MobileTAN und Co. Sicherheit beim Online Banking: Hier lauern die Gefahren
Die Bankgeschäfte über das Internet schnell und bequem erledigen – Online-Banking nutzen inzwischen fast die Hälfte der Bundesbürger, so eine Umfrage des Marktforschungsinstituts Ipsos. Viele Bankkunden haben dennoch Sicherheitsbedenken. Meldungen über Computer- und Internetkriminalität und fremden Zugriff auf Online-Konten machen immer wieder die Runde. Wie Sie dem Konto-Missbrauch vorbeugen und welche rechtlichen Möglichkeiten Sie als Opfer dieser sogenannten Cyberkriminalität haben, erfahren Sie hier.
Inhaltsverzeichnis
- Wie funktioniert das mobile TAN-Verfahren?
- Gefahren beim Mobile-Banking
- Konto leergeräumt – was tun?
- Bessere Möglichkeiten beim Lastschriftverfahren
- Auch der Kontoinhaber hat Pflichten
- TAN-Nummern nicht preisgeben
- AGB der Online-Bank beachten
- Sicherheit beim Online-Banking – Die wichtigsten Tipps auf einen Blick:
TAN-Verfahren als Angriffsfläche
In Zeiten zunehmender Vernetzung digitaler Geräte wächst die Gefahr der Cyberkriminalität – und damit das Risiko beim Online-Banking. Besonders die steigende Zahl internetfähiger Smartphones scheint Kriminelle geradezu anzuziehen. Neben dem herkömmlichen TAN-Verfahren per Versand in Papierform nutzen immer mehr Bankkunden das mobile TAN-Verfahren (mTAN). Dieses birgt jedoch Risiken.
Wie funktioniert das mobile TAN-Verfahren?
Die Transaktionsnummern werden per SMS an Ihr mobiles Endgerät verschickt. Das mobile TAN-Verfahren hat für Sie den Vorteil, dass direkt nach Aufforderung durch Sie bei jeder Überweisung eine mobile TAN per SMS auf Ihr vorher registriertes Mobilgerät übermittelt wird. Damit gelangen diese Nummern schwieriger in falsche Hände, können z.B. nicht wie die TAN in Papierform verloren gehen.
Die per SMS versendete TAN ist nur für wenige Minuten und nur für die Transaktion gültig, für die sie angefordert wurde. Das Bankgeschäft wird so im Normalfall auf zwei verschiedenen Geräten durchgeführt, Bank-Zugangsdaten und TAN-Nummern liegen auf unterschiedlichen Systemen, was die Sicherheit ebenfalls erhöht.
Den Wechsel vom Versand der herkömmlichen TAN-Listen auf Papier hin zu mobilen TANs können Sie bei Ihrer Bank beantragen, in der Regel ist die Umstellung auch direkt online möglich, so dass Sie das mobile Verfahren schon bei Ihrer nächsten Banking-Aktion einsetzen können.
Trojaner haben es auf mobile TAN-Nummern abgesehen
Dennoch gibt es auch hier Betrugsmethoden. Um an diese mobilen TANs zu kommen, manipulieren Cyberkriminelle mobile Endgeräte wie Mobiltelefone oder Tablets, aber auch die PCs der Kunden, indem sie ein sogenanntes Trojaner-Programm installieren. Dabei handelt es sich um ein kleines Programm, das sich unbemerkt auf Ihrem Rechner installiert, um Zugangsdaten auszuspionieren.
Mithilfe dieser Daten wird dann entweder Ihre bei der Bank gespeicherte Handynummer durch die des Betrügers ersetzt, oder auch einfach beim Telefonanbieter eine Zweit-SIM-Karte auf Ihren Namen beantragt. Unbedingt vermeiden sollten Sie Online-Banking, wenn Computer und Smartphone synchronisiert oder miteinander verbunden sind: Ein Trojaner kann dann SMS umleiten und Überweisungen auf Fremdkonten veranlassen.
Gefahren beim Mobile-Banking
Immer häufiger genutzt wird das sogenannte Mobile-Banking, also das Erledigen der Bankgeschäfte über ein Smartphone oder einen Tablet-PC von unterwegs aus. Hierbei sollten Sie besonders darauf achten, dass der mTAN-Versand nicht auf das gleiche Gerät erfolgt, auf dem Sie auch Ihre Bankgeschäfte erledigen. Ein Angriff auf das eine Endgerät reicht dann aus, um alle Zugangsdaten für Ihr Bankkonto zu erhalten.
