Vorsicht vor Phishing, Spyware und Co.

Home-Banking – Sicherheit geht vor

16.03.2010
Wie Sie sich bei Bankgeschäften schützen können, sagt der Bundesverband deutscher Banken.
Ein Smartcard-Lesegerät erhöht die Sicherheit beim Home-Banking
Foto: Ronald Wiltscheck

Zur Sicherheit in Sachen Home-Banking kann jeder Online-Banker beitragen, indem er einige grundsätzliche Tipps sorgfältig beachtet. Denn auf die Sicherheit der Computer und Programme jedes Internetnutzers haben die Banken keinen Einfluss.

So häufen sich gerade in jüngster Zeit Berichte über das sogenannte Phishing und über Trojaner-Angriffe. Dabei wird der Kunde von Internetkriminellen beispielsweise per E-Mail aufgefordert, mit seinem Kreditinstitut Kontakt aufzunehmen. Folgt der Adressat dem in der E-Mail angegebenen Link, so landet er jedoch nicht bei seiner Bank, sondern auf einer gefälschten Web-Seite. So hoffen die Kriminellen, an vertrauliche Zugangsdaten zum Online-Konto wie PIN und TANs zu kommen.

Sicherheit

Grundsätzlich gilt: Der Kunde sollte sich immer vergewissern, mit wem er es zu tun hat. Vertrauliche Informationen sollte nur preisgeben, wer verlässlich weiß, dass es sich bei der Internetseite tatsächlich um die seines Kreditinstituts handelt. Zum Beispiel sollten Abweichungen vom gewohnten Ablauf beim Online Banking immer misstrauisch machen.

PIN und TANs sollten die Online Banker insbesondere nur eingeben, wenn sie sich auf der geschützten Seite ihrer Bank befinden. Das erkennen sie unter anderem daran, dass die Internetadresse ihrer Bank mit "https://" beginnt. Auch sollte jedes Mal in der Adresszeile des Internetbrowsers kontrolliert werden, ob die Internetadresse der Bank korrekt wiedergegeben ist. Bereits minimale Abweichungen können auf eine gefälschte Web-Seite hinweisen.

Zu den selbstverständlichen Vorsichtsmaßnahmen für alle Online Banker sollte auch gehören, dass sie regelmäßig ihre Virenscanprogramme und ihre persönliche Firewall aktualisieren sowie immer die Sicherheitseinstellungen ihres Internetbrowsers aktiviert haben.

Tipp: Broschüre "Online-Banking-Sicherheit"

Der Bundesverband deutscher Banken hat zehn Regeln für Sicherheit beim Online Banking in der Broschüre "Online-Banking-Sicherheit" zusammengestellt. Sie enthält zudem ein Lexikon mit einigen der wichtigsten Begriffe beim Online-Banking, wie Cookie, PIN, Trojaner, Viren.

Zehn Sicherheitsregeln sollten Sie beachten:

Regel 1: Setzen Sie Sicherheitssoftware ein - unter anderem einen aktuellen Virenscanner.

Verwenden Sie zusätzliche Sicherheitssoftware. Denn manche Sicherheitsprobleme lassen sich nicht allein mit "Bordmitteln" des PC-Betriebssystems lösen. Ein wichtiges Zusatzwerkzeug ist ein leistungsfähiger Virenscanner, der permanent online aktualisiert wird und damit in der Lage ist, auch neue Viren zu erkennen. Fast täglich werden neue Viren entdeckt. Daher ist es durchaus möglich, dass Sie sich bei einem Ausflug in die Online-Welt "infizieren". Ferner können sich grundsätzlich auch außenstehende Dritte ein Bild von den auf Ihrem PC gespeicherten Daten machen, solange Sie online sind, da Ihr Computer im Netz eine eigene Adresse hat und so von außen erreichbar ist.

