Sicherheit beim Online-Banking

Inhaltsverzeichnis


Worauf beim Online-Banking zu achten ist

Wesentliche Vorkehrungen zur Sicherheit beim Online-Banking:

1. Reduzieren Sie potenzielle Risiken auf Ihrem Computer

Ein großes potenzielles Sicherheitsrisiko stellt Ihr eigener Rechner dar. Veraltete Software mit Sicherheitslücken bietet Schädlingen aller Art Einfallstore in Ihr Computer-System. Schützen Sie Ihren PC wirksam und sorgen Sie für ständig aktualisierte Software. Neben einem ständig aktualisierten Virenschutz-Programm und einer Firewall ist es auch Aufgabe Ihres Browsers, Schadsoftware fernzuhalten. Nehmen Sie dazu die richtigen Browser-Einstellungen vor.

Nehmen Sie sich vor allem vor Phishing-Betrügern in acht, die Zugangsdaten, PINs und TANs abgreifen wollen, um Ihr Konto zu leeren. Ein seriöses Kreditinstitut fordert Sie niemals per E-Mail auf, solche vertraulichen Daten bekannt zu geben. Und Funktionen wie „Passwort speichern“ oder „Autovervollständigen“ sollten Sie beim Online-Banking auf keinen Fall nutzen.

2. Nutzen Sie verschlüsselte Datenübertragung mit Sicherheitszertifikaten

Wenn Ihr Rechner mit der Online-Banking-Webseite Ihrer Bank oder Sparkasse Verbindung aufnimmt, muss die Kommunikation immer verschlüsselt über das https-Protokoll erfolgen, das seriöse Kreditinstitute grundsätzlich verwenden. Hierbei wird statt des gewohnten http:// am Anfang der Browserzeile https:// angezeigt. Beim Online-Banking ist eine Verschlüsselung mit mindestens 128 Bit mittlerweile Standard.

3. Wählen Sie ein geeignetes Authentifizierungsverfahren aus

Um sich bei Ihrer Bank oder Sparkasse anzumelden und Transaktionen wie Überweisungen durchzuführen, stehen Ihnen mehrere Authentifizierungsmethoden zur Verfügung. Beachten Sie hierzu die Vor- und Nachteile verschiedener PIN/TAN-Verfahren wie iTAN, mTAN/SMS-TAN und chipTAN sowie die Funktionsweise des HBCI-Verfahrens, das ohne Browser-Verbindung Daten verschlüsselt überträgt. Eine weitere Alternative zur Authentifizierung bieten die Online-Funktionen des neuen Personalausweises (NPA). Darüber hinaus sollten Sie geeignete Verfahren für das Mobile Banking und weitere Tipps zur Sicherheit für unterwegs berücksichtigen.

4. Setzen Sie Limits und prüfen Sie regelmäßig Ihren Kontostand

Es ist ratsam, einen Höchstbetrag für die täglichen Bewegungen auf Ihrem Konto zu vereinbaren. Dadurch verhindern Sie, dass Betrüger hohe Summen abbuchen, falls Ihr Konto gehackt wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt außerdem, Online-Kontoauszüge regelmäßig mit gedruckten Kontoauszügen abzugleichen, da bei ersteren Manipulationen nicht auszuschließen sind. 

5. Sperren Sie im Zweifelsfall den Zugang zu Ihrem Konto

Falls Ihnen bei einem Online-Banking-Vorgang etwas ungewöhnlich oder verdächtig vorkommt, sollten Sie Ihren Zugang sicherheitshalber sperren. Dafür gibt es in der Regel eine Funktion beziehungsweise ein Fenster auf der Webseite Ihres Kreditinstituts. Alternativ haben Sie die Möglichkeit, den Zugang telefonisch über Ihre Bank sperren zu lassen. Für diesen Fall sollten Sie die Telefonnummer Ihrer Bank oder Sparkasse immer griffbereit haben. Ergreifen Sie weitere Maßnahmen, falls Ihr Konto tatsächlich einem Hacker zum Opfer fällt.


