DatenschutzerklärungSo geht sicheres Onlinebanking
Angriffe auf das Onlinebanking sind meist durch Schadsoftware – sogenannte Trojaner – möglich, die Betrüger unbemerkt auf den Computer des Kunden schleusen. In der griechischen Mythologie war das trojanische Holzpferd eine Kriegslist. Im Rumpf hielten sich Soldaten versteckt. Sie öffneten nachts die Tore Trojas für ihr Heer, das so die Stadt einnehmen konnte.
Auch Onlinemuffel kommen über kurz oder lang nicht am Onlinebanking vorbei. Girokonten, die nicht per Computer geführt werden, werden immer teurer. Und die Banken schließen immer mehr Filialen. Hier beantworten die Experten der Stiftung Warentest die wichtigsten Fragen zum Onlinebanking. In unserem großen Vergleich Girokonto können Sie die verschiedenen Konto-Angebote auch nach der eingesetzten Sicherheitstechnik filtern. Im Test von Finanztest 8/2019 können Sie nachlesen, welche Banken kundenfreundliche Haftungsregeln haben für den Fall, das mal etwas schief läuft.
Onlinebanking – das Wichtigste in Kürze
Darauf sollten Sie beim Banking achten
Auswahl. Derzeit sehr sichere Onlinebanking-Verfahren sind ChipTan, BestSign und PhotoTan – jeweils mit Lesegerät – und QR-Tan. Die AppTan ist ein sicheres Verfahren, SMS-Tan hat nur eine mittlere Sicherheit. Bietet Ihre Bank mehrere Verfahren an, wählen Sie das, mit dem Sie gut klarkommen.
Schutz. Sicherheit vor Schadprogrammen auf Ihrem Computer bieten Virenschutzprogramm und Firewall. Halten Sie Browser und Betriebssystem immer aktuell. Welche Programme erfolgreich Attacken auf den PC abwehren, steht im Test von Sicherheitssoftware. Wie Sie Ihr Smartphone am besten schützen, lesen Sie in unserem Test von Sicherheits-Apps.
Vorsicht. Kommt Ihnen beim Onlinebanking etwas komisch vor, brechen Sie den Vorgang ab. Klicken Sie keine Links aus E-Mails unbekannter Absender an und öffnen Sie keine Dateianhänge.
Prüfung. Bevor Sie eine Onlineüberweisung freigeben, überprüfen Sie die mit der Tan mitgeschickten Auftragsdaten mit denen auf der Rechnung – nicht mit denen, die Sie selbst im Onlineformular eingegeben haben. So erkennen Sie eine Manipulation schneller.
Verlust. Genau wie Sie eine gestohlene oder verlorene Girocard oder Kreditkarte sofort sperren lassen müssen, sollten Sie auch die Sim-Karte des Smartphones und den Tan-Generator sperren lassen, wenn die Geräte abhanden kommen. Achten Sie generell auf eine sichere Handy-Sperre.
Anzeigen. Wenn Sie auf Ihrem Konto betrügerische Abbuchungen feststellen, informieren Sie sofort die Bank und stellen Sie bei der Polizei Strafanzeige. Das geht auch online Gewusst wie: Online Anzeige erstatten.
nach obenAntworten auf Ihre Fragen
Kann ich Onlinebanking auch bei meiner Filialbank machen?
Ja, nahezu jede Bank bietet ein Onlinekonto an. Entweder Sie beantragen das Freischalten Ihres Kontos für das Onlinebanking in der Filiale, oder Sie laden den Antrag von der Internetseite Ihrer Bank herunter. Den Antrag senden Sie ausgefüllt an Ihre Bank. Die schickt Ihnen mit getrennter Post die Zugangsdaten: Benutzername und Passwort. Sie klicken auf der Internetseite Ihrer Bank die Schaltfläche „Login“ an und geben die Zugangsdaten ein. Das Passwort müssen Sie aus Sicherheitsgründen bei der ersten Anmeldung ändern. Sie müssen sich im Antrag meist auch schon für ein Onlinebankingverfahren entscheiden. Die gebräuchlichsten beschreiben wir im Beitrag Tan-Verfahren im Überblick.
Muss mein PC für Onlinebanking Voraussetzungen erfüllen?
