So geht sicheres Online­banking

Angriffe auf das Online­banking sind meist durch Schadsoftware – sogenannte Trojaner – möglich, die Betrüger unbe­merkt auf den Computer des Kunden schleusen. In der grie­chischen Mythologie war das troja­nische Holz­pferd eine Kriegs­list. Im Rumpf hielten sich Soldaten versteckt. Sie öffneten nachts die Tore Trojas für ihr Heer, das so die Stadt einnehmen konnte.

Auch Onlinemuffel kommen über kurz oder lang nicht am Online­banking vorbei. Giro­konten, die nicht per Computer geführt werden, werden immer teurer. Und die Banken schließen immer mehr Filialen. Hier beant­worten die Experten der Stiftung Warentest die wichtigsten Fragen zum Online­banking. In unserem großen Vergleich Girokonto können Sie die verschiedenen Konto-Angebote auch nach der einge­setzten Sicher­heits­technik filtern. Im Test von Finanztest 8/2019 können Sie nach­lesen, welche Banken kundenfreundliche Haftungs­regeln haben für den Fall, das mal etwas schief läuft.

Online­banking – das Wichtigste in Kürze

Darauf sollten Sie beim Banking achten

Auswahl. Derzeit sehr sichere Onlinebanking-Verfahren sind ChipTan, BestSign und PhotoTan – jeweils mit Lesegerät – und QR-Tan. Die AppTan ist ein sicheres Verfahren, SMS-Tan hat nur eine mitt­lere Sicherheit. Bietet Ihre Bank mehrere Verfahren an, wählen Sie das, mit dem Sie gut klar­kommen.

Schutz. Sicherheit vor Schad­programmen auf Ihrem Computer bieten Viren­schutz­programm und Firewall. Halten Sie Browser und Betriebs­system immer aktuell. Welche Programme erfolg­reich Atta­cken auf den PC abwehren, steht im Test von Sicherheitssoftware. Wie Sie Ihr Smartphone am besten schützen, lesen Sie in unserem Test von Sicherheits-Apps.

Vorsicht. Kommt Ihnen beim Online­banking etwas komisch vor, brechen Sie den Vorgang ab. Klicken Sie keine Links aus E-Mails unbe­kannter Absender an und öffnen Sie keine Datei­anhänge.

Prüfung. Bevor Sie eine Online­über­weisung frei­geben, über­prüfen Sie die mit der Tan mitgeschickten Auftrags­daten mit denen auf der Rechnung – nicht mit denen, die Sie selbst im Onlineformular einge­geben haben. So erkennen Sie eine Manipulation schneller.

Verlust. Genau wie Sie eine gestohlene oder verlorene Girocard oder Kreditkarte sofort sperren lassen müssen, sollten Sie auch die Sim-Karte des Smartphones und den Tan-Generator sperren lassen, wenn die Geräte abhanden kommen. Achten Sie generell auf eine sichere Handy-Sperre.

Anzeigen. Wenn Sie auf Ihrem Konto betrügerische Abbuchungen fest­stellen, informieren Sie sofort die Bank und stellen Sie bei der Polizei Straf­anzeige. Das geht auch online Gewusst wie: Online Anzeige erstatten.

nach oben

Antworten auf Ihre Fragen

Kann ich Online­banking auch bei meiner Filial­bank machen?

Ja, nahezu jede Bank bietet ein Online­konto an. Entweder Sie beantragen das Frei­schalten Ihres Kontos für das Online­banking in der Filiale, oder Sie laden den Antrag von der Internetseite Ihrer Bank herunter. Den Antrag senden Sie ausgefüllt an Ihre Bank. Die schickt Ihnen mit getrennter Post die Zugangs­daten: Benutzer­name und Pass­wort. Sie klicken auf der Internetseite Ihrer Bank die Schalt­fläche „Login“ an und geben die Zugangs­daten ein. Das Pass­wort müssen Sie aus Sicher­heits­gründen bei der ersten Anmeldung ändern. Sie müssen sich im Antrag meist auch schon für ein Online­banking­verfahren entscheiden. Die gebräuchlichsten beschreiben wir im Beitrag Tan-Verfahren im Überblick.

