Navigation überspringen
Sie sind hier:

Online-Banking, Phishing, Datenverschlüsselung

Sicher bezahlen im Internet

3 bunte Kreditkarten am Vorhängeschloss auf einer Tastatur

Ob beim Bezahlen von Waren und Dienstleistungen im Internet oder bei sonstigen Bankgeschäften per Online-Banking – immer wieder stellen sich Verbraucherinnen und Verbraucher die Frage, wie sicher ihre Bank- und Kontodaten vor Missbrauch sind. Einen hundertprozentigen Schutz davor, dass Daten beim Online-Bezahlen abgegriffen oder etwa durch ein Datenleck auf Anbieterseite in fremde Hände geraten, gibt es leider nicht. Verbraucherinnen und Verbraucher können dennoch einiges zu ihrer Sicherheit beim Online-Bezahlen beitragen. Dieser Artikel gibt einen ersten Überblick.

Sicherheit beim Online-Banking

Die Sicherheit des Online-Bankings hängt stark vom Verfahren ab, das die jeweilige Bank einsetzt, um Transaktionen zu autorisieren. In der Regel melden sich Verbraucherinnen und Verbraucher für das Online-Banking mit einem Anmeldenamen und einer PIN – der persönlichen Identifikationsnummer – an. Wie bei Passwörtern gilt: Beide Nutzer-Kennungen sind umso sicherer, je länger sie sind und je mehr unterschiedliche Zeichenarten sie enthalten – also Ziffern, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen. Manche Banken bieten dabei mehr Gestaltungsspielraum, andere weniger.

Zusätzlich muss für jede Transaktion (z. B. eine Überweisung) eine Transaktionsnummer (TAN) eingegeben werden. Banken bieten verschiedene TAN-Systeme an, die als unterschiedlich sicher eingeschätzt werden. Verbraucherinnen und Verbraucher sollten sich daher bei der Auswahl eines Systems über die potentiellen Risiken bewusst sein. Eine Orientierungshilfe bietet hier der folgende Überblick über die gängigen TAN-Verfahren:

  • Das mTAN-Verfahren (auch mobileTAN oder smsTAN genannt):
    Nach Aufforderung durch den Kunden sendet die Bank per SMS eine TAN auf dessen angegebenes Mobilgerät. Sie ist nur für eine Transaktion und für kurze Zeit gültig. Hier besteht die Möglichkeit, dass Angreifer die SMS-Nachricht abfangen oder umleiten. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass das Abfangen von SMS Kriminellen mit entsprechendem Vorwissen gelingen kann. Viele Banken rücken von der smsTAN ab und stellen auf andere Verfahren um, weil Alternativen sicherer sind. Interessierte können sich hierzu auch an ihre Bank wenden und fragen, ob alternative TAN-Verfahren angeboten werden und eine Umstellung möglich ist. Bis dahin sollte man sicherheitshalber für die Online-Banking-Transaktion und das mTAN-Verfahren zwei verschiedene Geräte (z. B. ein PC und ein Smartphone) nutzen. Dann müsste ein Hacker schon zwei Geräte angreifen. Bei der Verwendung nur eines Geräts, würden im schlechtesten Fall die Daten beider Vorgänge zugleich abgegriffen. Nutzen Verbraucherinnen und Verbraucher das mTAN Verfahren, sollte darauf geachtet werden, dass in der SMS mit der TAN auch die Kontonummer des Empfängers und der Überweisungsbetrag korrekt angegeben sind. Bei Unstimmigkeiten sollte die Transaktion abgebrochen und die Bank kontaktiert werden.
  • Beim pushTAN-Verfahren wird etwa auf dem Smartphone eine spezielle App installiert, die TANs bei Bedarf direkt auf dem Smartphone generiert. Die Sicherheit des TAN-Verfahrens kann erhöht werden, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden und für beides andere, möglichst lange und komplexe Passwörter verwendet werden. Auch hier sollte immer die aktuellste Version der App installiert sein.
  • Als vergleichsweise sicher gelten demgegenüber TANs, die mit speziellen TAN-Generatoren auf einem Ziffernfeld erzeugt werden. Die kleinen, in der Regel kostenpflichtigen Geräte erhalten Nutzerinnen und Nutzer von ihrer Bank. Das Verfahren wird auch als Chip-TAN bezeichnet. Die TAN wird erzeugt, indem die Bankkarte in den Generator gesteckt und eine Kontrollnummer von der Online-Banking-Webseite eingegeben wird (z. B. sm@rtTAN plus oder chipTAN manuell genannt). Bei einer anderen Variante wird auf der Webseite für das Online-Banking eine Grafik mit flackernden schwarz-weißen Flächen erzeugt, die mit dem TAN-Generator gescannt werden muss (z. B. sm@rtTAN optic oder chipTAN comfort). Da die Nutzerinnen und Nutzer die Transaktionsdaten vor der Ausführung nochmals über das Display des Generators prüfen und bestätigen müssen und hier genau hinschauen sollten, bietet dieses Verfahren einen vergleichsweise guten Schutz vor Phishing-Attacken und Angreifern, die sich zwischen Kunde und Bank schalten.
  • Das PhotoTAN/QR-TAN: Das Photo-TAN-Verfahren funktioniert ähnlich wie das Chip-TAN-Verfahren. Nach Eingabe der Transaktionsdaten erscheint auf dem Bildschirm eine Grafik, die mit der entsprechenden App für die photoTAN ausgelesen wird. Der in der Grafik enthaltende Code wird in eine TAN gewandelt, mit der die Transaktion frei gegeben wird. Diese grafische Datenverschlüsselung erhöht die Sicherheit des Verfahrens vor Hackerangriffen. Auch hier sollte die App immer auf dem aktuellsten Stand sein.

