Ob beim Bezahlen von Waren und Dienstleistungen im Internet oder bei sonstigen Bankgeschäften per Online-Banking – immer wieder stellen sich Verbraucherinnen und Verbraucher die Frage, wie sicher ihre Bank- und Kontodaten vor Missbrauch sind. Einen hundertprozentigen Schutz davor, dass Daten beim Online-Bezahlen abgegriffen oder etwa durch ein Datenleck auf Anbieterseite in fremde Hände geraten, gibt es leider nicht. Verbraucherinnen und Verbraucher können dennoch einiges zu ihrer Sicherheit beim Online-Bezahlen beitragen. Dieser Artikel gibt einen ersten Überblick.
Sicherheit beim Online-Banking
Die Sicherheit des Online-Bankings hängt stark vom Verfahren ab, das die jeweilige Bank einsetzt, um Transaktionen zu autorisieren. In der Regel melden sich Verbraucherinnen und Verbraucher für das Online-Banking mit einem Anmeldenamen und einer PIN – der persönlichen Identifikationsnummer – an. Wie bei Passwörtern gilt: Beide Nutzer-Kennungen sind umso sicherer, je länger sie sind und je mehr unterschiedliche Zeichenarten sie enthalten – also Ziffern, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen. Manche Banken bieten dabei mehr Gestaltungsspielraum, andere weniger.
Zusätzlich muss für jede Transaktion (z. B. eine Überweisung) eine Transaktionsnummer (TAN) eingegeben werden. Banken bieten verschiedene TAN-Systeme an, die als unterschiedlich sicher eingeschätzt werden. Verbraucherinnen und Verbraucher sollten sich daher bei der Auswahl eines Systems über die potentiellen Risiken bewusst sein. Eine Orientierungshilfe bietet hier der folgende Überblick über die gängigen TAN- Verfahren:
- Das sogenannte iTAN-Verfahren, bei dem die TANs nummeriert sind, gilt als veraltet, da die Sicherheitsrisiken bei diesem Verfahren zu groß sind. Banken werden das iTAN- Verfahren ab Herbst 2019 auch nicht mehr anbieten, da es nach der Umsetzung europarechtlicher Vorgaben den erhöhten Anforderungen an eine sichere Kundenauthentifizierung nicht genügt.
- Als etwas sicherer gilt das mTAN-Verfahren (auch mobileTAN oder smsTAN genannt). Nach Aufforderung durch den Kunden sendet die Bank per SMS eine TAN auf dessen Mobilgerät. Sie ist nur für eine Transaktion und für kurze Zeit gültig. Angreifer haben es bei diesem Verfahren zwar deutlich schwerer, dennoch besteht auch hier die Möglichkeit, dass sie die SMS-Nachricht abfangen oder umleiten. Sicherheitshalber sollten für die Online-Banking-Transaktion und das mTAN-Verfahren zwei verschiedene Geräte (z. B. ein PC und ein Smartphone) genutzt werden, da ein Hacker dann zwei Geräte angreifen muss. Bei der Verwendung nur eines Geräts, würden im schlechtesten Fall die Daten beider Vorgänge zugleich abgegriffen. Nutzen Verbraucherinnen und Verbraucher das mTAN Verfahren, sollte darauf geachtet werden, dass in der SMS mit der TAN auch die Kontonummer des Empfängers und der Überweisungsbetrag korrekt angegeben sind. Bei Unstimmigkeiten sollte die Transaktion abgebrochen und die Bank kontaktiert werden.
Weitere Informationen zum mTAN-Verfahren des Bundesamts für Sicherheit in der Informationstechnik (BSI) - Beim pushTAN-Verfahren werden auf dem Smartphone eine App für das Online-Banking und eine weitere spezielle App installiert, die TANs bei Bedarf direkt auf dem Smartphone generiert. Für beide Apps sollte jeweils ein anderes, möglichst langes und komplexes Passwort verwendet werden. Ein potentielles Sicherheitsrisiko besteht bei diesem Verfahren darin, dass für beide Vorgänge in der Regel nur ein Gerät genutzt wird.
- Als vergleichsweise sicher gelten demgegenüber TANs, die mit speziellen TAN-Generatoren auf einem Ziffernfeld erzeugt werden. Die kleinen, in der Regel kostenpflichtigen Geräte erhalten Nutzerinnen und Nutzer von ihrer Bank. Das Verfahren wird auch als Chip-TAN bezeichnet. Die TAN wird erzeugt, indem die Bankkarte in den Generator gesteckt und eine Kontrollnummer von der Online-Banking-Webseite eingegeben wird (z. B. sm@rtTAN plus oder chipTAN manuell genannt). Bei einer anderen Variante wird auf der Webseite für das Online-Banking eine Grafik mit flackernden schwarz-weißen Flächen erzeugt, die mit dem TAN-Generator gescannt werden muss (z. B. sm@rtTAN optic oder chipTAN comfort). Da die Nutzerinnen und Nutzer die Transaktionsdaten vor der Ausführung nochmals über das Display des Generators prüfen und bestätigen müssen, bietet dieses Verfahren einen vergleichsweise guten Schutz vor Phishing-Attacken und Angreifern, die sich zwischen Kunde und Bank schalten.