Muss mein PC für Online­banking Voraus­setzungen erfüllen?

Betriebs­system und Internet­browser – die Software, mit der Sie Internet­seiten aufrufen können – sollten aktuell sein. Nutzen Sie die regel­mäßigen Updates. Ihr Rechner braucht einen Viren­schutz. Markus Feck, Fach­anwalt für Bank- und Kapitalmarkt­recht, sagt: „Zu einer gesonderten Firewall darf Sie die Bank dagegen nicht verpflichten.“ Die Recht­sprechung sehe dafür keine Pflicht vor (Amts­gericht Wiesloch, Az. 4 C 57/08, Land­gericht Mann­heim, Az. 1 S 189/07). Nutzen Sie für das Online­banking keine öffent­lichen Rechner. Nach dem Banking sollten Sie vorsorglich den Cache – eine Art Kurz­zeitgedächt­nis des Browsers – löschen.

Warum wurde die iTan-Liste eigentlich abge­schafft?

Das Verfahren dürfen die Banken seit dem 14. September 2019 nicht mehr anbieten. Hintergrund ist die EU-Zahlungs­diens­tericht­linie PSD2. Sie stellt höhere Anforderungen an die Sicherheit von elektronischen Zahlungen, in der Fach­sprache heißt das Zwei-Faktor-Authentifizierung. Das bedeutet, dass Sie mindestens zwei Elemente aus drei unterschiedlichen Kategorien für die Bestätigung des Bank­auftrags nutzen müssen: Infrage kommen zum Beispiel die Girocard, die Sie besitzen, ein Pass­wort, das nur Sie wissen, oder der Finger­abdruck, der untrenn­bar mit Ihrer Person verbunden ist.

Die iTan – eine Liste mit nummerierten Trans­aktions­nummern (Tan) entspricht nicht mehr den Sicher­heits­anforderungen des neuen EU-Zahlungs­rechts. Das Verfahren ist unsicher, weil die iTan nicht mit den Auftrags­daten wie Konto­nummer, Betrag oder Datum verbunden ist. Betrüger können mit einer erbeuteten iTan eigene Bank­aufträge ausführen.

Was ist seit 14. September 2019 anders als früher, wenn ich auf mein Online­konto zugreifen will?

Wenn Sie sich nach den alten Regeln nur mit Benutzer­name und persönlichem Kenn­wort einloggen, sehen Sie nur die Umsätze der letzten 90 Tage. Wenn Sie alles sehen wollen – ältere Umsätze, die Bewegungen auf Ihren anderen Konten oder Kreditkarten­umsätze –, müssen Sie sich jetzt mit der Zwei-Faktor-Methode identifizieren. Bei dieser Methode müssen Sie zwei von drei möglichen Merkmalen für den Login nutzen. Bei Über­weisungen kann eine Bank auf die Zwei-Faktor-Authentifizierung maximal fünf­mal hinter­einander verzichten, wenn die einzelne Über­weisung nicht höher als 30 Euro ist und die Summe aller Über­weisungen höchs­tens 100 Euro beträgt.

Trifft der Zwang zur Zwei-Faktor-Authentifizierung auch auf Spar- und Wert­papier­konten zu?

Nein, die neuen EU-Regeln gelten nur für Zahlungs­verkehrs­konten, also die normalen Giro­konten. Deshalb kann es sein, dass manche Banken für andere Konten noch das iTan-Verfahren zulassen, sofern der Kunde dort nur ein Spar­konto oder ein Depot hat.

Banken, die neben Giro­konten auch Wert­papierdepots oder Spar­konten führen, werden in der Regel dafür dieselben Verfahren anbieten wie für Giro­konten.

Bin ich ohne Smartphone vom Online­banking ausgeschlossen?

