Close Menu
    Mittwoch, 11. Februar
    Das Magazin für Menschen ab 50

    Online-Banking sicher nutzen: Eine Anleitung

    7 Mins Read

    Das Online-Banking hat den klassischen Bankschalter fast vollständig ersetzt und bietet enormen Komfort, verlangt jedoch von Nutzern ein deutlich höheres Maß an Eigenverantwortung. Wer seine Finanzgeschäfte digital erledigt, wird Teil der Sicherheitsarchitektur seiner Bank und muss verstehen, wo technische Schutzmaßnahmen enden und menschliche Wachsamkeit beginnen muss. Kriminelle greifen heute selten die gut gesicherten Bankserver direkt an, sondern konzentrieren sich auf den schwächsten Punkt in der Kette: das Endgerät und das Vertrauen des Kunden.

    Das Wichtigste in Kürze

    • Nutzen Sie ausschließlich Zwei-Faktor-Authentifizierung (2FA) über separate Geräte oder Apps und meiden Sie veraltete SMS-TAN-Verfahren.
    • Installieren Sie Sicherheitsupdates für Betriebssystem und Browser sofort, da Bankgeschäfte auf veralteten Geräten ein unkalkulierbares Risiko darstellen.
    • Geben Sie niemals TANs oder PINs ein, wenn Sie dazu per E-Mail, SMS oder Anruf aufgefordert werden – Banken fragen diese Daten niemals aktiv ab.

    Warum das Endgerät die größte Schwachstelle ist

    Die Sicherheit Ihrer Transaktionen steht und fällt mit dem Zustand des Geräts, auf dem Sie das Banking durchführen. Ein Computer oder Smartphone, das mit Schadsoftware infiziert ist, kann Tastatureingaben mitlesen (Keylogging) oder Bildschirminhalte an Dritte übertragen, noch bevor die Daten verschlüsselt an die Bank gesendet werden. Veraltete Betriebssysteme und Browser, für die der Hersteller keine Sicherheitsupdates mehr liefert, sind wie offene Türen für solche Angriffe, weshalb Windows-Updates oder iOS-Aktualisierungen nicht aufgeschoben werden sollten. Auch kostenlose Antiviren-Scanner bieten einen Basisschutz, doch das wichtigste Werkzeug bleibt die strikte Trennung von riskantem Surfverhalten und sensiblen Finanzgeschäften.

    Besondere Vorsicht gilt bei der Nutzung von Administrator-Rechten auf dem PC oder dem sogenannten „Rooting“ beziehungsweise „Jailbreak“ auf Smartphones. Diese erweiterten Rechte hebeln interne Sicherheitsmechanismen der Geräte aus und erlauben es Apps, tiefgreifend auf das System zuzugreifen, was Banking-Trojanern den Weg ebnet. Viele moderne Banking-Apps verweigern auf manipulierten Betriebssystemen aus diesem Grund den Dienst. Ein dediziertes Gerät oder zumindest ein sauberer, nur für Finanzen genutzter Browser ohne unnötige Erweiterungen minimiert die Angriffsfläche drastisch.

    Welche TAN-Verfahren heute Standard sind

    Die Zeiten der gedruckten iTAN-Listen sind aus gutem Grund vorbei; moderne Verfahren basieren auf einer dynamischen Generierung von Einmalpasswörtern, die an einen konkreten Auftrag gebunden sind. Die Auswahl des richtigen Verfahrens hängt oft von der Balance zwischen Bequemlichkeit und maximaler Sicherheit ab, wobei die EU-Richtlinie PSD2 (Payment Services Directive 2) eine starke Kundenauthentifizierung zwingend vorschreibt. Wer die Unterschiede kennt, kann das für seinen Alltag passendste und sicherste Modell wählen.