Sicher authentifizieren mit und ohne TAN

Um sich mit Ihrer Bank oder Sparkasse zu verbinden, stehen Ihnen grundsätzlich zwei Möglichkeiten zur Verfügung: Der Weg über den Browser zur Online-Banking-Webseite Ihres Kreditinstituts, oder die Nutzung einer  Banksoftware. Um die eigentlichen Bankgeschäfte online zu erledigen, ist zur Absicherung eine Zwei-Faktor-Authentifizierung erforderlich. Hierbei weisen Sie mit zwei verschiedenen und voneinander unabhängigen Komponenten (also zwei Faktoren) Ihre Identität nach.

PIN/TAN-Verfahren

Das ursprüngliche PIN/TAN-Verfahren, bei dem Nutzer jede Transaktion mit der persönlichen Identifikationsnummer (PIN) und einer Transaktionsnummer (TAN) bestätigen mussten, hat sich als zu anfällig für Phishing-Angriffe erwiesen. Auch seine Weiterentwicklung zum iTAN-Verfahren, bei dem Nutzer zur Bestätigung  eine Einmal-TAN aus einer per Post verschickten Liste verwenden, bietet keinen hinreichenden Schutz gegen eventuelle Phishing- und Trojaner-Attacken. 

mTAN- und chipTAN-Verfahren

Mehr Sicherheit bietet das mTAN-Verfahren (auch SMS-TAN genannt), bei dem die Zwei-Faktor-Authentifizierung über zwei getrennte Kanäle verläuft. Hierbei wird jede einzelne TAN von der Bank an das Mobiltelefon des Kunden geschickt, der sie dann am PC zur Bestätigung der Transaktion eingibt. Wenn beim Mobile Banking die TAN auf dasselbe Gerät geschickt wird, mit dem Sie den Banking-Vorgang durchführen, liegt nur ein Kanal vor. Sowohl für Mobile als auch für Home Banking eignet sich das chipTAN-Verfahren, bei dem ein elektronischer TAN-Generator als zweiter Faktor der Authentifizierung zum Einsatz kommt.

Manipulation beim Online-Banking: Die Man-in-the-middle-Attacke

Auch mTAN- und chipTAN-Verfahren bieten beim Online-Banking keine völlige Sicherheit vor Datendiebstahl, da die Transaktionsdaten nach wie vor von professionellen Betrügern über eine sogenannte „Man-in-the-middle-Attacke“ abgefangen werden können. Vereinfacht gesprochen schaltet sich hierbei ein Angreifer zwischen Ihren Rechner und Ihre Bank, kontrolliert den Datenverkehr und kann die ausgetauschten Informationen nach Belieben manipulieren. Das Hinterhältige an dieser Attacke ist, dass der „man in the middle“ beiden Kommunikationsteilnehmern überzeugend vorgaukelt, ihr jeweiliges Gegenüber zu sein. Weitere Informationen zu Man-in-the-middle-Angriffen finden Sie etwa bei den Fachmedien Heise und ITWissen.Info. Beispielhafte Szenarien für diese schwierige und für Cyberkriminelle mit hohem Aufwand verbundene Betrugsmethode erläutert das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Online-Banking mit dem HBCI-Chipkartenleser

Eine höhere Sicherheit erreichen Sie durch die Nutzung des HBCI-Verfahrens (Homebanking Computer Interface). Bei dieser Online-Banking-Variante werden Ihre Daten mit einer elektronischen Signatur versehen, bevor sie verschlüsselt an die Bank übertragen werden. Dabei entfällt der Übertragungsweg über den Browser. Stattdessen benötigen Sie eine Banksoftware für Ihren PC. Viele Sparkassen und Banken bieten solche Programme zum Download auf ihren Webseiten an. Vergleichstests von Banksoftware finden Sie etwa bei Computerbild und Handelsblatt (Stand: 13.03.2012).

