So geht sicheres Online­banking

Welche Vorteile bietet mir Online­banking von zu Hause im Vergleich zur Filiale?

Mit Online­banking am heimischen Computer haben Sie Ihre persönliche Bank­filiale zu Hause. Sie sind von Öffnungs­zeiten und dem Stand­ort der nächsten Filiale unabhängig und müssen auch nicht warten, bis Bank­mit­arbeiter Zeit für Sie haben und ein Park­platz vor der Zweigstelle frei wird.

Zu Hause können Sie rund um die Uhr auf fast alle Bank­dienst­leistungen zugreifen. Sie können Rechnungen per Über­weisung bezahlen, haben die Daten dafür parat und können regel­mäßige Über­weisungen speichern. Es lassen sich Dauer­aufträge einrichten und ändern sowie Konto­auszüge ausdrucken.

Die Konto­führung ist meist güns­tiger, im besten Fall kostenlos. Unser großer Vergleich Girokonten bei über 150 Banken zeigt Gehalts- und Renten­konten, die bei Online­konto­führung gratis sind.

Selbst Bargeld erhalten Sie ohne Filialen oder Geld­automaten. Bundes­weit bieten immer mehr Händler Bargeldauszahlung bis 200 Euro an. Sie verlangen dafür einen Mindest­einkauf (oft 10 Euro, manchmal weniger). Das geht zum Beispiel bei Aldi Süd, Netto, Lidl, Rewe, Penny, in vielen Edeka-Märkten und bei regionalen Anbietern wie Famila oder Plaza.

Wie behalte ich beim Online­banking die Kontrolle über meine Finanzen?

Auch beim Online­banking können Sie jeder­zeit sehen, wie es um Ihre Ausgaben steht. Mit Online­zugang zum Giro­konto lassen sich Umsätze unmittel­bar nach­voll­ziehen, manchmal sogar nach Ausgaben­bereichen sortiert. Einige Banken benach­richtigen ihre Kunden umge­hend per E-Mail, SMS oder per Push-Nach­richt auf das Smartphone, wenn eine Konto­bewegung statt­findet, zum Beispiel eine Zahlung erfolgt ist. Das passiert etwa, wenn Ihr Gehalt eingeht oder das Konto ins Minus rutscht. Bei den Sparkassen heißt diese Funk­tion „Konto­wecker“.

Tipp. Mit einem digitalen Haushaltsbuch lassen sich bequem alle Ausgaben per Handy oder PC verwalten.

Kann ich Online­banking auch bei meiner Filial­bank machen?

Ja, nahezu jede Bank bietet ein Online­konto an. Entweder Sie beantragen das Frei­schalten Ihres Kontos für das Online­banking in der Filiale, oder Sie laden den Antrag von der Internetseite Ihrer Bank herunter. Den Antrag senden Sie ausgefüllt an Ihre Bank. Die schickt Ihnen mit getrennter Post die Zugangs­daten: Benutzer­name und Pass­wort. Sie klicken auf der Internetseite Ihrer Bank die Schalt­fläche „Login“ an und geben die Zugangs­daten ein. Das Pass­wort müssen Sie aus Sicher­heits­gründen bei der ersten Anmeldung ändern. Sie müssen sich im Antrag meist auch schon für ein Online­banking­verfahren entscheiden. Die gebräuchlichsten beschreiben wir im Beitrag Tan-Verfahren im Überblick.

Muss mein PC für Online­banking Voraus­setzungen erfüllen?

Betriebs­system und Internet­browser – die Software, mit der Sie Internet­seiten aufrufen können – sollten aktuell sein. Nutzen Sie die regel­mäßigen Updates. Ihr Rechner braucht einen Viren­schutz. Markus Feck, Fach­anwalt für Bank- und Kapitalmarkt­recht, sagt: „Zu einer gesonderten Firewall darf Sie die Bank dagegen nicht verpflichten.“ Die Recht­sprechung sehe dafür keine Pflicht vor (Amts­gericht Wiesloch, Az. 4 C 57/08, Land­gericht Mann­heim, Az. 1 S 189/07). Nutzen Sie für das Online­banking keine öffent­lichen Rechner. Nach dem Banking sollten Sie vorsorglich den Cache – eine Art Kurz­zeitgedächt­nis des Browsers – löschen.