Nein. ChipTan, BestSign und PhotoTan funk­tionieren auch ohne ein internet­fähiges Handy. Alle von uns befragten Banken bieten ein Verfahren an, für das Sie kein Smartphone brauchen. Allerdings ist es für manche Verfahren nötig, dass Sie ein Zusatz­gerät kaufen, einen sogenannten Tan-Generator. Mit dem können Sie dann die erforderliche Tan erzeugen.

Die SMS-Tan können Sie auch mit einem einfachen Handy nutzen. Sie hat aber nur eine mitt­lere Sicherheit und wird von einigen Banken wie der Post­bank abge­schafft.

Sollte es doch eine Bank geben, die nur Verfahren anbietet, die mit Smartphone oder Tablet möglich sind, haben Sie nur zwei Möglich­keiten: ein Smartphone kaufen oder die Bank wechseln.

Mit welchen Kosten muss ich beim Online­banking rechnen?

Die Konto­führung per PC ist bei vielen Banken die preis­werteste Möglich­keit. Nutzen Sie ein Online­banking-Verfahren mit zusätzlichem Lesegerät, einem Tan-Generator, müssen Sie dafür bei den Banken für die güns­tigsten Geräte einmalig zwischen 9 Euro und 35 Euro ausgeben. Alternative Geräte können je nach Funk­tions­umfang teurer sein. Beim SMS-Tan- und App-Tan-Verfahren berechnen die Banken bis zu 9 Cent pro Tan.

Gibt es beim Online­banking eine 100-prozentige Sicherheit?

Nein, absolut sicher ist keins dieser Verfahren, aber auch die Über­weisung per Papierformular ist ja nicht absolut sicher. Die nach heutigem Stand der Technik sehr sicheren und sicheren Verfahren beschreiben unter Tan-Verfahren im Überblick. Die Direkt­banken DKB und ING-Diba geben ihren Kunden eine Sicher­heits­garantie. Das bedeutet, dass sie die Haftung über­nehmen, auch wenn der Kunde grob fahr­lässig handelt, etwa Pin und Tan ungesichert auf seinem Computer speichert. Bei diesen Banken muss der Kunde im Schadens­fall also nicht beweisen, dass er sorgfältig war. Commerz­bank und Deutsche Bank geben dieses Versprechen zwar auch ab, verankern es aber nicht in den Geschäfts­bedingungen. Im Streitfall kann der Kunde sich nicht darauf berufen. Kunden der Targo­bank erhalten die Online-Sicher­heits­garantie nur, wenn sie diese beantragen. Wenn der Kunde aktiv geworden ist und sich registriert hat, kann er sich auf die Sicher­heits­garantie aber verlassen.*)

Wie sorgen die Banken für ein sicheres Online­banking?

Die Banken schützen sich mit speziellen Firewalls gegen unbe­rechtigte Zugriffe auf ihr System, sorgen für einen verschlüsselten Daten­austausch und lassen ihre Zugänge zum System von Dritten auf Sicher­heits­mängel testen. Sie analysieren Verhaltens­muster, um unbe­rechtigte Buchungen mit sogenannten schwarzen Listen vor der Ausführung zu stoppen.

Was kann ich selbst für sicheres Online­banking tun?

Wählen Sie ein sicheres Verfahren. Halten Sie Ihre Zugangs­daten geheim, speichern Sie sie nicht auf Ihrem Computer und schützen Sie den PC mit entsprechender Software.

Vieles hängt auch vom eigenen Verhalten ab. Betrüger versuchen immer wieder, Bank­kunden so zu manipulieren, dass sie ihre Daten freiwil­lig preis­geben oder Über­weisungen unwissentlich zugunsten der Betrüger ausführen. Klicken Sie keine Links in Ihren E-Mails an, deren Absender Sie nicht kennen, öffnen Sie auch keine Anhänge. Geben Sie die Internet­adresse der Bank immer selbst ein. Seien Sie miss­trauisch, wenn Sie in einer E-Mail aufgefordert werden, Pass­wörter oder vertrauliche Informationen einzugeben. Typisch sind Betreff­zeilen wie „Hand­lungs­bedarf – Verifizierung erforderlich“, „Sicherung Ihres Kontos“, „Daten­bestätigung erforderlich“ oder „Aktualisierung Ihrer Nutzer­daten“. Auffällig ist auch eine unpersönliche Anrede wie „Sehr geehrter Kunde ...“.