Außerdem sind eine Chipkarte und ein Chipkartenlesegerät erforderlich. Dieses verbinden Sie über den entsprechenden Anschluss mit Ihrem PC. Wenn Sie die Daten der Transaktion – zum Beispiel die Überweisung eines Rechnungsbetrags – eingegeben haben, übermittelt die Banksoftware den Datensatz an das Lesegerät. Danach werden Sie aufgefordert, Ihre Chipkarte in den Kartenleser zu stecken und so Ihre PIN einzugeben. Auf Ihrer Karte ist ein geheimer Signierschlüssel gespeichert, mit dem der Auftrag an Ihre Bank „unterschrieben“ wird. Die Daten werden daraufhin verschlüsselt an die Bank übermittelt. Nach Abschluss der Transaktion erhalten Sie eine Bestätigung. Der Vorteil der HBCI-Methode besteht darin, dass jeder Angreifer, der Transaktionen manipulieren will, im Besitz Ihres Schlüssels sein muss. Dazu bräuchte er jedoch Ihre Chipkarte. 

Mehr Sicherheit durch Kartenleser mit Tastatur

Verwenden Sie beim HBCI-Verfahren möglichst einen Kartenleser der neueren Generation, der über eine eigene Tastatur verfügt. Dadurch vermeiden Sie die Eingabe der PIN über die Tastatur des PCs, der mit einem Spionageprogramm infiziert sein könnte. Lesegeräte mit dem aktuellen Secoder-Standard zeigen zudem zur Kontrolle die jeweiligen Transaktionsdaten auf ihrem Display an. Klären Sie sicherheitshalber vor dem Erwerb eines solchen Geräts mit Ihrer Bank oder Sparkasse ab, ob sie diesen Standard unterstützt.

Online-Banking per Telefon

Beim Telefon-Banking kommunizieren Sie mit den Servicemitarbeitern Ihrer Bank oder mit einem Computer per automatisierter Spracherkennung. Dabei werden immer die persönlichen Daten des Kontoinhabers – Name, Kontonummer, Geburtstag und Anschrift – abgefragt. Hinzu kommt ein hinterlegtes Passwort, das nicht leicht zu knacken und keinem Dritten zugänglich sein darf. Telefon-Banking ist nicht ohne Risiko. Sie sollten es nur wählen, wenn Ihre Bank jede einzelne Transaktion ausreichend absichert, etwa durch eine Sprachaufzeichnung des Telefonats zur Beweissicherung.


Höhere Sicherheit mit Verschlüsselung und Zertifikat

Um beim Online-Banking eine sichere Netzverbindung zwischen Ihrem Rechner und einer Bankwebseite aufzubauen, verwenden alle verbreiteten Browser das Protokoll Secure Sockets Layer (SSL), das mittlerweile unter dem Namen TLS (Transport Layer Security) weiterentwickelt wird. SSL und TLS dienen dazu, ein Mitlesen oder Manipulieren von Daten zu verhindern.

Verschlüsselung erkennen

Ob Ihr Browser eine verschlüsselte Verbindung mit der Bankwebseite aufgebaut hat, können Sie an der Adresszeile erkennen. Statt „http“ steht dort „https“, wobei das „s“ für „secure“ (sicher) steht. Steuern Sie die Webseite Ihrer Bank oder Sparkasse nur auf diesem Übertragungsweg an. Es empfiehlt sich daher auch, diese https-Seite als Lesezeichen beziehungsweise Favorit in Ihrem Browser abzuspeichern.

Webseite authentifizieren

Mithilfe der SSL-Technologie lässt sich die von Ihnen aufgerufene Bankwebseite identifizieren beziehungsweise „authentifizieren“. Anhand der von der Webseite übermittelten Daten findet Ihr Browser heraus, ob er tatsächlich mit dem Server verbunden ist, der in der Adresszeile angegeben wird. Bei diesem Vorgang überprüft der Browser, ob die Webseite über ein gültiges Zertifikat verfügt. Zertifikate werden von Zertifizierungsdienstleistern wie etwa TeleSec der Deutschen Telekom, Symantec, Verisign, Thawte, GoTrust oder GlobalSign vergeben. In Ihrem Browser sind eine Reihe von Zertifizierungsstellen als vertrauenswürdig registriert. Falls eine Webseite Sie dazu auffordert, einen weiteren Zertifizierer als vertrauenswürdig einzustufen, sollten Sie Ihre Zustimmung verweigern, wenn Sie von dessen Seriosität nicht überzeugt sind.