Warum wurde die iTan-Liste eigentlich abge­schafft?

Das Verfahren dürfen die Banken seit dem 14. September 2019 nicht mehr anbieten. Hintergrund ist die EU-Zahlungs­diens­tericht­linie PSD2. Sie stellt höhere Anforderungen an die Sicherheit von elektronischen Zahlungen, in der Fach­sprache heißt das Zwei-Faktor-Authentifizierung. Das bedeutet, dass Sie mindestens zwei Elemente aus drei unterschiedlichen Kategorien für die Bestätigung des Bank­auftrags nutzen müssen: Infrage kommen zum Beispiel die Girocard, die Sie besitzen, ein Pass­wort, das nur Sie wissen, oder der Finger­abdruck, der untrenn­bar mit Ihrer Person verbunden ist.

Die iTan – eine Liste mit nummerierten Trans­aktions­nummern (Tan) entspricht nicht mehr den Sicher­heits­anforderungen, denn Betrüger können mit einer erbeuteten iTan eigene Bank­aufträge ausführen.

Gibt es eigentlich noch das HBCI-Verfahren?

Der FinTS-Stan­dard ist der derzeit gültige Begriff, vormals HBCI genannt. Die Zukunft von FinTS ist aus tech­nischen Gründen jedoch ungewiss geworden. Einige Banken haben bereits die Einstellung angekündigt. Die Sicherheit des Verfahrens mit Signaturkarte und Lesegerät ist mindestens auf dem Niveau von ChipTan-Verfahren, also als sehr hoch zu bewerten. Allerdings bietet das ChipTan-Verfahren eine größere Flexibilität bei ebenfalls hervorragenden Sicher­heits­eigenschaften und ist daher eine gute Alternative.

Wie sicher ist das SMS-Tan-Verfahren?

Andere begriffe für die Über­mitt­lung einer Tan aufs Handy sind MobileTan oder mTan. Von diesem Banking­verfahren raten wir inzwischen ab. Es entspricht nicht mehr den tech­nischen Sicher­heits­anforderungen des europäischen Zahlungs­rechts. Ohnehin haben etliche Banken das SMS-Tan-Verfahren bereits einge­stellt, stellen es Neukunden nicht mehr zur Verfügung oder lassen es spätestens bis Ende 2021 auslaufen. Nur wenige Privatbanken bieten es noch uneinge­schränkt an.

Welche Regeln gelten beim Einloggen auf mein Online­konto?

Wenn Sie sich nur mit Benutzer­name und persönlichem Kenn­wort einloggen, sehen Sie nur die Umsätze der letzten 90 Tage. Wenn Sie alles sehen wollen – ältere Umsätze, die Bewegungen auf Ihren anderen Konten oder Kreditkarten­umsätze –, müssen Sie sich mit der Zwei-Faktor-Methode identifizieren. Bei dieser Methode müssen Sie zwei von drei möglichen Merkmalen für den Login nutzen. Bei Über­weisungen kann eine Bank auf die Zwei-Faktor-Authentifizierung maximal fünf­mal hinter­einander verzichten, wenn die einzelne Über­weisung nicht höher als 30 Euro ist und die Summe aller Über­weisungen höchs­tens 100 Euro beträgt.

Trifft der Zwang zur Zwei-Faktor-Authentifizierung auch auf Spar- und Wert­papier­konten zu?