Betriebssystem und Internetbrowser – die Software, mit der Sie Internetseiten aufrufen können – sollten aktuell sein. Nutzen Sie die regelmäßigen Updates. Ihr Rechner braucht einen Virenschutz. Markus Feck, Fachanwalt für Bank- und Kapitalmarktrecht, sagt: „Zu einer gesonderten Firewall darf Sie die Bank dagegen nicht verpflichten.“ Die Rechtsprechung sehe dafür keine Pflicht vor (Amtsgericht Wiesloch, Az. 4 C 57/08, Landgericht Mannheim, Az. 1 S 189/07). Nutzen Sie für das Onlinebanking keine öffentlichen Rechner. Nach dem Banking sollten Sie vorsorglich den Cache – eine Art Kurzzeitgedächtnis des Browsers – löschen.
Warum wurde die iTan-Liste eigentlich abgeschafft?
Das Verfahren dürfen die Banken seit dem 14. September 2019 nicht mehr anbieten. Hintergrund ist die EU-Zahlungsdiensterichtlinie PSD2. Sie stellt höhere Anforderungen an die Sicherheit von elektronischen Zahlungen, in der Fachsprache heißt das Zwei-Faktor-Authentifizierung. Das bedeutet, dass Sie mindestens zwei Elemente aus drei unterschiedlichen Kategorien für die Bestätigung des Bankauftrags nutzen müssen: Infrage kommen zum Beispiel die Girocard, die Sie besitzen, ein Passwort, das nur Sie wissen, oder der Fingerabdruck, der untrennbar mit Ihrer Person verbunden ist.
Die iTan – eine Liste mit nummerierten Transaktionsnummern (Tan) entspricht nicht mehr den Sicherheitsanforderungen des neuen EU-Zahlungsrechts. Das Verfahren ist unsicher, weil die iTan nicht mit den Auftragsdaten wie Kontonummer, Betrag oder Datum verbunden ist. Betrüger können mit einer erbeuteten iTan eigene Bankaufträge ausführen.
Was ist seit 14. September 2019 anders als früher, wenn ich auf mein Onlinekonto zugreifen will?
Wenn Sie sich nach den alten Regeln nur mit Benutzername und persönlichem Kennwort einloggen, sehen Sie nur die Umsätze der letzten 90 Tage. Wenn Sie alles sehen wollen – ältere Umsätze, die Bewegungen auf Ihren anderen Konten oder Kreditkartenumsätze –, müssen Sie sich jetzt mit der Zwei-Faktor-Methode identifizieren. Bei dieser Methode müssen Sie zwei von drei möglichen Merkmalen für den Login nutzen. Bei Überweisungen kann eine Bank auf die Zwei-Faktor-Authentifizierung maximal fünfmal hintereinander verzichten, wenn die einzelne Überweisung nicht höher als 30 Euro ist und die Summe aller Überweisungen höchstens 100 Euro beträgt.
Trifft der Zwang zur Zwei-Faktor-Authentifizierung auch auf Spar- und Wertpapierkonten zu?
Nein, die neuen EU-Regeln gelten nur für Zahlungsverkehrskonten, also die normalen Girokonten. Deshalb kann es sein, dass manche Banken für andere Konten noch das iTan-Verfahren zulassen, sofern der Kunde dort nur ein Sparkonto oder ein Depot hat.
Banken, die neben Girokonten auch Wertpapierdepots oder Sparkonten führen, werden in der Regel dafür dieselben Verfahren anbieten wie für Girokonten.
Bin ich ohne Smartphone vom Onlinebanking ausgeschlossen?
Nein. ChipTan, BestSign und PhotoTan funktionieren auch ohne ein internetfähiges Handy. Alle von uns befragten Banken bieten ein Verfahren an, für das Sie kein Smartphone brauchen. Allerdings ist es für manche Verfahren nötig, dass Sie ein Zusatzgerät kaufen, einen sogenannten Tan-Generator. Mit dem können Sie dann die erforderliche Tan erzeugen.
Die SMS-Tan können Sie auch mit einem einfachen Handy nutzen. Sie hat aber nur eine mittlere Sicherheit und wird von einigen Banken wie der Postbank abgeschafft.
Sollte es doch eine Bank geben, die nur Verfahren anbietet, die mit Smartphone oder Tablet möglich sind, haben Sie nur zwei Möglichkeiten: ein Smartphone kaufen oder die Bank wechseln.
Mit welchen Kosten muss ich beim Onlinebanking rechnen?
Die Kontoführung per PC ist bei vielen Banken die preiswerteste Möglichkeit. Nutzen Sie ein Onlinebanking-Verfahren mit zusätzlichem Lesegerät, einem Tan-Generator, müssen Sie dafür bei den Banken für die günstigsten Geräte einmalig zwischen 9 Euro und 35 Euro ausgeben. Alternative Geräte können je nach Funktionsumfang teurer sein. Beim SMS-Tan- und App-Tan-Verfahren berechnen die Banken bis zu 9 Cent pro Tan.