    • ChipTAN / Sm@rt-TAN: Hierbei wird eine Bankkarte in einen separaten kleinen Generator gesteckt, der einen flackernden Code am Bildschirm ausliest. Da das Gerät keine Internetverbindung hat, gilt dies als eines der sichersten Verfahren überhaupt.
    • App-basierte Verfahren (PushTAN): Eine spezielle Sicherheits-App auf dem Smartphone empfängt den Auftrag und fordert eine Freigabe per Passwort oder Biometrie. Dies ist komfortabel, birgt aber Risiken, wenn Banking und Freigabe auf demselben (potenziell kompromittierten) Gerät erfolgen.
    • PhotoTAN: Ein farbiger Grafikcode wird mit einem separaten Lesegerät oder einer App gescannt. Ähnlich sicher wie ChipTAN, sofern ein eigenständiges Lesegerät verwendet wird.
    • FIDO / USB-Security-Key: Ein physischer Sicherheitsschlüssel (Hardware-Token), der in den USB-Port gesteckt wird. Bietet extrem hohen Phishing-Schutz, wird aber noch nicht von allen Banken flächendeckend unterstützt.

    Unabhängig von der Wahl des Verfahrens ist entscheidend, die angezeigten Daten auf dem zweiten Gerät (TAN-Generator oder App) penibel zu prüfen. Bestätigen Sie die Transaktion erst, wenn der dort angezeigte Betrag und die Empfänger-IBAN exakt mit Ihrer Überweisung übereinstimmen. Angreifer versuchen oft durch Manipulation des Browsers, Ihnen eine harmlose Überweisung vorzugaukeln, während im Hintergrund die echten Transaktionsdaten geändert werden – nur der Blick auf das zweite Display entlarvt diesen Betrug.

    Phishing und Social Engineering erkennen

    Technische Hürden sind heute so hoch, dass Kriminelle oft den Weg des geringsten Widerstands wählen: die Manipulation des Nutzers. Beim sogenannten Phishing erhalten Sie E-Mails oder SMS, die täuschend echt wie Nachrichten Ihrer Bank oder Sparkasse aussehen und vor angeblichen Sicherheitsproblemen warnen. Ziel ist es immer, Sie unter Zeitdruck auf eine gefälschte Webseite zu locken, wo Sie Zugangsdaten und TANs eingeben sollen. Ein gesundes Misstrauen ist hier der beste Schutz: Banken versenden niemals Links zur direkten Anmeldung und fordern Sie niemals auf, eine TAN für eine „Rückbuchung“ oder „Verifizierung“ einzugeben.

    Eine perfidere Variante ist das sogenannte Vishing (Voice Phishing), bei dem Täter anrufen und sich als Bankmitarbeiter ausgeben, oft sogar mit gefälschter Rufnummer im Display (Call-ID-Spoofing). Sie behaupten, eine verdächtige Abbuchung stoppen zu müssen, und benötigen dafür Ihre Mitarbeit per App oder TAN. In solchen Momenten hilft nur eines: Legen Sie sofort auf und rufen Sie Ihre Bank über die Ihnen bekannte, offizielle Nummer zurück. Lassen Sie sich niemals von scheinbarer Dringlichkeit zu unüberlegten Klicks oder Freigaben drängen, denn echte Bankprozesse lassen Ihnen immer Zeit zur Prüfung.

    App-Banking versus Browser-Nutzung

    Lange galt der stationäre PC als Goldstandard für Bankgeschäfte, doch mittlerweile haben sich dedizierte Banking-Apps auf Smartphones als oft sicherere Alternative etabliert. Das liegt an der Architektur moderner mobiler Betriebssysteme (iOS und Android), die Apps in sogenannten „Sandboxes“ isolieren, sodass eine App nicht ohne Weiteres auf die Daten einer anderen zugreifen kann. Zudem integrieren Apps biometrische Verfahren wie Fingerabdruck oder Face-ID nahtlos, was das Ausspähen von Passwörtern durch Schulterblicke oder Kameras im öffentlichen Raum erschwert.