Nein, die neuen EU-Regeln gelten nur für Zahlungs­verkehrs­konten, also die normalen Giro­konten. Deshalb kann es sein, dass manche Banken für andere Konten noch das iTan-Verfahren zulassen, sofern der Kunde dort nur ein Spar­konto oder ein Depot hat.

Banken, die neben Giro­konten auch Wert­papierdepots oder Spar­konten führen, werden in der Regel dafür dieselben Verfahren anbieten wie für Giro­konten.

Bin ich ohne Smartphone vom Online­banking ausgeschlossen?

Nein. ChipTan, BestSign und PhotoTan funk­tionieren auch ohne ein internet­fähiges Handy. Alle von uns befragten Banken bieten ein Verfahren an, für das Sie kein Smartphone brauchen. Allerdings ist es für manche Verfahren nötig, dass Sie ein Zusatz­gerät kaufen, einen sogenannten Tan-Generator. Mit dem können Sie dann die erforderliche Tan erzeugen.

Die SMS-Tan können Sie auch mit einem einfachen Handy nutzen. Sie hat aber nur eine mitt­lere Sicherheit und wird nur noch von wenigen Banken angeboten.

Sollte es doch eine Bank geben, die nur Verfahren anbietet, die mit Smartphone oder Tablet möglich sind, haben Sie nur zwei Möglich­keiten: ein Smartphone kaufen oder die Bank wechseln.

Was ist mit Telefon­banking?

Wer weder Computer noch Internet­zugang hat, kann auf Telefon­banking ausweichen. Es nimmt eine Position zwischen dem rein anonymen Banking per Daten­leitung und dem persönlichen Besuch einer Filiale ein. Sie können fast alle Bank­leistungen nutzen, die Sie auch in der Filiale bekommen haben, zum Beispiel können Sie Ihren Konto­stand und die Umsätze auf Ihrem Giro-, Spar- oder Kreditkarten­konto abfragen, Über­weisungen in Auftrag geben, Dauer­aufträge einrichten oder löschen lassen oder einen Termin für eine Beratung in der Filiale vereinbaren.

Für das Telefon­banking unterzeichnen Sie eine Vereinbarung in Ihrer Filiale vor Ort. Sie können den Antrag auch telefo­nisch anfordern und ihn unter­schrieben abgeben. Sie bekommen die Zugangs­daten per Post. Das sind meist ein Pass­wort oder eine Zugangs­nummer (kann die Konto­nummer sein) und eine persönliche Geheimzahl (Pin). Je nach Konto­modell kann Telefon­banking Zusatz­kosten verursachen.

Mit welchen Kosten muss ich beim Online­banking rechnen?

Die Konto­führung per PC ist bei vielen Banken die preis­werteste Möglich­keit. Nutzen Sie ein Online­banking-Verfahren mit zusätzlichem Lesegerät, einem Tan-Generator, müssen Sie dafür bei den Banken für die güns­tigsten Geräte einmalig zwischen 9 Euro und 35 Euro ausgeben. Alternative Geräte können je nach Funk­tions­umfang teurer sein. Beim SMS-Tan- und App-Tan-Verfahren berechnen die Banken bis zu 9 Cent pro Tan.

Gibt es beim Online­banking eine 100-prozentige Sicherheit?

Nein, absolut sicher ist keins dieser Verfahren, aber auch die Über­weisung per Papierformular ist ja nicht absolut sicher. Die nach heutigem Stand der Technik sehr sicheren und sicheren Verfahren beschreiben wir unter Tan-Verfahren im Überblick. Die Direkt­bank ING gibt ihren Kunden eine Sicher­heits­garantie. Das bedeutet, dass sie die Haftung über­nimmt, auch wenn der Kunde grob fahr­lässig handelt, etwa Pin und Tan ungesichert auf seinem Computer speichert. Die Kundin oder der Kunde muss im Schadens­fall also nicht beweisen, dass er sorgfältig war. Commerz­bank und Deutsche Bank geben dieses Versprechen zwar auch ab, verankern es aber nicht in den Geschäfts­bedingungen. Im Streitfall kann der Kunde sich nicht darauf berufen. Kunden der Targo­bank erhalten die Online-Sicher­heits­garantie nur, wenn sie diese beantragen. Wenn der Kunde aktiv geworden ist und sich registriert hat, kann er sich auf die Sicher­heits­garantie aber verlassen.

