Onlinebanking
20 TIPPS für das Onlinebanking
E-Mails nicht beantworten
Ignorieren Sie E-Mails, die zur Angabe von Zugangsdaten auffordern oder direkt zu Webformularen verlinken. Banken agieren so nicht, und auch den Bankangestellten gehen Ihre Zugangsdaten nichts an.
URL selbst eingeben
Geben Sie die URL Ihrer Online-Bank immer manuell im Browser ein, am besten in einer neu gestarteten Instanz.
URL genau prüfen
Vergleichen Sie die URL in der Browserzeile immer exakt mit der von Ihrer Bank angegebenen. Schon der kleinste Unterschied ist verdächtig.
Konto sperren
Sollten Sie doch einmal PIN/TAN preisgegeben haben oder verunsichert sein, sperren Sie sofort Ihren Zugang zur Online-Bank zum Beispiel durch wiederholte Falscheingabe der PIN, über das Konfigurationsmenü oder einen Anruf bei der Service-Hotline.
Sichere Verbindung
Prüfen Sie Ihre Online-Verbindung auf Sicherheitsaspekte. Dazu gehören etwa das Schloss-Symbol im Browser und das HTTPS-Protokoll in der Adresszeile.
Zertifikate prüfen 1
Meldet der Browser einen Zertifikatsfehler, brechen Sie den Vorgang am besten ab und fragen bei Ihrer Bank nach, ob der Fehler dort bekannt ist.
Zertifikate prüfen 2
Überprüfen Sie die verwendeten Zertifikate regelmäßig. Doppel-Klicken Sie dazu auf das Schloss-Symbol im Browser und kontrollieren Sie die Angaben zur Gültigkeit, Zertifizierungsstelle sowie unter Details den Fingerabdruck (Hash) und den Zertifikatspfad. Vergleichen Sie die Werte mit Ihren Bankunterlagen. Zertifikatsinhaber und -aussteller sollten nie identisch sein.
Vorgang abbrechen
Bleiben Sie misstrauisch. Klappen während des Online - Bankings irgendwelche Fenster auf oder verlangsamt sich die Online-Verbindung spürbar, sollten Sie den Vorgang abbrechen und gegebenenfalls das Konto sperren, bis die Ursachen klar sind.
Richtig abmelden
Beim Beenden Ihrer Online-Banking-Session sollten Sie immer die vorgegebene Logout-Prozedur aufrufen, niemals einfach nur den Browser schließen.
Spuren verwischen
Löschen Sie den Cache, um keine Spuren auf dem PC zu hinter-lassen, im Internet Explorer etwa unter Extras/Internetoptionen/ Temporäre Internetdateien.
Nur eigenen PC nutzenNutzen Sie für das Online-Banking am besten nur Ihren eigenen PC. Nur hier haben Sie die Kontrolle über alle Sicherheitsmaßnahmen. Fremde PCs könnten mit Trojanern verseucht sein.
Zugangsdaten schützen
Schützen Sie Ihre Zugangsdaten und speichern Sie diese nicht auf Ihrem PC. Verraten Sie diese auch nicht einem vermeintlichen Bankangestellten am Telefon.
Keine Automatiken
Deaktivieren Sie unbedingt die Autovervollständigen - Funktion im Browser. Beim Internet Explorer etwa unter Extras/Internetoptionen/Inhalte und dem Punkt Auto
vervollständigen.
PC komplett absichern
Sorgen Sie für einen sicheren PC. Verwenden Sie eine gut konfigurierte Firewall, ein aktuelles Antivirus-Tool und Sicherheits-Updates für Betriebssystem und Applikationen. WLAN - Verbindungen verschlüsseln Sie per WPA oder mindestens WEP 128 Bit.
Keine Trojaner-Risiken
Um sich vor Trojanern zu schützen, laden Sie Freeware nur aus vertrauenswürdigen Quellen, am besten von geprüften Heft - CDs (Computerbild, PC Professionell und andere Fachzeitschriften)
Abbuchungen prüfen
Behalten Sie Ihr Online-Konto im Auge, prüfen Sie regelmäßig die Abbuchungen und setzen Sie sich bei Auffälligkeiten schnellstens mit Ihrer Bank in Verbindung.
Komplexes Passwort
Verwenden Sie ein sicheres Passwort für Ihre Banking - Applikation sowie den Zugang zu Ihrem PC. Wechseln Sie die Passwörter auch regelmäßig aus.
Beweise sichern
Sichern Sie Beweise für einen möglichen Betrugsfall: Säubern Sie einen Trojaner-verseuchten PC nicht, sondern erstellen Sie ein Image. Leiten Sie Phishing-Mails an Ihre Bank weiter. Heben Sie Berichte aus Fachzeitschriften über Phishing-Fälle, Trojaner-Fluten und Virenattacken auf.
