Überweisungen tätigen, Daueraufträge einrichten oder Kontoauszüge einsehen: Bankgeschäfte wie diese lassen sich auch bequem online abwickeln. Die Vorteile daran sind offensichtlich: Unabhängig von Filialen und deren Öffnungszeiten können Kund:innen ihre Konten und Depots für gewöhnlich kostenfrei im Netz verwalten.

Einzige Voraussetzungen dafür sind ein internetfähiges Gerät, eine aktive Internetverbindung und ein Browser für das Aufrufen der Internetseite des Bankinstituts. Alternativ kann auf dem Smartphone auch die entsprechende App des jeweiligen Anbieters verwendet werden.

Erhebungen des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) und Eurostat zeigen auf, dass die Nutzung von Onlinebanking mittlerweile für viele Menschen zum digitalen Alltag dazugehört. Vor allem in der Altersgruppe der 16- bis 29-Jährigen ist die Verwendung solcher Services bei 97 % der Befragten verbreitet.

Gerade deshalb sollten die Sicherheitsrisiken bekannt sein und bestimmte Vorkehrungen getroffen werden. Wir geben einen Überblick über die größten Gefahren und 10 wichtigsten Schutzmaßnahmen.

1. Sicheres Passwort wählen

Zur Anmeldung beim Onlinebanking sollte ein sicheres Passwort genutzt werden. Unsere Anleitung ebnet dazu den Weg. Die Zugangsdaten sollten dabei idealerweise nicht bereits bei anderen Portalen, z.B. bei Onlineshops, zum Einsatz kommen.

Den Zugriff auf das Banking-Konto im Internet schützt ein weiteres Sicherheitselement: die Zwei-Faktor-Authentisierung (2FA). Dabei handelt es sich um ein Verfahren, das im Anmeldeprozess einen zusätzlichen Faktor neben der Eingabe des Passworts verlangt. Das können biometrische Daten wie der Fingerabdruck sein oder ein Bestätigungscode, der an ein weiteres Gerät gesendet wird.

Dieses Anmeldeverfahren gilt als deutlich sicherer als der herkömmliche Log-in und ist für Banken seit 2019 verpflichtend. Mittlerweile bieten auch andere Online-Services und Plattformen 2FA an. Eine Liste mit Diensten, die das Verfahren unterstützen, gibt es auf der Seite „2FA Directory“.

2. Sicheres TAN-Verfahren wählen

TAN-Verfahren schützen neben der PIN-Nummer und dem Passwort ebenso vor Online-Betrug.  Die einmal gültigen Transaktionsnummer (TAN) werden dazu genutzt, Bankaufträge freizugeben. Um es Betrügern schwer zu machen, können Nutzer:innen beim Online-Banking mittlerweile je nach Geldinstitut auf unterschiedliche Verfahren zurückgreifen. Wir geben eine Übersicht über die möglichen Optionen:

PIN/TAN: Das ursprüngliche Verfahren basiert auf gedruckten Listen mit TAN-Nummern, die bei Transaktionen zum Einsatz kommen. Weil diese Methode besonders anfällig für Betrugsfälle ist, ist sie nicht zu empfehlen und wird von einem Großteil der Banken auch nicht mehr angeboten.
mTAN/SMS-TAN: TAN per SMS auf dem eigenen Smartphone. Die mobile Variante ist vergleichsweise sicher. Allerdings besteht das Risiko, dass TAN-Codes von Betrügern abgefangen werden können.
chipTAN/smartTAN: Bei dieser Methode kommt mit dem TAN-Generator ein Gerät zum Einsatz, das für jede Überweisung eine TAN-Nummer generiert. Dieses Verfahren erschwert Kriminellen ein Eingriffen deutlich, denn sie bräuchten in diesem Falle Generator, Bankkarte und Smartphone.
App/pushTAN: Mittlerweile bieten immer mehr Banken ein App-basiertes TAN-Verfahren an. Die TAN-Nummer wird in diesem Fall über eine eigene Banking-App empfangen, die wiederum zusätzlich durch ein eigenes Passwort gesichert ist.

