So geht sicheres Online­banking

Giro­konten und Online­banking Test

Angriffe auf das Online­banking sind meist durch Schadsoftware – sogenannte Trojaner – möglich, die Betrüger unbe­merkt auf den Computer des Kunden schleusen. In der grie­chischen Mythologie war das troja­nische Holz­pferd eine Kriegs­list. Im Rumpf hielten sich Soldaten versteckt. Sie öffneten nachts die Tore Trojas für ihr Heer, das so die Stadt einnehmen konnte. Deshalb heißen unbe­merkt geladene PC-Schad­programme Trojaner.

Auch Onlinemuffel kommen über kurz oder lang nicht am Online­banking vorbei. Giro­konten, die nicht per Computer geführt werden, werden immer teurer. Und die schließen immer mehr Filialen. Hier beant­worten die Experten der Stiftung Warentest die wichtigsten Fragen zum Online­banking. Im Test von Finanztest 11/2018 können Sie nach­lesen, welche großen Banken welche Verfahren einsetzen – und wie kundenfreundlich deren Haftungs­regeln sind für den Fall, das mal etwas schief läuft.

Online­banking – das Wichtigste in Kürze

Darauf sollten Sie beim Banking achten

Auswahl. Nach dem Frei­schalten zeigt Ihnen unser Test von 22 Banken, wo Online­banking wirk­lich sicher ist. Sie können den Testbe­richt aus Finanztest 11/2018 als PDF herunter­laden. Die derzeit sichersten Online­banking-Verfahren sind ChipTan, BestSign und PhotoTan, jeweils mit Lesegerät, und QR-Tan. Im kostenlosen Beitrag Tan-Verfahren im Überblick erfahren Sie, wie die Verfahren im Grund­satz funk­tionieren.

Schutz. Sicherheit vor Schad­programmen auf Ihrem Computer bieten Viren­schutz­programm und Firewall. Halten Sie Browser und Betriebs­system immer aktuell. Welche Programme erfolg­reich Atta­cken auf den PC abwehren, steht im Test von Sicherheitssoftware. Wie Sie Ihr Smartphone am besten schützen, lesen Sie in unserem Test von Sicherheits-Apps.

Vorsicht. Kommt Ihnen beim Online­banking etwas komisch vor, brechen Sie den Vorgang ab. Klicken Sie keine Links aus E-Mails unbe­kannter Absender an und öffnen Sie keine Datei­anhänge.

Prüfung. Bevor Sie eine Online­über­weisung frei­geben, über­prüfen Sie die mit der Tan mitgeschickten Auftrags­daten mit denen auf der Rechnung – nicht mit denen, die Sie selbst im Onlineformular einge­geben haben. So erkennen Sie eine Manipulation schneller.

Anzeigen. Wenn Sie auf Ihrem Konto betrügerische Abbuchungen fest­stellen, informieren Sie sofort die Bank und stellen Sie bei der Polizei Straf­anzeige. Das geht auch online Gewusst wie: Online Anzeige erstatten.

nach oben

Antworten auf Ihre Fragen

Kann ich Online­banking auch bei meiner Filial­bank machen?

Ja, nahezu jede Bank bietet ein Online­konto an. Entweder Sie beantragen das Frei­schalten Ihres Kontos für das Online­banking in der Filiale, oder Sie laden den Antrag von der Internetseite Ihrer Bank herunter. Den Antrag senden Sie ausgefüllt an Ihre Bank. Die schickt Ihnen mit getrennter Post die Zugangs­daten: Benutzer­name und Pass­wort. Sie klicken auf der Internetseite Ihrer Bank die Schalt­fläche „Login“ an und geben die Zugangs­daten ein. Das Pass­wort müssen Sie aus Sicher­heits­gründen bei der ersten Anmeldung ändern. Sie müssen sich im Antrag meist auch schon für ein Online­banking­verfahren entscheiden. Die gebräuchlichsten beschreiben wir im Beitrag Tan-Verfahren im Überblick.

Muss mein PC für Online­banking Voraus­setzungen erfüllen?