Erweitertes PIN/TAN
Informieren Sie sich, ob Ihre Bank ein erweitertes PIN/TAN -Verfahren anbietet. iTAN (indizierte TAN) verlangt stets eine bestimmte Nummer aus einer Liste. Noch besser: Sie senden Ihre TAN an die Bank, diese schickt eine neue zeitlich begrenzt und nur für eine Transaktion gültige TAN per SMS zurück. Damit wird das Handy zum weiteren Sicherheitsfaktor. Alternativ empfiehlt sich HBCI mit eigenem Chipkartenleser der Klasse 2 (etwa 50 Euro).
EMPFEHLUNG: chipTAN optisch - fragen Sie bei Ihrem Geldinstitut nach dieser Möglichkeit.
Durch eine optische Übertragung (Flackern von 5 schwarzen Balken)werden bestimmte Daten (Empfängerkontonummer, Betrag, Startcode) auf den Kartenleser (kostet ca. 10,00 EUR) übertragen. Zusammen mit dem Chip der ec-Karte wird dann speziell für diesen einen Auftrag eine TAN errechnet. Sollte ein Trojaner den Auftrag verändern, ist die TAN ungültig. Das Verfahren gilt derzeit als das sicherste Verfahren beim Online-Banking.
Browser absichern
Nutzen Sie die Sicherheitsoptionen Ihres Browsers. Bevor Sie Bankkunde werden, prüfen Sie, ob das verwendete Web-Interface etwa ActiveX oder Javascript erfordert. Entscheiden Sie sich gegebenenfalls für eine andere Online-Bank. Auch IE-Alternativen wie Firefox oder Opera sind sicherer, weil sie seltener gehackt werden.
Sicherheitstipp: Vorsicht Phisher
Die Abzockmasche der Datenfischer.
Phishing ist ein Kunstwort aus "Password" und "fishing" und steht für das Stehlen von Passwörtern. Dabei werden meist E-Mails verschickt, in denen Online-Banking-Nutzer über einen Link auf täuschend echte Kopien der Online-Banking-Webseiten ihres Geldinstituts gelockt werden. Dort sollen persönliche Zugangsdaten wie Kontonummer, PIN und TAN eingegeben werden, die dann von den "Phishern" missbraucht werden können.
Am einfachsten schützen Sie sich vor solchen Betrugsversuchen, wenn Sie auf E-Mails unbekannter Herkunft nicht reagieren. Ihre Sparkasse wird Sie niemals per E-Mail auffordern, Webseiten zu öffnen und dort Kundendaten einzugeben, die nicht zweifelsfrei Ihrem Institut zuzuordnen sind. Achten Sie auch auf das Schloss-Symbol im Browser in der unteren Leiste. Banking-Seiten sind immer verschlüsselt, was Sie auch im oberen Adressfeld erkennen können, wo in der URL https:// statt http:// angezeigt wird.
Unsere Sicherheitstipps:
- Auf das Schlosssymbol im Browser achten
- Die Verschlüsselung der URL beachten (https:// statt nur http://)
- Internet-Adresse Ihres Geldinstitutes immer selbst eingeben
Sicherheitstipp: Vorsicht Trojaner
Getarnte Spione wirken im Verborgenen.
Als Trojaner oder Trojanisches Pferd bezeichnet man eine Software, die vom Nutzer unerkannt bösartige Inhalte einschleust und unbemerkt unerwünschte Aktionen ausführt. Diese virusartigen Programme fängt man sich meist mit einer E-Mail ein, wo sich der Trojaner häufig in einem scheinbar harmlosen Anhang (z. B. elektronische Postkarte oder Bildschirmschoner) versteckt.
Trojanische Pferde enthalten oft Spionagefunktionen die es ermöglichen, einen Computer unkontrolliert vom Anwender fernzusteuern. Ein solches Programm kann auch Benutzerdaten ausspähen oder Tastatureingaben des ahnungslosen Nutzers protokollieren.
Funktioniert Online-Banking nicht mehr in gewohnter Weise, sollten Sie misstrauisch werden. Mögliche Alarmzeichen sind z. B.:
- Die Verbindung wird nach Eingabe der TAN unterbrochen.
- Nach der TAN-Eingabe werden Fehlermeldungen (z. B. "TAN verbraucht" oder "TAN ungültig") angezeigt und weitere TANs angefordert.
- Während der Online-Sitzung erscheinen Fenster, die z.B. zur Eingabe einer TAN auffordern.
- Auf nicht verschlüsselten Seiten (das Vorhängeschloss im Browser ist plötzlich nicht mehr geschlossen) wird zur TAN-Eingabe aufgefordert.
So schützen Sie sich:
- Ändern Sie im Verdachtsfall sofort Ihren Anmeldenamen und Ihre PIN
- Sperren Sie Ihre TAN-Liste
- Kontrollieren Sie umgehend Ihre Kontoumsätze
- Halten Sie Ihre Virenschutzsoftware aktuell und nutzen Sie eine Firewall
- Installieren Sie laufend die verfügbaren Sicherheitsupdates Ihres Betriebssystems
Achtung: Vishing
Datenraub am Telefon.