Ein digitales Sicherheitszertifikat dient zur Bestätigung, dass der sogenannte „öffentliche Schlüssel“ des Servers, von dem die Webseite aufgerufen wird, der Bank oder Sparkasse zugeordnet werden kann. Mit anderen Worten: Der Browser stellt fest, ob es sich beim Anbieter der Webseite tatsächlich um Ihre Bank handelt. Wenn die Identifizierung negativ ausfällt, gibt Ihr Browser eine entsprechende Warnmeldung in einem Textfenster aus. In diesem Fall sollten Sie den Online-Banking-Vorgang abbrechen, da wahrscheinlich ein Angriff auf die Verbindung vorliegt. Starten Sie stattdessen auf einem anderen Gerät über einen anderen Verbindungsweg einen erneuten Versuch.

Zertifikate überprüfen

Zertifikate lassen sich ohne großen Aufwand im Browser überprüfen. Die Vorgehensweise ist bei Microsoft Internet Explorer, Mozilla Firefox, Google Chrome und Apple Safari ganz ähnlich: Sie müssen dafür das Schloss-Symbol in der Adresszeile anklicken, das sich bei Firefox und Chrome links, beim Internet Explorer und Safari rechts neben der Adresszeile befindet. Daraufhin öffnen sich Textfenster oder Menüs, auf denen die Sicherheit der Verbindung beziehungsweise die Identität der Seite bestätigt wird. Zudem erhalten Sie hier Informationen darüber, welcher Dienstleister das Zertifikat ausgestellt hat.

Wenn Sie noch weitere Einzelheiten wie etwa die Stärke und Gültigkeitsdauer des Zertifikats in Erfahrung bringen möchten, müssen Sie die entsprechenden Schaltflächen beziehungsweise Menüpunkte anklicken: „Weitere Informationen“ bei Firefox, „Zertifikate anzeigen“ beim Internet Explorer, „Verbindung“ und dann „Zertifikatinformationen“ bei Chrome, „Zertifikat einblenden“ bei Safari.  

Zusätzliche Informationen der Browseranbieter zu Verschlüsselung und Zertifikaten finden Sie hier:

„Grünes Licht“ mit dem EV-SSL-Zertifikat

Nicht alle Zertifikate sind gleichwertig und es gibt unterschiedliche Validierungsstufen. Die Spannbreite reicht von Testzertifikaten, die eine Webseite sich quasi selbst ausstellen kann, über Zertifikate, die nur anzeigen, dass der Shopbetreiber auch Inhaber der Shopdomain ist, bis hin zu EV-SSL-Zertifikaten – Zertifikate mit erweiterter Überprüfung.

Extended Validation (EV) bildet die stärkste Validierungsstufe und ist bei Banken und Sparkassen mittlerweile Standard. Die Vergabe eines EV-SSL-Zertifikats setzt eine ausführliche Prüfung des zu zertifizierenden Unternehmens voraus. Eines der wichtigsten Ziele des EV-SSL-Zertifikats besteht darin, es Betrügern so schwer wie möglich zu machen, mit ihren auf den ersten Blick täuschend echt gefälschten Webseiten Daten abzufischen. Der höchste Grad an Verschlüsselung wird dadurch angezeigt, dass je nach Browser die Farbe der gesamten Adressleiste oder eines Teils davon zu grün wechselt. Eine rote Färbung signalisiert hingegen Gefahr: Ein solches Zertifikat ist nicht vertrauenswürdig, und Sie sollten die Seite wieder verlassen.


Online-Banking mit dem neuen Personalausweis

Der neue Personalausweis bietet Nutzern die Möglichkeit, sich für alle Bankgeschäfte zu legitimieren und herkömmliche Authentisierungsverfahren bei Kontoeröffnung oder Online-Banking zu vereinfachen. Ein in den NPA integrierter RFID-Chip dient der automatischen und berührungslosen Identifizierung und erleichtert die Übermittlung von Daten. Darüber hinaus verfügt der NPA über eine spezielle Signaturfunktion namens eID, mit der Sie online „unterschreiben“ können. Mithilfe dieser Signatur ist eine zweifelsfreie elektronische Identifizierung und eindeutige Zuordnung von Ausweisinhaber und Ausweis möglich und somit die Abgabe einer rechtsverbindlichen Willenserklärung. Die eID lässt sich im Übrigen jederzeit durch den Ausweisinhaber wieder deaktivieren.

