Online-Banking

Das Online-Banking scheint geradezu für Langzeitreisende erfunden worden zu sein. Während frühere Weltreisende alle Geschäfte mühsam und mit hohen Kosten per Telefon oder (später) per Fax abwickeln mussten, kannst Du heute bequem und preiswert von unterwegs den vollen Zugriff auf Deine Konten haben.

Über die potenziellen Sicherheitsrisiken von Online-Banking wird viel geschrieben. Die Stichwörter sind ausgespähte PINs, gefälschte Bankseiten, Spyware oder Keylogger. Während Du Deinen eigenen Computer noch einigermaßen sauber halten kannst, sind für Bankgeschäfte an einem öffentlich zugänglichen Computer einige zusätzliche Vorsichtsmaßnahmen erforderlich. Online-Banking ist nämlich immer nur so sicher wie der Rechner, an dem Du gerade sitzt.

Welche Vorsichtsmaßnahmen Du ergreifen solltest, hängt im Wesentlich davon ab, ob Du nur lesende Zugriffe ausführst wie die Abfrage des Kontostandes oder der Umsätze, oder ob Du wirklich Aufträge erteilen willst. Im ersten Fall droht schlimmstenfalls die Kompromittierung Deiner privaten Kontodaten, d.h. Unbefugte könnten sehen, wie viel Geld auf Deinem Konto ist. Während das durchaus auch ein Problem sein kann, droht Schaden durch Hacker nur im zweiten Fall, also wenn Du eine TAN eingeben musst.

Die DOs und DON'Ts

Zahl der Online-Aufträge minimieren

Je seltener Du im Internet-Cafe eine TAN eingeben musst, desto geringer ist das Risiko, dass mal etwas schief geht. Das hat auch den angenehmen Nebeneffekt, dass Dir nicht unterwegs plötzlich die TANs ausgehen. Du kannst schon im Vorfeld der Reise zwei Dinge tun:

  • Alle regelmäßigen Zahlungen auf Lastschrifteinzug umstellen. Du solltest unterwegs möglichst keine Rechnungen bezahlen müssen.
  • Einen Dauerauftrag (oder Terminüberweisungen) einrichten, mit dem Du Dein Kreditkartenkonto regelmäßig auffüllst. Der Dauerauftrag sollte in etwa die zu erwartenden laufenden Kosten in dem Reiseland abdecken, in dem Du Dich gerade aufhältst. Im Bedarfsfall kannst Du einmalig per Überweisung aufstocken.

Niemanden zusehen lassen

Selbst wenn Du nur Deinen Kontostand oder Deine Umsätze abfragen willst, sollte nie jemand sehen können, wie viel Geld auf Deinem Konto ist. Du machst Dich sonst unter Umständen zum Ziel von Verbrechern, die auch andere Methoden einsetzen können als "nur" das Knacken Deines Homebanking-Zugangs. (Stichwort: Erpressung.)

Verfügungsrahmen nicht zu hoch wählen

Bei den meisten Banken kannst Du die maximale Transaktionshöhe pro Tag oder pro Woche beschränken. Das solltest Du auch tun, damit im Falle eines Falles nicht schlagartig das ganze Geld weg ist. Du wirst von dem Online-Konto ohnehin keine oder nur wenige Überweisungen ausführen. Für Barabhebungen am Geldautomaten gilt ein ganz anderer Verfügungsrahmen.

Virenscanner prüfen

Prüfe, ob im Internetcafe ein Virenscanner läuft, und wann er zuletzt aktualisiert wurde. Ein aktueller Vireschutz bietet zwar auch keine 100%-ige Sicherheit, schaltet aber schon mal die schlimmsten Bedrohungen aus.

Adresse direkt eingeben

Die URL für Deinen Homebanking-Zugang solltest Du immer direkt über die Tastatur in der Adresszeile des Browsers eingeben. Niemals über ein Lesezeichen oder über einen Link zu Deiner Bank gehen, erst recht nicht, wenn er in einer E-Mail auftaucht! Du kannst auf diese Weise zu einer gefälschten Seite umgelenkt werden, wo man versucht, Dir mit irgendwelchen Tricks die PIN und eine TAN zu entlocken (Stichwort: Pishing).

Jetzt wirds technisch: Prinzipiell besteht auch noch die Möglichkeit, dass jemand die Datei C:\WINDOWS\system32\drivers\etc\hosts manipuliert hat. (Auf anderen Betriebssystemen als Windows heißt die Datei anders.) Es handelt sich um eine Textdatei, die man mit jedem Texteditor (z.B. Notepad) öffnen kann. Dort können für symbolische Adressen feste IPs eingetragen werden. Normalerweise steht da nicht viel drin, weil es unnötig ist. Ohne an dieser Stelle auf Details näher einzugehen: wenn in einer Zeile dieser Datei die Adresse Deiner Bank vorkommt, ist der Rechner für eine Pishing-Attacke manipuliert worden. Wenn Du weisst, was Du tust, kannst Du die Zeile löschen, den Rechner neu starten und dann auf die Seite Deiner Bank gehen. Wenn Du Dir nicht sicher bist, suche Dir einen sauberen Rechner.