Bei unzureichenden Sicherheitsmaßnahmen laufen Sie Gefahr, dass Unbefugte auf die auf Ihrem PC gespeicherten Informationen (z.B. PIN und TANs, die dort nicht gespeichert sein sollten) zugreifen könnten. Kriminelle setzen dazu "Spyware" ein. Diese Spionage-Programme können unbemerkt auf Ihrem Computer installiert werden und sind in der Lage, im Hintergrund nach sensiblen Daten wie Kontoinformationen oder Passwörtern zu suchen oder Ihre Tastatureingaben aufzuzeichnen. Die Daten werden dann ebenfalls unbemerkt an eine fremde E-Mail-Adresse oder einen fremden Server verschickt. Kriminelle bauen Spyware getarnt in Internetseiten, E-Mails oder E-Mail-Anhänge ein. Daher werden solche Programme auch Trojanische Pferde genannt. Schadprogramme, die sich besonders auf systemnahe Funktionen des Betriebssystems stützen, werden auch als Rootkit bezeichnet, wobei die Grenzen fließend sind. Sobald ein infiziertes Objekt geöffnet wird, installiert sich die Spyware auf Ihrem Computer - ohne dass Sie es merken. Deshalb löschen Sie verdächtige E-Mails, ohne sie zu öffnen. Öffnen Sie keine verdächtigen Anhänge, auch wenn sie von einer Ihnen bekannten E-Mail-Adresse zu kommen scheinen. Deaktivieren Sie die "Autovorschau-Funktion" Ihres Mail-Programms, um ein automatisches Öffnen der Mail zu verhindern.

Gegen diese Angriffe von außen bietet die Installation einer persönlichen Firewall Schutz. Eine Firewall ist ein Programm, das den gesamten eingehenden und ausgehenden Netzverkehr überwacht und nur bekannte oder autorisierte Verbindungen zulässt. Im Fachhandel gibt es darüber hinaus eine Vielzahl von Programmen, die Ihnen dabei helfen, das Sicherheitsniveau Ihres PCs zu heben, wie beispielsweise PC-Sicherheitssysteme mit Zugriffsschutz und Verschlüsselung.

Informieren Sie sich regelmäßig über Sicherheitsaspekte bei der Nutzung des Internets sowie geeignete Schutzmaßnahmen. Informationen zur Sicherheit beim Online Banking erhalten Sie auf der Internetseite Ihrer Bank. Darüber hinaus finden Sie Informationen rund um das Thema Sicherheit im Internet beim Bundesamt für Sicherheit in der Informationstechnik unter der Adresse http://www.bsi-fuer-buerger. de. Kostenfreie Sicherheitssoftware finden Sie zum Beispiel dort in einer speziellen Rubrik unter http://www.bsi-fuer-buerger.de/toolbox/tools.htm

Regel 2: Schützen Sie sensible Daten bei der Übertragung über offene Netze.

Jede ungesicherte Datenübertragung im Internet kann von unberechtigten Dritten abgefangen oder ausgespäht werden. Die Banken haben dafür gesorgt, dass die im Rahmen des Online Banking übermittelten Daten verschlüsselt übertragen werden. Geben Sie Ihre PIN und Ihre TANs nur ein, wenn Sie sicher davon ausgehen können, dass Sie sich auf der geschützten Internetseite der Bank befinden und Sie eine verschlüsselte Verbindung nutzen. Dies können Sie unter anderem daran erkennen, dass die Internetadresse (URL) Ihrer Bank mit "https://" beginnt.

Beachten Sie weiterhin, dass die beim Online Banking übertragenen Daten bei der lokalen Speicherung nicht automatisch verschlüsselt werden und deshalb durch weitere Sicherheitsvorkehrungen geschützt werden müssen. Generell sollten Sie sensible Daten niemals unverschlüsselt über offene Netze übertragen. Schützen Sie daher Ihre vertrauliche Korrespondenz durch den Einsatz anerkannter Verschlüsselungsverfahren. Hierzu existieren auch kostenfreie Lösungen, die Sie zum Beispiel auf den Internetseiten der Bundesanstalt für die Sicherheit in der Informationstechnik unter www.bsi-fuer-buerger.de/toolbox/tools.htm finden.

Regel 3: Vergewissern Sie sich, mit wem Sie es zu tun haben.