Was muss ich tun, wenn ich mein Smartphone oder den ­Tan-Generator verloren habe? Wer haftet für mögliche Schäden?

Verlieren Sie das Smartphone, sollten Sie die Sim-Karte beim Mobil­funkanbieter sperren und auch das Giro­konto und die Kreditkarte, wenn Sie damit Online­einkäufe bezahlen. Das Gleiche gilt, wenn Sie die PhotoTan mit Generator nutzen. Beim ChipTan-Verfahren müssen Sie das Gerät nicht sperren.

Ab der Sperre haften Sie nicht mehr für Schäden. Davor müssen Sie bei einigen Banken bei leichter Fahr­lässig­keit bis maximal 50 Euro haften.

Stimmt es, dass künftig neben meiner Bank auch andere Firmen auf mein Konto schauen können?

Ja, das stimmt. Banken müssen künftig Dritt­firmen einen Blick auf Ihr Konto gestatten, aber nur mit Ihrer ausdrück­lichen Erlaubnis. Infrage kommen nur Zahlungs­dienst­leister, die die Bundes­anstalt für Finanz­dienstleistungs­aufsicht oder eine andere europäische Aufsichts­behörde zugelassen hat. Sie dürfen die abge­rufenen Kunden­daten nur für den vorgegebenen Zweck verwenden.

Eine solche Dritt­firma kann ein Zahlungs­auslösedienst sein, der zum Beispiel in Ihrem Auftrag eine Über­weisung ausführt. Oder ein Konto­informations­dienst: Wenn Sie zum Beispiel einen Kredit bei einer fremden Bank aufnehmen wollen, kann ihr ein Konto­infor­mations­dienst anhand Ihrer Konto­umsätze mitteilen, ob Sie kreditwürdig sind.

Wichtig: Sie sollten Dritt­diensten nicht vorschnell den Zugriff erlauben. Denn sie können nach Ihrer Zustimmung ohne weitere Nach­frage bis zu vier Mal inner­halb von 24 Stunden auf Ihr Konto gucken.

Ihre Bank muss Ihnen zwar sagen, wer Informationen abge­rufen hat, allerdings nicht von sich aus. Sie kann warten, bis Sie die Information anfordern. Wünschens­wert wäre es, wenn jede Bank auto­matisch nach dem Login eine Über­sicht anzeigte und Sie zu jeder Zeit sehen könnten, wer welche Informationen abge­rufen hat.

Was wird aus dem bisher sehr sicheren Verfahren HBCI/FinTS?

Bei den meisten Banken soll die FinTS-Schnitt­stelle auch in Zukunft angeboten werden. Diesen Zugang wählen vor allem Bank­kunden, die eine Finanzsoftware nutzen. Unseres Wissens hatte nur die ING zunächst mitgeteilt, dass sie die HBCI/FinTS-Schnitt­stelle nicht PSD2-konform gestalten wolle. Mitt­lerweile ist sie etwas zurück­gerudert und will zumindest eine Konto­stand- und Umsatz­abfrage ermöglichen.

Spätestens nach 90 Tagen wird jedoch bei allen Schnitt­stellen auch bei Konto­stand­abfragen eine Zwei-Faktor-Authentifizierung nötig (siehe Frage „Was ist seit 14. September 2019 anders als früher, wenn ich auf mein Online­konto zugreifen will“).

Beim PhotoTan-Verfahren mit Smartphone erscheint die Tan oft ohne weitere Sicher­heits­abfrage. Ist das sicher?

Es stimmt, dass das PhotoTan-Verfahren bei einigen Banken ohne eigenen Zugangs­schutz angeboten wird. Das App-basierte PhotoTan-Verfahren ist jedoch ein Besit­zelement, da es an ein bestimmtes Smartphone gebunden ist. Das zweite Element wäre dann die Pin für die Banking-App, die nur der Bank­kunde weiß.