3. Zugangsdaten nicht per Telefon oder E-Mail weitergeben

Banken fragen niemals abseits von Transaktionen die Geheimzahl (PIN), Transaktionsnummern (TAN) und die IBAN ab oder fordern abseits vom Log-in das Online-Passwort an. Deshalb ist immer Vorsicht geboten, wenn per Telefon oder E-Mail nach diesen Daten gefragt wird. In der Regel handelt es sich um einen Betrugsversuch, bei dem die Anrufer:innen oder Absender:innen sich als Bankangestellte ausgeben, um an persönliche Daten zu gelangen.

In so einer Situation empfiehlt es sich, aufzulegen und die eigene Bank unter der offiziellen Telefonnummer anzurufen, um die Echtheit des Anliegens zu überprüfen.

4. Vorsicht vor Phishing-Mails

Zu den gängigsten Betrugsformen beim Onlinebanking gehört das Phishing. Das Kofferwort aus „Password“ (englisch für Passwort) und „fishing“ (englisch für angeln) beschreibt Methoden, bei denen Betrüger:innen versuchen, an die Nutzer- und Kontodaten heranzukommen.

Das geschieht beispielsweise über den Versand von täuschend echt wirkenden Nachbildungen von offiziellen E-Mails eines Bankinstituts. Die Empfänger:innen werden unter Vortäuschung einer Dringlichkeit dazu aufgefordert, einen Link anzuklicken. Hinter diesem verbirgt sich dann aber nicht die originale Webseite der Bank, sondern eine dieser nachempfundenen Fälschung. Gibt man dort seine Zugangsdaten ein, landen diese direkt bei den Betrüger:innen. Das Bundesamt für Sicherheit in der Informationstechnik zeigt auf dieser BSI-Seite aktuelle Beispiele von Phishing-Mails.

5. Echtheit der Bank-Website überprüfen

Eine echte Bank-Webseite (am besten als Lesezeichen im Browser speichern) ist in der Regel verschlüsselt. In der Adresszeile des Browsers wird dann zu Beginn „https://“  angezeigt, andernfalls lediglich „http://“. Einige Browser färben das Adressfeld grün ein.

Zusätzlich verweist ein Zertifikat im Browser auf die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind. Vor der URL wird dann ein kleines Schloss-Symbol angezeigt. Bei einem Klick auf das Schloss-Symbol erscheinen mehr Details zum Zertifikat.

Bekannte Browser bieten darüber hinaus einen Phishing-Schutz an. Bei den gängigen Browsern lassen sich jeweils Funktionen aktivieren, durch die verdächtige Seiten automatisch blockiert werden:

Google Chrome blockiert bereits standardmäßig verdächtige Seiten und zeigt entsprechende Warnungen an.
Bei Mozilla Firefox wird der Phishing-Schutz aktiv, wenn unter „Datenschutz & Sicherheit“ im Bereich „Schutz vor betrügerischen Inhalten und gefährlicher Software“ bei allen Punkten ein Haken gesetzt wird.
Microsoft Edge und Microsoft Internet Explorer besitzen die Funktion „SmartScreen Filter“ im Bereich „Sicherheit“.
Apple Safari bietet entsprechende Optionen im Bereich „Sicherheit“ an.

6. Geräte und Software auf dem neuesten Stand halten

Um Sicherheitslücken zu vermeiden, sollten sowohl alle Geräte als auch Programme, die zum Banking genutzt werden (z.B. Browser und Apps) stets auf dem aktuellen Stand gehalten werden. Wenn zusätzlich ein Virenprogramm im Einsatz ist, sollte auch dies fortlaufend aktualisiert werden, um einen umfassenden Schutz sicherzustellen.

Wer die Banking-App auf dem Handy nutzt, sollte im jeweiligen App-Store automatische Updates aktivieren, mit denen die Programme selbstständig und regelmäßig nach Updates suchen und diese installieren.