Lesegerät und Software erforderlich

Für die Nutzung der Online-Funktionen des NPA ist ein Chipkartenlesegerät erforderlich. Außerdem müssen Sie die „AusweisApp“-Software auf Ihrem Computer installieren, die eine Verbindung zwischen Personalausweis und Rechner herstellt. Sie steht zum Download auf dem Portal ausweis.app.bund.de bereit, das das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung stellt. Dort erhalten Sie auch weitere Hinweise und Anleitungen zum NPA. Zudem hat das Bundesministerium des Innern (BMI) ein Informationsportal zum Personalausweis eingerichtet, auf dem Sie unter anderem eine Liste von Kartenlesegeräten finden, die für den Einsatz mit dem NPA infrage kommen.

Ausweisfunktion freischalten

Bevor Sie ans Online-Banking gehen können, müssen Sie die Ausweisfunktion freischalten. Schieben Sie den Personalausweis in Ihr Lesegerät und geben Sie die vorläufige fünfstellige PIN („Transport-PIN“) ein, die Ihnen per Post nach Beantragung des NPA zugesandt wurde. Danach legen Sie Ihre individuelle PIN mit sechs Stellen fest, die Sie bei jeder späteren Anwendung der Ausweisfunktion zur Bestätigung eingeben müssen. Wenn Sie die PIN ändern möchten, können Sie dazu das Kartenlesegerät und die AusweisApp-Software an Ihrem Rechner nutzen oder die Änderung bei einer Personalausweisbehörde vornehmen lassen.

Mit Ihrem freigeschalteten NPA und Ihrer eID können Sie nun Stamm- oder Transaktionsdaten von zu Hause aus übermitteln. Wenn Sie beispielsweise ein neues Konto bei einer Bank eröffnen wollen, erfolgt im Unterschied zum herkömmlichen Postident-Verfahren – oder zum persönlichen Besuch in der Bankfiliale – die Legitimationsprüfung sofort, sodass Sie Ihr Konto ohne Verzug nutzen können.

Erste Anbieter von NPA im Online-Banking

Das Personalausweisportal des BMI hat eine Übersicht  zusammengestellt, aus der Sie ersehen können, bei welchen Unternehmen und Einrichtungen Sie die Online-Ausweisfunktion bereits nutzen können. Neben dem Bereich Banken, Versicherungen und Finanzdienstleistung gibt es viele weitere Einsatzgebiete für den NPA, etwa Bürgerdienste von Behörden. Eine Reihe von Landesverwaltungen bietet bereits die Steuererklärung online mit Personalausweis an.


Smartphone sichern für Mobile Banking

Um höchstmögliche Sicherheit beim Mobile Banking zu erreichen, sollten Sie in Anlehnung an die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) neben technischen Sicherheitsvorkehrungen einige wichtige Verhaltensregeln beachten:

1. Phishing-Betrüger abwehren

Eine der größten Gefahren beim Mobile Banking liegt im Ausspionieren Ihrer Zugangsdaten. Phishing-Betrüger attackieren nicht nur Ihren heimischen PC, auch unterwegs können Sie zur Zielscheibe von Phishing-Mails, Trojanern und Spyware werden. Daher sollten Sie sehr sorgfältig mit Ihren Konto-Zugangsdaten wie Passwörtern, PIN und TAN umgehen. Sie dürfen diese Nummern keinesfalls auf Ihrem Smartphone speichern, auch nicht in Form von Fotos. Tun Sie es trotzdem, handeln Sie grob fahrlässig und verwirken damit im Betrugsfall den Anspruch auf Schadensersatz.

Verwenden Sie für das Online-Banking möglichst eine von Ihrer Bank oder Sparkasse bereitgestellte und autorisierte App. Wenn Sie unterwegs das mTAN-Verfahren nutzen, bei dem Ihnen die TAN per SMS zugeschickt wird, sollten Sie besser ein weiteres Mobiltelefon oder ein anderes mobiles Gerät als getrennten Kanal für den Empfang der TAN nutzen. Wird sie auf dasselbe Gerät geschickt, mit dem Sie via Browser den Banking-Vorgang durchführen, liegt nur ein Kanal für beide Vorgänge vor. Falls tatsächlich Schadsoftware auf Ihrem Handy aktiv ist, besteht nun die Gefahr, dass diese Zugriff auf die per SMS verschickte TAN erhält.