Schutz vor Phishing
Online-Transaktionen können durch sogenanntes Phishing ausgespäht werden. Dabei versenden die Angreifer täuschend echt aussehende E-Mails, in denen die Adressaten aufgefordert werden, Daten in ein Webformular einzugeben. Das können PINs und TANs für das Online-Banking sein, Kreditkartennummern oder Zugangsdaten zu Bezahlsystemen wie PayPal. Als Vorwand werden häufig Aktualisierungen oder Prüfungen der eingesetzten Systeme genannt. Den Betroffenen wird oft vorgetäuscht, dass sie sonst keinen Zugang mehr zu ihrem Konto hätten. Das Webformular, in das die Zugangsdaten eingegeben werden sollen, sieht der gewohnten Eingabemaske der eigenen Bank oder des Zahlungsdienstes meist sehr ähnlich – es handelt sich jedoch um Fälschungen.
Verbraucherinnen und Verbraucher sollten stets daran denken, dass seriöse Banken und Zahlungsdienstleister ihre Kundinnen und Kunden niemals per E-Mail auffordern, Daten wie PIN und TAN einzugeben oder zu aktualisieren. Auch überzeugend wirkende Aufforderungen sollten stets ignoriert werden. Auf keinen Fall sollten sie auf Links aus solchen Nachrichten klicken. Im Zweifel hilft ein Anruf bei der Bank, ob die Nachricht wirklich vom vermeintlichen Absender stammt.
Sparsam mit Daten umgehen
Der Grundsatz, sparsam mit persönlichen Daten umzugehen, schützt vor vielen Risiken im Internet. Das gilt auch beim Einkauf im Internet: Persönliche Daten sollten Verbraucherinnen und Verbraucher nur angeben, wenn sie wirklich etwas kaufen wollen, die Daten dafür notwendig sind und der Händler seriös ist. Adressen und Telefonnummern müssen nicht auf Facebook & Co. veröffentlicht werden. Sie können von Betrügern beispielsweise zum Erstellen gefälschter Personenprofile verwendet werden, auf deren Rechnung sie dann Waren bestellen (Identitätsdiebstahl).
Bei vielen Online-Shops können Verbraucherinnen und Verbraucher bestellen, ohne ein dauerhaftes Benutzerkonto anzulegen. Die persönlichen Daten werden im Idealfall nur für die Bestellung gespeichert und danach möglichst gelöscht. Datensparsamkeit kann auch darin bestehen, Kreditkartendaten nicht bei zahlreichen Online-Händlern zu hinterlegen.
Daten verschlüsselt übertragen
Wenn Verbraucherinnen und Verbraucher bei Bestellungen im Internet oder beim Online-Banking persönliche Daten angeben, sollten sie stets auf eine verschlüsselte Datenverbindung achten. Nur dann sind die Daten vor vielen unbefugten Zugriffen geschützt. Eine solche Verbindung ist daran zu erkennen, dass in der Adresszeile des Browsers statt „http://“ ein „https://“ steht. Viele Browser zeigen zusätzlich ein kleines Vorhängeschloss-Symbol an.
Banken und Online-Händler verwenden oft eine Verschlüsselungsvariante, bei der zusätzlich der Inhaber der Webseite neben dem Schloss-Symbol angezeigt wird. Das bedeutet: Eine dritte Partei hat bestätigt, dass das Webangebot vom angegebenen Anbieter betrieben wird, und nicht von Betrügern, die nur den Namen verwenden. Wer auf das Schlosssymbol klickt, erhält bei den meisten Browsern nähere Informationen.
Abbuchungen regelmäßig überprüfen
Wer regelmäßig seine Kontoauszüge für Girokonten, Kreditkarten und Zahlungsdienste überprüft, kann unrechtmäßige Abbuchungen rechtzeitig erkennen und gegebenenfalls rückgängig machen. Ist der Schaden schon geschehen, sollten Betroffene ihr Passwort oder ihre PIN so schnell wie möglich ändern und sich umgehend bei Bank und Händlern melden. Bei Kreditkartenmissbrauch sollten sie eine neue Kreditkartennummer beantragen, um ihr Konto vor weiteren Zugriffen zu schützen.
Weitere Informationen
Verbraucherportal:
Sichere Internetnutzung - Virenschutz, Passwörter, Verschlüsselung; mit Tipps zur Nutzung sicherer Passwörter
Einkaufen im Internet; mit Hinweisen zur Auswahl eines vertrauenswürdigen Online-Shops
Bezahlen im Internet; verschiedene Bezahlformen beim Einkaufen im Internet und ihre jeweiligen Vor- und Nachteile
Bundesamt für Sicherheit:
Hintergrundinformationen und Sicherheitstipps auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik unter anderem zu folgenden Themen:
Bezahlen im Internet
Online- und Mobile-Banking