Die Todsünden beim Onlinebanking

1. Fragliche Überweisungen
Misstrauen ist angebracht, wenn Du E-Mails mit Betreffzeilen wie „Transaktion bestätigt“, „Mitteilung zu bevorstehender Abbuchung“ oder ähnliche erhältst. Häufig folgt hier auch noch die konkrete Summe, um die es gehen soll. Diese wählen die Betrüger absichtlich nicht allzu hoch, damit die E-Mail glaubwürdiger erscheint. Die Summe ist aber hoch genug, damit der Empfänger sich Sorgen darüber macht, ob sein Konto auch gedeckt ist. Diese E-Mails zielen darauf ab, den Kunden nervös zu machen und zu einer Handlung zu bewegen. Die Provokation einer emotionalen Reaktion ist also das Perfide an diesem Vorgehen.

In der E-Mail ist meistens ein Link integriert. Folgst Du diesem, gelangst Du zu einer Website, die der echten Bank nachempfunden ist und täuschend echt aussehen kann. Du wirst dazu aufgefordert, Dich hier mit deinen Zugangsdaten anzumelden. Eine TAN solltest Du auch zur Hand haben, damit Du die angebliche Transaktion noch stoppen und die Abbuchung von deinem Konto vermeiden kannst. Diese Informationen nutzen die Betrüger dann, um Geld von deinem Konto abzuheben. Es handelt sich hierbei also um eine Phishing-Methode. Häufig verschicken die Kriminellen wahllos Hunderttausende solcher E-Mails in der Hoffnung, dass einige Empfänger tatsächlich ein Konto bei der aufgeführten Bank haben. Nur dann können sie etwas mit den erbeuteten Anmeldedaten anfangen.

So bleibst Du geschützt:
Alle Menschen haben Angst vor finanziellen Verlusten. Und genau aus diesem Grund funktioniert diese Betrugsmasche so zuverlässig. Denn sie löst einen starken Handlungsimpuls aus. Diesem solltest Du aber auf keinen Fall nachgeben. Häufig enthalten die E-Mails einen Hinweis, dass Du „über den nachstehenden Link die Überweisung noch einmal überprüfen und bei Bedarf abbrechen“ kannst. Das gibt dem Handlungsimpuls eine bestimmte Richtung vor, die natürlich im Sinne der Betrüger ist. Wer das durchschaut, kann sich effektiv vor dieser Onlinebanking-Falle schützen.

2. Anruf eines Bankmitarbeiters
Diese Masche funktioniert so ähnlich wie der Trick mit der E-Mail, dieses Mal nutzen die Betrüger jedoch das Telefon. Dabei gibt sich der Anrufer als Mitarbeiter der Bank aus. Dazu ist es allerdings erforderlich, das Opfer zuvor auszuspähen. Aus diesem Grund behaupten die Anrufer in vielen Fällen, bei einer Firma für Cybersicherheit angestellt zu sein oder von einer Polizeibehörde zu stammen. Die Betrüger teilen am Telefon mit, dass ihnen zum Beispiel verdächtige Aktivitäten aufgefallen seien. Dazu gehören auffällige Kontozugriffe oder Datenströme, die sich nicht erklären ließen.

Die Anrufer bitten dann um Unterstützung durch den Kunden, um den Fall aufklären und dessen Sicherheit gewährleisten zu können. Sonst drohe ein finanzieller Schaden. Auf diese Weise erhöhen die Kriminellen die Bereitschaft des Opfers, persönliche Daten am Telefon mitzuteilen. Dazu gehören die Zugangsdaten zum Bankkonto oder sogar die Vertragsnummer der Lebensversicherung. Gerne fragen sie auch den Sicherheitscode der Kreditkarte ab. Ziel ist es natürlich, die Identität des Opfers zu stehlen und für weitere kriminelle Aktivitäten zu nutzen oder Abbuchungen vom Konto vorzunehmen.

