Sie haben bisher noch kein Onlinebanking genutzt und möchten demnächst Überweisungen per Internet durchführen. In diesem Ratgeber klären wir wichtige Fragen rund um das Thema Sicherheit und Datenschutz im Onlinebanking und gehen auf häufige Fragen ein.
Das Onlinebanking übernimmt immer größere Teile der Bankgeschäfte im privaten Sektor. In Deutschland erledigen in der Altersgruppe unter 50 Jahren gut 70 Prozent aller Konsumenten ihre Bankgeschäfte über das Internet. Doch auch ältere Verbraucher beschäftigen sich mit dem Thema Onlinebanking. Schließlich sind die Bankgeschäfte über das Internet oft deutlich günstiger. Eine große Hürde für den Einstieg ist immer wieder die Frage, wie sicher das Onlinebanking eigentlich ist.
Der Datenschutz wie auch die Sicherheit der Endgeräte und Netzwerke sind wichtige Themen, die in den letzten Jahren immer häufiger auch bei geübten Onlinebanking-Nutzern im Gespräch sind. Gerade beim Zugriff auf Konten und bei finanziellen Transaktionen über das Internet, ist die Sicherheit und somit das Vertrauen in die Onlinedienste äußerst wichtig für Kunden.
Dieser Artikel dient als Bestandsaufnahme der aktuellen Sicherheitssituation und gibt einige Tipps, wie man als privater Nutzer bewusst und vorsichtig mit Onlinebanking umgehen kann.
Onlinebanking – So geht Banking heute
Mittlerweile spielt sich ein großer Teil der täglichen Bankgeschäfte von Privatnutzern online ab. Kontostand und Auszüge abrufen, Überweisungen, Verwalten von Bausparen – all das lässt sich komfortabel zu jeder Uhrzeit von zuhause erledigen. Ein Kontakt zu einem Bankmitarbeiter ist dafür nicht erforderlich.
Kein Wunder also, dass insbesondere die jüngere Generation, die digital aufgewachsen ist, die neue Technologie angenommen hat: Sie ist bequem, deutlich schneller und mit der modernen, mobilen Lebensweise viel besser vereinbar, als die knapp bemessenen Öffnungszeiten von Bankfilialen.
Die Funktionen wachsen zudem mit der Zeit und mit den Anforderungen der technologisch versierten Kundschaft. So haben sich Möglichkeiten zum mobilen Banking per Smartphone durchgesetzt, oder rein digitale Neobanken gebildet, deren Angebotsumfang genau auf die Wünsche dieser Kundengruppe zugeschnitten ist.
Warum wird Onlinebanking von einigen Verbrauchern abgelehnt?
Viele Vorteile sprechen für die Nutzung dieser Angebote, doch ein Gedanke steht natürlich vor allem bei finanziellen Transaktionen immer im Hintergrund: Die Sicherheit der Bankdaten und des Vermögens. Wenn Geld und vor allem Konto- und persönliche Daten im Spiel sind, ist es selbstverständlich sehr wichtig, dabei ein Gefühl der Sicherheit zu haben.
Das ist auch einer der Gründe, warum viele Menschen, die sich noch nicht mit Onlinebanking beschäftigen, diesen Möglichkeiten nicht vertrauen. Das Internet und alle Aspekte, die damit in Verbindung stehen, sind grundsätzlich etwas Neues. Zusätzlich stehen Betrugsmaschen, Viren, E-Mail Spam und so weiter an der Tagesordnung. Kein Wunder also, dass viele vor dem Gedanken, mit diesem Medium das eigene Vermögen zu verwalten, zurückschrecken.
Ganz ohne Grund geschieht das auch nicht. Jede Ebene der Abstraktion, die zwischen die Bank und den Kunden geschoben wird, fügt Transaktionen ihre inhärenten Risikofaktoren hinzu. Je direkter man mit dem Kreditinstitut in Verbindung steht, desto sicherer.
Daher ist gerade im Onlinebanking die Sicherheit ein großes Thema, das gleichzeitig jedoch auch ständig weiterentwickelt wird. Damit es für die breite Nutzerschaft überhaupt interessant werden konnte, waren bereits große Sicherheitsmaßnahmen nötig. In der Weiterentwicklung der Technologien kommt es auch stets zu Neuentwicklungen, teilweise, um auf neu auftretende Bedrohungen zu reagieren.