    Dennoch gibt es auch beim mobilen Banking klare Regeln, um die Sicherheitsvorteile nicht zu verspielen. Laden Sie Banking-Apps ausschließlich aus den offiziellen App Stores herunter und niemals über Links von Webseiten („Sideloading“). Meiden Sie zudem offene, unverschlüsselte WLAN-Netze in Cafés oder Hotels für Ihre Finanzgeschäfte. Wenn Sie unterwegs dringend den Kontostand prüfen müssen, schalten Sie das WLAN ab und nutzen Sie die mobile Datenverbindung Ihres Providers, da diese deutlich schwerer abzuhören ist als ein öffentlicher Hotspot.

    Sinnvolle Limits und Kontrollroutinen etablieren

    Sicherheit entsteht nicht nur durch Abwehr von Angriffen, sondern auch durch Schadensbegrenzung für den Fall, dass doch Zugangsdaten abfließen. Eine der effektivsten Maßnahmen ist das Setzen eines täglichen Überweisungslimits, das nur knapp über Ihrem üblichen Bedarf liegt. Sollte ein Angreifer Zugriff auf Ihr Konto erlangen, kann er es so nicht auf einen Schlag leerräumen, und Sie gewinnen wertvolle Zeit zum Reagieren. Für größere Anschaffungen lässt sich das Limit meist temporär im Online-Banking erhöhen und danach wieder senken.

    Ergänzend dazu ist die regelmäßige Kontrolle der Kontoumsätze unverzichtbar, idealerweise nicht nur einmal im Monat beim Auszugdrucken, sondern wöchentlich oder per Push-Benachrichtigung bei jeder Kontobewegung. Viele Banken bieten diesen „Kontowecker“ kostenlos an. Je früher Sie eine unberechtigte Lastschrift oder Überweisung bemerken, desto höher sind die Chancen, das Geld zurückzuholen. Bei Lastschriften haben Sie in der Regel acht Wochen Zeit für einen Widerspruch, bei Überweisungen ist das Zeitfenster oft nur wenige Stunden groß, bevor das Geld die Bank verlässt.

    Notfallplan: Was tun bei Verdacht?

    Wenn Sie bemerken, dass Geld fehlt, Sie versehentlich Daten auf einer Phishing-Seite eingegeben haben oder Ihr Smartphone gestohlen wurde, zählt jede Minute. Der erste Schritt ist immer die sofortige Sperrung des Zugangs. In Deutschland steht dafür der zentrale Sperr-Notruf 116 116 rund um die Uhr zur Verfügung, über den sich Girocards, Kreditkarten und oft auch Online-Banking-Zugänge sperren lassen. Speichern Sie diese Nummer in Ihrem Telefon ab, damit Sie im Stressmoment nicht erst googeln müssen.

    Nach der Sperrung sollten Sie umgehend Kontakt zu Ihrer Bank aufnehmen, um den Vorfall zu schildern und mögliche Rückrufe von Überweisungen zu veranlassen. Anschließend ist der Gang zur Polizei notwendig, um Anzeige gegen Unbekannt zu erstatten; das Aktenzeichen benötigt die Bank oft für die weitere Bearbeitung und eventuelle Erstattungen. Ändern Sie zudem – von einem sicheren, virenfreien Gerät aus – sofort alle Passwörter, die mit dem kompromittierten Konto oder Gerät in Verbindung standen, insbesondere auch den Zugang zu Ihrem E-Mail-Postfach.

    Fazit: Wachsamkeit als dauerhafter Prozess

    Online-Banking ist heute so sicher wie nie zuvor, wenn man die technischen Möglichkeiten korrekt nutzt und die eigenen Gewohnheiten kritisch hinterfragt. Die Kombination aus aktueller Hardware, einem sicheren TAN-Verfahren und einem gesunden Misstrauen gegenüber unerwarteten Nachrichten bildet ein robustes Schutzschild. Wer Routine nicht mit Sorglosigkeit verwechselt und Sicherheitsfunktionen wie Limits und Benachrichtigungen aktiv konfiguriert, kann die Vorteile des digitalen Zahlungsverkehrs genießen, ohne unnötige Risiken einzugehen.