Ein Angreifer könnte zwar die PhotoTan-App aufrufen, das allein nützt ihm aber nichts, weil er nicht an die gesicherte Banking-App kommt.

Kann ich mich auch für zwei Verfahren anmelden?

Das kommt auf Ihre Bank an. Wenn sie mehrere Online­banking-Verfahren anbietet, ist es meistens möglich, zwei davon parallel zu nutzen. Sie wählen aus den angebotenen Verfahren Ihre Favoriten aus. Für jedes Verfahren erhalten Sie abhängig von Ihrer Bank eventuell einen eigenen Anmelde­namen und eine eigene Pin. Sie entscheiden mit der Eingabe der Daten bei der Anmeldung im Online­banking, welches Verfahren Sie nutzen möchten. Manche Banken schließen aber auch das parallele Nutzen von zwei Verfahren aus.

Bearbeiten Banken Online­aufträge rund um die Uhr?

Stan­dard­über­weisungen, ob per Papier oder per PC in Auftrag gegeben, werden rund um die Uhr angenommen, aber nur zu bestimmten Zeiten verarbeitet. An Sams­tagen, Sonn- und Feier­tagen sowie in der Nacht finden keine Buchungen statt. Bis zu welchem Zeit­punkt die Bank Über­weisungen noch am gleichen Tag ausführt, steht im Preis- und Leistungs­verzeichnis. Aufträge, die danach eingehen, werden am folgenden Werk­tag gebucht.

Beispiel: Eine Über­weisung, die Sie Freitag um 21 Uhr tätigen, wird erst montags ausgeführt. Über­weisen Sie am Montag tags­über, wird der Auftrag am selben Tag gebucht. Inner­halb derselben Bank taucht eine Online­über­weisung von Konto zu Konto fast zeitgleich im Online­banking auf. Auch die Wert­stellung erfolgt meist sofort.

Mitt­lerweile sind Über­weisungen von einem Bank­konto zum anderen schneller möglich. Echtzeitüberweisung – oder in der Fach­sprache Instant Payment – heißt das Angebot, mit dem die Europäische Union seit November 2017 eine Möglich­keit geschaffen hat, Geld inner­halb von Sekunden zum Empfänger zu schi­cken. Bei vielen Banken geht das – meist kostet es.

Ist es sicherer, einen älteren Computer nur für Online­banking zu nutzen?

Der Ansatz ist nicht verkehrt, solange Sie so diszipliniert sind und wirk­lich keine anderen Internet­seiten besuchen. Allerdings ist nicht der Computer selbst das Sicher­heits­problem. Angriffs­punkt für Betrüger ist die Software auf dem Computer. Sie müssen auch auf dem älteren Gerät die üblichen Sicher­heits­vorkehrungen treffen: Virens­canner installieren sowie Betriebs­system und Internet­browser immer aktuell halten. Wichtig ist, dass die Programme vom Hersteller immer noch Sicher­heits­updates erhalten. Je älter die Hard­ware ist, desto eher kann es vorkommen, dass die neue Software nur noch lang­sam läuft und das Online­banking dadurch nicht so komfortabel ist.

Ist das Betriebs­system Linux sicherer als Wind­ows?

Ihre Annahme rührt offen­bar daher, dass wegen der geringeren Verbreitung Angriffe auf das freie Linux-System wesentlich seltener sind als auf gängige Betriebs­systeme. Betrüger wählen als Angriffs­ziel meist Systeme aus, bei denen die Erfolgs­aussichten sehr groß sind, also wenn Millionen Nutzer erreicht werden können. Aber Vorsicht: Egal, welches Betriebs­system Sie nutzen, Sie müssen immer die möglichen Sicher­heits­vorkehrungen treffen. In den allgemeinen Geschäfts­bedingungen oder den Sonderbedingungen zum Online­banking beschreiben die Banken in der Regel, welche Maßnahmen sie von Ihnen erwarten.

