DatenschutzerklärungSo geht sicheres Onlinebanking
Angriffe auf das Onlinebanking sind meist durch Schadsoftware – sogenannte Trojaner – möglich, die Betrüger unbemerkt auf den Computer des Kunden schleusen. In der griechischen Mythologie war das trojanische Holzpferd eine Kriegslist. Im Rumpf hielten sich Soldaten versteckt. Sie öffneten nachts die Tore Trojas für ihr Heer, das so die Stadt einnehmen konnte. Deshalb heißen unbemerkt geladene PC-Schadprogramme Trojaner.
Auch Onlinemuffel kommen über kurz oder lang nicht am Onlinebanking vorbei. Girokonten, die nicht per Computer geführt werden, werden immer teurer. Und die schließen immer mehr Filialen. Hier beantworten die Experten der Stiftung Warentest die wichtigsten Fragen zum Onlinebanking. Im Test von Finanztest 11/2018 können Sie nachlesen, welche großen Banken welche Verfahren einsetzen – und wie kundenfreundlich deren Haftungsregeln sind für den Fall, das mal etwas schief läuft.
Onlinebanking – das Wichtigste in Kürze
Darauf sollten Sie beim Banking achten
Auswahl. Nach dem Freischalten zeigt Ihnen unser Test von 22 Banken, wo Onlinebanking wirklich sicher ist. Sie können den Testbericht aus Finanztest 11/2018 als PDF herunterladen. Die derzeit sichersten Onlinebanking-Verfahren sind ChipTan, BestSign und PhotoTan, jeweils mit Lesegerät, und QR-Tan. Im kostenlosen Beitrag Tan-Verfahren im Überblick erfahren Sie, wie die Verfahren im Grundsatz funktionieren.
Schutz. Sicherheit vor Schadprogrammen auf Ihrem Computer bieten Virenschutzprogramm und Firewall. Halten Sie Browser und Betriebssystem immer aktuell. Welche Programme erfolgreich Attacken auf den PC abwehren, steht im Test von Sicherheitssoftware. Wie Sie Ihr Smartphone am besten schützen, lesen Sie in unserem Test von Sicherheits-Apps.
Vorsicht. Kommt Ihnen beim Onlinebanking etwas komisch vor, brechen Sie den Vorgang ab. Klicken Sie keine Links aus E-Mails unbekannter Absender an und öffnen Sie keine Dateianhänge.
Prüfung. Bevor Sie eine Onlineüberweisung freigeben, überprüfen Sie die mit der Tan mitgeschickten Auftragsdaten mit denen auf der Rechnung – nicht mit denen, die Sie selbst im Onlineformular eingegeben haben. So erkennen Sie eine Manipulation schneller.
Anzeigen. Wenn Sie auf Ihrem Konto betrügerische Abbuchungen feststellen, informieren Sie sofort die Bank und stellen Sie bei der Polizei Strafanzeige. Das geht auch online Gewusst wie: Online Anzeige erstatten.
nach obenAntworten auf Ihre Fragen
Kann ich Onlinebanking auch bei meiner Filialbank machen?
Ja, nahezu jede Bank bietet ein Onlinekonto an. Entweder Sie beantragen das Freischalten Ihres Kontos für das Onlinebanking in der Filiale, oder Sie laden den Antrag von der Internetseite Ihrer Bank herunter. Den Antrag senden Sie ausgefüllt an Ihre Bank. Die schickt Ihnen mit getrennter Post die Zugangsdaten: Benutzername und Passwort. Sie klicken auf der Internetseite Ihrer Bank die Schaltfläche „Login“ an und geben die Zugangsdaten ein. Das Passwort müssen Sie aus Sicherheitsgründen bei der ersten Anmeldung ändern. Sie müssen sich im Antrag meist auch schon für ein Onlinebankingverfahren entscheiden. Die gebräuchlichsten beschreiben wir im Beitrag Tan-Verfahren im Überblick.
Muss mein PC für Onlinebanking Voraussetzungen erfüllen?
Betriebssystem und Internetbrowser – die Software, mit der Sie Internetseiten aufrufen können – sollten aktuell sein. Nutzen Sie die regelmäßigen Updates. Ihr Rechner braucht einen Virenschutz. Markus Feck, Fachanwalt für Bank- und Kapitalmarktrecht, sagt: „Zu einer gesonderten Firewall darf Sie die Bank dagegen nicht verpflichten.“ Die Rechtsprechung sehe dafür keine Pflicht vor (Amtsgericht Wiesloch, Az. 4 C 57/08, Landgericht Mannheim, Az. 1 S 189/07). Trotzdem verlangen das die Norisbank und die Deutsche Bank. Nutzen Sie für das Onlinebanking keine öffentlichen Rechner. Nach dem Banking sollten Sie vorsorglich den Cache – eine Art Kurzzeitgedächtnis des Browsers – löschen.