Betriebs­system und Internet­browser – die Software, mit der Sie Internet­seiten aufrufen können – sollten aktuell sein. Nutzen Sie die regel­mäßigen Updates. Ihr Rechner braucht einen Viren­schutz. Markus Feck, Fach­anwalt für Bank- und Kapitalmarkt­recht, sagt: „Zu einer gesonderten Firewall darf Sie die Bank dagegen nicht verpflichten.“ Die Recht­sprechung sehe dafür keine Pflicht vor (Amts­gericht Wiesloch, Az. 4 C 57/08, Land­gericht Mann­heim, Az. 1 S 189/07). Trotzdem verlangen das die Noris­bank und die Deutsche Bank. Nutzen Sie für das Online­banking keine öffent­lichen Rechner. Nach dem Banking sollten Sie vorsorglich den Cache – eine Art Kurz­zeitgedächt­nis des Browsers – löschen.

Ich nutze die iTan-Liste. Stimmt es, dass sie abge­schafft wird?

Ja. Die iTan-Liste ist eine Liste mit nummerierten Trans­aktions­nummern (Tan). Die Bank gibt Ihnen nach dem Zufalls­prinzip vor, mit welcher Tan von der Liste Sie den Bank­auftrag bestätigen sollen. Das Verfahren ist unsicher, weil die iTan nicht mit den Auftrags­daten wie Konto­nummer, Betrag oder Datum verbunden ist. Betrüger können mit einer erbeuteten iTan eigene Bank­aufträge ausführen.

Das Verfahren dürfen die Banken nach dem 14. September 2019 nicht mehr anbieten. Hintergrund ist die EU-Zahlungs­diens­tericht­linie PSD2. Sie stellt höhere Anforderungen an die Sicherheit von elektronischen Zahlungen, in der Fach­sprache heißt das Zwei-Faktor-Authentifizierung. Das bedeutet, dass Sie mindestens zwei Elemente aus drei unterschiedlichen Kategorien für die Bestätigung des Bank­auftrags nutzen müssen: Infrage kommen zum Beispiel die Girocard, die Sie besitzen, ein Pass­wort, das nur Sie wissen, oder der Finger­abdruck, der untrenn­bar mit Ihrer Person verbunden ist.

Was ist mit dem Verfahren eTan+ der Volks­wagen Bank?

Das Verfahren ist unsicher. Sie bekommen dafür ein Extragerät, den Bankey. Es zeigt keine Trans­aktions­daten, sondern nur die Tan an, die nicht an den Über­weisungs­betrag gebunden ist. Die Volks­wagen Bank stellt zurzeit alle Kunden auf das sichere Photo-Tan-Verfahren um.

Bin ich ohne Smartphone vom Online­banking ausgeschlossen?

Nein, nicht unbe­dingt. PhotoTan, ChipTan und von der Post­bank BestSign funk­tionieren auch ohne ein internet­fähiges Smartphone. Mit einem einfachen Handy können Sie die SMS-Tan nutzen. Sie hat im Verhältnis zu den anderen Verfahren aber nur eine mitt­lere Sicherheit. Vincent Haupert, Sicher­heits­forscher an der Universität Erlangen-Nürn­berg geht sogar davon aus, dass das SMS-Tan-Verfahren wie das iTan-Verfahren ab September 2019 nicht mehr der dann geltenden Gesetzes­lage entspricht: „Die vorgeschriebene Vertraulich­keit, Authentizität und Integrität ist nicht gewähr­leistet. Mindestens der Mobil­funkanbieter kann den Inhalt einer SMS lesen.“ Außerdem könne ein Bank­kunde nicht über­prüfen, ob die SMS tatsäch­lich von der Bank kommt und der Inhalt unver­fälscht ist.

Die Deutsche Kredit­wirt­schaft sieht das anders. Auf unsere Nach­frage hieß es: „Das SMS-Tan-Verfahren erfüllt die tech­nischen Anforderungen der PSD2. Insbesondere erfüllt die Sim-Karte des Smartphones die Anforderung an den Faktor „Besitz“. Daher wird dieses Verfahren auch nach dem 14. September 2019 noch bei vielen Instituten im Einsatz sein. Die Deutsche Kredit­wirt­schaft empfiehlt, die Tan nicht auf demselben Gerät zu empfangen.

