Online-Banking: Wie man sich vor Betrug schützt

Online-Banking ist bequem und für viele Verbraucher eine Selbstverständlichkeit. Unabhängig von Schalteröffnungszeiten können Bankkunden 24 Stunden am Tag vom heimischen Computer aus oder auch unterwegs Rechnungen bezahlen, Daueraufträge einrichten, ihren Kontostand prüfen oder andere Transaktionen durchführen. Seit Jahren steigt bundesweit die Zahl der Onlinekonten kontinuierlich an. Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) erledigen fast 28 Millionen Bundesbürger im Alter von 16 bis 74 Jahren ihre Bankgeschäfte im Internet.

Doch trotz der großen Beliebtheit bleibt die Frage, wie sicher Online-Banking tatsächlich ist, ein Dauerthema. Denn sobald eine Technologie als sicher gilt, machen sich Internetkriminelle daran, diese zu knacken. Mit raffinierten Tricks versuchen sie Zugangsdaten der Bankkunden auszuspähen, um dann an deren Geld zu kommen. Allein im Jahr 2011 registrierte das Bundeskriminalamt (BKA) 26.723 solcher Fälle. Sie bildeten mit 45 Prozent den größten Anteil aller kriminellen Aktivitäten im Internet. Der geschätzte Schaden geht jährlich in einen zweistelligen Millionenbereich.

Immer komplexere Sicherheitsverfahren

Die Banken versuchen natürlich, es den Cyberkriminellen unmöglich zu machen, an Kundendaten heranzukommen, und setzen deshalb regelmäßig auf neue und immer komplexere Sicherheitsverfahren. Bis vor einigen Jahren war das sogenannte iTAN-Verfahren die gängige Methode zur Kundenidentifikation beim Online-Banking. Kunden wurde eine ausgedruckte durchnummerierte Liste mit Transaktionsnummern (TANs) vorab per Post zugeschickt. Für jede Kontoaktion wurde man aufgefordert, eine bestimmte TAN der Liste zu verwenden. Dieses Verfahren wird zwar immer noch angewendet, es gilt mittlerweile aber als Auslaufmodell. Zugleich ist der Markt der Identifikationsverfahren unübersichtlicher geworden. Er sei "sehr bunt gemixt", jedes einzelne Kreditinstitut entscheide für sich, welche Technologie eingesetzt wird, sagt Tanja Beller, Sprecherin des Bundesverbandes Deutscher Banken.

Vor allem das sogenannte chipTAN-Verfahren sowie das mobileTAN zählen mittlerweile zu den gängigen und aktuelleren Onlinebanking-Methoden. Für chipTAN, je nach Anbieter auch smartTAN genannt, wird zusätzlich ein Lesegerät benötigt, das für jede neue Kontoaktion eine eigene TAN kreiert. Zuerst gibt der Kunde seinen Überweisungsauftrag am PC ein. Danach hält er das Lesegerät, den sogenannten TAN-Generator, mit eingesteckter Girocard vor den Bildschirm, auf den die Bank einen Schwarzweiß-Blinkcode (Flickercode) sendet. Der Code enthält die Überweisungsdaten und wird über optische Sensoren vom Gerät eingelesen. Der TAN-Generator zeigt anschließend den Überweisungsbetrag und das Konto an. "Eine Manipulation der Transaktion durch einen Betrüger oder Trojaner sollte normalerweise sofort auffallen", sagt Beller. Nach dem Drücken der Bestätigungstaste erhält der Kunde die TAN, mit der dann am PC der Überweisungsauftrag abgeschlossen wird und die nur ein einziges Mal gültig ist.

Beim mobileTAN (auch mTAN oder smsTAN genannt) bekommt der Kunde von der Bank eine TAN per SMS zugeschickt. Sie ist immer an einen bestimmten Vorgang gebunden und nur zeitlich begrenzt gültig. MobileTAN soll sicherer sein als herkömmliche Methoden. Als weiterer Vorteil gilt, dass man auch von unterwegs Überweisungen erledigen kann, ohne eine TAN-Liste dabei haben zu müssen.

Je nach Anbieter können Onlinekunden derzeit zwischen iTAN, chipTAN oder mobileTAN wählen. Für die mehrere Millionen Sparkassenkunden gehört das iTAN-Verfahren allerdings schon der Geschichte an. Der Sparkassen- und Giroverband hat bereits komplett auf die neuen Onlinebanking-Verfahren umgestellt. "Zudem nimmt bei den Kunden derzeit die Anwendung von Smartphone-Apps für Kontotransaktionen zu", sagt Michaela Roth, Sprecherin vom Deutschen Giro- und Sparkassenverband.

Banking mit ungesichertem WLAN ist riskant

Alle aktuellen Onlinebanking-Methoden sollen höchste Sicherheit bieten. 100-prozentige Garantie gibt es jedoch nie. Jeder Nutzer muss seinen Teil zur Sicherheit beitragen und darauf achten, dass man Online-Banking möglichst nur auf dem eigenen Rechner, also nicht im Internetcafé oder nie über ungesichertes WLAN nutzt. Zudem muss geprüft werden, dass man sich wirklich auf der Website der eigenen Bank befindet und dass die Internetverbindung spätestens nach dem Anmelden verschlüsselt ist. Zu erkennen ist das in der Adress-Zeile, die mit "https://" beginnt. Und natürlich müssen PINs und TANs immer geheim bleiben. Sie sollten also nie auf Zettel oder Bankkarten geschrieben werden, sie dürfen auch nie Bankmitarbeitern verraten werden.

"Entscheidend für die Sicherheit beim Online-Banking ist auch, dass die Eingabedaten für das Telefon oder den PC immer getrennt voneinander bleiben", betont Beller und fügt hinzu: "Man muss sich klar machen, dass keine Bank ihren Kunden per E-Mail oder SMS vertrauliche Informationen abfragen würde." Ebenso würde kein Kreditinstitut seine Kunden per Mail oder SMS auffordern, ein neues Sicherheitszertifikat auf das Smartphone zu laden. Sollten Bankkunden solche Nachrichten erhalten, haben sie es mit hoher Wahrscheinlichkeit mit Cyberkriminellen zu tun, die versuchen, an die Zugangsdaten zum Online-Bankkonto zu gelangen.