Datensicherheit und Datenschutz für Privatnutzer
Trotz dieser Bedenken, die direkt mit der Nutzung des Internets als Basis zusammenhängen, werden Onlinebanking und ähnliche Dienste von Millionen von Menschen täglich ohne große Hintergedanken genutzt. Und auch die Betrugsfälle halten sich bei vernünftiger und achtsamer Nutzung in Grenzen.
Das haben wir den bereits bestehenden Vorkehrungen zu verdanken, die sie für die tägliche Nutzung sicher genug machen. Damit die Sicherheit bei Bankgeschäften über das Internet hoch genug ist, um für eine breite Masse alltagstauglich zu sein, werden viele komplizierte Anwendungen entwickelt, die für Nutzer unsichtbar ablaufen.
Dabei stehen zwei Aspekte im Vordergrund, die unterschiedliche Anforderungen für die Sicherheit mit sich bringen: Einmal die Datensicherheit und dann der Datenschutz. Der Unterschied zwischen beiden Begriffen steckt im Detail, hat jedoch Auswirkungen auf die nötigen Maßnahmen:
- Datenschutz: Die Informationen und Daten, die über Kunden vorliegen, müssen bei jedem Schritt während der Speicherung und Verarbeitung so geschützt sein, dass keinerlei Missbrauch möglich ist. Das betrifft auf der einen Seite das Persönlichkeitsrecht der Personen, das durch die Veröffentlichung oder Weitergabe persönlicher Daten gefährdet wäre.
Auf der anderen Seite sind jedoch auch sensiblere Daten, die einer Person schaden könnten und beispielsweise ihre Privatsphäre verletzen würden, damit gemeint. Wichtig ist also, dass es sich beim Stichwort Datenschutz um eine Maßnahme zum Schutz von Einzelpersonen handelt. Hauptsächlich wird damit geregelt, wie mit den gespeicherten Daten umgegangen werden darf, welche Personen wann darauf Zugriff haben und welche Richtlinien bei der Verarbeitung gelten.
- Datensicherheit: Damit sind wir auf der technischen Seite des Problems. Bei der Datensicherheit geht es um technische Maßnahmen, die sicherstellen, dass Informationen jeglicher Art – also auch Massendaten von Unternehmen – nicht zugänglich sind, außer für befugte Personen, wenn entsprechende Notwendigkeit besteht. Auch der Datenverlust soll damit verhindert werden. Im Gesetzestext (Bundesdatenschutzgesetz BDSG) sind die drei Anwendungszwecke als Manipulation, Verlust und unberechtigter Zugriff bezeichnet.
Beide Bereiche sind für Banken und insbesondere für solche mit digitalen Schnittstellen, besonders wichtig. Daher bestehen gesetzliche Richtlinien wie das BDSG oder die europäische Datenschutzgrundverordnung (DSGVO).
Auch die neue PSD2-Richtlinie, die in mehreren Stufen ab Anfang 2018 verpflichtend in Kraft getreten ist, kommt Nutzern zu Gute. Diese Anordnung, der alle Zahlungsdienstleister in Europa folgen müssen, schützt die Kunden und erhöht zusätzlich die Sicherheit.
Eine Vorgabe dabei ist der Zwang für Banken und Zahlungsdienste, die Zwei-Faktor-Authentifizierung bei jeder Transaktion zu verwenden. Außerdem dürfen altmodische TAN-Verfahren, bei denen die verfügbaren TANs vor Anstoß der Transaktion bereits feststehen, nicht mehr verwendet werden. Stattdessen müssen die Zahlenfolgen dynamisch generiert werden.
Angst vor Gefährdungen durch Angriffe
Das Internet ist längst kein Neuland mehr. Warum ist also die Sicherheit insbesondere bei Anwendungen für Privatnutzer immer noch so ein heikles Thema? Welche Ursachen und Probleme bestehen, die diese Vorsichtsmaßnahmen und Sicherheitsvorkehrungen überhaupt nötig machen?
Einer der größten Faktoren, der insbesondere bei wichtigen Daten ins Spiel kommt, ist die Tatsache, dass Cyberkriminalität durchaus ein großes Problem darstellt. Daten zu stehlen, persönliche Informationen in großer Zahl zu beschaffen oder sich Zugang zu Passwörtern und somit verschlüsselten Informationen und Dienstleistungen zu verschaffen, ist und bleibt für Kriminelle sehr lukrativ.