Wie sorgen die Banken für ein sicheres Online­banking?

Die Banken schützen sich mit speziellen Firewalls gegen unbe­rechtigte Zugriffe auf ihr System, sorgen für einen verschlüsselten Daten­austausch und lassen ihre Zugänge zum System von Dritten auf Sicher­heits­mängel testen. Sie analysieren Verhaltens­muster, um unbe­rechtigte Buchungen mit sogenannten schwarzen Listen vor der Ausführung zu stoppen.

Was kann ich selbst für sicheres Online­banking tun?

Wählen Sie ein sicheres Verfahren. Halten Sie Ihre Zugangs­daten geheim, speichern Sie sie nicht auf Ihrem Computer und schützen Sie den PC mit entsprechender Software.

Vieles hängt auch vom eigenen Verhalten ab. Betrüger versuchen immer wieder, Bank­kunden so zu manipulieren, dass sie ihre Daten freiwil­lig preis­geben oder Über­weisungen unwissentlich zugunsten der Betrüger ausführen.

Unser Rat:

• Klicken Sie keine Links in Ihren E-Mails an, deren Absender Sie nicht kennen,
• öffnen Sie keine Anhänge,
• geben Sie die Internet­adresse der Bank immer selbst ein,
• seien Sie miss­trauisch, wenn Sie in einer E-Mail aufgefordert werden, Pass­wörter oder vertrauliche Informationen einzugeben.

Typisch sind Betreff­zeilen wie „Hand­lungs­bedarf – Verifizierung erforderlich“, „Sicherung Ihres Kontos“, „Daten­bestätigung erforderlich“ oder „Aktualisierung Ihrer Nutzer­daten“. Auffällig ist auch eine unpersönliche Anrede wie „Sehr geehrter Kunde ...“.

Was muss ich tun, wenn ich mein Smartphone oder den Tan-Generator verloren habe? Wer haftet für mögliche Schäden?

Verlieren Sie das Smartphone, sollten Sie die Sim-Karte beim Mobil­funkanbieter sperren und auch das Giro­konto und die Kreditkarte, wenn Sie damit Online­einkäufe bezahlen. Das Gleiche gilt, wenn Sie die PhotoTan mit Generator nutzen. Beim ChipTan-Verfahren müssen Sie das Gerät nicht sperren.

Ab der Sperre haften Sie nicht mehr für Schäden. Davor müssen Sie bei einigen Banken bei leichter Fahr­lässig­keit bis maximal 50 Euro haften.

Stimmt es, dass künftig neben meiner Bank auch andere Firmen auf mein Konto schauen können?

Ja, das stimmt. Banken müssen künftig Dritt­firmen einen Blick auf Ihr Konto gestatten, aber nur mit Ihrer ausdrück­lichen Erlaubnis. Infrage kommen nur Zahlungs­dienst­leister, die die Bundes­anstalt für Finanz­dienstleistungs­aufsicht oder eine andere europäische Aufsichts­behörde zugelassen hat. Sie dürfen die abge­rufenen Kunden­daten nur für den vorgegebenen Zweck verwenden.

Eine solche Dritt­firma kann ein Zahlungs­auslösedienst sein, der zum Beispiel in Ihrem Auftrag eine Über­weisung ausführt. Oder ein Konto­informations­dienst: Wenn Sie zum Beispiel einen Kredit bei einer fremden Bank aufnehmen wollen, kann ihr ein Konto­infor­mations­dienst anhand Ihrer Konto­umsätze mitteilen, ob Sie kreditwürdig sind.