Im Test bieten 18 Banken noch SMS-Tan an, allerdings 3 von ihnen nur noch für Bestands­kunden und nicht mehr für Kunden, die bei ihnen ein neues Konto eröffnen. Sie können den Testbericht Finanztest 11/2018 nach dem Frei­schalten als PDF herunter­laden.

Welche Zusatz­gebühren muss ich für Online­banking zahlen?

Wenn Sie die Konto­führung auf Online umstellen, wird es für Sie sehr wahr­scheinlich güns­tiger. Nutzen Sie ein Verfahren mit Lesegerät wie ChipTan , PhotoTan oder BestSign der Post­bank, müssen Sie für das Gerät einmalig zwischen 9 und 30 Euro ausgeben. Bei SMS-Tan- und AppTan-Verfahren fallen bis zu 9 Cent pro Tan an.

Gibt es beim Online­banking eine 100-prozentige Sicherheit?

Nein, absolut sicher ist keins dieser Verfahren, aber auch die Über­weisung per Papierformular ist ja nicht absolut sicher. Die nach heutigem Stand der Technik sehr sicheren und sicheren Verfahren beschreiben unter Tan-Verfahren im Überblick. Die Direkt­banken DKB und ING-Diba geben ihren Kunden eine Sicher­heits­garantie. Das bedeutet, dass sie die Haftung über­nehmen, auch wenn der Kunde grob fahr­lässig handelt, etwa Pin und Tan ungesichert auf seinem Computer speichert. Bei diesen Banken muss der Kunde im Schadens­fall also nicht beweisen, dass er sorgfältig war. Commerz­bank und Deutsche Bank geben dieses Versprechen zwar auch ab, verankern es aber nicht in den Geschäfts­bedingungen. Im Ernst­fall kann der Kunde sich nicht darauf berufen. Kunden der Targo­bank erhalten die Online-Sicher­heits­garantie nur, wenn sie diese beantragen. Wenn der Kunde aktiv geworden ist und sich registriert hat, kann er sich auf die Sicher­heits­garantie aber verlassen.*)

Wie sorgen die Banken für ein sicheres Online­banking?

Die Banken schützen sich mit speziellen Firewalls gegen unbe­rechtigte Zugriffe auf ihr System, sorgen für einen verschlüsselten Daten­austausch und lassen ihre Zugänge zum System von Dritten auf Sicher­heits­mängel testen. Sie analysieren Verhaltens­muster, um unbe­rechtigte Buchungen mit sogenannten schwarzen Listen vor der Ausführung zu stoppen.

Was kann ich selbst für sicheres Online­banking tun?

Wählen Sie ein sicheres Verfahren. Halten Sie Ihre Zugangs­daten geheim, speichern Sie sie nicht auf Ihrem Computer und schützen Sie den PC mit entsprechender Software.

Vieles hängt auch vom eigenen Verhalten ab. Betrüger versuchen immer wieder, Bank­kunden so zu manipulieren, dass sie ihre Daten freiwil­lig preis­geben oder Über­weisungen unwissentlich zugunsten der Betrüger ausführen. Klicken Sie keine Links in Ihren E-Mails an, deren Absender Sie nicht kennen, öffnen Sie auch keine Anhänge. Geben Sie die Internet­adresse der Bank immer selbst ein. Seien Sie miss­trauisch, wenn Sie in einer E-Mail aufgefordert werden, Pass­wörter oder vertrauliche Informationen einzugeben. Typisch sind Betreff­zeilen wie „Hand­lungs­bedarf – Verifizierung erforderlich“, „Sicherung Ihres Kontos“, „Daten­bestätigung erforderlich“ oder „Aktualisierung Ihrer Nutzer­daten“. Auffällig ist auch eine unpersönliche Anrede wie „Sehr geehrter Kunde ...“.