Nicht jeder ist im Internet der, der er zu sein vorgibt. Für Experten ist es vergleichsweise einfach, eine E-Mail-Adresse zu fälschen oder eine ganze Internetseite vorzugaukeln - eventuell auch die einer Bank, bei der Sie sich einloggen möchten.

Überprüfen Sie die URL, das heißt die Adresszeile des Browsers, und damit, ob die Adresse Ihrer Bank korrekt wiedergegeben ist. Bereits minimale Abweichungen könnten auf eine gefälschte Internetseite hinweisen. Überprüfen Sie auch die vom Browser gelieferten Sicherheitsinformationen wie die Ergebnisse einer "Zertifikatsprüfung". Mit diesen wird unter anderem die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz - dem Zertifikatsaussteller - bestätigt. Sie sollten prüfen, ob der im Sicherheitszertifikat angegebene Name der Internetseite mit dem Namen Ihrer aufgerufenen Seite übereinstimmt. Einer Adresse, bei der der (scheinbare) Adressinhaber gleichzeitig der Zertifikatsaussteller ist, sollten Sie nicht vertrauen. Das Zertifikat sollte von einer vertrauenswürdigen Institution stammen und gültig sein. Im Zweifelsfall können Sie sich auch bei Ihrer Bank über die vertrauenswürdigen Instanzen informieren, die Serverzertifikate für das von Ihnen genutzte Online-Banking ausstellen.

Geben Sie Informationen nur preis, wenn Sie verlässlich wissen, wer diese Daten erhält und was mit diesen geschehen soll. Abweichungen vom gewohnten Ablauf sollten Sie misstrauisch machen, zum Beispiel die Aufforderung zur Eingabe der PIN oder einer TAN zu einem unerwarteten Zeitpunkt.

Um an benötigte Informationen zu kommen, täuschen Hacker gerne Vertrauensfunktionen vor: Hierzu gibt es beispielsweise das so genannte Phishing (eine Zusammensetzung aus den englischen Wörtern "password" und "fishing"), bei dem Sie von kriminellen Betrügern aufgefordert werden, Ihre vertraulichen Zugangsdaten (z.B. PIN und TANs) auf der Internetseite Ihres Instituts zu aktualisieren oder erneut einzugeben. Die Aufforderung dazu kann sowohl mittels einer E-Mail als auch durch manipulierte Internetseiten erfolgen. Der jeweilige Link führt dann allerdings zu einer gefälschten Internetseite des Angreifers, der auf diesem Weg Ihre vertraulichen Zugangsdaten ausspäht.

Auf "echte" Internetseite achten

Stellen Sie sicher, dass Sie Ihre vertraulichen Zugangsdaten immer nur auf der echten Internetseite Ihres Instituts eingeben. Dies können Sie unter anderem dadurch gewährleisten, dass Sie die Internetadresse Ihrer Online-Banking-Verbindung immer nur von Hand in die Adresszeile Ihres Browsers eingeben. Ferner sollten Sie auf Auffälligkeiten beim Online Banking achten, beispielsweise auf Abweichungen im Erscheinungsbild des gewohnten Online-Banking-Auftritts Ihrer Bank.

Eine andere Möglichkeit des Angriffs auf Ihre vertraulichen Zugangsdaten stellt das so genannte Pharming dar. Hierbei wird eine Internetverbindung auf einen gefälschten Server umgeleitet. Dafür muss eine entsprechende Schadsoftware entweder die Adressauflösung der "hosts"-Datei auf Ihrem PC fälschen oder es wird versucht, gleich die für die Adressauflösungen uständigen "DNS-Server" zu manipulieren. Unterbinden Sie solche Angriffe mit dem Einsatz aktueller Antivirensoftware und einer persönlichen Firewall. Und prüfen Sie immer, ob die aufgerufene Seite mit einem gültigen Zertifikat ausgestattet ist.

Regel 4: Gehen Sie sorgsam mit sensiblen Daten und Zugangsmedien um.

