Diebe wollen beim Online-Banking an Ihr Geld. Doch es ist nicht schwer, Schaden zu vermeiden. Sie können sich schützen - mit einfachen Regeln, Vorsicht und der richtigen Software.

Der Schädling Tspy_Agent.POA tauchte im März zum ersten Mal auf. Er lotste den Anwender beim Online-Banking auf eine täuschend echt wirkende Bank-Website. Dort sollte man wegen einer Umstellung auf ein neues Sicherheitsverfahren mehrere seiner iTANs eingeben (siehe unten). Wer das tat, war sein Geld los. Wie viel Geld bereits durch Betrüger übers Internet gestohlen wurde, ist nicht bekannt, denn die Banken geben dazu keine Informationen heraus.
Dennoch ist Online-Banking für die meisten Anwender einfach zu verlockend, um es nicht zu nutzen. Das System bietet schließlich viele Vorteile. So sind entsprechende Konten oft günstiger als übliche Filial-Konten, der Weg zum Rechner ist kürzer als der zum Bankschalter, und die Online-Bank ist rund um die Uhr geöffnet. Damit die Vorteile für Sie auch weiterhin überwiegen, zeigen wir, wie Sie sich gegen die Gefahren absichern. Lesen Sie mehr auf Seite 2

So gehen die Diebe vor
Moderne Räuber sind online. Bankgeschäfte über das Internet bieten einem Hacker generell drei Angriffspunkte: den Rechner der Bank, Ihre Verbindung zur Bank über das Internet sowie Ihren Rechner. Auf die Sicherheit des Bankrechners haben Sie keinen Einfluss. Sie müssen davon ausgehen, dass dieser geschützt ist. Die Verbindung zur Bank läuft über das SSL-Protokoll (Secure Socket Layer) in einer Verschlüsselungsstärke von 128 Bit. Diese gilt momentan als sicher. Allerdings muss gewährleistet sein, dass die Verbindung korrekt zwischen dem Bank-Server und Ihrem PC aufgebaut wird. Andernfalls sind „Man in the Middle“-Angriffe denkbar (siehe unten). Die größte Schwachstelle bleibt Ihr PC.
Ihr PC: Angriffsziel Nummer 1

Angriffe auf Ihre Bankgeschäfte konzentrieren sich zum größten Teil auf Ihren Rechner. Die meisten Kunden arbeiten mit dem PIN/TAN-System. Damit die Diebe an Ihr Geld kommen, benötigen sie Ihre Kontodaten, die PIN und eine verwendbare TAN. Sie versuchen auf zwei Wegen, an diese Informationen zu gelangen: über gefährlichen Code und über Phishing-Attacken.
Gefährlicher Code
Um die Bankdaten zu klauen, schleusen die Hacker Schädlinge auf ungeschützte PCs. Seit die Banken das TAN-System verbessert haben, wollen die Programme nicht mehr eine TAN abfangen, sondern dienen dazu, eine „Man in the Middle“-Attacke zu starten. Das ist technisch zwar anspruchsvoll, aber bereits vorgekommen. Der Trick der Gauner: Wenn sie sich in die Kommunikation mit der Bank einklinken, müssen sie nur den Empfänger und den Betrag einer Überweisung manipulieren, bevor die Daten bei der Bank ankommen. Die nötige TAN gibt der Anwender freiwillig ein, denn er will ja eine Überweisung bestätigen. Da diese Methode aber wirklich sehr aufwendig ist, versuchen es die Diebe noch auf eine andere Art. Dabei leitet der Code den Anwender auf eine gefälschte Website, die ihn auffordert, zehn oder mehr iTAN-Nummern einzugeben. Solche Angriffe lassen sich jedoch durch ein aktuelles Antiviren-Programm unterbinden. Deshalb versuchen die Diebe es häufiger mit Phishing-Attacken.
Phishing
Bei Phishing-Attacken stehlen die Angreifer die Daten wieder mittels gefälschter Web-Seiten, die mehr oder weniger der originalen Bank-Site ähneln. Dorthin wird der Anwender aber nicht per Code geleitet, sondern über ebenfalls gefälschte Mails. Zwar fallen erfahrene Anwender auf diesen Trick schon lange nicht mehr rein, aber Online-Banking wird von vielen Menschen betrieben. Und nicht jeder liest regelmäßig die Sicherheits-Tipps in PC-Zeitschriften. Für die Betrüger lohnt sich das „Geschäft“ mit Phishing also allemal. Der Antiviren-Hersteller Sophos hat sogar Phishing-Kits im Internet entdeckt, mit denen sich ohne große Programmierkenntnisse eine Phishing-Attacke erzeugen lässt. Lesen Sie mehr auf Seite 3
Mehr zum Thema:

