591439

Online-Banking: Die wichtigsten Sicherheitstipps

08.07.2016 | 11:05 Uhr |

Angriffe auf das Online-Banking werden immer raffinierter. So erkennen Sie Schädlinge sofort und wehren sie ab.

Der Banking-trojaner Spy Eye soll auf seinem Höhepunkt zwischen 2010 und 2012 auf weltweit 50 Millionen PC gewütet haben. Laut US-Behörden soll Spy Eye einen Schaden von rund einer Milliarde Dollar verursacht haben. Im April dieses Jahres hat die amerikanische Justiz die beiden Entwickler dieses Banking-Trojaners zu neun und 15 Jahren Haft verurteilt. Dabei war Spy Eye vermutlich nicht einmal der gefährlichste Schädling beim Bankdiebstahl. Auf jeden Fall aber hat er aktuelle Nachfolger, mit denen andere Kriminelle versuchen, an Ihr Bankkonto zu kommen. Hier erfahren Sie, wie die aktuellen Angriffe auf das Online-Banking ablaufen und wie Sie trotzdem mit vertretbaren Schutzmaßnahmen Ihre Bankgeschäfte online erledigen können.

Banking-Trojaner

Die allermeisten Angriffe auf Ihr Online-Banking laufen über PC-Schädlinge, oft über sogenannte Banking-Trojaner. Die folgenden beiden Beispiel zeigen, was dieser schädliche Code alles anstellen kann.

PC-Schädling Gozi manipuliert Banking-Webseiten

Der PC-Schädling Gozi lauert seit April dieses Jahres bevorzugt auf eigentlich harmlosen Schweizer Webseiten, etwa der von www.tagesanzeiger.ch . Platziert wird Gozi jeweils von Hackern. Der Schädling prüft den Browser jedes Besuchers dieser Website auf nicht gestopfte Sicherheitslücken und hievt sich im Erfolgsfall auf den ungesicherten PC. Dort angekommen, wartet er darauf, dass der PC-Besitzer eine Überweisung per Online-Banking ausführt. Gozi ist speziell auf das Erkennen von Schweizer Banken getrimmt. Während der Überweisung kann er den Betrag manipulieren und den Empfänger ändern. Gozi kann dafür auch nach erfolgter Manipulation die Website auf dem PC des Opfers verändern, sodass dort die geänderten Daten nicht auftauchen. Ein Opfer, das keine weitere Kontrolle der Transaktion durchführt, etwa über die mobile TAN, schickt sein Geld direkt auf das Konto der Kriminellen.

Siehe auch: Top-Tools fürs Online-Banking

Android-Schädling Marchcaban.HBT tarnt sich als Banking-App

Seit Herbst letzten Jahres verbreiten Kriminelle den Android-Virus Marchcaban.HBT. Sie versenden Spammails an Kunden der Commerzbank, der Postbank und der ING-Bank, um zu erreichen, dass diese eine neue Banking-App installieren. Das muss allerdings außerhalb des offiziellen App-Stores geschehen, und anschließend sind etliche Rechte auf dem Smartphone einzuräumen. Startet der Benutzer danach seine eigentliche Banking-App, verdeckt der Marchcaban.HBT deren Bildschirmausgabe mit seiner eigenen Eingabemaske. Gibt der Benutzer hier die Zugangsdaten zu seinem Bankkonto ein, übermittelt die Malware-App diese an die Täter. Außerdem filtert der Schädling eingehende SMS und sendet sie an die Kriminellen weiter. Ob Marchcaban.HBT ein Opfer gefunden hat und dessen Geld stehlen konnte, ist bislang nicht bekannt.

So sah die die Bedienerführung des Banking-Trojaners Spy Eye aus. Damit konnten die Angreifer angepasste Varianten des Banking-Trojaners erstellen und ihre Angriffe steuern.
Vergrößern So sah die die Bedienerführung des Banking-Trojaners Spy Eye aus. Damit konnten die Angreifer angepasste Varianten des Banking-Trojaners erstellen und ihre Angriffe steuern.

