In Deutschland wickeln rund 26 Millionen Bundesbürger ihre Bankgeschäfte über das Internet ab. Sowohl Banken als auch Kunden und Nutzer sind für die Sicherheit des Online-Bankings verantwortlich. Neben der örtlichen und zeitlichen Unabhängigkeit bietet das Online-Banking seinen Nutzern unter anderem Kostenvorteile, Barrierefreiheit, Benachrichtigungsmöglichkeiten (bei Kontostandänderungen durch SMS oder E-Mail) und mobile TAN-Verfahren.
Banken gewähren durch ausgefeilte Sicherheitsmechanismen ein hohes Maß an Sicherheit, zum Beispiel gegen Phishing. Sie bieten folgende unterschiedliche Systeme an, die übrigens ständig weiterentwickelt werden:
Neben diesen verschiedenen Schutzsystemen der Banken muss jeder Anwender zu seiner eigenen Online-Banking-Sicherheit beitragen.
Angreifer manipulieren täglich weltweit mehrere tausend Webseiten und schleusen Schadprogramme ein. Um den eigenen Computer internetfest zu machen, empfiehlt es sich, Betriebssystem, Antivirenprogramme, Firewall und alle Anwendungsprogramme kontinuierlich zu aktualisieren. Verwenden Sie dabei die aktuelle Version des Internetbrowsers und spielen Sie Sicherheits-Updates umgehend ein. Kontrollieren Sie außerdem regelmäßig alle Laufwerke des Computers mit einem aktualisierten Virenschutzprogramm zum Schutz vor schädlicher Software.
Antwort auf Ihre Fragen, wie Sie sich sicher im Internet oder im mobilen Netz bewegen, welche Gefahren es gibt und wie Sie Ihren PC sicher machen, erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI), der unabhängigen und neutralen Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Das BSI untersucht neue Sicherheitslücken, es entwickelt Sicherheitsvorkehrungen und gibt auf seiner Website Tipps für Hersteller, Vertreiber und Anwender.
Im eigenen Interesse sollten Nutzer die Online-Banking-Bedingungen und Sicherheitshinweise der Bank lesen und sich daran orientieren. Persönliche Zugangsdaten sind nur dann einzugeben, wenn eine verschlüsselte und damit gesicherte Übertragung zwischen dem eigenen Computer und dem Rechner der Bank besteht. Das lässt sich zum Beispiel daran erkennen, dass die Internetadresse der Bank mit https:// beginnt. Geheime Zugangsdaten sind vor unerlaubten Zugriff zu schützen.
Anhänge von E-Mails mit unbekanntem Absender sollten Sie nicht öffnen. Ganz wichtig ist es, auf Anfrage keine Auskünfte über die persönlichen Zugangsdaten zu erteilen, da Banken keinesfalls per E-Mail oder telefonisch nach diesen Daten fragen. Darüber hinaus bedarf es zur Freigabe eines Auftrags nur der einmaligen Eingabe einer TAN. Ist auf Verlangen der Bank ein Passwort für die Anmeldung zum Online-Banking erforderlich, sollte es mindestens acht Stellen lang sein, aus einer Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen und in regelmäßigen Abständen geändert werden. Wird eine Online-Banking-PIN verlangt, so sollte auch diese zum eigenen Schutz regelmäßig geändert werden.
Bei Unstimmigkeiten oder der Vermutung, dass ein Unbefugter die geheimen Zugangsdaten kennt, informieren Sie die Bank umgehend und lassen Sie den Online-Zugang zum Konto sperren. Wurde vom Konto bereits unberechtigterweise Geld abgebucht, ist neben dem Informieren der Bank, Anzeige bei der Polizei zu erstatten. Konto- und Depotumsätze sind regelmäßig zu prüfen.
Schutzsysteme beim Online-Banking
Banken gewähren durch ausgefeilte Sicherheitsmechanismen ein hohes Maß an Sicherheit, zum Beispiel gegen Phishing. Sie bieten folgende unterschiedliche Systeme an, die übrigens ständig weiterentwickelt werden:
- PIN: Die Persönliche Identifikationsnummer (PIN) oder Geheimzahl ist eine nur einer oder wenigen Personen bekannte Zahl, mit der diese sich gegenüber einer Maschine authentisch identifizieren können. Ursprünglich besteht eine PIN nur aus Ziffern. Inzwischen gibt es aber auch Banken, die etwa beim Online-Banking PINs aus Ziffern und Buchstaben vorschreiben.
- TAN: Eine Transaktionsnummer (TAN) ist ein Einmalpasswort, das üblicherweise aus sechs Dezimalziffern besteht und vorwiegend im Online-Banking verwendet wird.