Sicherheitstechniken
Aktuell existieren drei verbreitete Methoden, mit denen Banken sich und den Kunden schützen: PIN/TAN-Systeme, HBCI und OTP-Tokens.
PIN/TAN-Systeme

Die meisten Anwender führen ihre Online-Bankgeschäfte über die verschlüsselte Web-Seite ihrer Bank durch. Gesichert werden die Transaktionen zudem über das PIN/TAN-System. Die PIN (Persönliche Identifikationsnummer) ist für den Login nötig. Eine TAN (Transaktionsnummer) muss der Anwender für jeden Online-Auftrag eingeben. Sie ist nur einmal gültig. Früher erhielten die Anwender eine Liste mit TANs, aus der Sie eine beliebige Nummer auswählen konnten. Heute setzen die meisten Banken auf iTANs ein (indizierte TANs). Diese TANs sind nummeriert, und die Bank fragt bei der Transaktion eine ganz bestimmte ab. Der Vorteil: Selbst wenn es einem Dieb gelungen ist, eine TAN abzufangen, stehen die Chancen schlecht, dass die Bank genau diese verlangt.
Natürlich können die iTANs auch in Papierform einem Dieb in die Hände fallen. Sogar noch mehr als früher, denn will ein Anwender auch von unterwegs aus Online-Banking betreiben, muss er nun die gesamte Liste mitnehmen. Die wichtigste Schutzmaßnahme hier: Wählen Sie eine PIN, die sich nicht erraten lässt. Schreiben Sie sie aber auf keinen Fall auf.
Eine noch höhere Sicherheit erhalten Sie bei Banken, die mTANs anbieten. Bei einer Transaktion sendet die Bank eine neue TAN per SMS auf das Handy des Kunden. Die Nummer ist nur für diese eine Transaktion gültig, und das auch nur zeitlich begrenzt. In der SMS lassen sich zudem der Empfänger und der Betrag der Überweisung nochmals kontrollieren.
Chipkarte mit HBCI
Die Alternative zum PIN/TAN-System ist HBCI (Homebanking Computer Interface). Es arbeitet mit einer passwortgeschützten Chipkarte. Der Vorteil: TANs sind hier nicht nötig und können somit auch nicht gestohlen werden. Voraussetzungen für HBCI: Ihre Bank muss dieses System unterstützen, und Sie brauchen einen Kartenleser. Obwohl Online-Banking per HBCI tatsächlich mehr Sicherheit bringt, konnte sich das System bislang noch nicht durchsetzen.
Übrigens: Hinter HBCI steckt seit kurzem eine neue Technik namens Fin-TS. Sie ist wesentlich flexibler und auch für Banken außerhalb Deutschlands interessant.
OTP-Tokens
Relativ wenige Banken bieten Tokens an. Das sind Geräte in der Größe eines USB-Sticks, die bei einer Transaktion ein One-time-Password (OTP) generieren. Der Token zeigt das Einmal-Passwort auf einem Display an. Jedes Gerät ist mit dem Banken-Server synchronisiert, so dass sich das OTP nicht mit einem anderen Gerät erzeugen lässt. Lesen Sie mehr auf Seite 4

Wichtige Konto-Einstellungen
Für den Fall, dass ein Dieb trotz aller Maßnahmen an Ihre PIN und TANs gelangt, können Sie Vorsorge treffen, um das Schlimmste zu verhindern: Setzen Sie für Ihr Konto ein Überweisungslimit. Es gilt in der Regel für die Summe aller Überweisungen in einer Woche. Generell gilt: Je niedriger das Limit, desto weniger kann Ihnen jemand stehlen. Sollten Sie doch mal mehr Geld überweisen müssen, geht das entweder am Automaten oder wie gewohnt in der Filiale. Als weitere Maßnahme sollten Sie sich mindestens wöchentlich in Ihr Konto einloggen. Idealerweise werden Ihnen dann nur alle Transaktionen seit dem letzten Login angezeigt. So erkennen Sie schnell, ob jemand anderes als Sie in den vergangenen Tagen an Ihrem Konto war.
Schutz für den PC