Schützen Sie Ihre Zugangsdaten bzw. Ihr Zugangsmedium zum Online-Banking (PIN und TANs bzw. Chipkarte) vor unberechtigtem Zugriff. Geben Sie die geheimen Zugangsdaten niemals auf einer anderen Internetseite als der Ihrer Bank ein oder in sonstiger Weise gegenüber einem Dritten preis. Beispielsweise sollten Sie beim Online Shopping Ihre persönlichen Zugangsdaten für das Online Banking weder auf der Shopping-Seite noch auf den Seiten eines Online-Überweisungsdienstes eingeben.

Speichern Sie sensible Daten (Passwörter, PIN und TANs, Kreditkartennummern) nicht auf Ihrer PC-Festplatte ab. Dies könnte sonst an PCs, die nicht ausschließlich von Ihnen benutzt werden, wie zum Beispiel am Arbeitsplatz, dazu führen, dass Dritte die von Ihnen gespeicherten Daten einsehen können. Auch spezielle Spyware-Programme, die auf Ihren Rechner gelangt sind, könnten diese Daten ausspähen und zum Beispiel per E-Mail versenden. Wenn Sie zur Erhöhung der Sicherheit zusätzliche Ausrüstung wie zum Beispiel einen Chipkartenleser mit PIN-Eingabetastatur benutzen, geben Sie die dafür vorgesehenen vertraulichen Daten nur dann ein, wenn Sie von diesem Gerät dazu aufgefordert werden. Speichern Sie vor allem Ihr Passwort für die Einwahl ins Internet nicht ab. So erschweren Sie den Aufbau unerwünschter Internetverbindungen.

Vergewissern Sie sich bei jeder Eingabe Ihrer persönlichen Zugangsdaten, dass es sich beim Adressaten um Ihre Bank handelt. Ihre Bank wird Sie niemals zum Beispiel per E-Mail oder auch Telefon kontaktieren, um nach Ihren geheimen Zugangsdaten wie PIN und TAN zu fragen. Ebenfalls werden Sie niemals nach mehreren TANs gleichzeitig gefragt. Und geben Sie nie eine oder mehrere TANs ein, ohne zuvor einen Auftrag für die Bank verfasst zu haben. Beantworten Sie solche E-Mails nicht. Folgen Sie auch nicht den dort angegebenen Instruktionen - selbst wenn Ihnen mit negativen Konsequenzen wie beispielsweise einer Kontosperre gedroht wird. Informieren Sie Ihre Bank über diesen Betrugsversuch.

Regel 5: Wählen Sie ein sicheres Passwort.

Wenn Sie Ihren PC benutzen wollen und beispielsweise eine Anwendung wie das Online Banking starten, müssen Sie sich in der Regel mit einem Passwort ausweisen. Mit Hilfe dieser persönlichen Identifikation zeigen Sie, wer Sie sind, und beweisen, dass Sie berechtigt sind, an diesem Gerät oder mit dieser Anwendung zu arbeiten. Deswegen kommt es darauf an, dass Sie dieses Geheimnis mit niemandem teilen. Das bedeutet aber auch, dass Sie diese Identifikationshilfe nirgendwo aufschreiben sollten und Sie sich Ihr ganz individuelles und schwer zu erratendes Passwort ausdenken.

Ein gutes Passwort ist in der Regel sechs bis acht Stellen lang und besteht aus einer Mischung aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen. Beim Internet-Banking wird diese Sicherheit durch die Kombination aus PIN und TAN erreicht. Auf jeden Fall sollten Sie Eigennamen, wohl bekannte Begriffe (= Begriffe, die sich in einem Wörterbuch wiederfinden lassen), Wiederholungen einzelner Zeichen ("AAAAAA") oder Tastaturfolgen ("qwertz") vermeiden. Verwenden Sie weder das eigene Geburtsdatum noch das Geburtsdatum einer anderen Ihnen bekannten Person. Für die Auswahl eines schwer zu erratenden Passworts gibt es verschiedene Strategien: Eine einfache stellt die Bildung des Passworts aus den Anfangsbuchstaben eines Mottos oder Gedichts dar. Durch Einfügen von Sonderzeichen oder Ziffern kann es noch weiter verfremdet werden. So kann "VinF&HnH" etwa für "Vorsicht ist nicht Furcht und Hast nicht Heldenmut" stehen. Wechseln Sie Ihr Passwort, wenn Sie Grund zur Annahme haben, dass irgendjemand Ihr Geheimnis erfahren haben könnte.

