Gefahren beim Onlinebanking und wie man sich schützen kann

Gefahrenszenarien

Die Vorteile des Onlinebanking liegen auf der Hand: Unabhängig von Ort und Öffnungszeit können Bankgeschäfte jederzeit und überall abgewickelt werden. Allerdings sollten Verbraucher dabei ein paar Sicherheitstipps beachten. Denn beim Onlinebanking lauern ein paar Risiken. Betrügern gelingt es auf immer raffiniertere Art und Weise, Geldströme auf das eigene Konto zu leiten. Einige weit verbreitete Gefahrenszenarien und wie man sich dagegen schützen kann, erklären wir in diesem Ratgeber.

Szenario 1: Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff schaltet sich der Angreifer unbemerkt in die zwischen Bank und Kunde bestehende Kommunikationsverbindung. Während beide (Kunde und Bank) glauben, sie kommunizierten miteinander, kommunizieren sie jedoch jeweils mit einem Mittelsmann. Dieser kann die Kommunikation beliebig manipulieren, indem er der Bank vorgaukelt, er sei der Kunde und dem Kunden, er sei die Bank. Für das Onlinebanking bedeutet das, dass der Kunde seine Daten nicht der Bank, sondern dem Mittelsmann überlässt. Mit diesen Informationen ist dieser in der Lage, über das Konto zu verfügen.

Szenario 2: Trojaner

In Anlehnung an das Trojanische Pferd aus der griechischen Mythologie tarnen sich Trojaner als nützliche Anwendung, hinter der sich jedoch eine unbekannte Funktionalität verbirgt. Der Anwender ist also in dem Glauben, er installiere ein für ihn nutzbringendes Programm, ohne zu wissen, dass er gleichzeitig einem potentiellen Angreifer Tür und Tor öffnet. Ist der Trojaner erst einmal auf dem Rechner installiert, kann er von „innen“ heraus sensible Daten wie Passwörter, Kontonummern und Kreditkartendaten ausspähen und heimlich an unberechtigte Nutzer weiterleiten. Doch wie gelingt es Trojanern, Passwörter zu lesen, die gar nicht auf dem Rechner gespeichert sind? Dies geschieht beispielsweise durch das unbemerkte Mitlesen jedes Tastendrucks und jedes Mausklicks. Trojaner gelangen häufig durch die unwillentliche Komplizenschaft des Anwenders auf den PC, indem Programme aus fragwürdigen Quellen  leichtsinnig installiert werden.

Szenario 3: Phishing

Phishing setzt sich zusammen aus "Passwort" und "fischen" und bedeutet so viel wie „nach einem Passwort fischen“. Der Verbraucher erhält eine Mail, dessen vermeintlicher Absender sein Kreditinstitut ist. In der Mail wird er aufgefordert, seine Zugangsdaten zum Onlinebanking sowie mehrere TANs an den Absender zurückzuschicken. Als Grund werden häufig technische Probleme angegeben, die es zu beheben gilt. In anderen Fällen gelangt der Nutzer durch einen in der E-Mail integrierten Link auf eine Webseite, die ausschließlich zum Zweck der Datenspionage betrieben wird. Folgt der Nutzer dem Link, gelangt er auf eine Webseite, die in Aufmachung und Aussehen der Originalwebseite gleicht. Weil meist auch in der Adresszeile keine Auffälligkeiten zu erkennen sind, glaubt der Kontoinhaber, er navigiere tatsächlich auf der Webseite seiner Bank und gibt bereitwillig seine Zugangsdaten preis. Die so „gefischten“ Daten nutzen unberechtigte Dritte, um über das Konto zu verfügen.

Sicherheitstipps fürs Onlinebanking

Die genannten Risiken sind sicher nicht zu unterschätzen. Dem Onlinebanking für immer abzuschwören, ist deshalb aber nicht erforderlich. Schon mit einfachen Maßnahmen können sich Bankkunden vor Datenspionage und Datenmissbrauch schützen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt folgende Sicherheitstipps:

• Installieren und aktualisieren Sie regelmäßig Antivirensoftware und Firewall.
• Spielen Sie regelmäßig die aktuellen Sicherheitsupdates ein.
• Achten Sie bei der Nutzung von WLAN auf eine ausreichend sichere Verschlüsselung des WLANs.
• Vermeiden Sie es, Onlinebankgeschäfte von fremden Rechnern durchzuführen.
• Beziehen Sie sämtliche Software stets aus seriösen Quellen.
• Geben Sie sensible Daten wie zum Beispiel Ihre Kontodaten nur über eine gesicherte SSL-Verbindung ein. Eine gesicherte Verbindung erkennen Sie an dem Kürzel „https“ in der Adressleiste.
• Prüfen Sie die Echtheit Ihres Kommunikationspartners anhand der von den Banken ausgegebenen Zertifikate.
• Bewahren Sie die Zugangsdaten zum Onlinebanking sicher auf.
• Folgen Sie keinen Links aus E-Mails. Geben Sie die Webadresse Ihrer Bank eigenständig in die Adresszeile ein.
• Aktivieren Sie die Sicherheitseinstellungen Ihres Browsers (beispielsweise Deaktivierung des ActiveX-Control und JavaScript).

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Wer Sensibilität gegenüber den Gefahren des Internets walten lässt, alle Sicherheitsvorkehrungen umsetzt und zudem turnusmäßig seine Kontoauszüge auf Unregelmäßigkeiten überprüft, reduziert das Risiko, Opfer von Betrügern zu werden, erheblich.

Wer haftet, wenn doch mal was passiert?

Laut der EU-Zahlungsdiensterichtlinie ist die Haftung des Kontoinhabers bei Shcäden im Zusammenhang mit dem Onlinebanking begrenzt. Kontoinhaber haften für Schäden aus der missbräuchlichen Nutzung der Zugangsdaten zum Onlinebanking mit einem Selbstbehalt von bis zu 50 Euro. Der Selbstbehalt kann jedoch längstens bis zur Anzeige des Kontomissbrauchs bzw. Fremdzugriffs von der Bank gefordert werden. Entstehen nach der Sperranzeige finanzielle Schäden, können keine weiteren Haftungsansprüche gegen den Kontoinhaber geltend gemacht werden.

Dennoch gibt es einen Haken: Die Haftungsbegrenzung von 50 Euro gilt nur, sofern dem Kontoinhaber keine grobe Fahrlässigkeit nachgewiesen werden kann. Welches Verhalten als grob fahrlässig zu deklarieren ist, regeln Kreditinstitute häufig in ihren Geschäftsbedingungen zum Onlinebanking. Darüber hinaus finden sich dort auch Sorgfaltspflichten, die sich oftmals an den Empfehlungen des BSI orientieren.

Als grobe Fahrlässigkeit wird beispielsweise von vielen Banken der Sachverhalt eingestuft, wenn der Geschädigte seine Bankgeschäftige auf ungesicherten Rechnern ohne entsprechendes Antiviren-Programm getätigt hat. Auch wer seine Girocard zusammen mit der PIN im Geldbeutel aufbewahrt, handelt in den Augen vieler Geldhäuser grob fahrlässig.