Wichtig: Sie sollten Dritt­diensten nicht vorschnell den Zugriff erlauben. Denn sie können nach Ihrer Zustimmung ohne weitere Nach­frage bis zu vier Mal inner­halb von 24 Stunden auf Ihr Konto gucken.

Ihre Bank muss Ihnen zwar sagen, wer Informationen abge­rufen hat, allerdings nicht von sich aus. Sie kann warten, bis Sie die Information anfordern. Wünschens­wert wäre es, wenn jede Bank auto­matisch nach dem Login eine Über­sicht anzeigte und Sie zu jeder Zeit sehen könnten, wer welche Informationen abge­rufen hat.

Beim PhotoTan-Verfahren mit Smartphone erscheint die Tan oft ohne weitere Sicher­heits­abfrage. Ist das sicher?

Es stimmt, dass das PhotoTan-Verfahren bei einigen Banken ohne eigenen Zugangs­schutz angeboten wird. Das App-basierte PhotoTan-Verfahren ist jedoch ein Besit­zelement, da es an ein bestimmtes Smartphone gebunden ist. Das zweite Element wäre dann die Pin für die Banking-App, die nur der Bank­kunde weiß.

Ein Angreifer könnte zwar die PhotoTan-App aufrufen, das allein nützt ihm aber nichts, weil er nicht an die gesicherte Banking-App kommt.

Kann ich mich auch für zwei Verfahren anmelden?

Das kommt auf Ihre Bank an. Wenn sie mehrere Online­banking-Verfahren anbietet, ist es meistens möglich, zwei davon parallel zu nutzen. Sie wählen aus den angebotenen Verfahren Ihre Favoriten aus. Für jedes Verfahren erhalten Sie abhängig von Ihrer Bank eventuell einen eigenen Anmelde­namen und eine eigene Pin. Sie entscheiden mit der Eingabe der Daten bei der Anmeldung im Online­banking, welches Verfahren Sie nutzen möchten. Manche Banken schließen aber auch das parallele Nutzen von zwei Verfahren aus.

Bearbeiten Banken Online­aufträge rund um die Uhr?

Stan­dard­über­weisungen, ob per Papier oder per PC in Auftrag gegeben, werden rund um die Uhr angenommen, aber nur zu bestimmten Zeiten bearbeitet. An Sams­tagen, Sonn- und Feier­tagen sowie in der Nacht finden keine Buchungen statt. Bis zu welchem Zeit­punkt die Bank Über­weisungen noch am gleichen Tag ausführt, steht im Preis- und Leistungs­verzeichnis. Aufträge, die danach eingehen, werden am folgenden Werk­tag gebucht.

Beispiel: Eine Über­weisung, die Sie Freitag um 21 Uhr tätigen, wird erst montags ausgeführt. Über­weisen Sie am Montag tags­über, wird der Auftrag am selben Tag gebucht. Inner­halb derselben Bank taucht eine Online­über­weisung von Konto zu Konto fast zeitgleich im Online­banking auf. Auch die Wert­stellung erfolgt meist sofort.

Mitt­lerweile sind Über­weisungen von einem Bank­konto zum anderen schneller möglich. Echtzeitüberweisung – oder in der Fach­sprache Instant Payment – heißt das Angebot, mit dem die Europäische Union seit November 2017 eine Möglich­keit geschaffen hat, Geld inner­halb von Sekunden zum Empfänger zu schi­cken. Bei vielen Banken geht das – meist kostet es.

Ist es sicherer, einen älteren Computer nur für Online­banking zu nutzen?

Der Ansatz ist nicht verkehrt, solange Sie so diszipliniert sind und wirk­lich keine anderen Internet­seiten besuchen. Allerdings ist nicht der Computer selbst das Sicher­heits­problem. Angriffs­punkt für Betrüger ist die Software auf dem Computer. Sie müssen auch auf dem älteren Gerät die üblichen Sicher­heits­vorkehrungen treffen: Virens­canner installieren sowie Betriebs­system und Internet­browser immer aktuell halten.