Vishing ist eine noch relativ junge Form des Datenraubs übers Telefon. Bislang verschickten die Trickbetrüger E-Mails, die dazu aufforderten, auf gefälschten Online-Banking-Seiten geheime Daten einzugeben. Das nennt man "Phishing". Der Begriff "Vishing" steht für "Voice Phishing" oder "Phishing via VoIP" und bezeichnet den organisierten Datenklau übers Telefon.
Das Ziel
Ziel dieser neuen Datenklau-Methode ist es, das Opfer irrezuführen und zur Herausgabe seiner Zugangsdaten (PIN/TAN), Passwörter, Kreditkartendaten etc. zu bewegen.
Die Masche
In der Regel läuft der Trick so ab: Die Betrüger rufen automatisiert Verbraucher an, die eine Bandansage, die angeblich von Ihrer Bank kommen soll, zu hören bekommen. Das Band teilt mit, dass beispielsweise die Kredit- oder EC-Karte missbraucht worden sei. Darauf folgt dann die Aufforderung zum Rückruf. Wählt man die genannte Nummer, soll man seine persönlichen Zugangsdaten per Tasteneingabe preisgeben, um das Problem zu beheben.
Welche Infos erfragen Visher
Gibt ein gutgläubiger Kunde ein, was man von ihm verlangt, haben die Visher schnell alles, was sie brauchen, um das Konto leer zu räumen: Namen, Kreditkarten- und Kontonummer, PIN- und TAN-Nummern.
Erfolgreiche Abwehr
Sicherheitsexperten raten, bei solchen Anrufen sofort aufzulegen! Niemals dürfen Sie sensible Daten am Telefon oder per Mail preisgeben. Ihre Sparkasse wird Ihre Daten nie in einer E-Mail oder telefonisch abfragen.
Wichtige Hinweise:
- Vishing ist eine neue kriminelle Form des Datenklaus übers Telefon
- Legen Sie sofort auf, wenn Sie jemand nach persönlichen Daten fragt
- Ihre Sparkasse wird Sie niemals am Telefon nach sensiblen Daten fragen
Bots - wenn Ihr Computer ferngesteuert wird
Wie Ihr Rechner zum "Zombie" mutiert.
Es könnte sein, dass Ihr Computer für einen anderen arbeitet - ohne dass Sie es bemerken. Bots heißen solche Programme, die bewirken, dass Ihr Rechner ferngesteuert arbeitet.
Das Problem der ferngesteuerten Computer hat in den vergangenen Jahren ständig zugenommen. Dank günstiger Tarife verfügen immer mehr Nutzer über einen Breitband-Internetanschluss und sind rund um die Uhr ans Netz angeschlossen. Im Gegensatz zu analogen Internetverbindungen über ein langsames Modem fällt bei DSL-Anschlüssen kaum auf, ob der Computer nebenher Programme ausführt, die Sie gar nicht installiert haben, weil die Verbindungsgeschwindigkeit nicht merklich nachlässt.
Was soll der gekaperte Computer tun? Bots werden eingesetzt, um z. B. Spam unerkannt zu versenden oder um andere Internetseiten lahmzulegen. Dazu werden die Einzelrechner zu Bot-Netzen verbunden, die aus mehreren tausend Computern bestehen können. Per Fernsteuerung können dann die Schadprogramme aktiviert und die schädlichen Aktionen ausgeführt werden.
Wie kommt der "Zombie" in den Computer?
Wenn Sie im Internet surfen, Dateien aus Tauschbörsen herunterladen oder E-Mail-Anhänge öffnen, kann es leicht passieren, dass Sie sich schädliche Programme einfangen. Zu diesen Schadprogrammen zählen eben auch die Bots, die sich still und heimlich auf Ihrem PC einnisten. Viele Bots verhalten sich zunächst ziemlich unauffällig, sodass Sie davon nichts bemerken - bis sie per Fernbefehl aufgeweckt werden. Bot-Netze werden oft gegen Geld an Dritte weitervermietet. Es steckt also ein richtiges Geschäftsmodell dahinter - und sehr viel kriminelle Energie. Viele Computerwürmer konnten sich nur durch Bot-Netze so schnell und wirkungsvoll ausbreiten.
Wie Sie sich schützen können
Achten Sie darauf, dass Ihr Computer nicht ungewollt zum Helfershelfer von Kriminellen wird. Sorgen Sie dafür, dass Fremde keine Zugriffsmöglichkeit auf Ihren Rechner bekommen. Aktualisieren Sie Ihr Betriebssystem regelmäßig und schließen Sie bekannte Sicherheitslücken. Informationen und Updates erhalten Sie vom Hersteller Ihres Betriebssystems. Darüber hinaus gelten die üblichen Schutzmaßnahmen: Installieren Sie ein Virenschutzprogramm und eine Firewall und aktualisieren Sie diese regelmäßig.