Schutz beim Banking

Die richtige Strategie fürs sichere Online-Banking hängt wesentlich davon ab, über welches Gerät Sie Ihre Finanzgeschäfte betreiben. Für die drei Möglichkeiten PC, Tablet und Smartphone geben wir Empfehlungen, die sowohl ein sehr sicheres Banking erlauben, aber noch halbwegs komfortabel sind. Als Erstes finden Sie aber eine Sicherheitsstrategie, die Sie auf alle drei Geräten anwenden sollten.

Werden Sie bei Abweichungen misstrauisch

Die aktuellen Banking-Trojaner können eine originale Banking-Website fast perfekt manipulieren und dabei alle ihre Aktionen vor dem Opfer verheimlichen. Wer seine Bankgeschäfte nur über eine Website und mit nummerierten TANs führt, der kann schnell das Opfer eines solchen fortgeschrittenen PC-Virus werden. Darum sollten Sie auf jeden Fall eine Zwei-Wege-Authentifizierung als Sicherungssystem nutzen. Bei den meisten deutschen Banken hat sich dafür die mobile TAN eingebürgert (auch SMS-TAN oder ähnlich genannt). Sie sendet nicht nur den Bestätigungscode, sondern auch Infos zur Überweisung auf einem zweiten Kanal zum Bankkunden, was eine Manipulation der Daten extrem erschwert. Weitere Infos zur mobilen TAN finden Sie weiter unten.

Mit der Nutzung eines zweiten Kanals für die Autorisierung einer Überweisung per mobile TAN haben Sie die Angriffsmöglichkeiten für Hacker sehr verringert. Als Zweites gilt es zu erkennen, wann ein PC-Schädling Ihre Transaktionen trotzdem zu manipulieren versucht. Die Angreifer lassen etwa ihren Banking-Trojaner ein Pop-up-Fenster auf Ihrem PC anzeigen, in dem es heißt, dass Sie eine neue Banking-Software auf Ihrem Smartphone installieren müssen. Dies sei nötig, so der Trick, damit Sie künftig auch noch Überweisungen durchführen können. In Wirklichkeit installieren Sie aber keine neue Banking-App, sondern einen feindlichen Code, der Ihre mobilen TANs abfängt und an die Kriminellen weiterleitet.

Bei dem Sicherungssystem über die mobile TAN wird Ihnen zusammen mit der Transaktionsnummer sowohl Betrag als auch Empfängerkonto auf Ihrem Mobiltelefon angezeigt ? als Möglichkeit zur Gegenkontrolle.
Vergrößern Bei dem Sicherungssystem über die mobile TAN wird Ihnen zusammen mit der Transaktionsnummer sowohl Betrag als auch Empfängerkonto auf Ihrem Mobiltelefon angezeigt ? als Möglichkeit zur Gegenkontrolle.

Ein solcher Trickbetrug kann unter Umständen täuschend echt gemacht sein. Wer nicht extrem misstrauisch ist, kann darauf reinfallen. Doch extrem misstrauisch zu sein ist gar nicht so einfach und vor allem recht anstrengend. Es gibt aber noch eine zweite Methode, sich vor solchem Trickbetrug beim Online-Banking zu schützen: Merken Sie sich genau, wie eine Online-Überweisung bei Ihrer Bank abläuft. Machen Sie sich im Zweifel Screenshots, und drucken Sie diese aus. Notieren Sie sich dazu die notwendigen Schritte. Wenn Sie sich exakt eingeprägt haben, wie Ihre Bank mit Ihnen online kommuniziert, dann wird Ihnen jede Abweichung davon auffallen. Und wenn Sie auf eine Abweichung stoßen, dann stimmt vermutlich etwas nicht. Meldet etwa Ihre Bank-Website, Sie sollen eine Testüberweisung durchführen, dann brechen Sie den Vorgang ab. Meldet Ihre Bank-Website, Sie hätten versehentlich eine Gutschrift erhalten und sollen diese zurücküberweisen, dann ist das genauso ein Warnsignal. Oder eine Nachricht des Windows-Systems meldet, dass Sie zum Fortfahren eine neue Banking-App installieren müssen – dann stoppen Sie auch hier. Denn diese drei Beispiele sind nicht erfunden, sondern wurden von Banking-Trojanern schon so umgesetzt.