Für jeden interessierten Anwender ist es selbstverständlich, den Rechner mit entsprechender Software vor gefährlichem Code zu schützen. Damit ist man auch vor Trojanern gefeit, die Bankdaten klauen wollen. Zur Sicherheitsausstattung gehören drei Tools: ein Antiviren-Programm, ein Antispyware-Tool und eine Firewall. Empfehlenswert sind die kostenlosen Programme Antivir PE Classic, Ad-Aware SE und Zone Alarm Free.
Banking mit Software
Banking-Software hat beim Thema Sicherheit vor allem für weniger erfahrene Anwender einen Vorteil: Die Programme schützen zuverlässig vor Phishing. Denn wer konsequent nur über ein Banking-Tool Kontakt mit seiner Bank aufnimmt, kann auch nicht über gefälschte Mails auf die Websites von Betrügern gelockt werden. Für Computer-Profis bringt ein Banking-Tool keinen nennenswerten Zuwachs an Sicherheit.
Banking-Programme
Einige Banken bieten ihren Kunden kostenlos Tools fürs Online-Banking an. Infos dazu gibt’s auf den Websites der Banken. Außerdem enthält die kostenlose Software von T-Online ein Banking-Modul. Im Handel sind Banking-Programme mit einem großen Funktionsumfang erhältlich, etwa Quicken, Star Money oder Wiso Mein Geld.
Fazit: Sicheres Online-Banking
Für erfahrene PC-Anwender ist sicheres Online-Banking kein Problem. Wer seinen Rechner vor Viren schützt und nicht auf Phishing hereinfällt, hat kaum etwas zu befürchten. Problematisch wird es für Benutzer, die sich nur wenig oder gar nicht mit PC-Sicherheit auskennen. Damit aber auch diese Leute nicht Opfer von Datendieben werden, sind die Banken gefragt. Sie sollten ihre Kunden über die Gefahren beim Online-Banking genau aufklären. Lesen Sie mehr auf Seite

Checkliste: So wählen Sie die richtige Online-Bank

Wenn Sie sich eine neue Online-Bank aussuchen, sollten Sie ein paar Kriterien besonders beachten. Hier finden Sie eine Checkliste, mit der Sie prüfen können, ob die Bank in Sachen Service und Sicherheit das bietet, was Sie brauchen.
Service
- Gibt es ausreichend Geldautomaten?
- Gibt es ein Filialnetz für persönliche Beratungsgespräche?
- Lassen sich Überweisungen auf Termin legen?
- Sind Auslandsüberweisungen möglich?
- Gibt es eine Umsatzanzeige für Kreditkarten?
Kosten
- Sind am Geldautomaten Gebühren fällig?
- Sind Gratis-Konten an Bedingungen geknüpft, etwa regelmäßigen Geldeingang oder Verzicht auf Filialbesuche?
- Fallen Kosten für EC-Karte, Kreditkarten und Partnerkarten an?
Sicherheit
- Welches TAN-Verfahren bietet die Bank?
- Bietet die Website eine virtuelle Tastatur zur Eingabe der iTAN?
- Steht HBCI/Fin-TS zur Verfügung?


Sicheres Online-Banking: Fünf Tipps
1. Schutz-Software für den PC

Das Wichtigste: Bewahren Sie Ihren PC vor gefährlichem Code. Das erledigen Sie mit einer Antiviren-Software, einem Antispyware-Tool und einer Firewall.
2. Schützen Sie sich vor Phishing
Rufen Sie Ihre Bank-Site immer über die Tastatur und nicht über einen Link in einer Mail auf. Wer sich mehr Schutz vor Phishing wünscht, kann auch eine Banking-Software einsetzen.
3. Datenschutz: Passworte und TANs verbergen
Beim Online-Banking fängt der Datenschutz bei Ihnen zu Hause an. Schreiben Sie niemals Ihre PIN auf. Die PIN dürfen Sie sich in der Regel selbst aussuchen. Sie sollten sie gelegentlich wechseln. Verwahren Sie Ihre TAN-Liste so sicher wie möglich.
4. Vorsicht auf fremden PCs
Wenn Sie von einem fremden Rechner aus Online-Banking betreiben möchten, sollten Sie das mit Ihrem eigenen Browser erledigen. Empfehlenswert ist dafür Firefox Portable: Es lässt sich ohne Installation nutzen und läuft etwa von einem USB-Stick aus.
5. Banking mit extra Rechner
Sie erreichen eine hohe Sicherheit, wenn Sie einen PC haben, den Sie nur fürs Online-Banking verwenden. Das geht zum Glück auch gratis – wenn Sie mit virtuellen PCs arbeiten. Dafür verwenden Sie am besten VM-Ware Server