Wichtig ist, dass die Programme vom Hersteller immer noch Sicher­heits­updates erhalten. Je älter die Hard­ware ist, desto eher kann es vorkommen, dass die neue Software nur noch lang­sam läuft und das Online­banking dadurch nicht so komfortabel ist.

Ist das Betriebs­system Linux sicherer als Wind­ows?

Diese Annahme rührt offen­bar daher, dass wegen der geringeren Verbreitung Angriffe auf das freie Linux-System wesentlich seltener sind als auf gängige Betriebs­systeme. Betrüger wählen als Angriffs­ziel meist Systeme aus, bei denen die Erfolgs­aussichten sehr groß sind, also wenn Millionen Nutzer erreicht werden können.

Aber Vorsicht: Egal, welches Betriebs­system Sie nutzen, Sie müssen immer die möglichen Sicher­heits­vorkehrungen treffen. In den allgemeinen Geschäfts­bedingungen oder den Sonderbedingungen zum Online­banking beschreiben die Banken in der Regel, welche Maßnahmen sie von Ihnen erwarten.

Wie kann ich eine von Betrügern nachgemachte Internetseite erkennen?

Das ist nicht immer einfach. Wichtig ist, dass Sie für Bank­geschäfte nie einen Link verwenden, der Ihnen per E-Mail zuge­schickt wurde. Geben Sie bei jedem Aufruf die Internet­adresse Ihrer Bank neu über die Tastatur ein. Wenn Sie schon beim Login nach einer Trans­aktions­nummer (Tan) gefragt werden, sind Sie mit Sicherheit auf einer gefälschten Seite. Auch minimale Abweichungen der Internet­adresse – etwa Trennungs­punkte oder Trenn­striche – sind Zeichen für eine Fälschung. Generell verdächtig ist alles, was vom gewohnten Ablauf abweicht.

Achten Sie darauf, dass die Verbindung zu Ihrer Bank in der Adress­zeile mit https:// beginnt. Bei Verwendung der aktuellen Browsersoftware wird mitt­lerweile oft ein Zertifikat ange­zeigt, mit dem die Richtig­keit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz bestätigt wird. Fast alle modernen Browser warnen vor unsicheren Zertifikaten oder verdächtigen Umleitungen. In diesem Fall sollten Sie keine Trans­aktionen mehr unternehmen und sofort Ihre Bank informieren.

Ist die Funk­tion „Kenn­worte speichern“ empfehlens­wert?

Bei einigen Browsern ist es möglich, Einträge und Pass­wörter in Formular­feldern – also auch im Anmeldeformular für das Online­banking – auto­matisch zu ergänzen oder zu speichern. Das ist aber gerade im Bezug auf das Online­banking aus Sicher­heits­gründen nicht zu empfehlen. Wenn Sie die auto­matische Speicherung von Daten in Ihrem Browser akti­viert haben, sollten Sie die Funk­tion „Kenn­wörter speichern“ (Browser Mozilla Firefox) beziehungs­weise „Auto-Vervoll­ständigen“ (Browser Internet Explorer) besser abschalten.

Was unterscheidet Online­banking von Mobile­banking?

Unter Online­banking verstehen wir, dass Sie sich an einem PC oder Tablet über den Internet­browser bei Ihrer Bank einwählen. Mobile­banking meint dagegen, dass Sie zum Beispiel für eine Über­weisung eine spezielle Banking-App verwenden. Die App laden Sie auf Ihr Smartphone. Sie kann von Ihrer Haus­bank sein oder auch von einem anderen Anbieter.

Mobile­banking ist genauso sicher wie Online­banking. Da Banking-Apps noch weniger verbreitet sind, sind sie für Betrüger kein attraktives Angriffs­ziel. Das kann sich aber mit der Zeit ändern.