Wie kann ich eine von Betrügern nachgemachte Internetseite erkennen?

Das ist nicht immer einfach. Wichtig ist, dass Sie für Bank­geschäfte nie einen Link verwenden, der Ihnen per E-Mail zuge­schickt wurde. Geben Sie bei jedem Aufruf die Internet­adresse Ihrer Bank neu über die Tastatur ein. Wenn Sie schon beim Login nach einer Trans­aktions­nummer (Tan) gefragt werden, sind Sie mit Sicherheit auf einer gefälschten Seite. Auch minimale Abweichungen der Internet­adresse – etwa Trennungs­punkte oder Trenn­striche – sind Zeichen für eine Fälschung. Generell verdächtig ist alles, was vom gewohnten Ablauf abweicht.

Achten Sie darauf, dass die Verbindung zu Ihrer Bank in der Adress­zeile mit https:// beginnt. Bei Verwendung der aktuellen Browsersoftware wird mitt­lerweile oft ein Zertifikat ange­zeigt, mit dem die Richtig­keit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz bestätigt wird. Fast alle modernen Browser warnen vor unsicheren Zertifikaten oder verdächtigen Umleitungen. In diesem Fall sollten Sie keine Trans­aktionen mehr unternehmen und sofort Ihre Bank informieren.

Ist die Funk­tion „Kenn­worte speichern“ empfehlens­wert?

Bei einigen Browsern ist es möglich, Einträge und Pass­wörter in Formular­feldern – also auch im Anmeldeformular für das Online­banking – auto­matisch zu ergänzen oder zu speichern. Das ist aber gerade im Bezug auf das Online­banking aus Sicher­heits­gründen nicht zu empfehlen. Wenn Sie die auto­matische Speicherung von Daten in Ihrem Browser akti­viert haben, sollten Sie die Funk­tion „Kenn­wörter speichern“ (Browser Mozilla Firefox) beziehungs­weise „Auto-Vervoll­ständigen“ (Browser Internet Explorer) besser abschalten.

Was unterscheidet Online­banking von Mobile­banking?

Unter Online­banking verstehen wir, dass Sie sich an einem PC oder Tablet über den Internet­browser bei Ihrer Bank einwählen. Mobile­banking meint dagegen, dass Sie zum Beispiel für eine Über­weisung eine spezielle Banking-App verwenden. Die App laden Sie auf Ihr Smartphone. Sie kann von Ihrer Haus­bank sein oder auch von einem anderen Anbieter. Mobile­banking ist genauso sicher wie Online­banking. Da Banking-Apps noch weniger verbreitet sind, sind sie für Betrüger kein attraktives Angriffs­ziel. Das kann sich aber mit der Zeit ändern.

*) Korrigiert am 23. Oktober 2018

Das FAQ wird regel­mäßig aktualisiert, zuletzt am 12.9.2019

nach oben

Jetzt freischalten

TestGiro­konten und Online­bankingStand der Daten: 01.07.2019
1,50 €
Zugriff auf Informationen für 294 Produkte (inkl. PDF).

Wie möchten Sie bezahlen?

  • Unser Tipp
    test.de-Flatrate

    Freier Zugriff auf alle Testergebnisse und Online-Artikel für 7,90 € pro Monat oder 54,90 € im Jahr. Abonnenten von test oder Finanztest zahlen die Hälfte.

    Flatrate neu erwerben

  • Diesen Artikel per Kreditkarte kaufen
  • Diesen Artikel per PayPal kaufen
  • Diesen Artikel per Handy kaufen
  • Gutschein einlösen
Preise inkl. MwSt.
  • kauft alle Testprodukte anonym im Handel ein,
  • nimmt Dienstleistungen verdeckt in Anspruch,
  • lässt mit wissenschaftlichen Methoden in unabhängigen Instituten testen,
  • ist vollständig anzeigenfrei,
  • erhält nur rund 6 Prozent ihrer Erträge als öffentlichen Zuschuss.

Dieser Artikel ist hilfreich. 412 Nutzer finden das hilfreich.