So bleibst Du sicher:
Auf diese Betrugsmasche fallen wir am ehesten dann rein, wenn wir die Autorität des Anrufers anerkennen. Einem Mitarbeiter aus der Sicherheitsabteilung einer Bank gegenüber sind wir eher bereit, persönliche Daten preiszugeben. Genau darauf solltest Du aber nicht hereinfallen. Lasse Dich auch nicht davon irritieren, dass der Anrufer bestimmte Dinge über Dich weiß. Häufig erfolgt die Vorbereitung des Betrugs, indem die Kriminellen die Social-Media-Profile ihrer Opfer durchsuchen. Die beste Methode besteht darin, sich gar nicht erst in ein Gespräch verwickeln zu lassen und dieses konsequent abzubrechen. Frage den Anrufer aber eventuell noch nach einer Rückrufnummer. Über eine entsprechende Rückwärtssuche kann die Polizei dann vielleicht herausfinden, wer sich hinter der Attacke verbirgt.

3. IBAN-Masche
Du hättest gerne „5,0 Prozent auf das Tagesgeld!“? Genau mit solchen Versprechungen locken Betrüger bei der IBAN-Masche. Der Trick besteht darin, spürbar mehr zu bieten, als reale Banken, ohne es mit dem Angebot zu übertreiben. Das wäre sonst unglaubwürdig. Die Kriminellen nutzen gerne ominöse Preisvergleiche mit anderen Banken, um hier einen entsprechenden Link auf das Angebot zu platzieren. Wer diesem folgt, kann ein neues Konto einrichten, um auf dieses sein Erspartes zu überweisen. Was das Opfer aber nicht weiß: Die IBAN existiert bereits und das Konto gehört den Betrügern. Es wird also gar kein neues Konto eingerichtet, Du überweist dein Geld direkt an die Cyberkriminellen. Hohe Zinsen gibt es daher nicht, dafür ist das Geld sofort weg. Und da es sich nicht um eine Lastschrift handelt, lässt sich das Geld auch nicht wieder zurückrufen.

So bleibst Du sicher:
Du solltest Dich auf keinen Fall von der Gier leiten lassen. Nutze seriöse Vergleichsplattformen, um das Angebot noch einmal zu überprüfen. Wenn Du nirgendwo etwas findest, ist die Wahrscheinlichkeit hoch, dass es sich in Wahrheit um einen Betrug handelt.

4. Mit Bonify die Bonität verbessern?
Die Bonify-App ist zwar nicht mit den bisher geschilderten Betrugs-Fällen vergleichbar. Doch auch hier geht es darum, dass Du Informationen preisgeben sollst und damit ein Daten-Risiko eingehst. Bonify verspricht, Dich über deinen aktuellen Schufa-Score auf dem Laufenden zu halten und Dir dabei zu helfen, deinen Score zu optimieren. Doch die Verbraucherzentrale hat hier bereits Bedenken geäußert. Denn die während der letzten 90 Tage gesammelten Konto- und Kreditkartendaten sowie Kontobewegungen nutze der Anbieter, um Dir individuelle Angebote zu Finanzprodukten zukommen zu lassen. Dass sich hier dein Schufa-Score verbessert, ist eher nicht zu erwarten. Gegen falsche Einträge bei der Schufa musst du noch immer selbst vorgehen. Davon hat der Kunde in Wahrheit keinen Vorteil.

So bleibst Du sicher:
Jeder Verbraucher kann seinen Score bei der Schufa jährlich einmal anfordern. Dafür benötigst Du keine App und keine Hilfe von Bonify. Das ist der richtige Weg, um mehr über die Bonität zu erfahren, ohne der Schufa unnötig noch mehr Daten über die eigenen finanziellen Verhältnisse zu liefern.

5. Public WLAN für das Onlinebanking nutzen
Offene WLANs erscheinen auf den ersten Blick als attraktiv, weil wir hierüber leicht Zugang zum Internet erhalten. Das funktioniert zum Beispiel im Hotel oder am Flughafen und in Cafés. Leider haben Cyberkriminelle längst erkannt, welche Chancen sich ihnen hier für Angriffe bieten. Sie richten sogenannte „Rogue Access Points“ ein, die das offene WLAN eines bestimmten öffentlichen Ortes wie etwa einer Autobahnraststätte nur vortäuschen. Wenn du dich mit einem solchen WLAN verbindest, können die Kriminellen den gesamten Datenverkehr überwachen. Sensible Informationen wie Kreditkartendaten oder Passwörter gelangen damit schnell in die falschen Hände. Hier gilt es also besonders vorsichtig zu sein.