Ich nutze die iTan-Liste. Stimmt es, dass sie abgeschafft wird?
Ja. Die iTan-Liste ist eine Liste mit nummerierten Transaktionsnummern (Tan). Die Bank gibt Ihnen nach dem Zufallsprinzip vor, mit welcher Tan von der Liste Sie den Bankauftrag bestätigen sollen. Das Verfahren ist unsicher, weil die iTan nicht mit den Auftragsdaten wie Kontonummer, Betrag oder Datum verbunden ist. Betrüger können mit einer erbeuteten iTan eigene Bankaufträge ausführen.
Das Verfahren dürfen die Banken nach dem 14. September 2019 nicht mehr anbieten. Hintergrund ist die EU-Zahlungsdiensterichtlinie PSD2. Sie stellt höhere Anforderungen an die Sicherheit von elektronischen Zahlungen, in der Fachsprache heißt das Zwei-Faktor-Authentifizierung. Das bedeutet, dass Sie mindestens zwei Elemente aus drei unterschiedlichen Kategorien für die Bestätigung des Bankauftrags nutzen müssen: Infrage kommen zum Beispiel die Girocard, die Sie besitzen, ein Passwort, das nur Sie wissen, oder der Fingerabdruck, der untrennbar mit Ihrer Person verbunden ist.
Was ist mit dem Verfahren eTan+ der Volkswagen Bank?
Das Verfahren ist unsicher. Sie bekommen dafür ein Extragerät, den Bankey. Es zeigt keine Transaktionsdaten, sondern nur die Tan an, die nicht an den Überweisungsbetrag gebunden ist. Die Volkswagen Bank stellt zurzeit alle Kunden auf das sichere Photo-Tan-Verfahren um.
Bin ich ohne Smartphone vom Onlinebanking ausgeschlossen?
Nein, nicht unbedingt. PhotoTan, ChipTan und von der Postbank BestSign funktionieren auch ohne ein internetfähiges Smartphone. Mit einem einfachen Handy können Sie die SMS-Tan nutzen. Sie hat im Verhältnis zu den anderen Verfahren aber nur eine mittlere Sicherheit. Vincent Haupert, Sicherheitsforscher an der Universität Erlangen-Nürnberg geht sogar davon aus, dass das SMS-Tan-Verfahren wie das iTan-Verfahren ab September 2019 nicht mehr der dann geltenden Gesetzeslage entspricht: „Die vorgeschriebene Vertraulichkeit, Authentizität und Integrität ist nicht gewährleistet. Mindestens der Mobilfunkanbieter kann den Inhalt einer SMS lesen.“ Außerdem könne ein Bankkunde nicht überprüfen, ob die SMS tatsächlich von der Bank kommt und der Inhalt unverfälscht ist.
Die Deutsche Kreditwirtschaft sieht das anders. Auf unsere Nachfrage hieß es: „Das SMS-Tan-Verfahren erfüllt die technischen Anforderungen der PSD2. Insbesondere erfüllt die Sim-Karte des Smartphones die Anforderung an den Faktor „Besitz“. Daher wird dieses Verfahren auch nach dem 14. September 2019 noch bei vielen Instituten im Einsatz sein. Die Deutsche Kreditwirtschaft empfiehlt, die Tan nicht auf demselben Gerät zu empfangen.
Im Test bieten 18 Banken noch SMS-Tan an, allerdings 3 von ihnen nur noch für Bestandskunden und nicht mehr für Kunden, die bei ihnen ein neues Konto eröffnen. Sie können den Testbericht Finanztest 11/2018 nach dem Freischalten als PDF herunterladen.
Welche Zusatzgebühren muss ich für Onlinebanking zahlen?
Wenn Sie die Kontoführung auf Online umstellen, wird es für Sie sehr wahrscheinlich günstiger. Nutzen Sie ein Verfahren mit Lesegerät wie ChipTan , PhotoTan oder BestSign der Postbank, müssen Sie für das Gerät einmalig zwischen 9 und 30 Euro ausgeben. Bei SMS-Tan- und AppTan-Verfahren fallen bis zu 9 Cent pro Tan an.
Gibt es beim Onlinebanking eine 100-prozentige Sicherheit?