7. Möglichst eigene Geräte nutzen

Onlinebanking sollte möglichst nur von den eigenen Geräte aus betrieben werden. Besonders vorsichtig sollte man bei der Verwendung von öffentlich zugänglichen Computern vorgehen.

Wichtig ist, nach den Banking-Aktivitäten sicherzustellen, dass auf dem Rechner keine persönlichen Daten zurückbleiben. Nach dem Log-out sollte dementsprechend der Zwischenspeicher des Browsers (Cache) geleert werden. Das funktioniert unkompliziert über folgende Tastenkombinationen:

Google Chrome: Mit der Kombination „Strg“ + „Umschalt“ + „Entf“ öffnet sich ein entsprechendes Menü, in dem sich beispielsweise der Zeitraum der Löschung definieren lässt.
Mozilla Firefox: Die Kombination „Strg“ + „Umschalt“ + „Entf“ führt auch bei Firefox zu einem entsprechenden Auswahlmenü.
Microsoft Edge und Internet Explorer: Nach Aufrufen des Menüs durch „Strg“ + „Umschalt“ + „Entf“ muss ein Häkchen bei „Zwischengespeicherte Daten und Dateien“ bzw. „Temporäre Internet- und Websitedateien“ gesetzt werden. 
Apple Safari: Die Tastenkombination „cmd“ + „alt“ + „E“ löscht unmittelbar alle Browser-Daten.

Damit gar nicht erst persönliche Daten gespeichert werden, empfiehlt es sich, vor dem Log-in den Privat- bzw. Inkognito-Modus des Browsers zu verwenden.

8. Das eigene WLAN sichern

Um das Onlinebanking in den eigenen vier Wänden möglichst sicher zu gestalten, sollte das WLAN optimal vor potenziellen Eindringlingen geschützt werden. Bevor die ersten Transaktionen getätigt werden, sollten folgende Maßnahmen getroffen werden:

Es sollte eine starke Verschlüsselung für das WLAN genutzt und auf den heutigen Standard WPA 3 (Wi-Fi Protected Access 3) zurückgegriffen werden.
Das werkseitig eingestellte WLAN-Kennwort sollte durch ein eigenes, starkes Passwort ersetzt werden.
Der WLAN-Netzwerkname SSID (Service Set Identifier) sollte keine Angaben zu persönlichen Informationen enthalten. Falls doch, sollte dies geändert werden. Der Name lässt sich in den Einstellungen des jeweiligen Routers anpassen.

9. Regelmäßige Prüfung und Limitierung der Kontobewegungen

Die Kontobewegungen sollten regelmäßig geprüft werden. Auf diese Weise lässt sich feststellen, ob sich Dritte einen Zugang zum Konto verschaffen konnten. Falls etwas verdächtig erscheint, lässt sich der Onlinebanking-Zugang sperren.

Außerdem empfiehlt es sich, mit der Bank einen Höchstbetrag für tägliche Überweisungen festzulegen, um den möglichen Schaden durch Eindringliche in Grenzen zu halten.

10. Nach Sitzungsende abmelden

Um den Banking-Vorgang sicher abzuschließen, sollte man sich nicht nur bei der Verwendung von öffentlich zugänglichen Computern, sondern auch bei den eigenen Geräten stets aktiv von der Onlinebanking-Sitzung abmelden.

Beim Onlinebanking via Browser und per App gilt es dazu immer die „Log-out“-Funktion zu nutzen. Banken kennzeichnen dieses Funktion alternativ auch mit Begriffen wie „Abmelden“ oder „Beenden“.

Fazit: Regelmäßige Kontrolle ist das A und O

Wer die genannten Sicherheitstipps befolgt, schützt sich vor den meisten Gefahren beim Onlinebanking. Grundsätzlich sollten Bankkund:innen jedoch regelmäßig die Kontoaktivitäten im Blick behalten und bei Unregelmäßigkeiten und Auffälligkeiten im Zahlungsverkehr umgehend den Kontakt mit der Bank suchen.

Um das Konto im Ernstfall schnell sperren zu können, sollte die passende Telefonnummer der Bank stets griffbereit sein.