Navigation und Service

Sicherheitstipps beim Onlinebanking und TAN-Verfahren

Grundlegende Sicherheitstipps

Wenn Sie einige Grundregeln beachten, lässt sich die Sicherheit des Onlinebankings deutlich verbessern – auch wenn es niemals einen vollkommenen Schutz geben wird. Hier stellen wir Ihnen die wichtigsten Schutzmaßnahmen für sicheres Onlinebanking vor.

Außerdem sollten Sie unsere allgemeinen Empfehlungen für die Sicherheit im Internet beachten.

  • Wählen Sie Zugangsdaten sorgfältig aus und gehen Sie vorsichtig damit um.
    So wie Sie am Bankschalter oder beim Geldautomaten darauf achten sollten, dass Gespräche oder die Eingabe von Kennwörtern und Zugangsdaten (PINs) nicht von Fremden mitverfolgt werden, ist auch im Internet Vertraulichkeit oberstes Gebot – das gilt im besonderen Maße für die Transaktionsnummern (TAN). Ob Sie Zugangs- und Transaktionsdaten elektronisch speichern dürfen, entnehmen Sie bitte den Bedingungen für das Onlinebanking Ihrer Bank. Wählen Sie außerdem ein sicheres, komplexes Passwort für den Zugang zum Onlinebanking.
  • Achten Sie beim Onlinebanking darauf, dass die Kommunikation verschlüsselt erfolgt.
    Onlinebanking sollte immer über das geschützte https-Protokoll erfolgen. Ob das der Fall ist, können Sie daran erkennen, dass sich der Anfang der Browserzeile verändert. Statt "http://" wird dann "https://" angezeigt.
    Bei der Verwendung der aktuellen Browsersoftware wird mittlerweile oftmals ein Zertifikat angezeigt, mit dem die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz, dem Zertifikatshersteller, bestätigt wird. Überprüfen Sie, ob der im Sicherheitszertifikat angegebene Name der Internetseite mit dem Namen Ihrer aufgerufenen Seite übereinstimmt. Dass eine Webseite zertifiziert ist, können Sie daran erkennen, dass neben der URL ein kleines Schloss-Symbol angezeigt wird. Bei einem Klick auf das Schloss-Symbol erhalten Sie mehr Informationen über das Zertifikat und ob die Webseite tatsächlich die ist, für die sie sich ausgibt. Wenn ein Anbieter sich nicht mit einem gültigen Zertifikat als tatsächlicher Besitzer der Adresse ausweisen kann, erhalten Sie von Ihrem Browser eine Warnmeldung. In diesem Fall sollten Sie die Transaktion sofort abbrechen und Ihre Bank informieren.
  • Verschlüsseln Sie Ihre WLAN-Verbindung.
    Standard für die Verschlüsselung von WLAN-Verbindungen ist heute WPA 3 (Wi-Fi Protected Access 3), wobei das Passwort mindestens 20 Zeichen lang sein sollte. WEP (Wired Equivalent Privacy) ist hingegen veraltet und gilt darum als unsicher. Beachten Sie unsere Sicherheitstipps für den privaten WLAN-Einsatz sowie das Verhalten im öffentlichen WLAN.
  • Prüfen Sie die Echtheit der Bank-Webseite.
    Achten Sie darauf, dass Sie tatsächlich auf der Webseite Ihrer Bank sind. Geben Sie dafür am besten bei jedem Aufruf die Internetadresse Ihrer Bank neu über die Tastatur ein. Auch minimale Abweichungen der Internetadresse – etwa Trennungspunkte oder Trennstriche – sind Zeichen für eine Fälschung. Generell verdächtig sind Seiten, deren Adresse mit einer Nummer und nicht mit einem Domain-Namen beginnt (wie etwa http://1357.246.579/…) sowie Seiten, in deren Adresse der Name Ihres Geldinstituts nur "eingebaut" ist (wie etwa http://Musterbank.Domainname.de).
  • Betreiben Sie Onlinebanking – soweit möglich – nur von eigenen Geräten aus.
    Vorsicht ist insbesondere bei öffentlich zugänglichen Computern geboten. Melden Sie sich nach jeder Onlinebanking-Sitzung ab ("Logout") und löschen Sie nach der Beendigung von Banktransaktionen den Zwischenspeicher (Cache) Ihres Computers. Beachten Sie dazu unsere Empfehlungen in den Browser-Sicherheitschecks.
  • Vereinbaren Sie mit Ihrer Bank ein Limit für tägliche Geldbewegungen beim Onlinebanking.
    Durch einen gemeinsam mit Ihrem Kreditinstitut fixierten Höchstbetrag können Sie sicherstellen, dass Betrüger nicht unbemerkt hohe Summen von Ihrem Konto abbuchen.
  • Überprüfen Sie regelmäßig Ihre Kontobewegungen.
    Überprüfen Sie regelmäßig und in kurzen Intervallen die gedruckten Kontoauszüge. Die Online-Auszüge könnten manipuliert sein. Wenn Ihnen Transaktionen fraglich erscheinen, kontaktieren Sie umgehend Ihre Bank oder Ihre Kundenberaterin bzw. Ihren Kundenberater.
  • Reagieren Sie nicht auf Phishing-E-Mails.
    Gefälschte Nachrichten und Webseiten sind sehr professionell und individualisiert gestaltet. Lassen Sie sich dadurch nicht täuschen: Ihre Bank fordert Sie niemals per E-Mail dazu auf, vertrauliche Daten wie PIN, TAN oder Kontonummer bekannt zu geben. Falls Sie derartige Nachrichten erhalten, informieren Sie Ihre Bank darüber – aber folgen Sie keinesfalls den in der E-Mail enthaltenen Anweisungen. Nähere Informationen zu Phishing finden Sie hier.
  • Seien Sie zurückhaltend bei der Weitergabe Ihrer Bankverbindung.
    In Sozialen Netzwerken hat Ihre Bankverbindung nichts zu suchen, ebenso wenig sollten Sie diese Informationen unsicheren Online-Shops oder schlecht bewerteten Verkäufern auf Auktionsplattformen anvertrauen.
  • Sperren Sie Ihren Onlinebanking-Zugang, wenn Ihnen etwas verdächtig vorkommt.
    Das können Sie entweder telefonisch bei der Bank erledigen oder über die entsprechende Funktion im Onlinebanking-Fenster. Halten Sie für alle Fälle die passende Telefonnummer Ihrer Bank bereit.