Gibt es beim Onlinebanking eine 100-prozentige Sicherheit?
Nein, absolut sicher ist keins dieser Verfahren, aber auch die Überweisung per Papierformular ist ja nicht absolut sicher. Die nach heutigem Stand der Technik sehr sicheren und sicheren Verfahren beschreiben unter Tan-Verfahren im Überblick. Die Direktbanken DKB und ING-Diba geben ihren Kunden eine Sicherheitsgarantie. Das bedeutet, dass sie die Haftung übernehmen, auch wenn der Kunde grob fahrlässig handelt, etwa Pin und Tan ungesichert auf seinem Computer speichert. Bei diesen Banken muss der Kunde im Schadensfall also nicht beweisen, dass er sorgfältig war. Commerzbank und Deutsche Bank geben dieses Versprechen zwar auch ab, verankern es aber nicht in den Geschäftsbedingungen. Im Streitfall kann der Kunde sich nicht darauf berufen. Kunden der Targobank erhalten die Online-Sicherheitsgarantie nur, wenn sie diese beantragen. Wenn der Kunde aktiv geworden ist und sich registriert hat, kann er sich auf die Sicherheitsgarantie aber verlassen.*)
Wie sorgen die Banken für ein sicheres Onlinebanking?
Die Banken schützen sich mit speziellen Firewalls gegen unberechtigte Zugriffe auf ihr System, sorgen für einen verschlüsselten Datenaustausch und lassen ihre Zugänge zum System von Dritten auf Sicherheitsmängel testen. Sie analysieren Verhaltensmuster, um unberechtigte Buchungen mit sogenannten schwarzen Listen vor der Ausführung zu stoppen.
Was kann ich selbst für sicheres Onlinebanking tun?
Wählen Sie ein sicheres Verfahren. Halten Sie Ihre Zugangsdaten geheim, speichern Sie sie nicht auf Ihrem Computer und schützen Sie den PC mit entsprechender Software.
Vieles hängt auch vom eigenen Verhalten ab. Betrüger versuchen immer wieder, Bankkunden so zu manipulieren, dass sie ihre Daten freiwillig preisgeben oder Überweisungen unwissentlich zugunsten der Betrüger ausführen. Klicken Sie keine Links in Ihren E-Mails an, deren Absender Sie nicht kennen, öffnen Sie auch keine Anhänge. Geben Sie die Internetadresse der Bank immer selbst ein. Seien Sie misstrauisch, wenn Sie in einer E-Mail aufgefordert werden, Passwörter oder vertrauliche Informationen einzugeben. Typisch sind Betreffzeilen wie „Handlungsbedarf – Verifizierung erforderlich“, „Sicherung Ihres Kontos“, „Datenbestätigung erforderlich“ oder „Aktualisierung Ihrer Nutzerdaten“. Auffällig ist auch eine unpersönliche Anrede wie „Sehr geehrter Kunde ...“.
Was muss ich tun, wenn ich mein Smartphone oder den Tan-Generator verloren habe? Wer haftet für mögliche Schäden?
Verlieren Sie das Smartphone, sollten Sie die Sim-Karte beim Mobilfunkanbieter sperren und auch das Girokonto und die Kreditkarte, wenn Sie damit Onlineeinkäufe bezahlen. Das Gleiche gilt, wenn Sie die PhotoTan mit Generator nutzen. Beim ChipTan-Verfahren müssen Sie das Gerät nicht sperren.
Ab der Sperre haften Sie nicht mehr für Schäden. Davor müssen Sie bei einigen Banken bei leichter Fahrlässigkeit bis maximal 50 Euro haften.
Stimmt es, dass künftig neben meiner Bank auch andere Firmen auf mein Konto schauen können?
Ja, das stimmt. Banken müssen künftig Drittfirmen einen Blick auf Ihr Konto gestatten, aber nur mit Ihrer ausdrücklichen Erlaubnis. Infrage kommen nur Zahlungsdienstleister, die die Bundesanstalt für Finanzdienstleistungsaufsicht oder eine andere europäische Aufsichtsbehörde zugelassen hat. Sie dürfen die abgerufenen Kundendaten nur für den vorgegebenen Zweck verwenden.
Eine solche Drittfirma kann ein Zahlungsauslösedienst sein, der zum Beispiel in Ihrem Auftrag eine Überweisung ausführt. Oder ein Kontoinformationsdienst: Wenn Sie zum Beispiel einen Kredit bei einer fremden Bank aufnehmen wollen, kann ihr ein Kontoinformationsdienst anhand Ihrer Kontoumsätze mitteilen, ob Sie kreditwürdig sind.