Nein, absolut sicher ist keins dieser Verfahren, aber auch die Überweisung per Papierformular ist ja nicht absolut sicher. Die nach heutigem Stand der Technik sehr sicheren und sicheren Verfahren beschreiben unter Tan-Verfahren im Überblick. Die Direktbanken DKB und ING-Diba geben ihren Kunden eine Sicherheitsgarantie. Das bedeutet, dass sie die Haftung übernehmen, auch wenn der Kunde grob fahrlässig handelt, etwa Pin und Tan ungesichert auf seinem Computer speichert. Bei diesen Banken muss der Kunde im Schadensfall also nicht beweisen, dass er sorgfältig war. Commerzbank und Deutsche Bank geben dieses Versprechen zwar auch ab, verankern es aber nicht in den Geschäftsbedingungen. Im Ernstfall kann der Kunde sich nicht darauf berufen. Kunden der Targobank erhalten die Online-Sicherheitsgarantie nur, wenn sie diese beantragen. Wenn der Kunde aktiv geworden ist und sich registriert hat, kann er sich auf die Sicherheitsgarantie aber verlassen.*)
Wie sorgen die Banken für ein sicheres Onlinebanking?
Die Banken schützen sich mit speziellen Firewalls gegen unberechtigte Zugriffe auf ihr System, sorgen für einen verschlüsselten Datenaustausch und lassen ihre Zugänge zum System von Dritten auf Sicherheitsmängel testen. Sie analysieren Verhaltensmuster, um unberechtigte Buchungen mit sogenannten schwarzen Listen vor der Ausführung zu stoppen.
Was kann ich selbst für sicheres Onlinebanking tun?
Wählen Sie ein sicheres Verfahren. Halten Sie Ihre Zugangsdaten geheim, speichern Sie sie nicht auf Ihrem Computer und schützen Sie den PC mit entsprechender Software.
Vieles hängt auch vom eigenen Verhalten ab. Betrüger versuchen immer wieder, Bankkunden so zu manipulieren, dass sie ihre Daten freiwillig preisgeben oder Überweisungen unwissentlich zugunsten der Betrüger ausführen. Klicken Sie keine Links in Ihren E-Mails an, deren Absender Sie nicht kennen, öffnen Sie auch keine Anhänge. Geben Sie die Internetadresse der Bank immer selbst ein. Seien Sie misstrauisch, wenn Sie in einer E-Mail aufgefordert werden, Passwörter oder vertrauliche Informationen einzugeben. Typisch sind Betreffzeilen wie „Handlungsbedarf – Verifizierung erforderlich“, „Sicherung Ihres Kontos“, „Datenbestätigung erforderlich“ oder „Aktualisierung Ihrer Nutzerdaten“. Auffällig ist auch eine unpersönliche Anrede wie „Sehr geehrter Kunde ...“.
Es hieß mal, das HBCI-Verfahren ist das sicherste. Was ist damit?
Mit dem Computerstandard „Homebanking Computer Interface“ können beispielsweise Überweisungen in verschlüsselter Form im Internet versendet werden. Vor gut 15 Jahren ist HBCI im Financial Transaction Service (FinTS) aufgegangen und bietet seither noch mehr Sicherheit. So können Onlineüberweisungen nicht nur mit Lesegerät und Chipkarte, sondern auch mit Pin und Tan beauftragt werden. Sie können diesen Standard allerdings nur an dem Computer nutzen, an dem Sie die Software installiert haben. Von unseren Banken im Test bieten alle bis auf N26, Targobank und Volkswagen Bank diesen Standard an. Sie können den Testbericht Finanztest 11/2018 nach dem Freischalten als PDF herunterladen.
Kann ich mich auch für zwei Verfahren anmelden?
Das kommt auf Ihre Bank an. Wenn sie mehrere Onlinebanking-Verfahren anbietet, ist es meistens möglich, zwei davon parallel zu nutzen. Sie wählen aus den angebotenen Verfahren Ihre Favoriten aus. Für jedes Verfahren erhalten Sie abhängig von Ihrer Bank eventuell einen eigenen Anmeldenamen und eine eigene Pin. Sie entscheiden mit der Eingabe der Daten bei der Anmeldung im Onlinebanking, welches Verfahren Sie nutzen möchten. Manche Banken schließen aber auch das parallele Nutzen von zwei Verfahren aus.
Bearbeiten Banken Onlineaufträge rund um die Uhr?
Überweisungen, ob per Papier oder per PC in Auftrag gegeben, werden rund um die Uhr angenommen, aber nur zu bestimmten Zeiten verarbeitet. An Samstagen, Sonn- und Feiertagen sowie in der Nacht finden keine Buchungen statt. Bis zu welchem Zeitpunkt die Bank Überweisungen noch am gleichen Tag ausführt, steht im Preis- und Leistungsverzeichnis. Aufträge, die danach eingehen, werden am folgenden Werktag gebucht.
Beispiel: Eine Überweisung, die Sie Freitag um 21 Uhr tätigen, wird erst montags ausgeführt. Überweisen Sie am Montag tagsüber, wird der Auftrag am selben Tag gebucht. Innerhalb derselben Bank taucht eine Onlineüberweisung von Konto zu Konto fast zeitgleich im Onlinebanking auf. Auch die Wertstellung erfolgt meist sofort.