Daher gibt es immer mehr Individuen und Gruppierungen, die sich dem Bereich Internet- und Cyberkriminalität widmen. Hacker, Datenhehlerei, Phishing und ähnliches stellen die Polizei sowie die Unternehmen, die häufig Ziel von deren Attacken sind, vor große Herausforderungen.
Der Unterschied zur gewöhnlichen Kriminalität besteht darin, dass ihre Möglichkeiten auf den spezifischen Möglichkeiten und Umständen des Internets und digitaler Geräte aufbauen. Daher müssen auch spezifische Maßnahmen ergriffen werden, die genau an diesen Problemursachen ansetzen.
Aktuelle Sicherheits-Standards von Online-Banken
Trotz all dieser Risiken und attraktiven Angriffsvektoren auf Online-Konten nutzen zahllose Menschen diese Dienste, ohne all zu große Angst vor Problemen haben zu müssen. Das ist den bereits aktiven Sicherheitsvorkehrungen zuzuschreiben, die entweder unsichtbar agieren oder ein Teil der gewohnten Nutzererfahrung geworden sind. Teils werden diese Sicherheitsvorkehrungen von den Nutzern als zu kompliziert bewertet. Doch hier gilt die Regel, je einfacher der Zugriff auf das Onlinebanking, umso einfacher haben es auch Hacker.
Verschiedene technische Maßnahmen gehören zum grundlegenden Sicherheitsstandard, der Transaktionen im Internet und Onlinebanking insbesondere sicher und somit erst nutzbar machen:
- Passwörter: Die absolute Grundlage ist vielleicht schon zu offensichtlich, doch darf keineswegs vernachlässigt werden. Die Kombination eines einzigartigen Benutzernamens und eines Passwortes, das bestimmten Anforderungen entspricht, ist bereits eine hohe Sicherheitshürde, die Attacken in ihrer grundlegendsten Form verhindert. Auch aufwendigere Angriffe mit technischen Hilfsmitteln, wie das Brute Forcing, können durch Passwörter ab einer bestimmten Sicherheitsstufe verhindert werden.
- HTTPS: Viele kennen diese Zeichenfolge aus dem Internet-Alltag, ohne die umfassende Bedeutung zu verstehen. Sie steht prinzipiell für ein „sicheres Hypertext-Übertragungsprotokoll“. Ein Übertragungsprotokoll ist die technologische Methode, mit der jegliche Daten über das World Wide Web transportiert werden. HTTPS hat als besonderes Merkmal, dass die Daten dabei verschlüsselt werden. Die Daten sind also unleserlich, während sie zwischen dem Server, auf dem die Internetseite oder Webanwendung gehostet ist und dem Browser auf dem privaten Rechner übertragen werden. So können abgefangene Daten nicht zu bösartigen Zwecken genutzt werden.
Durch das verwendete HTTPS-Zertifikat können sich Webseiten oft auch als authentisch ausweisen – mit einem Klick auf die Adresse im Browser kann dieses angezeigt werden. Dabei ist sichtbar, auf welches Unternehmen das HTTPS-Zertifikat registriert ist. So kann man sicherstellen, dass man auch auf jeden Fall auf der echten Seite ist und nicht etwa auf einem Plagiat.
-
Auto Logouts: Wenn eine Anmeldung auf einer Webseite erfolgt, wie beispielsweise auf einem Banking-Portal, beginnt eine einzelne Session. Diese wird bei vielen Seiten automatisch beendet, wenn ein bestimmtes Zeitlimit erreicht wird oder die aktiven Browser-Fenster geschlossen werden. Für einen erneuten Zugriff ist dann wieder ein Login nötig. Das verhindert, das Unbefugte ihr Unwesen treiben können, während man nicht auf den Rechner aufpasst. Das können Personen im gleichen Raum sein, aber auch Hacker, die sich Fernzugriff auf den Computer verschafft haben.
-
TANs, 2FA und weitere Sicherheitsfaktoren: Über Passwörter hinaus haben sich weitere Sicherheitsmerkmale durchgesetzt, die Teilweise auch gesetzlich vorgeschrieben sind. Die wichtigste Grundlage, um ein Nutzerkonto vor Fremdzugriff zu schützen, ist sicherzustellen, dass die Person, die den Login-Versuch ausführt, auch tatsächlich der Besitzer des Kontos ist. Da dies in der digitalen Sphäre praktisch unmöglich ist, ohne direkten Kontakt mit der Person herzustellen, werden zusätzliche Authentifizierungsfaktoren hinzugefügt, die zumindest die Latte zur Imitation höher legen.
