E-Mails wie diese gehören zum Alltag: Am 20. Januar etwa schreibt eine Volksbank, das neue Datenschutzgesetz schreibe vor, dass Kunden bitte ihre Identität bestätigen sollen. Am 23. Januar will das Sicherheitssystem der Barclaycard plötzlich checken, ob Kunden legitime Eigentümer ihrer Kreditkarte sind. Und einen Tag später steht unerwartet ein Sicherheitsupdate der Commerzbank zur Betrugsprävention an: Kunden sollen ihre Mobilfunknummer hinterlegen, um eine Hürde für Betrüger aufzustellen.
Was all diesen Sicherheitsprüfungen gemeinsam ist: Sie sind plumpe Fakes. Sie stammen aus E-Mails, die Betrüger massenhaft versenden, sogenannten Phishing-Mails. Darin täuschen sie Bankkunden ein Problem mit ihrem Konto vor. Ein Link in der E-Mail soll Abhilfe schaffen. Doch wer dort Login-Daten, Transaktionsziffern oder Mobilfunknummern für seine Hausbank eingibt, landet in den Fängen der Onlinebetrüger.
Selber schuld? Verbraucherzentralen und Banken warnen ständig vor den Maschen der Diebe. Doch die werden immer perfekter. Während ihre E-Mails vor wenigen Jahren noch übersät waren mit Tippfehlern, sehen sie mittlerweile täuschend echt aus. „Sich eine Infektion über eine gefälschte E-Mail zu holen ist immer noch der prominenteste Weg für Betrug beim Onlinebanking“, sagt Thomas Hemker, Sicherheitsstratege bei Symantec. Dem Bundeskriminalamt wurden 2015 rund 4500 Fälle von Phishing im Finanzsektor gemeldet. Der Schaden: 18 Millionen Euro, im Schnitt wurde jeder betroffene Kunde um 4000 Euro gebracht. In Einzelfällen können Schäden auch Hunderttausende Euro betragen. Meist erstatten Banken das Geld den Kunden aus Kulanz und versuchen selbst, die missbräuchlich abgebuchten Beträge zurückzuholen. Denn: An der Sicherheit der Konten hängt ihr Ruf.
Sicherheit im Onlinebanking
Bei diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet.
Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind.
(Quelle: Bitkom)
Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-TAN als unsicher ein.
Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authentifikationswege.
Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinen TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.
Kunden müssen bei einer Überweisung einen Code auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen können.
70 Prozent der deutschen Bankkunden nutzen ein Onlinekonto, und gut jeder dritte mittlerweile auch sein Smartphone für Geldgeschäfte, zeigt eine Studie des Branchenverbands Bitkom. Apps der Banken machen es heute besonders bequem, jederzeit und überall auf sein Konto zuzugreifen. Doch wer das macht, muss wissen: Es geht um einen „Kompromiss zwischen Sicherheit und Bequemlichkeit“, sagt Heiko Wolf, Leiter des Informations-Risikomanagements der ING-Diba und Vorstand des Vereins G4C, der Präventionsmaßnahmen gegen Cyberkriminalität fördert. „Beides gleichzeitig stellt eine Herausforderung dar.“ Man könnte auch sagen: Wer faul ist, lebt unsicher.
Auf die eigene Sicherheit achten
Beide, Banken und Kunden, müssen ihre Konten sichern. Banken etwa durch Authentifizierungsmaßnahmen, wobei gilt: Login und Authentifizierung sollten immer über zwei verschiedene Kanäle erfolgen. Banking am Laptop also und Erstellung einer Transaktionsnummer (TAN) zur Bestätigung der Überweisung auf dem Smartphone. Ein Angreifer müsste dann nämlich Laptop und Smartphone eines Kunden manipulieren, um an sein Geld zu kommen. Ein erheblicher Aufwand. Kunden müssen sich stets mit mindestens zwei Faktoren ausweisen: Wissen und Besitz. Das können zum einen ein Passwort, ein Code oder die persönliche Identifikationsnummer (PIN) sein. Und zusätzlich etwas, das nur der Nutzer besitzen kann, wie etwa das eigene Mobiltelefon. Sie müssen dann dafür sorgen, dass ihnen beim Überweisen kein Gauner über die Schulter guckt:
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
die persönlichen Zugangscodes dürfen nicht elektronisch gespeichert werden,
- Kennwörter und TAN-Generatoren müssen getrennt voneinander aufbewahrt werden,
- der Nutzer darf jeweils nur eine TAN zur Autorisierung einer Überweisung oder anderer Aufträge nutzen,
- PIN und TAN dürfen nicht außerhalb des Onlinebankingverfahrens weitergegeben werden, also beispielsweise per E-Mail,
- das Gerät, mit dem eine TAN per SMS empfangen wird, darf nicht gleichzeitig für das Onlinebanking genutzt werden.
Wer gegen diese Pflichten verstößt, muss im Schadensfall bis zu 150 Euro selbst tragen. Um ihren Zugang so gut wie möglich zu schützen, sollten Onlinebankingkunden es deshalb vermeiden, öffentliche Internetverbindungen wie WLAN-Hotspots zu nutzen. Stattdessen, wenn nötig, das eigene mobile Internet auf dem Smartphone. Sie sollten keine Apps einsetzen, die gleich auf mehrere ihrer Konten zugreifen und keine Links in vermeintlichen E-Mails ihrer Bank anklicken, um sich als Kontoinhaber zu verifizieren. Pflichtprogramm ist außerdem, regelmäßig Updates sowie Virenscanner und Firewall zu installieren. „Viele Nutzer haben ihren heimischen PC am Schreibtisch mittlerweile gut abgesichert“, sagt Hemker. „Für Smartphones, insbesondere solche mit Android-Betriebssystem, können wir das nicht sagen. Dort ist es für Angreifer sehr leicht möglich, über infizierte Programme im App-Store Schadsoftware zu installieren.“