2. Nutzung von chipTAN

Eine Alternative stellt chipTAN dar. Dabei kommt ein TAN-Generator zum Einsatz, in den Sie Ihre Kontokarte einschieben, sobald Sie die Auftragsdaten für das Online-Banking an Ihrem Smartphone eingegeben haben. Nun müssen Sie das Gerät vor den Handy-Bildschirm halten und abwarten, bis es die Daten über seine Fotosensoren eingelesen hat. Daraufhin zeigt das Display zur Kontrolle die Auftragsdaten an und wartet auf Ihre Bestätigung. Sobald Sie per Tastendruck Ihr OK gegeben haben, zeigt der Generator die TAN, die Sie nun zur Verarbeitung des Auftrags in Ihr Smartphone eingeben. Dieses Verfahren hat allerdings den Nachteil, dass Sie immer zwei Geräte mit sich führen müssen.

Eine vergleichende Darstellung der verschiedenen Methoden finden Sie beispielsweise in einem Ratgeber-Beitrag von T-Online und beim Fachmedium PC-Magazin (dort scrollen zu „Überblick: Sicherheitsverfahren beim Online- und Mobile Banking“).

3. Systeme und Software immer aktualisieren, Virenscanner einsetzen

Eine weitere, sehr wichtige Vorsichtsmaßnahme gilt analog zum Schutz von PC und Laptop: Halten Sie Betriebssystem, Software und Apps Ihres Smartphones immer auf dem neusten Stand, um keine Sicherheitslücken zu riskieren, über die Schädlinge in Ihr Smartphone eindringen können. Setzen Sie möglichst ein Virenschutzprogramm ein und versorgen Sie es mit regelmäßigen Updates. Eine ständig aktualisierte Downloadseite mit Virenscannern für Smartphones stellt das Fachmedium Heise bereit. Zudem sollten Sie sich bei den Herstellern von Gerät und Betriebssystem nach verfügbaren Schutzprogrammen erkundigen.

4. Keine vertraulichen Daten weitergeben

Reagieren Sie auf keinen Fall auf E-Mails, Facebook-Nachrichten und andere Mitteilungen, in denen man Sie dazu auffordert, einen Link zu einer Webseite anzuklicken, auf der Sie dann Ihre Kontodaten eingeben sollen. Ihre Bank wird Sie niemals per E-Mail um vertrauliche Daten wie PIN oder TAN bitten.

5. Vorsicht beim Öffnen von  Fotos und Anhängen

Ebenso vorsichtig sollten Sie beim Öffnen von Fotos und Bilddateien sein, die etwa an E-Mails angehängt sind. Diese können Schadsoftware in Form von Viren oder Trojanern enthalten, die Ihre Daten ausspionieren. Wenn Ihnen der Absender nicht bekannt ist, löschen Sie solche Zusendungen am besten unverzüglich.

6. Vorsicht beim App-Download

Ähnliches gilt für das Herunterladen von Apps, die Sie nur aus vertrauenswürdigen Quellen beziehen sollten. Überprüfen Sie in den jeweiligen App Stores die Datenschutzeinstellungen und Zugriffsrechte der Programme. Außerdem sollten Sie festlegen, welche Funktionen Apps ausführen dürfen. So brauchen Sie etwa einer Spiele-App keinen Zugriff auf das Netzwerk oder Ihre persönlichen Kontakte erlauben.


Beim Online-Banking gegen Angreifer wehren

Phishing gehört zu den am häufigsten angewandten Methoden von Cyberkriminellen. Einige typische Anzeichen deuten darauf hin, dass Sie Opfer einer Phishing-Attacke geworden sind und sich auf einer Fake-Webseite befinden. Sie sollten den Online-Banking-Vorgang dann sofort abbrechen.