Wenn Sie auf diese und andere Abweichungen stoßen, sollten Sie einen Virenscan starten, etwa mit diesen zusätzlichen Tools , und zusätzlich telefonisch oder persönlich bei Ihrer Bank nachfragen, was es mit dieser Abweichung auf sich hat. Mit dieser Strategie zusammen mit den nachfolgenden Tipps dürften Ihnen alle bisher bekannten Hacker-Angriffe auffallen.

Tipps fürs sichere Online-Banking an Rechner und Notebook

Sie nutzen für Ihre Bankgeschäfte überwiegend einen Internetbrowser und Ihren Rechner. Dann ist das mobile TAN Verfahren für Sie eine sowohl sichere als auch noch halbwegs bequeme Methode.

Browserwahl: Was den Browser angeht, so war man die ersten Jahre dieses Jahrzehnts mit Google Chrome am besten beraten. Es kursierten kaum Informationen über Sicherheitslücken zu diesem Browser, und wenn Schwachstellen bekannt wurden, stopfte Google diese meist sehr schnell. Zudem hatte der Browser einige Pluspunkte für seine Sicherheit eingebaut, etwa eine besonders ausgeklügelte Sandbox und ein selbst gewartetes Flashmodul. Beim Internet Explorer (IE) von Microsoft und bei Firefox dagegen waren die Hacker im Finden von Sicherheitslücken meist erfolgreicher und die Hersteller der Browser beim Stopfen derselben meist etwas langsamer. Doch in den letzten ein bis zwei Jahren haben der IE und Firefox bei der Codepflege ungemein aufgeholt, gleichzeitig ist Chrome stärker ins Visier der Hacker geraten. Auch seine gelobte Sandbox umfasst mittlerweile 1,5 Millionen Zeilen Code, also genügend Programmzeilen, um auch Platz für Fehler zu haben. Unsicher ist Chrome deswegen allerdings noch nicht. Beim Hacker-Wettbewerb Pwn2own 2015 benötigte das erfolgreiche Hacker-Team selber 2000 Zeilen Code, um Google Chrome auszutricksen.

Mit gefälschten Webseiten wie dieser versuchen Online-Banking-Diebe, an Ihre Log-in-Daten zu kommen. Viele der Fälschungen von Webseiten und Mails wirken mittlerweile täuschend echt (Quelle: Postbank).
Vergrößern Mit gefälschten Webseiten wie dieser versuchen Online-Banking-Diebe, an Ihre Log-in-Daten zu kommen. Viele der Fälschungen von Webseiten und Mails wirken mittlerweile täuschend echt (Quelle: Postbank).

Zurzeit macht sicherheitstechnisch der Browser Edge von Microsofts eine gute Figur. Der Browser kommt mit Windows 10 und unterstützt viele Security Standards und integriert auch systemeigene Schutzfunktionen, etwa den Enhanced Protected Mode (EPM). Microsoft erlaubt allerdings mit dem kommenden Anniversary Update für Windows 10 dann auch Erweiterungen für den Browser Edge. Das muss den Browser nicht automatisch unsicherer machen, doch in der Vergangenheit waren es sehr häufig solche Browser-Plug-ins, über die sich Schadcode auf den PC schleichen konnte.

Eine klare Empfehlung für einen Browser zum Online-Banking gibt es aktuell nicht. Einen guten Ruf hat nach wie vor Google Chrome . Aber niemand wird Ihnen garantieren, dass Sie mit diesem Browser beim Online-Banking nichts zu fürchten haben. Sind Sie also ein eingeschworener Firefox-Fan, dann bleiben Sie bei diesem Browser.

Mobile TAN: Das System mit der mobilen TAN sendet Ihnen für jede einzelne Überweisung eine Transaktionsnummer (TAN) per SMS auf Ihr Handy oder Smartphone. In der Nachricht sind auch der Betrag und das Empfängerkonto enthalten. Die Sicherheit bei diesem System entsteht durch den zweiten Kanal, den die Bank mit dem Senden der SMS aufmacht. Sollte sich ein Hacker per Schadcode in Ihrem PC festgesetzt haben, dann kann er zwar die Internetverbindung zwischen Ihrem PC und der Bank kontrollieren und eine Überweisung zu seinen Gunsten manipulieren. Er hat aber keinen Zugriff auf die Verbindung von der Bank zu Ihrem Smartphone. Die Angaben in der SMS sind somit zuverlässig die Angaben, die der Bank vorliegen.