So bleibst Du geschützt:
Das Problem besteht darin, die falschen WLANs von den echten zu unterscheiden. Und das ist häufig gar nicht so einfach. Wenn Du also unterwegs bist und unbedingt Onlinebanking-Services über ein public WLAN nutzen möchtest, solltest Du Sicherheitsvorkehrungen treffen. Dazu gehört die Verwendung eines VPN-Dienstes. Alle zu deinem Gerät und von deinem Gerät gesendeten Daten sind dann verschlüsselt. Es lohnt sich für die Betrüger also nicht mehr, diese Daten abzufangen.

6. Gefälschte SMS von der Bank
Phishing tritt in vielen Varianten auf, häufig nutzen die Kriminellen E-Mails dafür. Das Smishing funktioniert so ähnlich, die Kommunikation erfolgt hier aber per SMS. Besonders anfällig sind solche Kunden, die für ihr Onlinebanking die Zwei-Faktor-Authentifizierung per SMS verwenden. Dabei müssen sie jede Transaktion wie etwa eine Überweisung zuvor über eine per SMS verschickte TAN noch einmal bestätigen. Genau an dieser Stelle setzen die Betrüger an. Du kannst Dir daher nicht völlig sicher sein, ob die versendete Benachrichtigung tatsächlich von deiner Bank stammt. Möglich ist es auch, dass Betrüger eine SMS an Dich versendet haben, um Deine Daten abzugreifen. Hierbei handelt es sich also um einen perfiden Angriff.

So bleibst Du sicher:
Zum Glück gibt es wirksame Methoden, um sich als Nutzer von Onlinebanking-Services gegen das sogenannte Smishing zu schützen. Wann immer Du Dir unsicher bist, ob eine SMS tatsächlich von deiner Bank stammt, solltest Du erst einmal deren Website aufrufen und Dich in das Onlinebanking einwählen. Der Fehler besteht hier nämlich darin, stattdessen auf einen Link in der SMS zu klicken. Die Kreditinstitute verschicken nämlich keine Nachrichten mit Links.

7. Man-in-the-Browser-Angriffe
Hierbei handelt es sich um eine der größten Gefahren im Bereich Onlinebanking. Der Betrug erfolgt durch die Impfung der Browser der Opfer mit einer Schadsoftware. Sie nutzen daher bestehende Sicherheitslücken in der Software, die der Entwickler des Browsers bisher noch nicht gepatcht hat. Die Schadsoftware versteckt sich in einem Download, der erst einmal als nützlich erscheint. Du handelst Dir mit dem Herunterladen aber tatsächlich eine Infektion ein. Die Schadsoftware fängt Transaktionen wie zum Beispiel Überweisungen ab und kann diese manipulieren. So ist es möglich, dass sie den Empfänger ändert oder auch die Summe. Das Perfide daran: Du siehst auf Deinem Bildschirm die korrekten Daten, während Deine Bank die gefälschte Transaktionsanforderung erhält. Daher fällt der Betrug erst einmal gar nicht auf.

So bleibst Du sicher:
Es ist wichtig, den Browser regelmäßig zu aktualisieren. Denn wenn keine Sicherheitslücke besteht, können Cyberkriminelle diese auch nicht ausnutzen. Es sollte also immer die aktuelle Version des Browsers aufgespielt sein. Es ist daher keine gute Idee, Updates aufzuschieben. Zudem solltest Du als Nutzer von Onlinebanking-Diensten darauf achten, dass auf Deinem Gerät eine Antivirensoftware vorhanden ist.