Es hieß mal, das HBCI-Verfahren ist das sicherste. Was ist damit?

Mit dem Computer­stan­dard „Home­banking Computer Inter­face“ können beispiels­weise Über­weisungen in verschlüsselter Form im Internet vers­endet werden. Vor gut 15 Jahren ist HBCI im Financial Trans­action Service (FinTS) aufgegangen und bietet seither noch mehr Sicherheit. So können Online­über­weisungen nicht nur mit Lesegerät und Chipkarte, sondern auch mit Pin und Tan beauftragt werden. Sie können diesen Stan­dard allerdings nur an dem Computer nutzen, an dem Sie die Software installiert haben. Von unseren Banken im Test bieten alle bis auf N26, Targo­bank und Volks­wagen Bank diesen Stan­dard an. Sie können den Testbericht Finanztest 11/2018 nach dem Frei­schalten als PDF herunter­laden.

Kann ich mich auch für zwei Verfahren anmelden?

Das kommt auf Ihre Bank an. Wenn sie mehrere Online­banking-Verfahren anbietet, ist es meistens möglich, zwei davon parallel zu nutzen. Sie wählen aus den angebotenen Verfahren Ihre Favoriten aus. Für jedes Verfahren erhalten Sie abhängig von Ihrer Bank eventuell einen eigenen Anmelde­namen und eine eigene Pin. Sie entscheiden mit der Eingabe der Daten bei der Anmeldung im Online­banking, welches Verfahren Sie nutzen möchten. Manche Banken schließen aber auch das parallele Nutzen von zwei Verfahren aus.

Bearbeiten Banken Online­aufträge rund um die Uhr?

Über­weisungen, ob per Papier oder per PC in Auftrag gegeben, werden rund um die Uhr angenommen, aber nur zu bestimmten Zeiten verarbeitet. An Sams­tagen, Sonn- und Feier­tagen sowie in der Nacht finden keine Buchungen statt. Bis zu welchem Zeit­punkt die Bank Über­weisungen noch am gleichen Tag ausführt, steht im Preis- und Leistungs­verzeichnis. Aufträge, die danach eingehen, werden am folgenden Werk­tag gebucht.

Beispiel: Eine Über­weisung, die Sie Freitag um 21 Uhr tätigen, wird erst montags ausgeführt. Über­weisen Sie am Montag tags­über, wird der Auftrag am selben Tag gebucht. Inner­halb derselben Bank taucht eine Online­über­weisung von Konto zu Konto fast zeitgleich im Online­banking auf. Auch die Wert­stellung erfolgt meist sofort.

Ist es sicherer, einen älteren Computer nur für Online­banking zu nutzen?

Der Ansatz ist nicht verkehrt, solange Sie so diszipliniert sind und wirk­lich keine anderen Internet­seiten besuchen. Allerdings ist nicht der Computer selbst das Sicher­heits­problem. Angriffs­punkt für Betrüger ist die Software auf dem Computer. Sie müssen auch auf dem älteren Gerät die üblichen Sicher­heits­vorkehrungen treffen: Virens­canner installieren sowie Betriebs­system und Internet­browser immer aktuell halten. Wichtig ist, dass die Programme vom Hersteller immer noch Sicher­heits­updates erhalten. Je älter die Hard­ware ist, desto eher kann es vorkommen, dass die neue Software nur noch lang­sam läuft und das Online­banking dadurch nicht so komfortabel ist.

Ist das Betriebs­system Linux sicherer als Wind­ows?

Ihre Annahme rührt offen­bar daher, dass wegen der geringeren Verbreitung Angriffe auf das freie Linux-System wesentlich seltener sind als auf gängige Betriebs­systeme. Betrüger wählen als Angriffs­ziel meist Systeme aus, bei denen die Erfolgs­aussichten sehr groß sind, also wenn Millionen Nutzer erreicht werden können. Aber Vorsicht: Egal, welches Betriebs­system Sie nutzen, Sie müssen immer die möglichen Sicher­heits­vorkehrungen treffen. In den allgemeinen Geschäfts­bedingungen oder den Sonderbedingungen zum Online­banking beschreiben die Banken in der Regel, welche Maßnahmen sie von Ihnen erwarten.