Ist es sicherer, einen älteren Computer nur für Onlinebanking zu nutzen?
Der Ansatz ist nicht verkehrt, solange Sie so diszipliniert sind und wirklich keine anderen Internetseiten besuchen. Allerdings ist nicht der Computer selbst das Sicherheitsproblem. Angriffspunkt für Betrüger ist die Software auf dem Computer. Sie müssen auch auf dem älteren Gerät die üblichen Sicherheitsvorkehrungen treffen: Virenscanner installieren sowie Betriebssystem und Internetbrowser immer aktuell halten. Wichtig ist, dass die Programme vom Hersteller immer noch Sicherheitsupdates erhalten. Je älter die Hardware ist, desto eher kann es vorkommen, dass die neue Software nur noch langsam läuft und das Onlinebanking dadurch nicht so komfortabel ist.
Ist das Betriebssystem Linux sicherer als Windows?
Ihre Annahme rührt offenbar daher, dass wegen der geringeren Verbreitung Angriffe auf das freie Linux-System wesentlich seltener sind als auf gängige Betriebssysteme. Betrüger wählen als Angriffsziel meist Systeme aus, bei denen die Erfolgsaussichten sehr groß sind, also wenn Millionen Nutzer erreicht werden können. Aber Vorsicht: Egal, welches Betriebssystem Sie nutzen, Sie müssen immer die möglichen Sicherheitsvorkehrungen treffen. In den allgemeinen Geschäftsbedingungen oder den Sonderbedingungen zum Onlinebanking beschreiben die Banken in der Regel, welche Maßnahmen sie von Ihnen erwarten.
Wie kann ich eine von Betrügern nachgemachte Internetseite erkennen?
Das ist nicht immer einfach. Wichtig ist, dass Sie für Bankgeschäfte nie einen Link verwenden, der Ihnen per E-Mail zugeschickt wurde. Geben Sie bei jedem Aufruf die Internetadresse Ihrer Bank neu über die Tastatur ein. Wenn Sie schon beim Login nach einer Transaktionsnummer (Tan) gefragt werden, sind Sie mit Sicherheit auf einer gefälschten Seite. Auch minimale Abweichungen der Internetadresse – etwa Trennungspunkte oder Trennstriche – sind Zeichen für eine Fälschung. Generell verdächtig ist alles, was vom gewohnten Ablauf abweicht.
Achten Sie darauf, dass die Verbindung zu Ihrer Bank in der Adresszeile mit https:// beginnt. Bei Verwendung der aktuellen Browsersoftware wird mittlerweile oft ein Zertifikat angezeigt, mit dem die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz bestätigt wird. Fast alle modernen Browser warnen vor unsicheren Zertifikaten oder verdächtigen Umleitungen. In diesem Fall sollten Sie keine Transaktionen mehr unternehmen und sofort Ihre Bank informieren.
Ist die Funktion „Kennworte speichern“ empfehlenswert?
Bei einigen Browsern ist es möglich, Einträge und Passwörter in Formularfeldern – also auch im Anmeldeformular für das Onlinebanking – automatisch zu ergänzen oder zu speichern. Das ist aber gerade im Bezug auf das Onlinebanking aus Sicherheitsgründen nicht zu empfehlen. Wenn Sie die automatische Speicherung von Daten in Ihrem Browser aktiviert haben, sollten Sie die Funktion „Kennwörter speichern“ (Browser Mozilla Firefox) beziehungsweise „Auto-Vervollständigen“ (Browser Internet Explorer) besser abschalten.
Was unterscheidet Onlinebanking von Mobilebanking?
Unter Onlinebanking verstehen wir, dass Sie sich an einem PC oder Tablet über den Internetbrowser bei Ihrer Bank einwählen. Mobilebanking meint dagegen, dass Sie zum Beispiel für eine Überweisung eine spezielle Banking-App verwenden. Die App laden Sie auf Ihr Smartphone. Sie kann von Ihrer Hausbank sein oder auch von einem anderen Anbieter. Mobilebanking ist genauso sicher wie Onlinebanking. Da Banking-Apps noch weniger verbreitet sind, sind sie für Betrüger kein attraktives Angriffsziel. Das kann sich aber mit der Zeit ändern.
*) Korrigiert am 23. Oktober 2018
nach obenJetzt freischalten
Wie möchten Sie bezahlen?
Preise inkl. MwSt.- kauft alle Testprodukte anonym im Handel ein,
- nimmt Dienstleistungen verdeckt in Anspruch,
- lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
- ist vollständig anzeigenfrei,
- erhält nur rund 6 Prozent ihrer Erträge als öffentlichen Zuschuss.