Schutz vor Phishing

Online-Transaktionen können durch sogenanntes Phishing ausgespäht werden. Dabei versenden die Angreifer täuschend echt aussehende E-Mails, in denen die Adressaten aufgefordert werden, Daten in ein Webformular einzugeben. Das können PINs und TANs für das Online-Banking sein, Kreditkartennummern oder Zugangsdaten zu Bezahlsystemen wie PayPal. Als Vorwand werden häufig Aktualisierungen oder Prüfungen der eingesetzten Systeme genannt. Den Betroffenen wird oft vorgetäuscht, dass sie sonst keinen Zugang mehr zu ihrem Konto hätten. Das Webformular, in das die Zugangsdaten eingegeben werden sollen, sieht der gewohnten Eingabemaske der eigenen Bank oder des Zahlungsdienstes meist sehr ähnlich – es handelt sich jedoch um Fälschungen.

Verbraucherinnen und Verbraucher sollten stets daran denken, dass seriöse Banken und Zahlungsdienstleister ihre Kundinnen und Kunden niemals per E-Mail auffordern, Daten wie PIN und TAN einzugeben oder zu aktualisieren. Auch überzeugend wirkende Aufforderungen sollten stets ignoriert werden. Auf keinen Fall sollten sie auf Links aus solchen Nachrichten klicken. Im Zweifel hilft ein Anruf bei der Bank, ob die Nachricht wirklich vom vermeintlichen Absender stammt. Hier sollte die gewohnte Telefonnummer der Bank angerufen werden und nicht eine solche, die ggf. in der E-Mail genannt ist.

Sparsam mit Daten umgehen

Der Grundsatz, sparsam mit persönlichen Daten umzugehen, schützt vor vielen Risiken im Internet. Das gilt auch beim Einkauf im Internet: Persönliche Daten sollten Verbraucherinnen und Verbraucher nur angeben, wenn sie wirklich etwas kaufen wollen, die Daten dafür notwendig sind und der Händler seriös ist. Adressen und Telefonnummern müssen nicht auf Social-Media-Kanälen veröffentlicht werden. Sie können von Betrügern beispielsweise zum Erstellen gefälschter Personenprofile verwendet werden, auf deren Rechnung sie dann Waren bestellen (Identitätsdiebstahl).

Bei vielen Online-Shops können Verbraucherinnen und Verbraucher bestellen, ohne ein dauerhaftes Benutzerkonto anzulegen. Die persönlichen Daten werden im Idealfall nur für die Bestellung gespeichert und danach möglichst gelöscht. Datensparsamkeit kann auch darin bestehen, Kreditkartendaten nicht bei zahlreichen Online-Händlern zu hinterlegen.

Daten verschlüsselt übertragen

Wenn Verbraucherinnen und Verbraucher bei Bestellungen im Internet oder beim Online-Banking persönliche Daten angeben, sollten sie stets auf eine verschlüsselte Datenverbindung achten. Nur dann sind die Daten vor vielen unbefugten Zugriffen geschützt. Eine solche Verbindung ist daran zu erkennen, dass in der Adresszeile des Browsers statt „http://“ ein „https://“ steht. Viele Browser zeigen zusätzlich ein kleines Vorhängeschloss-Symbol an.

Banken und Online-Händler verwenden oft eine Verschlüsselungsvariante, bei der zusätzlich der Inhaber der Webseite neben dem Schloss-Symbol angezeigt wird. Das bedeutet: Eine dritte Partei hat bestätigt, dass das Webangebot vom angegebenen Anbieter betrieben wird, und nicht von Betrügern, die nur den Namen verwenden. Wer auf das Schlosssymbol klickt, erhält bei den meisten Browsern nähere Informationen.

Abbuchungen regelmäßig überprüfen

Wer regelmäßig seine Kontoauszüge für Girokonten, Kreditkarten und Zahlungsdienste überprüft, kann unrechtmäßige Abbuchungen rechtzeitig erkennen und gegebenenfalls rückgängig machen. Ist der Schaden schon geschehen, sollten Betroffene ihr Passwort oder ihre PIN so schnell wie möglich ändern und sich umgehend bei Bank und Händlern melden. Bei Kreditkartenmissbrauch sollten sie eine neue Kreditkartennummer beantragen, um ihr Konto vor weiteren Zugriffen zu schützen.

Weitere Informationen

Verbraucherportal:
Sichere Internetnutzung - Virenschutz, Passwörter, Verschlüsselung; mit Tipps zur Nutzung sicherer Passwörter

Einkaufen im Internet; mit Hinweisen zur Auswahl eines vertrauenswürdigen Online-Shops

Bezahlen im Internet; verschiedene Bezahlformen beim Einkaufen im Internet und ihre jeweiligen Vor- und Nachteile
 

Bundesamt für Sicherheit:
Hintergrundinformationen und Sicherheitstipps auf der Webseite des Bundesamtes für Sicherheit (BSI) in der Informationstechnik unter anderem zu folgenden Themen:
Welche Bezahlmethode ist online die sicherste?

Onlinebanking, Onlineshopping und mobil bezahlen

Weiterführende Links

BSI für Bürger
Angebot des Bundesamts für Sicherheit in der Informationstechnik

Bundesnetzagentur

www.sicher-im-netz.de
Webseite des Vereins Deutschland sicher im Netz e. V.

mobilsicher.de
Das Infoportal für mehr Sicherheit auf Smartphone und Tablet

Wir setzen auf dieser Website Cookies ein. Diese dienen dazu, Ihnen Servicefunktionen anbieten zu können sowie zu Statistik-und Analysezwecken (Web-Tracking). Wie Sie dem Web-Tracking widersprechen können sowie weitere Informationen dazu finden Sie in unserer Datenschutzerklärung.