  • Wenn Sie nach Eingabe von ID und PIN zur Eingabe von mehreren unbenutzten TANs und den dazugehörigen laufenden Nummern aufgefordert werden, befinden Sie sich auf einer manipulierten Webseite. Solche Fälschungen sehen der Webseite Ihrer Bank häufig täuschend ähnlich. Beachten Sie, dass eine TAN immer in Verbindung mit der Transaktion – etwa einer Überweisung – eingegeben werden muss und niemals „freihändig“ erfolgt!
  • Wenn Sie während oder nach Abschluss einer Transaktion dazu aufgefordert werden, eine oder mehrere TANs einzugeben, sind mit hoher Wahrscheinlichkeit Betrüger am Werk. Gleiches gilt für den Fall einer Warnmeldung, wonach die zuvor eingegebene TAN bereits verbraucht oder falsch sei.
  • Öffnet sich während des Online-Banking-Vorgangs ein neues Browserfenster, in dem Sie Ihre Bankleitzahl, PIN und/oder eine oder mehrere TANs eingeben sollen, befinden Sie sich ebenfalls auf einer gefälschten Webseite.
  • Weitere Anzeichen für einen Phishing-Angriff sind gegeben, wenn Ihre gesicherte https-Verbindung zum Online-Banking nach Eingabe von PIN und TAN plötzlich unterbrochen wird oder Ihr Browser sich ohne ersichtlichen Grund schließt.
  • Ebenfalls verdächtig ist folgendes Szenario: Wenn Sie Ihre TAN zum Abschluss Ihres Auftrags eingegeben haben, erhalten Sie eine Fehlermeldung Ihres Browsers, dass das Online-Banking nicht mehr erreichbar ist. Dieselbe Meldung erhalten Sie auch bei späteren Versuchen, Ihren Online-Banking-Zugang aufzurufen.

In allen Fällen gilt es, unverzüglich zu handeln:

Konto sperren und Bank informieren

Als erstes gilt es, sofort Ihr Konto und Ihren Zugang zum Online-Banking zu sperren. Dies geht am schnellsten, indem Sie die Anmeldemaske zum Online-Banking aufrufen und dreimal hintereinander eine falsche PIN eingeben. Wenn Ihr Zugang online nicht mehr aufrufbar ist – wie im obigen Szenario beschrieben – rufen Sie die Hotline Ihrer Bank an und lassen Sie Ihren Zugang telefonisch sperren.

Bei Banken, die keine 24-Stunden-Hotlines unterhalten, hilft Ihnen außerhalb der Geschäftszeiten der gebührenfreie Sperr-Notruf 116 116 weiter. Voraussetzung ist, dass der Herausgeber Ihrer Bank- oder Kreditkarte sich dem Sperr-Notruf angeschlossen hat. Laut Polizei können inzwischen mehr als 90 Prozent aller Bank- und Zahlungskarten via 116 116 gesperrt werden.

Zudem sollten Sie sich schnell einen gedruckten Kontoauszug besorgen und Ihre Umsätze sorgfältig prüfen. Zweifelhafte Abbuchungen müssen nicht zwangsläufig auf das Konto von Online-Banking-Betrügern gehen. Es ist auch möglich, dass eine Lastschrift falsch gebucht wurde.

Direkten Kontakt mit Ihrer Bank aufnehmen sollten Sie in jedem Fall, um die Auffälligkeiten zu melden und um zu klären, ob Kontobewegungen gegebenenfalls rückgängig gemacht werden können.

Polizei verständigen

Phishing gilt als Straftat. Falls Sie durch eine Phishing-Mail zur Eingabe vertraulicher Daten aufgefordert wurden, empfiehlt die Verbraucherzentrale NRW, den Strafverfolgungsbehörden und Kreditinstituten diese Mail für ihre Ermittlungen zur Verfügung zu stellen. Über weitere Maßnahmen gegen das Phishing unterrichtet Sie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Computer auf Schadsoftware überprüfen

Falls die Cyberkriminellen ihren Phishing-Angriff über einen Trojaner ausgeführt haben, müssen Sie Ihren Rechner fachgerecht von der Schadsoftware säubern. Im Zweifelsfall sollten Sie den Rechner jedoch sofort vom Netz nehmen und von einem Experten untersuchen lassen.


Diese Seite benutzt Cookies. Weitere Informationen dazu finden Sie in unserer Datenschutzerklärung sowie in diesem Artikel.