbraucht. Über 34% der Phishing-Angriffe erfolgen dabei durch E-Mails und Instant-Messaging-Systeme (z.B. ICQ), Die Zahl der Opfer geht zwar seit 2011 stetig zurück, insbesondere weil Banken die neuen Verfahren einführten und immer mehr Bürger aufgeklärt werden, trotzdem sollte man wachsam bleiben. Kriminelle arbeiten heute auch professioneller als in den letzten Jahren. Konnte man vor wenigen Jahren gefälschte E-Mails allein anhand orthographisch und grammatikalisch schwacher Texte und qualitativ minderwertiger Nachbildungen von Unternehmenslogos erkennen, sind solche Phishing-Mails kaum noch von „richtigen“ E-Mails zu unterscheiden. Dies zeigt auch der aktuelle Fall um die DHL-Phishing-Mails, bei der durch einen Link Schadstoff-Software auf dem Computer installiert wurde.

Um sich vor Phishing und Datendiebstahl zu schützen, haben wir vier einfache Regeln zusammengestellt.

1. natürliches Misstrauen

Ihre Bank wird Sie niemals per E-Mail noch durch sonstige Kommunikationswege nach ihrer PIN oder TANs fragen. Wenn Sie an der Echtheit einer E-Mail ihrer Bank zweifeln, dann fragen sie immer durch einen Anruf nach. Informieren Sie sich gegebenenfalls im Internet nach aktuellen Phishing-Warnungen ihrer Bank.

2.  Seitenaufruf

Öffnen Sie das Online-Portal ihrer Bank immer über ihre eigenen Lesezeichen oder geben sie die Adresse per Hand ein, nur so schützen sie sich vor einer gefälschten Internetpräsenz ihrer Bank. Grundsätzlich raten wir ihnen keine Links anzuklicken, die sie per E-Mail erhalten.

3. Nicht antworten

Werden Sie durch eine E-Mail aufgefordert, persönliche oder vertrauliche Daten einzugeben, ignorieren sie diese einfach. Antworten sie nicht auf solche E-Mails.

4. aktuelle Schutz-Software

Ihr Computer sollte immer über die neuste Version eines Antiviren-Programms verfügen. Ebenso wichtig ist es, ihr Betriebssystem sowie sonstige Zusatzprogramme „up to date“ zu halten. Hersteller und Entwickler sind ständig bemüht etwaige Sicherheitslücken zu schließen.

Trojaner

Der Begriff Trojaner ist an das trojanische Holzpferd aus der griechischen Mythologie angelehnt. Als Geschenk getarnt wurde es an die Stadt Troja übergeben, dabei befanden sich im Bauch des Holzpferdes dutzende griechische Soldaten, die in der Nacht Troja zu Fall brachten. Ein Trojaner ist eine, als nützliches Programm getarnte, oft schädliche Software, die im Hintergrund aber andere Funktionen ausführt. 

Trojaner gelangen meist durch Datenträger (USB-Sticks, CD, DVD) auf den Computer. Ebenso können sie sich in vermeintlich nützlichen, meist kostenfreien Anwendungen, die man aus dem Internet herunterlädt, verstecken. Sobald sich der Trojaner auf dem Computer eingenistet hat, können Unbefugte durch eine Hintertür auf den Computer zugreifen und diesen steuern, man spricht dann von einem Backdoor-Trojaner. Durch eine solche Backdoor-Verbindung können auch weitere schädliche Programme auf den Rechner gelangen.

Um sich vor Trojanern zu schützen, sollten sie ihren Computer sowie die installierten Anwendungen immer auf dem neusten Stand haben. Ebenso sollte die Firewall aktiv sein, diese schützt vor ungewünschten Netzwerkzugriffen und kontrolliert welche Programme Daten ins Internet verschicken und welche Daten diese bekommen. Sie können dabei individuell einstellen, welche Anwendungen mit dem World Wide Web kommunizieren können – werden dabei Regeln verletzt oder ein unbekanntes Programm erkannt, wird der Benutzer alarmiert.

Überprüfen sie Datenträger, bevor sie diese benutzen! Wenn ihre Antiviren-Software nicht automatisch angeschlossene Speichermedien überprüft, sollten sie dies manuell machen. Dazu gehen sie auf ihrem Computer in die Übersicht, bei der alle angeschlossenen Geräte angezeigt werden (Explorer). Mit einem Rechtsklick auf das zu untersuchende Gerät, sollte eine Option ihres Antiviren-Programms erscheinen.

In der Vergangenheit sind immer wieder Fälle aufgetreten, bei der von Viren befallene USB-Sticks als Werbegeschenke verbreitet wurden. Copy-Shop-Kunden haben berichtet, dass bei Nutzung der Dienste, schädliche Software auf ihr Speichermedium übertragen wurde. Bleiben sie misstrauisch und kontrollieren sie gegebenenfalls mehrmals!

 

WLAN-Hacking

Sich unbefugt Zugriff auf ein fremdes WLAN zu verschaffen, sei es durch verschiedene Hilfsmittel oder Täuschung, bezeichnet man als WLAN Hacking. Ebenso das Auslesen oder Manipulieren von Daten anderer Nutzer in einem öffentlichen Netzwerk.

In unserem Blog-Beitrag „WLAN Sicherheit – die Fakten“ stellen wir Ihnen aktuelle WLAN-Verschlüsselungsverfahren vor und geben Hinweise, um Reichweite und Sicherheit ihres privaten Netzes zu erhöhen. Dort finden sie auch aktuelle Gesetzesgrundlagen zu öffentlichen WLAN-Netzwerken.