Regel 6: Setzen Sie nur Programme aus vertrauenswürdiger Quelle ein.

Laden Sie nur solche Programme aus dem Internet auf Ihre Festplatte, deren Quelle Sie als seriös betrachten können, und stellen Sie sicher, dass es sich wirklich auch um diesen Anbieter handelt. Denn: Mit Programmen können Viren oder Trojanische Pferde übertragen werden. Dies kann auch durch das Öffnen eines Anhangs einer E-Mail geschehen. Öffnen Sie deshalb solche Anhänge nicht, wenn Ihnen Absender oder Inhalt unbekannt ist. Speichern Sie den Inhalt zuerst ab, prüfen Sie ihn mit entsprechenden Sicherheitsprogrammen, und öffnen Sie erst dann die fragliche Datei. Überlegen Sie sich genau, ob Sie Zusatzprogramme (Plug-ins) beispielsweise zum Darstellen von 3-D-Welten oder zum Audio-Empfang in Ihren Web-Browser einbinden wollen. Denn auch solche Plug-ins können zusätzliche, unkontrollierbare Sicherheitslücken eröffnen.

Regel 7: Nutzen Sie aktuelle Programmversionen.

Nutzen Sie nur die aktuelle Version Ihres bevorzugten Internetbrowsers und des Betriebssystems Ihres PCs. Denn nur in der aktuellsten Version können die bis dahin bekannt gewordenen Sicherheitslücken in diesem Programm geschlossen sein. Zusätzlich zu den Programmversionen werden von den Herstellern kleine Programme entwickelt, so genannte Bug-Fixes oder Patches, die entdeckte Sicherheitsprobleme beheben. Diese Bug-Fixes oder Patches sollten Sie schnellstmöglich installieren, um Ihren PC vor den entdeckten Sicherheitslücken zu schützen. Informieren Sie sich deshalb regelmäßig über die neuesten Entwicklungen. Die meisten Hersteller unterhalten entsprechende Informationsdienste.

Regel 8: Führen Sie einen Sicherheits-Check auf Ihrem PC durch.

Nehmen Sie sich einige Minuten Zeit, bevor Sie Online-Banking über Ihren PC durchführen, und machen Sie einen persönlichen Sicherheitscheck. Aktivieren Sie die vorhandenen Sicherheitsmechanismen, mit denen der Zugriff auf Ihren PC geschützt wird. Diese bestehen beispielsweise in der Eingabe eines Passworts, das beim Starten des PCs durch das Betriebssystem oder durch den Bildschirmschoner abgefragt wird. Grundsätzlich sollten Sie im Internet nicht als Administrator, sondern nur mit minimalen Nutzerrechten arbeiten. Dadurch werden Manipulationen und unerlaubte Zugriffe erschwert.

Beachten Sie, dass Sie bei einem nicht nur von Ihnen genutzten PC, wie dies beispielsweise in einem Internetcafé der Fall ist, niemals genau wissen können, inwieweit der Zugang durch aktuelle Sicherheitssoftware geschützt ist und welche Programme im Einzelnen auf diesem PC tatsächlich ausgeführt werden. Auch die Tastaturen können manipuliert sein. Sicherheit können Sie hier nicht erwarten. Deshalb ist von Online-Banking von solchen Orten aus generell abzuraten.

Regel 9: Aktivieren Sie die Sicherheitseinstellungen des Browser.

Aktivieren Sie die Sicherheitseinstellungen Ihres Internetbrowsers. Ihre Sicherheit im Internet lässt sich beträchtlich steigern, wenn Sie die Sicherheitsoptionen Ihres Internetbrowsers intelligent einsetzen.