Verschlüsselung und Server-Zertifikat prüfen

Homebanking-Seiten sind immer durch eine SSL-Verschlüsselung geschützt, so dass niemand den Datenverkehr mitlesen kann. Dass Du wirklich auf einer verschlüsselten Seite bist, kannst an zwei Dingen erkennen:

  • Die Adresse im Browser beginnt mit https://..., nicht mit http://...
  • In der Statuszeile (unten rechts) wird ein Verschlüsselungssymbol angezeigt: ein geschlossenes Vorhängeschloss. Die Tatsache, dass dieses Symbol angezeigt wird, bedeutet: der Server (also die Bank) hat dem Browser ein Zertifikat geschickt, das zum Servernamen in der Adresszeile passt. Wenn Du willst, kannst Du Dir das Zertifikat auch ansehen. Dazu musst Du einen Doppelklick auf das Verschlüsselungssymbol ausführen.

Um eine verschlüsselte Verbindung aufzubauen, musst Du nichts tun, ausser die korrekte Adresse (mit https://... am Anfang) in den Browser einzugeben. Der Rest ist angewandte Mathematik.

Speicherung von Formulardaten abschalten

Neuere Browser haben als Standardeinstellung die Speicherung von Formulardaten eingeschaltet. Jedes Mal, wenn Du in einem Bildschirmformular Daten eingibst, merkt sich der Browser die Werte und versucht beim nächsten Mal, sie aufgrund der ersten eingegebenen Zeichen zu ergänzen. So kriegt also der nächste, der am gleichen Rechner zu Deiner Bank geht (wahrscheinlich irgendein anderer Backpacker) brav angezeigt, an wen Du die letzte Überweisung gemacht hast, und wie hoch sie war. Passwörter und PINs werden zwar auf diese Weise nicht gespeichert, aber der Rest ist auch schon lästig genug.

Du kannst die Speicherung abschalten. Beim Internet Explorer geht das unter "Internetoptionen/Inhalte/Auto Vervollständigen". Dort alle Häkchen wegnehmen und auch die bereits gespeicherten Daten einmalig löschen. Beim Firefox findest Du die Option unter "Extras/Einstellungen/Datenschutz/Gespeicherte Formulardaten".

Hinweis: das geschilderte Problem tritt gar nicht erst auf, wenn Du auf einem USB-Stick Deinen eigenen Browser mitbringst.

Immer zuerst Kontostand und Umsätze abfragen

Dadurch hast Du nicht nur Klarheit über Deinen Finanziellen Status und erkennst frühzeitig, ob sich jemand an Deinem Konto bedient hat (z.B. durch Kreditkartenbetrug oder unberechtigte Lastschriften), sondern Du kannst auch sicher sein, nicht auf einer Pishing-Seite gelandet zu sein. Die werden nämlich kaum Deinen Namen und Deinen aktuellen Kontostand korrekt anzeigen können.

TAN-Liste nicht liegen lassen

Ganz uncool: die TAN-Liste neben dem Rechner liegen lassen, wenn Du das Internet-Cafe verlässt. Du wirst jetzt sagen, dass das doch selbstverständlich ist. Aber selbst wenn Du in 99% der Fälle daran denken würdest, können Fehler ab und zu vorkommen. Lieber einmal zu oft checken als einmal zu wenig.

Ordentlich abmelden

Du solltest die Onlinebanking-Anwendung immer iber die Abmelde-Funktion verlassen. Es ist keine gute Idee, einfach nur das Browser-Fenster zu schließen. Dadurch werden eventuell auf dem Rechner zwischengespeicherte Daten (z.B. Session-Cookies) nicht gelöscht.

Persönliche Daten löschen

Verschlüsselte HTML-Seiten werden zwar nicht im Browser-Cache abgelegt, aber auch alle anderen Daten, die Du beim Surfen an einem öffentlichen Rechner hinterlässt, gehen keinen etwas an. Browser merken sich erstaunlich viele Dinge, z.B. die Adressen besuchter Websites, Formulardaten, Seiteninhalte und angezeigte Bilder. Verwische möglichst alle Spuren, wenn Du mit dem Onlinebanking fertig bist.
Im Internet Explorer geht das über "Extras/Internetoptionen/Allgemein" (dort musst Du dann auf alle Buttons drücken, die etwas mit Löschen zu tun haben), im Firefox geht es einfacher mit "Extras/Private Daten Löschen" oder ganz einfach mit Strg+Umschalt+Entf.

Regelmäßig die PIN ändern

Wenn Du den Verdacht hast, dass jemand Deine PIN erfahren hat, solltest Du sie bald ändern, aber möglichst nicht an demselben Rechner, denn sonst ist u.U. die neue PIN auch gleich wieder kompromittiert. Wähle eine PIN, die Du Dir auch merken kannst! Manche Leute notieren sich die PIN auch verschlüsselt, z.B. im Adressbuch als telefonische Durchwahl des persönlichen Bankberaters.

Freie Aufträge nutzen

Vielleicht hast Du noch nie darauf geachtet, aber Dein Homebanking bietet vermutlich die Möglichkeit an, freie Aufträge zu erteilen. Dabei schreibst Du einfach einen Text (den Auftrag) und "unterschreibst" mit einer TAN. Freie Aufträge kannst Du für alle Sachen nutzen, die nicht zum Standard-Zahlungsverkehr gehören, also fast alles, wofür Du normalerweise in die Filiale gehen würdest: Widerspruch gegen Lastschriften, Änderung von Verfügungsrahmen, Beantragung der Einrichtung oder Löschung eines Dispokredits etc.

Zufallsbild aus der Fotogalerie