Grundsätzlich sollten Sie Online-Banking in öffentlichen Netzwerken vermeiden. Lässt sich dies nicht verhindern, achten sie unbedingt darauf, dass das Online-Portal ihrer Bank HTTPS, ein Protokoll, welches eine gesicherte Verbindung gewährleistet, unterstützt. Überprüfen sie außerdem, ob sie sich mit dem richtigen Netzwerk verbinden, oft versuchen Kriminelle durch fast identisch klingende Netzwerknamen, Kunden dazu zu bringen, sich bei dem falschen Netz einzuloggen (Evil-Twin-Netzwerke) und so vertrauliche und persönliche Daten abzugreifen. Bei regelmäßiger Nutzung von WLAN-Hotspots oder Hotel-WLAN ist es wichtig, regelmäßig die eigenen Passwörter zu ändern, Hacker sind insbesondere an Kennwortdaten interessiert. Da die meisten Internetnutzer für die unterschiedlichsten Anwendungen und Webseiten die gleichen Zugangsdaten verwenden, kann es schon fatal sein, wenn Benutzerdaten von vermeintlich uninteressanten Anwendungen ausgelesen werden.

 

Vertrauen ist gut – Kontrolle ist besser!

Kontrollieren sie regelmäßig ihre Kontoauszüge! Fallen ihnen verdächtige Buchungen auf, die sie nicht autorisiert haben oder die ihnen unbekannt sind, nehmen sie am besten umgehend Kontakt zu ihrer Bank auf. Achten Sie außerdem auf eine sichere Lagerung ihrer Online-Banking-Zugangsdaten! Bewahren sie PIN, TANs und sonstige Zusatzgeräte an getrennten, sicheren Orten auf. Hierfür kann man über die Anschaffung eines Tresores nachdenken – aktuelle Tests finden sie hier. Die meisten Banken sprechen von grober Fahrlässigkeit wenn sie Zugangsdaten unterwegs bei sich tragen (z.B. im Auto) – sollte durch einen Verlust/Diebstahl Schaden entstehen und ihr Konto geplündert werden, verlieren sie möglicherweise Ansprüche auf Schadensersatz!

Wenn ihr Konto von Unbekannten geplündert wurde, melden sie sich umgehend bei ihrer Bank und erstatten Strafanzeige bei der Polizei.  In einem Großteil der Fälle zeigen sich Kreditinstitute äußerst kulant und ersetzen den entstandenen Schaden, ausgenommen ist hierbei grobe Fahrlässigkeit – dazu zählen auch herausgegebene Nutzerdaten und TAN-Listen aufgrund eines Phishing-Angriffs!

Zum Schutz vor weiteren unautorisierten Transaktionen von ihrem Konto sollten sie ihren Onlinebanking-Zugang sofort sperren lassen. Der Computer muss auf schädliche Software kontrolliert werden; um auf Nummer sicher zu gehen ist eine Formatierung und ein komplettes Neuaufsetzen des Rechners in Betracht zu ziehen.

Bei (fälschlichen) Abbuchungen per SEPA-Lastschriftverfahren haben sie selbst die Möglichkeit, den Betrag zurückzuerhalten. Bis sechs Wochen nach Rechnungsabschluss (i.d.R. Quartalsende) können sie am Bankschalter, bestimmten Terminals ihrer Bank und oft auch im Onlinebanking-Portal die Transaktion rückgängig machen. Vergewissern Sie sich vorher, ob die Abbuchung wirklich nicht erlaubt war, denn bei unzutreffenden Lastschriftrückgaben tragen sie die daraus entstehenden Kosten. Am Besten setzen sie sich vorher mit dem abbuchenden Unternehmen in Verbindung, bevor sie eine Stornierung ausführen.

 

Wir haben für sie die grundlegenden Sicherheitshinweise nochmal in einer Checkliste zusammengefasst.

Checkliste für sicheres Onlinebanking

  • aktuelle Antiviren-Software und Firewall
  • Betriebssystem up-to-date
  • sicheres Onlinebanking-Verfahren
  • allgemeine Vorsicht und „sich der Gefahren bewusst sein“
  • Onlinebanking nur in sicheren Netzwerken
  • regelmäßige Kontrolle des Kontos
  • richtiges Verhalten bei (Onlinebanking) Bankbetrug

 

Onlinebanking bietet viele Möglichkeiten, birgt aber auch einige Gefahren. Unter Beachtung unserer Informationen und Ratschläge wird das Risiko, Opfer eines Onlinebanking-Betrugs zu werden, drastisch reduziert.

 

Ein Blick in die Zukunft von Onlinebanking

Studien zufolge wird aufgrund des Generationswechsels Onlinebanking im Jahre 2030 der neue Standard sein. Heutzutage ist es selbstverständlich, dass Banken dem Kunden einen Onlinebanking-Zugang anbieten, daher ist dies auch kaum noch als Auswahlkriterium zu bezeichnen. Statt starrem System aus „Kontostand“ und „Zahlungsauftrag“ wird der Weg in die Individualisierung gehen. Einige Start-up-Unternehmen konnten mit Finanz-Apps, die z.B. den Kunden direkt auf seinem Smartphone über jegliche Transaktionen informieren, überzeugen. Durch neue Innovationen und Möglichkeiten entwickelt sich das Onlinebanking von einer trockenen Kontoverwaltung in einen mobilen Finanzassistenten den man unterwegs und überall an seiner Seite haben kann.

 

 


Sie haben Wünsche oder Anregungen? Schreiben Sie uns hier.

Beitragsfoto © weerapat1003 – Fotolia.com

Sei-Sicherer.de