Wichtig: Sie sollten Drittdiensten nicht vorschnell den Zugriff erlauben. Denn sie können nach Ihrer Zustimmung ohne weitere Nachfrage bis zu vier Mal innerhalb von 24 Stunden auf Ihr Konto gucken.
Ihre Bank muss Ihnen zwar sagen, wer Informationen abgerufen hat, allerdings nicht von sich aus. Sie kann warten, bis Sie die Information anfordern. Wünschenswert wäre es, wenn jede Bank automatisch nach dem Login eine Übersicht anzeigte und Sie zu jeder Zeit sehen könnten, wer welche Informationen abgerufen hat.
Was wird aus dem bisher sehr sicheren Verfahren HBCI/FinTS?
Bei den meisten Banken soll die FinTS-Schnittstelle auch in Zukunft angeboten werden. Diesen Zugang wählen vor allem Bankkunden, die eine Finanzsoftware nutzen. Unseres Wissens hatte nur die ING zunächst mitgeteilt, dass sie die HBCI/FinTS-Schnittstelle nicht PSD2-konform gestalten wolle. Mittlerweile ist sie etwas zurückgerudert und will zumindest eine Kontostand- und Umsatzabfrage ermöglichen.
Spätestens nach 90 Tagen wird jedoch bei allen Schnittstellen auch bei Kontostandabfragen eine Zwei-Faktor-Authentifizierung nötig (siehe Frage „Was ist seit 14. September 2019 anders als früher, wenn ich auf mein Onlinekonto zugreifen will“).
Beim PhotoTan-Verfahren mit Smartphone erscheint die Tan oft ohne weitere Sicherheitsabfrage. Ist das sicher?
Es stimmt, dass das PhotoTan-Verfahren bei einigen Banken ohne eigenen Zugangsschutz angeboten wird. Das App-basierte PhotoTan-Verfahren ist jedoch ein Besitzelement, da es an ein bestimmtes Smartphone gebunden ist. Das zweite Element wäre dann die Pin für die Banking-App, die nur der Bankkunde weiß.
Ein Angreifer könnte zwar die PhotoTan-App aufrufen, das allein nützt ihm aber nichts, weil er nicht an die gesicherte Banking-App kommt.
Kann ich mich auch für zwei Verfahren anmelden?
Das kommt auf Ihre Bank an. Wenn sie mehrere Onlinebanking-Verfahren anbietet, ist es meistens möglich, zwei davon parallel zu nutzen. Sie wählen aus den angebotenen Verfahren Ihre Favoriten aus. Für jedes Verfahren erhalten Sie abhängig von Ihrer Bank eventuell einen eigenen Anmeldenamen und eine eigene Pin. Sie entscheiden mit der Eingabe der Daten bei der Anmeldung im Onlinebanking, welches Verfahren Sie nutzen möchten. Manche Banken schließen aber auch das parallele Nutzen von zwei Verfahren aus.
Bearbeiten Banken Onlineaufträge rund um die Uhr?
Standardüberweisungen, ob per Papier oder per PC in Auftrag gegeben, werden rund um die Uhr angenommen, aber nur zu bestimmten Zeiten verarbeitet. An Samstagen, Sonn- und Feiertagen sowie in der Nacht finden keine Buchungen statt. Bis zu welchem Zeitpunkt die Bank Überweisungen noch am gleichen Tag ausführt, steht im Preis- und Leistungsverzeichnis. Aufträge, die danach eingehen, werden am folgenden Werktag gebucht.
Beispiel: Eine Überweisung, die Sie Freitag um 21 Uhr tätigen, wird erst montags ausgeführt. Überweisen Sie am Montag tagsüber, wird der Auftrag am selben Tag gebucht. Innerhalb derselben Bank taucht eine Onlineüberweisung von Konto zu Konto fast zeitgleich im Onlinebanking auf. Auch die Wertstellung erfolgt meist sofort.
Mittlerweile sind Überweisungen von einem Bankkonto zum anderen schneller möglich. Echtzeitüberweisung – oder in der Fachsprache Instant Payment – heißt das Angebot, mit dem die Europäische Union seit November 2017 eine Möglichkeit geschaffen hat, Geld innerhalb von Sekunden zum Empfänger zu schicken. Bei vielen Banken geht das – meist kostet es.
Ist es sicherer, einen älteren Computer nur für Onlinebanking zu nutzen?