Für Smartphones gelten daher die gleichen Sicherheitskriterien wie für Ihren Desktop-PC zu Hause: Achten Sie auf regelmäßige Updates der Smartphone-Software und entsprechenden Virenschutz. Für das mobile Banking empfiehlt sich das chipTAN oder smartTAN-Verfahren.
Online Banking – Sicherheit für den PC zuhause
Ebenso wie für die mobile Nutzung ist auch beim Online-Banking vom PC oder Laptop aus immer an Sicherheitsmaßnahmen zu denken. Aktuelle Versionen der Betriebssysteme und der Anwendungssoftware sowie ein Virenschutz-Programm sind hier die Voraussetzung. Denn Angriffe über Trojaner finden immer wieder über neue Wege statt.
Ein Beispiel sind Attacken über Werbebanner im Internet: Besuchen Sie Webseiten mit manipuliertem Werbebanner, laden Sie – selbst, wenn Sie das Banner gar nicht anklicken – ein Schadprogramm wie einen Online-Banking-Trojaner auf Ihren Windows-basierten PC. Dadurch ist der heimische PC mit allen Aktivitäten seiner Nutzer wie beispielsweise Online-Banking für Betrüger offen zugänglich.
Konto leergeräumt – was tun?
Wen beim Blick auf das eigene Konto der kalte Schrecken erwischt, weil dieses unerklärliche Abbuchungen aufweist, der sollte sofort reagieren: „Sperren Sie umgehend Ihren Online-Banking-Zugang, entweder online oder telefonisch bei der Bank“, rät Anne Kronzucker, Juristin der D.A.S. Rechtsschutzversicherung, und ergänzt: „Eine Überweisung wieder zurückzurufen, ist schwierig: Dies ist nur bei Inlandsüberweisungen möglich und auch nur, wenn der Betrag dem Empfängerkonto noch nicht gutgeschrieben ist. Danach hilft nur noch eine gerichtliche Klage gegen den Empfänger – der oft nicht zu ermitteln ist."
Bessere Möglichkeiten beim Lastschriftverfahren
Mehr Chancen gibt es beim Lastschriftverfahren: Hier können Sie bei Ihrem Kreditinstitut Widerspruch gegen die falsche Abbuchung einlegen und eine Rücklastschrift beantragen. Oft geht das sogar ebenfalls online über einen speziellen Klick-Button. Für den Widerspruch haben betroffene Kunden nach Einführung des SEPA-Verfahrens acht Wochen Zeit (mit Mandat). Wenn es sich um einen Lastschrifteneinzug ohne Mandat, also um eine unautorisierte Lastschrift handelt, kann innerhalb von 13 Monaten Widerspruch eingelegt werden. Die Fristen für den Widerruf gelten ab dem Zeitpunkt der Belastungsbuchung.
Wichtig: Die Kosten für die Rücklastschrift darf die Bank nicht Ihnen in Rechnung stellen, sondern dem Abbuchenden! Erweist sich die Abbuchung jedoch als korrekt, hat der Abbuchende sogar Anspruch auf Schadenersatz. Für den Widerruf einer Überweisung verlangen Geldinstitute Gebühren in unterschiedlicher Höhe.
Auch der Kontoinhaber hat Pflichten
Der Gesetzgeber hat 2009 mit seiner Regelung des Zahlungsverkehrs für mehr Rechtssicherheit im virtuellen Raum gesorgt. Demnach haften Sie mit maximal 150 Euro, wenn Ihnen nach einem Datendiebstahl das Konto leer geräumt worden ist – ausgenommen bei grober Fahrlässigkeit oder Vorsatz (§ 675v BGB). Denn dann kann ein Ersatz des gesamten Schadens verlangt werden.
Allerdings haben Verbraucher nach wie vor keinen Freifahrtschein: „Verletzt jemand seine Pflicht zur sicheren Aufbewahrung der Zugangsdaten, muss die Bank nicht für den Schaden aufkommen“, warnt die Juristin. Wenn Sie also Ihre Passwörter, PINs und TANs im Rechner speichern, per E-Mail verschicken oder auf bankfremden Webseiten eingeben, können Sie unter Umständen leer ausgehen. Denn diese Eingaben erleichtern es Kriminellen, die Daten auszuspähen.