Wie kann ich eine von Betrügern nachgemachte Internetseite erkennen?

Das ist nicht immer einfach. Wichtig ist, dass Sie für Bank­geschäfte nie einen Link verwenden, der Ihnen per E-Mail zuge­schickt wurde. Geben Sie bei jedem Aufruf die Internet­adresse Ihrer Bank neu über die Tastatur ein. Wenn Sie schon beim Login nach einer Trans­aktions­nummer (Tan) gefragt werden, sind Sie mit Sicherheit auf einer gefälschten Seite. Auch minimale Abweichungen der Internet­adresse – etwa Trennungs­punkte oder Trenn­striche – sind Zeichen für eine Fälschung. Generell verdächtig ist alles, was vom gewohnten Ablauf abweicht.

Achten Sie darauf, dass die Verbindung zu Ihrer Bank in der Adress­zeile mit https:// beginnt. Bei Verwendung der aktuellen Browsersoftware wird mitt­lerweile oft ein Zertifikat ange­zeigt, mit dem die Richtig­keit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz bestätigt wird. Fast alle modernen Browser warnen vor unsicheren Zertifikaten oder verdächtigen Umleitungen. In diesem Fall sollten Sie keine Trans­aktionen mehr unternehmen und sofort Ihre Bank informieren.

Ist die Funk­tion „Kenn­worte speichern“ empfehlens­wert?

Bei einigen Browsern ist es möglich, Einträge und Pass­wörter in Formular­feldern – also auch im Anmeldeformular für das Online­banking – auto­matisch zu ergänzen oder zu speichern. Das ist aber gerade im Bezug auf das Online­banking aus Sicher­heits­gründen nicht zu empfehlen. Wenn Sie die auto­matische Speicherung von Daten in Ihrem Browser akti­viert haben, sollten Sie die Funk­tion „Kenn­wörter speichern“ (Browser Mozilla Firefox) beziehungs­weise „Auto-Vervoll­ständigen“ (Browser Internet Explorer) besser abschalten.

Was unterscheidet Online­banking von Mobile­banking?

Unter Online­banking verstehen wir, dass Sie sich an einem PC oder Tablet über den Internet­browser bei Ihrer Bank einwählen. Mobile­banking meint dagegen, dass Sie zum Beispiel für eine Über­weisung eine spezielle Banking-App verwenden. Die App laden Sie auf Ihr Smartphone. Sie kann von Ihrer Haus­bank sein oder auch von einem anderen Anbieter. Mobile­banking ist genauso sicher wie Online­banking. Da Banking-Apps noch weniger verbreitet sind, sind sie für Betrüger kein attraktives Angriffs­ziel. Das kann sich aber mit der Zeit ändern.

*) Korrigiert am 23. Oktober 2018

nach oben

Jetzt freischalten

TestGiro­konten und Online­banking21.11.2018
1,50 €
Zugriff auf Informationen für 278 Produkte (inkl. PDF).

Wie möchten Sie bezahlen?

  • Unser Tipp
    test.de-Flatrate

    Freier Zugriff auf alle Testergebnisse und Online-Artikel für 7,00 € pro Monat oder 50,00 € im Jahr. Abonnenten von test oder Finanztest zahlen die Hälfte.

    Flatrate neu erwerben

  • Diesen Artikel per Kreditkarte kaufen
  • Diesen Artikel per PayPal kaufen
  • Diesen Artikel per Handy kaufen
  • Gutschein einlösen
Preise inkl. MwSt.
  • kauft alle Testprodukte anonym im Handel ein,
  • nimmt Dienstleistungen verdeckt in Anspruch,
  • lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
  • ist vollständig anzeigenfrei,
  • erhält nur rund 6 Prozent ihrer Erträge als öffentlichen Zuschuss.

Dieser Artikel ist hilfreich. 314 Nutzer finden das hilfreich.