Kommentieren     
Online-Banking

Bereits jeder dritte deutsche Internet-User erledigt seine Bankgeschäfte mittlerweile online, Tendenz steigend.

In den letzten Jahren waren Online-Bankkunden vermehrt Opfer von Phishing- oder Viren-Attacken, mit denen versucht wurde an PIN und TAN zu kommen. So wurden immer wieder Sicherheitslücken in Webbrowsern oder Apps entdeckt, die es Hackern und Crackern erlaubten mittels Trojanern falsche Webseiten unterzuschieben oder Daten zwischen Kunde und Bank abzufangen (Man-in-the-middle-attack). Nachstehend erhalten Sie deshalb 13 wichtige Tipps im Zusammenhang mit der Sicherheit zum Onlinebanking:


Tipp 1: Verwenden Sie ein vertrauenswürdiges und sicherheits-zertifiziertes Online-Banking-Programm (z.B. StarMoney) auf einem Desktop-Rechner oder Notebook und keinesfalls einen Web-Browser oder eine Smartphone-App für Ihre Online-Bankgeschäfte.

Ein Web-Browser ist praktisch ein All-in-One-Produkt und kann bestimmte Funktionen nur über
Browser-Erweiterungen abwickeln bzw. handeln. Gerade diese Plugins sind es, die es Angreifern erst ermöglichen erfolgreich zu sein. Ein Smartphone ist aufgrund eklatanter Sicherheitsmängel gänzlich ungeeignet, um Banking-Geschäfte online abzuwickeln.

Ein (sicherheits-zertifiziertes) Banking-Programm ist erstens komfortabler in der Bedienung und vielfältiger in den Möglichkeiten sowie zweitens ausschließlich auf das Produkt Onlinebanking spezialisiert.


Tipp 2: Verwenden Sie eine Firewall und erstellen bzgl. Ihrer Online-Banking-Verbindung eine Regel in der Form, dass sich Ihr Banking-Client-Programm (siehe Tipp 1) nur mit dem IP-Adress-Bereich des Bank-Servers auf festgelegten Remote- und Local-Ports verbinden darf und kann. Eine “Umleitung” mittels Trojanern (wie z.B. zum “Browser Helper Object” aufgetaucht) kann so nicht mehr erfolgen.


Tipp 3: Treffen Sie alle grundsätzlichen Vorsichtsmassnahmen wie hier beschrieben.


Tipp 4: Arbeiten Sie ohne spezielles Banking-Programm und mit dem Web-Browser, rufen Sie Ihre Bank-Website ausschließlich per manueller Eingabe der Adresse auf und klicken Sie keinesfalls auf Links in E-Mails oder Websites, die Sie zu Ihrer Bank führen sollen. Leider ist das kein hundertprozentiger Schutz, denn es könnte die lokale hosts-Datei* von einem Virus “umgebogen” worden sein (so ist es möglich, trotz manuellem Aufruf der Domain des Kreditinstituts auf der nachgebauten Website eines Angreifers zu landen, der dann Ihre Eingaben “abphisht” und sofort auf der richtigen Bank-Website weiterverwendet). Deshalb legen wir Ihnen nochmals Tipp 1, 2 und 3 ans Herz.

Auch sollten Sie alle weiteren Browserfenster schliessen (nur ein Fenster mit der Online-Banking-Website geöffnet)- um Sicherheitslücken des Browsers oder von Browser-Plugins zu vereiteln (z.B. Auslesen von Sitzungsdaten).

*steuert lokal die Zuordnung von IP-Adressen zu Hostnamen unter Umgehung von DNS-(Name-)Servern im Internet. Haben Sie dort selbst keine Veränderungen vorgenommen, sollte lediglich der Eintrag <127.0.0.1      localhost > enthalten sein.


Tipp 5: Geben Sie niemandem Ihre PIN oder gar TAN bekannt: Weder telefonisch, noch per E-Mail oder sonstigem Weg. Auch Ihre Banken bzw. deren Mitarbeiter werden Sie NIE danach fragen.


Tipp 6: Verwenden Sie noch eine Old-Skool-Papier-TAN-Liste (iTan), speichern Sie keinesfallsTANs auf Ihrem Rechner, sondern bewahren die TAN-Liste gesondert und sicher auf. Auch wenn viele Banking-Programme und Online-Interfaces dieses bequeme Feature anbieten, ist es doch sehr gefährlich eine Speicherung vorzunehmen. Sind Sie einmal gehackt, kann der Intruder sofort mit Überweisungen loslegen.


Tipp 7: Verwenden Sie möglichst keine iTAN (Papierliste), keine mTAN (TAN wird über den SMS an mobiles Endgerät verschickt) und keine Push-TAN (über Smartphone-App) sowie keine Photo-TAN, sondern bedienen sich des Chip-TAN-Verfahrens über den TAN-Generator oder Chipkarte mit Lesegerät. Das ist zwar unbequem und unflexibel aber Sicherheit war noch nie bequem. Sehen Sie zu den TAN-Verfahren auch diesen Beitrag.


Tipp 8: Verwenden Sie unbedingt ein sicheres Passwort (PIN) und wechseln dies in regelmäßigen Abständen.


Tipp 9: Verzichten Sie auf Onlinebanking kabellos (wireless). Einen 100 %-igen Schutz vor WLAN-Hacks gibt es einfach nicht. Sehen Sie hierzu unsere Seite Wireless LAN. Auf dem Smartphone sollte ebenso kein Online-Banking stattfinden (siehe Punkt 1).


Tipp 10: Überprüfen Sie als Online-Banking-Kunde Ihre Kontobewegungen noch penibler als Sie es vielleicht schon bisher gemacht haben.


Tipp 11: Vereinbaren Sie mit Ihrer Bank ein angemessenes Tages-Limit für Online-Überweisungen, welches Sie sich im Betrugsfall "leisten" können. Wird einmal ein höherer Betrag gebraucht, bieten die meisten Banken eine temporäre Erhöhung an, die kurzerhand telefonisch festgelegt werden kann.


Tipp 12: Überprüfen Sie Ihren Rechner in regelmäßigen Abständen auf Viren und Co.


Tipp 13: Last but not least. Gesunder Menschenverstand (HIRN 2.0) sollte bei allen Web-Aktionen (und nicht nur da) mit an Bord sein. Sprich klicken Sie z.B. auf keine Dateianhänge in E-Mails, die Sie nicht angefordert oder erwartet haben und zügeln Sie Ihre Neugier bei verlockenden E-Mail- oder Web-Angeboten.

Der Trend geht derzeit dahin,
Viren & Co. auf infizierten Websites und in Social Networks zu verbreiten. In den meisten Fällen hat der Webseiten-Betreiber keine Kenntnis davon, sondern wurde selbst Opfer, indem über Sicherheitslücken in seinen Server oder Webspace eingedrungen wurde, um entsprechenden Schadcode zu plazieren. D.h. Sie können sich auch bei einer vertrauenswürdigen Website leider nicht sicher sein, sich nichts “einzufangen”.

Siehe dazu auch unseren Beitrag Malware 2.0: Der Weg und Werdegang eines Schädlings.

Siehe auch Beitrag: (Un)Sicherheiten der verschiedenen TAN-Verfahren zum Online-Banking.

Kommentieren