Es ist extrem wichtig, dass Sie die Daten der SMS, also Betrag und Empfänger, genau kontrollieren, bevor Sie die Überweisung mit der mobilen TAN am PC freigeben. Es hat bereits Fälle gegeben, in denen die Opfer eines Banking-Trojaners die manipulierten Überweisungsdaten nicht bemerkt und die Überweisung per mobiler TAN abgesendet hatten. Manche Banken weigern sich dann, für den Schaden aufzukommen.

Virenschutz fürs Smartphone: Einige Android-Viren sind in der Lage, die mobile TAN der Bank abzufangen und direkt an die kriminellen Urheber zu senden. Wenn die Kriminellen gleichzeitig auch noch einen Schadcode auf dem dazugehörigen PC unterbringen können, haben sie das Sicherheitssystem aus PC und mobiler TAN ausgehebelt. Bisher sind solche Android-Schädlinge noch sehr selten und verbreiten sich nur außerhalb des offiziellen App-Stores. Sie schützen sich vor Android-Viren, indem Sie keine Apps (APK-Dateien) aus fremden Quellen installieren. Und installieren Sie eine Antiviren-App für Android, etwa das im Grundschutz kostenlose Avira Antivirus Security .

Mit der kostenlosen Antiviren-App Avira Antivirus Security prüfen Sie Ihr Android-Smartphone auf schädliche Apps und entdecken so auch Banking-Trojaner.
Vergrößern Mit der kostenlosen Antiviren-App Avira Antivirus Security prüfen Sie Ihr Android-Smartphone auf schädliche Apps und entdecken so auch Banking-Trojaner.

Wenn Sie Online-Banking via Tablet ausführen

Wenn Sie ein Android-oder iOS-Tablet fürs Online-Banking nutzen und zudem die mobile TAN per Smartphone verwenden, dann sind Sie aktuell am besten vor Hacker-Angriffen geschützt. Denn obwohl die Zahl der Viren für mobile Betriebssysteme steigt, ist bislang noch kein mobiler Schädling aufgetaucht, der diese Kombination aus Tablet und Smartphone angegriffen hätte.

Falls die Website Ihrer Bank sich im Browser auf dem Tablet gut bedienen lässt, dann sollten Sie darin Ihre Bankgeschäfte erledigen. Zur Absicherung der Transaktion lassen Sie sich eine mobile TAN auf Ihr Handy oder Smartphone schicken. So sind Sie bestens geschützt. Alternativ können Sie auch eine Banking-App statt des Browsers nutzen. Auch das gilt am Tablet als sehr sicher. Hier sollten Sie einzig darauf achten, dass Sie tatsächlich die App Ihrer Bank oder eines seriösen Banking-App-Herstellers nutzen. Denn es sind bereits gefälschte Banking-Apps aufgetaucht, die es auf das Geld der Nutzer abgesehen hatten. Achten Sie also beim Laden der Banking-App aus dem offiziellen App-Store genau auf den Herausgeber sowie die Zahl der bisherigen Downloads der App und ihre Bewertungen.

Skimming: So schützen Sie sich vor Betrug am Geldautomaten

Wenn Sie Online-Banking am Smartphone nutzen

Für das Smartphone bieten die meisten Banken gut gemachte Banking-Apps, mit denen sich Ihr Konto gut verwalten lässt. Sie sollten aber auf keinen Fall die fürs Banking nötige mobile TAN auf demselben Smartphone empfangen. Denn so würden Sie die Kanaltrennung von Online-Banking per Internet und TAN-Bestätigung per SMS aushebeln. Richtig gefährlich würde es, wenn Sie zudem noch ohne Zugangssperre zum Smartphone und zur Mobile-Banking-App arbeiten. Denn dann könnte jeder unehrliche Finder Ihres Smartphones ganz einfach Ihr Konto leerräumen. Und zwar ganz ohne Hacking, Banking-Trojaner oder Social Engineering.