So muss der Angreifer nicht nur das zum Konto passende Passwort wissen, sondern auch Zugriff auf den zweiten Authentifizierungsfaktor haben. Dieser muss mit einem anderen Gerät oder Medium realisiert werden, als das, das zum Login genutzt wird. So gibt es beispielsweise automatisch generierte TANs, die per speziellem TAN-Generator, App oder SMS generiert werden. Nur wenn sowohl das Passwort als auch diese Transaktionsnummer stimmt, ist eine Aktion durchführbar.
Sind alle Banken gleich sicher?
Für Nutzer, die ihren Partner für das Onlinebanking bewusst aussuchen möchten, stellt sich sicherlich die Frage, welche Bank am sichersten ist, oder ob es überhaupt Unterschiede zwischen den einzelnen Kreditinstituten gibt.
Grundlegend lässt sich sagen, dass aufgrund der gesetzlichen Regelungen bereits ein hoher allgemeiner Sicherheitsstandard herrscht, so dass es praktisch keine deutschen Bankinganbieter gibt, die schwerwiegende Mängel bezüglich Datenschutz und -sicherheit vorweisen.
Doch einzelne Onlinebanken stechen heraus, da sie viel Wert darauf legen, trotz der Maxime für Komfort eine möglichst hohe Sicherheit für die Nutzer zu garantieren. So gibt es beispielsweise Unterschiede in der Implementierung der TAN-Methoden.
Wenn etwa die Kanäle nicht getrennt sind, über die TAN und Banktransaktion abgewickelt werden, wird die Sicherheit reduziert. Das ist beispielsweise der Fall, wenn bei einer Anmeldung im Banking über die mobile App auch eine SMS-TAN verwendet wird.
Bei einer strikten Trennung ist es deutlich schwerer, unbefugten Zugriff zu bekommen. Daher sind Banken, die strikt getrennte Authentifizierungsverfahren anbieten, wie etwa mit einem gesonderten Chip-TAN-Gerät oder zusätzlichen App-Pins, deutlich sicherer.
Wenn Sie also besonderen Wert auf Sicherheit legen, können Sie verschiedene Banking-Angebote vergleichen und darauf achten, ob unabhängige Möglichkeiten zur Zwei-Faktor-Authentifizierung angeboten werden.
Die Rolle der Nutzer
Die Stichwörter hierbei in der Szene lauten „Social Engineering“ und „Social Hacking“. Der Stereotyp eines Hackvorgangs ist, dass ein Experte völlig aus eigener Kraft durch technische Kenntnis die Sicherheitsvorkehrungen durchbricht – doch das entspricht in vielen Fällen nicht mehr der Realität.
Da die standardmäßigen Schutzmaßnahmen vieler Systeme es bereits sehr schwierig machen, den Zugriff direkt zu knacken, ist es tatsächlich einfacher geworden, den Faktor Mensch beim Suchen der Sicherheitslücken einzubeziehen.
Anstatt die Daten mit digitalen Hilfsmitteln und technischen Methoden abzufangen, werden Menschen manipuliert – üblicherweise jene, die selbst Zugriff zu den jeweiligen Systemen haben. Trotz aller implementierter Sicherheitsmaßnahmen ist der Mensch immer noch die Instanz, die diese bedienen muss, wodurch sich Fehlerpotentiale ergeben. Häufig werden Nutzer beispielsweise mit Phishing-Mails überlistet.
Direktbanken – Chance oder Risiko?
Die Rolle von Direktbanken (Neobanken) in der Gegenwart und Zukunft scheint bis heute unsicher zu sein, da sie noch ein recht neues Bankmodell sind und noch keinen festen, genau definierten Platz in der Branche haben.
Auf der einen Seite ist ihre Existenz nicht überraschend, da sie genau auf die Anforderungen einer jungen Nutzerschaft zugeschnitten sind, die jegliche Transaktionen ohnehin online durchführt und keinen Bedarf für den Service einer Filiale hat. Die damit einhergehenden Kostenersparnisse sind nur ein Bonus.