Wie sicher sind die unterschiedlichen TAN-Verfahren?

Die Abkürzung TAN steht für Transaktionsnummer. Eine solche Transaktionsnummer ist wie ein Passwort, das nur aus Ziffern besteht und lediglich einmal verwendet werden kann. Transaktionsnummern werden beim Onlinebanking zur Freigabe einer Transaktion, beispielsweise einer Überweisung, der Einrichtung eines Dauerauftrags oder der Änderung von persönlichen Daten verwendet.

Eine TAN kann auf verschiedenen Wegen generiert werden. Die Möglichkeiten unterscheiden sich in ihrem Maß an Sicherheit und in ihrer Nutzerfreundlichkeit. Seit dem Inkrafttreten der zweiten Zahlungsdiensterichtlinie (PSD2) im Jahr 2019 müssen TANs in Form eines dynamischen Authentifizierungscodes zeitgleich zu dem Geldgeschäft erzeugt werden. Es gelten dazu folgende Anforderungen:

Die TANs

  • müssen aus den Überweisungsdaten erzeugt werden,
  • dürfen anders als bisher nur zeitlich begrenzt gültig sein und
  • sollten nach Möglichkeit auf einem separaten Gerät generiert werden.

Überblick der verschiedenen TAN-Verfahren & Infos zur Abschaffung der smsTAN:
Meine Bank schafft die smsTAN ab – Was nun?