- i TAN: Ein Kunde kann damit seinen Auftrag nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren. Die Bank fordert ihn auf, eine bestimmte, durch eine Positionsnummer (Index) gekennzeichnete TAN aus seiner zu diesem Zweck durchnummerierten Liste einzugeben. Der TAN-Aufforderung muss der Kunde innerhalb weniger Minuten folgen. Außerdem wird die angeforderte TAN auch im Falle einer Nichtverwendung im Bankrechner als verbraucht gekennzeichnet.
- mobile TAN: Bei dem System mobile TAN (m TAN oder sms TAN) erhält der Onlinebanking-Kunde nach Übersendung der ausgefüllten Überweisung im Internet von der Bank per SMS eine nur für diesen Vorgang verwendbare TAN auf sein Mobiltelefon gesendet. Den Auftrag muss der Kunde mit dieser TAN bestätigen.
- e TAN: Kunden bekommen einen individualisierten TAN-Generator, der unter Einbeziehung eines geheimen Schlüssels, der aktuellen Uhrzeit und der Kontonummer des Empfängers eine temporär gültige TAN erzeugt. Die Empfängerkontonummer muss über das Ziffernfeld des TAN-Generators eingegeben werden.
- Chip TAN: Dieses Verfahren löst die bisherige Liste von Transaktionsnummern in Papierform (i TAN-Verfahren) ab. Es kommt ein kleines Lesegerät zum Einsatz, mit dem der Kunde für jede Transaktion eine eigene TAN generiert. Diese TAN gilt nur für die aktuelle Überweisung und kann für nichts anderes verwendet werden. Dazu gibt der Kunde die Überweisungsdaten auf seinem Computer ein. Danach zeigt ihm das Online-Banking-Portal einen Zifferncode. Diesen gibt er in seinen Kartenleser ein, den er zuvor durch das Einlegen seiner Bankkarte aktiviert hat. Der Leser wandelt den Zahlencode in die benötigte Transaktionsnummer um.
Neben diesen verschiedenen Schutzsystemen der Banken muss jeder Anwender zu seiner eigenen Online-Banking-Sicherheit beitragen.
Schutzprogramme immerzu abspielen
Angreifer manipulieren täglich weltweit mehrere tausend Webseiten und schleusen Schadprogramme ein. Um den eigenen Computer internetfest zu machen, empfiehlt es sich, Betriebssystem, Antivirenprogramme, Firewall und alle Anwendungsprogramme kontinuierlich zu aktualisieren. Verwenden Sie dabei die aktuelle Version des Internetbrowsers und spielen Sie Sicherheits-Updates umgehend ein. Kontrollieren Sie außerdem regelmäßig alle Laufwerke des Computers mit einem aktualisierten Virenschutzprogramm zum Schutz vor schädlicher Software.
Antwort auf Ihre Fragen, wie Sie sich sicher im Internet oder im mobilen Netz bewegen, welche Gefahren es gibt und wie Sie Ihren PC sicher machen, erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI), der unabhängigen und neutralen Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Das BSI untersucht neue Sicherheitslücken, es entwickelt Sicherheitsvorkehrungen und gibt auf seiner Website Tipps für Hersteller, Vertreiber und Anwender.
Richtiges Verhalten erhöht die Sicherheit
Im eigenen Interesse sollten Nutzer die Online-Banking-Bedingungen und Sicherheitshinweise der Bank lesen und sich daran orientieren. Persönliche Zugangsdaten sind nur dann einzugeben, wenn eine verschlüsselte und damit gesicherte Übertragung zwischen dem eigenen Computer und dem Rechner der Bank besteht. Das lässt sich zum Beispiel daran erkennen, dass die Internetadresse der Bank mit https:// beginnt. Geheime Zugangsdaten sind vor unerlaubten Zugriff zu schützen.
Anhänge von E-Mails mit unbekanntem Absender sollten Sie nicht öffnen. Ganz wichtig ist es, auf Anfrage keine Auskünfte über die persönlichen Zugangsdaten zu erteilen, da Banken keinesfalls per E-Mail oder telefonisch nach diesen Daten fragen. Darüber hinaus bedarf es zur Freigabe eines Auftrags nur der einmaligen Eingabe einer TAN. Ist auf Verlangen der Bank ein Passwort für die Anmeldung zum Online-Banking erforderlich, sollte es mindestens acht Stellen lang sein, aus einer Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen bestehen und in regelmäßigen Abständen geändert werden. Wird eine Online-Banking-PIN verlangt, so sollte auch diese zum eigenen Schutz regelmäßig geändert werden.
Verdächtige Kontobewegungen sofort melden
Bei Unstimmigkeiten oder der Vermutung, dass ein Unbefugter die geheimen Zugangsdaten kennt, informieren Sie die Bank umgehend und lassen Sie den Online-Zugang zum Konto sperren. Wurde vom Konto bereits unberechtigterweise Geld abgebucht, ist neben dem Informieren der Bank, Anzeige bei der Polizei zu erstatten. Konto- und Depotumsätze sind regelmäßig zu prüfen.