Doch die digitalen Direktbanken sind noch ein recht neues Phänomen, weshalb sie auch bezüglich der Sicherheit noch offene Fragen zu beantworten haben. So sind beispielsweise Einsparungen im Bereich des Kundenservice ein Faktor, der für Nutzer die Sicherheit negativ beeinflusst. Aber auch Probleme mit gekaperten Konten, die zur Geldwäsche genutzt wurden, sind unter anderem bei der Direktbank N26 jüngst ein Thema gewesen.
Doch diese Vorfälle hätten – zumindest theoretisch – auch bei allen anderen Banken eintreten können. Für die Cyberkriminalität sind jedoch Onlinekonten attraktiver, da die Konten schnell und einfach eröffnet werden können.
Auf der anderen Seite stehen die Bemühungen, diesem Image zu entkommen, wodurch mehr Wert auf die Weiterentwicklung der Sicherheit gelegt wird. Sie könnten daher zu einem Motor der Fortschritte auf diesem Gebiet werden.
Welche zusätzlichen Vorkehrungen zum Schutz sind sinnvoll?
Wenn sich Nutzer nicht alleine auf die von den Banken angebotenen Sicherheitsmaßnahmen verlassen möchten, bleiben ihnen dann Möglichkeiten, die eigenen Finanzen und Daten zusätzlich zu schützen?
Um sicherzustellen, dass das eigene Verhalten kein Sicherheitsrisiko darstellt, haben Privatpersonen mehrere Möglichkeiten. Zuerst einmal gibt es einige technische Aspekte, die man beachten sollte:
- Sichere Passwörter nutzen: So lang wie möglich, ohne sich häufiger wiederholende Zeichenfolgen. Verzichten Sie auf die beliebtesten Kennwörter der Deutschen.
- HTTPS: Darauf achten, dass eine sichere Übertragung mit dem richtigen Zertifikat angezeigt wird.
- Firewalls und Virentools: Trojaner wie etwa Emotet nisten sich auf dem PC ein und lesen die Banking-Daten aus. Solche Viren sollten also mit den entsprechenden Programmen bekämpft werden.
- Sichere Netzwerke nutzen: Dem eigenen Internetanschluss zuhause können Sie vertrauen. Mit öffentlichen WiFi-Hotspots sieht das jedoch anders aus, dort könnten Dritte den Datenverkehr überwachen.
- VPN nutzen: Falls Sie öfter dazu gezwungen sind unterwegs Bankgeschäfte zu erledigen, sollte zur Verschlüsselung und zum Verstecken vor Angreifern ein VPN verwendet werden.
Dazu kommen grundlegende Maßnahmen gegen Social Hacking, die verhindern, dass an den technischen Barrieren vorbei ein Fremdzugriff ermöglicht wird:
- Geheimhaltung: Datenschutz ist wichtig, also sollten Sie selbst auch mit den Daten entsprechend umgehen. Nutzerkonten, Passwörter, TANs und so weiter sollten privat bleiben.
- Auf Betrugsmaschen achten: Eine Bank wird Nutzer nie nach dem Passwort oder einer TAN fragen, außer bei den Aktionen auf der offiziellen Seite, wo dies dringend nötig ist.
- Wachsam sein: Wenn möglich, sollten Kontobewegungen, die beim Onlinebanking ohnehin in Echtzeit einsehbar sind, mehrmals täglich kontrolliert werden.
- Zugangsdaten sicher aufbewahren: Passwort, PUK, eine physische TAN-Liste oder der TAN-Generator sollten möglichst unzugänglich aufbewahrt werden. Ein Zettel mit PINs und Passwörtern im Geldbeutel ist keine gute Idee.
- Transaktionslimits: Wer größere Beträge auf den Onlinekonten verwaltet, kann mit der jeweiligen Bank maximal verfügbare Beträge absprechen. Sollten dann Kriminelle Zugriff auf das Konto haben, kann dies den Schaden spürbar begrenzen.
Besonders ältere und technisch weniger versierte Nutzer haben Probleme damit, den vielen technischen Aspekten zu folgen und die Passwörter oder TAN-Tools zu verwalten, weshalb häufig für mehr Nutzerkomfort ein Minimum an Sicherheit genutzt wird. Das vereinfacht die Handhabung.
Doch dadurch entstehen mehrere Sicherheitsrisiken. Daher ist es wichtig, sich aktiv mit dem Online-Banking und den dabei zum Einsatz kommenden Geräten zu beschäftigen und mit den Technologien vertraut zu sein.
Haben Sie diese Videos schon gesehen?