Doch selbst mit Codesperre fürs Handy und die App sollten Sie die Kombination aus Banking und mobile-TAN nicht auf ein und demselben Gerät nutzen. Denn die meisten Banken verbieten das aus Sicherheitsgründen in ihren AGBs und übernehmen in der Folge dann auch keine Haftung, wenn Ihnen beim Online-Banking Geld gestohlen wurde.

Hier wird ein Opfer per Mail dazu verleitet, eine App auf seinem Handy zu installieren. Er holt sich damit aber einen Trojaner aufs Smartphone, der sein Konto leer räumt.
Vergrößern Hier wird ein Opfer per Mail dazu verleitet, eine App auf seinem Handy zu installieren. Er holt sich damit aber einen Trojaner aufs Smartphone, der sein Konto leer räumt.

TAN-Generator: Wenn Sie Online-Banking am Smartphone betreiben möchten, dann nutzen Sie einen TAN-Generator (ab 15 Euro). Bequem sind Geräte, die die nötigen Daten per Flickercode erhalten. Dafür zeigt die Bank-Website eine schwarzweiße Animation an, in der die Überweisungsdaten codiert sind. Der TAN-Generator verfügt über Fotozellen, die diesen Flickercode erfassen, wenn man das Gerät vor den Bildschirm hält. In der Folge gibt das Gerät dann die TAN aus und zeigt zudem Empfänger und Betrag der Überweisung an. Weitere Infos gibt es bei Ihrer Bank oder etwa beim Hersteller Kobil .

Achtung: Da Banking am Smartphone immer beliebter wird, haben etwa die Sparkassen die sogenannte Push-TAN entwickelt. Damit soll bei Überweisungen per Smartphone kein externes Gerät für den Empfang der TAN nötig sein. Experten kritisieren dieses Verfahren aber als unsicher. Mehr Informationen dazu finden Sie in diesem Ratgeber .

Online-Banking sicher dank Live-DVD

Es gibt eine sichere Methode, PC-Viren auszuschalten, wenn Sie Online-Banking betreiben möchten. Nutzen Sie dazu ein bootfähiges Linux-Livesystem , das Sie von DVD oder USB-Stick starten. Damit können Sie Ihren PC mit einem schreibgeschützten Betriebssystem booten. Viren können sich darin nicht oder zumindest nicht dauerhaft festsetzen. Zudem gibt es nur sehr wenige Schädlinge, die auf Linux-Systeme für den PC abzielen. Und da Sie das System nur fürs Online-Banking nutzen, ist die Gefahr sehr gering, dass Sie sich Schadcode einfangen. Ist das System gestartet, surfen Sie wie gewohnt die Website Ihrer Bank an.

Eigentlich tut sich nur eine Hürde auf: die Internetverbindung. Ihr PC sollte idealerweise per Kabel mit Ihrem Internet-Router verbunden sein. Dann klappt die Internetverbindung automatisch. Anderenfalls müssten Sie bei jedem Start Ihr WLAN-Passwort eingeben. Wer das nicht möchte, kann sich auch eine auf sein System angepasste Live-DVD mit Linux erstellen. Wie das geht, verrät der oben erwähnte Beitrag . Der Beitrag verrät auch, wie Sie sich einen bootfähigen USB-Stick fürs Online-Banking erstellen.

Virtueller Banking-PC: Wer die Vorteile einer Live-DVD nutzen möchte, ohne dafür den PC neu starten zu müssen, der kann auch eine Virtualisierungssoftware einsetzen. Sie ist zwar nicht ganz so gut gegen PC-Schädlinge gefeit wie eine Live-DVD, aber immer noch besser als ein Standard-Windows. Ein komplett fertiges, virtuelles System inklusive Browser ist etwa die Bitbox .

Paypal sicher nutzen mit Zwei-Wege-Autorisierung

Viele Internetnutzer bezahlen über Paypal bereits deutlich mehr Rechnungen als per Bank-Überweisung. Schließlich ist der Dienst äußerst bequem und schnell. Sie bezahlen via Paypal mit wenigen Klicks an den Verkäufer. Dieser erhält umgehend das Geld auf seinem Konto gutgeschrieben und kann die Ware gleich nach dem Bestellvorgang versenden. Doch von der Sicherheit her steht Paypal etwa dort, wo die Banken vor 20 Jahren waren: Das Konto ist lediglich durch Benutzername und Passwort geschützt. Schon ein erfolgreicher Phishing-Angriff genügt, um diese Daten zu stehlen.