TAN-Nummern nicht preisgeben
Generell sollten Sie allzu vertrauensseliges Verhalten im Netz vermeiden. Wenn Sie beispielsweise auf der Webseite ihrer Bank plötzlich aufgefordert werden, TAN-Nummern einzugeben, sollten alle Alarmglocken klingeln: Denn selbst, wenn die Webseite dem Internetauftritt der Bank täuschend ähnlich sieht, haben Betrüger sie vermutlich manipuliert, um Informationen abfischen zu können. Wer seine Daten trotz solcher verdächtiger Anzeichen preisgibt oder Warnhinweise ignoriert, hat womöglich keinen Anspruch auf eine volle Rückerstattung seines Geldes.
AGB der Online-Bank beachten
Das bestätigte auch der Bundesgerichtshof (Az. XI ZR 96/11). Allerdings beurteilen die Gerichte die Sorgfaltspflicht der Verbraucher beim Online-Banking unterschiedlich. Welche Pflichten das jeweilige Kreditinstitut vorsieht, können Sie den Haftungsbedingungen der Bank entnehmen. Denn zwischen Bank und Kunde kann per Allgemeinen Geschäftsbedingungen (AGB) vereinbart werden, welche Vorsichtsmaßnahmen der Kunde einhalten muss, um im Ernstfall nicht zu haften.
Sicherheit beim Online-Banking – Die wichtigsten Tipps auf einen Blick:
- Gehen Sie sorgsam mit Ihren Konto-Daten um. Nutzen Sie für TAN-Übertragung und Banking nicht das gleiche Endgerät. Am besten verwenden Sie dafür eine von Ihrem Kreditinstitut autorisierte App. Vergeben Sie starke Passwörter für Ihre Online-Banking-Zugänge.
- Wenn Sie eine WLAN-Verbindung einrichten und darüber das Online-Banking nutzen, achten Sie auf eine ausreichende Verschlüsselung (heute WPA 2). Wenn möglich, gehen Sie über den eigenen Internetzugang online und vermeiden Sie Online Banking über Rechner in Internet-Cafes und anderen öffentlichen Einrichtungen.
- Achten Sie auf eine verschlüsselte Kommunikation, auch beim Online-Banking auf Ihrem mobilen Endgerät. Das Ganze sollte immer über eine Webseite mit dem geschützten https-Protokoll erfolgen (erkennbar an der Adresse in der Browser-Zeile, beginnend mit https:// statt sonst http://).
- Keine Chance für Trojaner und Phishing-Attacken: Klicken Sie nicht auf Links, z.B. in E-Mails, die Ihre Kontodaten abfragen. Öffnen Sie keine SMS oder MMS, die Ihnen unbekannt ist. Werden Sie misstrauisch, wenn sich die gewohnten Abläufe während des Banking-Vorganges ändern: Zum Beispiel Aufforderungen, mehrere TANs einzugeben, plötzlicher Abbruch der Webseite nach Eingabe einer TAN, der Browser schließt sich scheinbar grundlos während des Bankings etc. Im Zweifel das Konto sperren lassen und die Bank benachrichtigen.
- Prüfen Sie regelmäßig Ihre Konto-Umsätze. Wer eine unerlaubte Kontobewegung feststellt, sollte ebenfalls umgehend seinen Online-Banking-Zugang sperren, entweder online oder telefonisch bei der Bank. Hilfreich ist auch, bei Ihrer Bank ein Limit für tägliche Geld-Transaktionen auf Ihrem Konto festzulegen – so grenzen Sie einen möglichen Schaden ein.
- Opfer einer Cyberattacke auf das Bankkonto sollten unverzüglich bei ihrem Kreditinstitut die vorgenommene Überweisung widerrufen bzw. Widerspruch gegen die falsche Abbuchung im Lastschriftverfahren einlegen und eine Rücklastschrift beantragen.
- Bankkunden haften bei einem leer geräumten Konto durch Datendiebstahl mit maximal 150 Euro – ausgenommen bei grober Fahrlässigkeit oder Vorsatz (§ 675v BGB).
- Bankkunden sind verpflichtet, ihre Zugangsdaten sorgsam aufzubewahren. Ansonsten müssen sie damit rechnen, dass die Bank nicht für den Schaden aufkommt.
- Diese und weitere ausführlichere Hinweise finden Sie auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik unter www.bsi-fuer-buerger.de