8. Session-Hijacking
Um die Ausnutzung technischer Sicherheitslücken geht es auch beim sogenannten Session-Hijacking. Sobald Du eine Onlinebanking-Sitzung beginnst, startet eine neue Session, die sich über eine bestimmte Session-ID authentifizieren lässt. Genau auf diese Session-ID haben es die Kriminellen abgesehen. Sie schleusen einen Code ein, überwachen den Netzwerkverkehr oder setzen bei der Generierung der ID an, um an die entsprechenden Daten zu gelangen. Wer die Session-ID einmal erlangt hat, kann die Sitzung des Onlinebanking-Kunden übernehmen. Die Kriminellen können dann praktisch alles tun, was auch Du während einer Sitzung tun könnest. Und das ist natürlich besonders gefährlich.

So bleibst Du sicher:
Das Session-Hijacking gehört ganz klar zu den Risiken im Onlinebanking, die Du nicht auf die leichte Schulter nehmen solltest. Es ist daher wichtig, dass auf der technischen Seite etwa in Bezug auf den Browser oder das Betriebssystem keine Probleme bestehen. Verwende immer die neueste Version und spiele Updates sofort ein. Verzögerungen lassen hier Lücken entstehen, die Betrüger ausnutzen könnten. Wenn du die Bankinganwendung nicht mehr benötigst, solltest Du Dich aus Sicherheitsgründen sofort ausloggen und das Browserfenster schließen. Damit ist die Session dann beendet und Betrüger können diese nicht mehr übernehmen. Das Ausloggen solltest Du Dir daher unbedingt zur Angewohnheit machen.

9. Keine Limits festgelegt
Das tägliche Überweisungslimit sorgt dafür, dass wir an einem Tag nicht zu viel Geld vom Konto ausgeben. Dieses Limit sollte klug gewählt und so niedrig wie möglich sein. Denn Cyberkriminelle bevorzugen natürlich Konten mit hohem Transaktionslimit, damit sie soviel Geld wie möglich rauben können. Ist das Limit zu hoch gesetzt, können sie eventuell das gesamte Girokonto räumen und am besten gleich noch den kompletten Dispositionskredit.

So bleibst Du sicher:
Es genügt eine erfolgreich gestohlene TAN, um bei hohem Transaktionslimit alles Geld von einem Konto abzuheben. Daher sollte das Limit nicht höher sein als das, was Du normalerweise täglich für deine Überweisungen benötigst. Es ist dann immer noch möglich, das Limit kurzfristig zu erhöhen zum Beispiel für 24 Stunden. Damit bleibt das Risiko gering, dass Kriminelle größere Summen von deinem Konto abheben. Dieses höhere Maß an Sicherheit sollte Dir den kleinen Mehraufwand wert sein.

10. Betriebssystem nicht mehr Up-to-date
Eines der größten Sicherheitsrisiken überhaupt stellt ein veraltetes Betriebssystem dar. Und das gilt nicht nur im Zusammenhang mit dem Onlinebanking. Hier sind vor allem Windows-Nutzer betroffen, die einen extrem hohen Anteil an den Opfern von Cyberattacken ausmachen. Microsoft teilt leider nicht mit, wie es mit den Sicherheitslücken in älteren Betriebssystemen aussieht. In der Regel stellt der Konzern hier auch keine Updates mehr zur Verfügung, wenn die Windows-Version längst durch eine neuere ersetzt wurde. Daher haben es Betrüger gerade auf Windows XP und Windows 7 abgesehen, die schon sehr in die Jahre gekommen sind. Nutzer dieser Betriebssysteme sind einer hohen Gefahr ausgesetzt, Opfer von Cyberkriminellen zu werden.

So bleibst Du geschützt:
Die beste Maßnahme besteht darin, auf aktuelle Windows-Versionen wie 10 oder 11 zu upgraden. Die Kosten dafür sind für Privatanwender überschaubar, der Sicherheitsgewinn ist immens. Eine Alternative besteht darin, für das Onlinebanking nur noch das Mobilgerät wie ein Smartphone zu nutzen. Denn iOS und Android sind von Schadsoftware deutlich seltener betroffen. Der Windows-Rechner ist dann tabu, wenn es um Bankgeschäfte geht.