Sie erhöhen die Sicherheit von Paypal deutlich, wenn Sie auch für diesen Finanzdienst eine Zwei-Wege-Autorisierung nutzen. So wie beim Online-Banking bietet auch Paypal mobile TANs für jede Überweisung. So lange Sie Paypal im Browser auf dem PC nutzen, klappt das auch ganz zuverlässig. In unserem Test in 2015 auf mobilen Websites scheiterte das Bezahlen mit dem TAN-System aber bei kleineren Shops. Diese hatten die nötige TAN-Abfrage nicht in ihrem System integriert. Eigentlich sollte Paypal dafür sorgen, dass alle Händler die Bezahlsoftware sauber und komplett in ihre Shops einbauen. Doch bei der Zwei-Wege-Autorisierung ist Paypal augenscheinlich nicht sonderlich engagiert. Das Angebot eines Hardware-Tokens mit eingebauten TAN-Generator hat Paypal nach und nach in den Tiefen seiner Website versteckt und ist nun kaum noch zu finden.

Mobile TAN: Wenn Sie die mobile TAN für Paypal aktivieren möchten, dann loggen Sie sich auf der Website www.paypal.com ein, klicken auf das Zahnradsymbol und dann auf „Sicherheit -> Sicherheitsschlüssel“. Über den Link „Kostenlos bestellen“ aktivieren Sie für Ihre Handynummer die mobile TAN.

So handeln Sie bei ungewollten Überweisungen

Wenn nun über einen Schädling von Ihrem Konto Geld verschwunden ist oder Sie selbst wegen eines Trickbetrugs eine Überweisung auf das Konto eines Diebs abgesendet haben, sollten Sie so schnell wie möglich handeln. Ist Ihnen der Betrug schon kurz nach der Überweisung aufgefallen, setzen Sie sich sofort mit Ihrer Bank in Verbindung, am besten telefonisch. Denn oft dauert es mehrere Stunden, bis eine Bank das Geld an die Empfängerbank losschickt. Ist das noch nicht geschehen, lässt sich die Transaktion leicht stoppen. Und selbst wenn das Geld bereits bei der Empfängerbank angekommen ist, lässt es sich oft auch noch von dort zurückholen. Erst, wenn das Geld einem Konto gutgeschrieben wurde, sind den Banken erst einmal die Hände gebunden. Spätestens dann sollten Sie zudem auch zur Polizei gehen. Der richtige Ansprechpartner ist die Polizeidienststelle bei Ihnen vor Ort.

PC-WELT hatte Kriminaloberkommissar Christoph Büchele des Kriminalfachdezernats 12 bei der Polizei München gefragt, wie man für eine solche Anzeige bei der Polizei vorgeht. Wir wollten etwa wissen, ob Betroffene ihren PC gleich zur Dienststelle mitbringen sollen. Dazu der Kommissar: „Trennen Sie Ihren PC vom Internet, aber lassen Sie ihn zu Hause. Sollten wir ihn für die Spurensicherung benötigen, melden wir uns in der Regel innerhalb von einer Woche bei Ihnen. Bis dahin sollten Sie nichts am PC verändern, auch keine Virenreinigung starten. Ein Handy mit verdächtigen SMS-Nachrichten können Sie mitbringen. Wir machen dann Fotos von den Nachrichten, und Sie können Ihr Handy behalten.“ Und weiter empfiehlt der Experte: „Wenn Sie Ihre Bank bisher nur telefonisch informiert haben, macht es Sinn, den Vorfall dort auch noch schriftlich zu melden. Dabei können Sie der Bank auch die Erlaubnis erteilen, relevante Daten des Falls an uns weiterzuleiten. Wenn wir den PC nicht oder nicht mehr zur Spurensicherung benötigen, können Sie ihn vom Virus befreien, etwa durch eine gründliche Neuinstallation von Windows, und wieder nutzen.“

Video: Die unglaublichsten Sicherheitslücken im Internet
0 Kommentare zu diesem Artikel
591439