Der Ansatz ist nicht verkehrt, solange Sie so diszipliniert sind und wirklich keine anderen Internetseiten besuchen. Allerdings ist nicht der Computer selbst das Sicherheitsproblem. Angriffspunkt für Betrüger ist die Software auf dem Computer. Sie müssen auch auf dem älteren Gerät die üblichen Sicherheitsvorkehrungen treffen: Virenscanner installieren sowie Betriebssystem und Internetbrowser immer aktuell halten. Wichtig ist, dass die Programme vom Hersteller immer noch Sicherheitsupdates erhalten. Je älter die Hardware ist, desto eher kann es vorkommen, dass die neue Software nur noch langsam läuft und das Onlinebanking dadurch nicht so komfortabel ist.
Ist das Betriebssystem Linux sicherer als Windows?
Ihre Annahme rührt offenbar daher, dass wegen der geringeren Verbreitung Angriffe auf das freie Linux-System wesentlich seltener sind als auf gängige Betriebssysteme. Betrüger wählen als Angriffsziel meist Systeme aus, bei denen die Erfolgsaussichten sehr groß sind, also wenn Millionen Nutzer erreicht werden können. Aber Vorsicht: Egal, welches Betriebssystem Sie nutzen, Sie müssen immer die möglichen Sicherheitsvorkehrungen treffen. In den allgemeinen Geschäftsbedingungen oder den Sonderbedingungen zum Onlinebanking beschreiben die Banken in der Regel, welche Maßnahmen sie von Ihnen erwarten.
Wie kann ich eine von Betrügern nachgemachte Internetseite erkennen?
Das ist nicht immer einfach. Wichtig ist, dass Sie für Bankgeschäfte nie einen Link verwenden, der Ihnen per E-Mail zugeschickt wurde. Geben Sie bei jedem Aufruf die Internetadresse Ihrer Bank neu über die Tastatur ein. Wenn Sie schon beim Login nach einer Transaktionsnummer (Tan) gefragt werden, sind Sie mit Sicherheit auf einer gefälschten Seite. Auch minimale Abweichungen der Internetadresse – etwa Trennungspunkte oder Trennstriche – sind Zeichen für eine Fälschung. Generell verdächtig ist alles, was vom gewohnten Ablauf abweicht.
Achten Sie darauf, dass die Verbindung zu Ihrer Bank in der Adresszeile mit https:// beginnt. Bei Verwendung der aktuellen Browsersoftware wird mittlerweile oft ein Zertifikat angezeigt, mit dem die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz bestätigt wird. Fast alle modernen Browser warnen vor unsicheren Zertifikaten oder verdächtigen Umleitungen. In diesem Fall sollten Sie keine Transaktionen mehr unternehmen und sofort Ihre Bank informieren.
Ist die Funktion „Kennworte speichern“ empfehlenswert?
Bei einigen Browsern ist es möglich, Einträge und Passwörter in Formularfeldern – also auch im Anmeldeformular für das Onlinebanking – automatisch zu ergänzen oder zu speichern. Das ist aber gerade im Bezug auf das Onlinebanking aus Sicherheitsgründen nicht zu empfehlen. Wenn Sie die automatische Speicherung von Daten in Ihrem Browser aktiviert haben, sollten Sie die Funktion „Kennwörter speichern“ (Browser Mozilla Firefox) beziehungsweise „Auto-Vervollständigen“ (Browser Internet Explorer) besser abschalten.
Was unterscheidet Onlinebanking von Mobilebanking?
Unter Onlinebanking verstehen wir, dass Sie sich an einem PC oder Tablet über den Internetbrowser bei Ihrer Bank einwählen. Mobilebanking meint dagegen, dass Sie zum Beispiel für eine Überweisung eine spezielle Banking-App verwenden. Die App laden Sie auf Ihr Smartphone. Sie kann von Ihrer Hausbank sein oder auch von einem anderen Anbieter. Mobilebanking ist genauso sicher wie Onlinebanking. Da Banking-Apps noch weniger verbreitet sind, sind sie für Betrüger kein attraktives Angriffsziel. Das kann sich aber mit der Zeit ändern.
*) Korrigiert am 23. Oktober 2018
Das FAQ wird regelmäßig aktualisiert, zuletzt am 12.9.2019
nach obenJetzt freischalten
Wie möchten Sie bezahlen?
Preise inkl. MwSt.- kauft alle Testprodukte anonym im Handel ein,
- nimmt Dienstleistungen verdeckt in Anspruch,
- lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
- ist vollständig anzeigenfrei,
- erhält nur knapp 5 Prozent ihrer Erträge als öffentlichen Zuschuss.