Wichtig ist hier vor allem, dass Sie die Zulassung von ActiveX-Controls ausschließen und die Ausführung von Java-Applets-Skripten nur nach Rückfrage und Prüfung gestatten. Bei diesen so genannten aktiven Inhalten handelt es sich um kleine eigenständige Programme, die auf Ihrem PC ausgeführt werden und dort unter Umständen unerwünschte Aktionen auslösen können (z.B. Ihre Passwortdatei per E-Mail versenden). Verwenden Sie nicht die "Auto-Vervollständigen"-Funktion Ihres Browsers, durch die die Eingabe von Benutzername und Passwörtern gespeichert und Übereinstimmungen vorgeschlagen werden.

Cookies legen Informationen in ein ganz spezielles Verzeichnis auf der Festplatte ab, lesen aber keine anderen Daten aus. Im Zweifel entscheiden Sie sich gegen solche "Kekse", die eine fremde Internetseite auf Ihrer Festplatte ablegt, denn diese Daten könnten auch dazu genutzt werden, Benutzerprofile anzulegen. Doch eine grundsätzliche Ablehnung von Cookies ist nicht in allen Fällen die beste Strategie. Lehnen Sie ein Cookie ab, können Sie möglicherweise einige Web-Angebote nicht nutzen. Nehmen Sie die Datenpakete an, erkennt Sie der Web-Server bei jeder Einwahl wieder. Dem Server ist es so möglich, eine "Akte" zu führen und ein Nutzerprofil zu erstellen. Registriert wird beispielsweise, welche Suchbegriffe verwendet und welche Internetseiten angesteuert werden. Sind Ihre Vorlieben bekannt, könnten Werbebanner zielgerichtet nach Ihren Interessen platziert werden. Durch den Einsatz von zusätzlicher Sicherheitssoftware kann die Erstellung von Nutzerprofilen jedoch verhindert werden. So können Sie die Vorzüge der Cookies nutzen und gleichzeitig verhindern, dass Unbefugte Ihr Verhalten für von Ihnen nicht gewünschte Zwecke auswerten.

Regel 10: Stellen Sie Ihr Girokonto nicht für betrügerische Finanztransaktionen zur Verfügung.

Auf Internetseiten und per E-Mail sprechen Kriminelle derzeit gezielt Inhaber von Bankkonten in Deutschland an, um sie für eine Tätigkeit als so genannte "Finanzagenten" zu gewinnen. Über das inländische Bankkonto sollen diese "Finanzagenten" Zahlungen Dritter entgegennehmen und möglichst umgehend per Bargeldversand an eine im Ausland befindliche Person überweisen. Als Entgelt winkt eine Provision, die vom Überweisungsbetrag abgezogen wird. Die unseriösen Auftraggeber begründen diese Abwicklungsmethode beispielsweise mit Kostenersparnissen gegenüber teuren Auslandsüberweisungen oder als Maßnahme zum Schutz sensibler Kundeninformationen. Wenn Sie auf ein solches Angebot eingehen, können Sie sich strafbar und schadensersatzpflichtig machen. Auch riskieren Sie Ihre persönliche Sicherheit, denn die Täter aus dem Kreis der organisierten Kriminalität schrecken vor nichts zurück.

Prüfen Sie alle Angebote kritisch, bei denen Sie Ihr Girokonto zur Abwicklung von Zahlungen für Firmen oder Personen, insbesondere im Ausland, zur Verfügung stellen sollen. Im Zweifel sollten Sie die Hände davon lassen. Erfolgen unerwartete Gutschriften auf das Konto, die die Kontoinhaber kurze Zeit später zurücküberweisen sollen, sollten diese in Zweifelsfällen mit ihrem Kreditinstitut oder ihrer örtlichen Polizei Kontakt aufnehmen. Etwaige Rückbuchungen sollten grundsätzlich nur auf das jeweilige Ursprungskonto der Buchung ausgeführt werden. Geschädigten Kontoinhabern - sowohl denjenigen, die unbewusst als Finanzagenten missbraucht wurden, als auch allen Opfern betrügerischer Zugriffe auf ihr Konto - wird empfohlen, Strafanzeige zu erstatten.

Weitere Informationen und Kontakt:

Dr. Kerstin Altendorf, Bundesverband deutscher Banken, Tel.: 030 1663-1250, E-Mail: bank-news@bdb.de, Internet: www.infos-finanzen.de