Online Banking ist für viele zu einem wichtigen und unverzichtbaren Bestandteil des Internet-Lebens geworden. Aber von allen Gefahren im Internet verursacht die des Missbrauchs von Online Banking-Funktionen für den Benutzer den größtmöglichen Schaden, vor allem dann, wenn die Bank sich nicht in der Verantwortung sieht – was zunehmend der Fall ist. Wenn Daten eines Kontos bei einem sozialen Netzwerk verloren gehen, Kreditkartendaten veruntreut werden, sich Adware auf dem Computer breitmacht oder ähnliches geschieht, ist der echte, bezifferbare Schaden für den Betroffenen oft überschaubar. Aber wenn ein Online Banking-Trojaner das Konto inkl. Dispo-Kredit leerräumt, kann das sehr unangenehme Folgen haben.
Die Haftung liegt zunehmend beim Benutzer
Die Banken bieten für das Online-Banking heute eine ganze Reihe verschiedener Verfahren an, um die Legitimität einer Kontobewegung (z.B. Überweisung) sicherzustellen. Das kann eine SMS auf das Handy sein, die einen Code oder eine PIN enthält, ein Sicherheitscode am Bildschirm, der mit einem Zusatzgerät abfotografiert wird oder ähnliches. All diese Techniken sind mehr oder weniger sicher. Für die Banken sind sie sicher genug – das heißt, wenn eine solche Technik ausgehebelt wird, so dass doch eine nicht legitime Überweisung gemacht wird, dann liegt die Schuld aus Sicht der Bank und auch der Gerichte zunehmend beim Benutzer. Letztendlich bedeutet das, dass die Wahrscheinlichkeit ansteigt, dass Sie auf einem etwaigen Schaden sitzenbleiben.
Es gibt bereits Beispiele, wie sämtliche dieser Techniken ausgehebelt werden können. Da werden Partner-SIM-Karten bestellt, wodurch auch die SMS in Gaunerhänden landet, da wird die Schadsoftware nicht nur auf dem PC, sondern gleich auch auf dem Mobiltelefon installiert, da wird einfach die Überweisung manipuliert und darauf gezählt, dass der Benutzer die Verifikationsmeldung nicht wirklich inhaltlich überprüft. Das gelingt selten, aber es gelingt oft genug. Damit lassen sich Zigtausende stehlen.
Wenn die Bank darauf verweisen kann, dass Sie unaufmerksam waren, dass Ihr Rechner nicht ausreichend vor Schadsoftware geschützt war, dann bleibt der Schwarze Peter bei Ihnen.
Online-Banking hat im Browser nichts zu suchen
Man muss es klipp und klar sagen: Online Banking hat im Browser einfach nichts zu suchen. Der Browser (Internet Explorer, Firefox, Chrome, Safari, Opera, das Programm, mit dem Sie sich Webseiten anschauen) ist grundsätzlich nicht vertrauenswürdig, weil er das Programm ist, das in vorderster Front steht. Jeder Angriff mit Schadsoftware richtet sich vor allem gegen den Browser. Phishing-Seiten (wie z.B. gefälschte Bank-Seiten) werden im Browser angezeigt. Banking-Trojaner manipulieren die Darstellung und Datenübertragung im Browser.
In aller Deutlichkeit: Online-Banking im Browser ist so sicher, als würden Sie einem Passanten auf der Straße Ihr Geld in die Hand drücken und darum bitten, dass er es auf Ihr Konto einzahlt.
Die sichere Alternative: Bankingprogramme
Gerade für das Online Banking gibt es eine sichere Alternative, die die Banken aber aus irgend einem Grund nicht prominent bewerben: Es gibt Programme wie StarMoney, Moneyplex und viele weitere, deren einzige Aufgabe es ist, sich um Ihre Finanzen zu kümmern. Sie können sogar weit mehr, als nur ein Girokonto verwalten.
Der Vorteil dieser Programme liegt darin, dass sie eben nicht den hochgefährdeten Browser benutzen. Sie stellen keine manipulierbaren Webseiten dar. Ihre Kommunikation mit der Bank benutzt zwar das Internet als Datenverbindung, läuft aber nicht über Webseiten ab, nutzt nicht dieselben Wege wie der übrige Internetverkehr und kommuniziert mit anderen Servern.
Ein solches Banking-Programm besitzt eine eigene Oberfläche, in der Sie Überweisungen tätigen, Kontostände abrufen, Lastschriften, Daueraufträge und Sammelüberweisungen anlegen können und vieles mehr. Dem Programm gegenüber weisen Sie sich durch eine Chipkarte oder einen anderen Datenträger aus. Nur, wer im Besitz dieser Hardware-Komponente ist, kann mit dem Programm arbeiten.
Ich selbst benutze seit mehr als zehn Jahren die Software Moneyplex, und das, obwohl ich Linux statt Windows verwende und mir deshalb praktisch keine Sorgen um Schadsoftware und Bankingtrojaner machen muss. Aber selbst unter Linux kann ich nicht davon ausgehen, dass der Browser ein vertrauenswürdiges Programm ist. Auch ein Linuxbrowser zeigt eine Phishing-Seite natürlich an. Und auch ich kann unaufmerksam sein.
Ich benutze das HBCI-Verfahren (auch als Secoder bezeichnet) für die Identifikation, das heißt, ich habe eine Chipkarte mit einer PIN und ein Kartenlesegerät mit einer Zahlentastatur. Dieses Gerät schließe ich an den Computer an, starte Moneyplex und lege die Karte ein. Nur so habe ich Zugriff auf die Kontodaten. Und wenn ich Überweisungen tätige oder Auszüge abrufe, dann muss ich am Kartenlesegerät die PIN eingeben. Aber das ist auch schon alles: ich muss auf keine SMS warten, muss nichts vom Bildschirm abfotografieren oder ähnliches. Das ist nicht unbequemer als die Benutzung eines Geldautomaten.
Weder das Programm noch der Kartenleser sind durch eine Schadsoftware leicht zu manipulieren. Es ist natürlich nicht undenkbar, aber es ist um mehrere Größenordnungen schwieriger, als den Browser, die Bank-Webseite oder den Benutzer zu manipulieren. Deshalb ist es auch uninteressant. Es gibt Millionen leichtere Opfer, und die wird es auch immer geben. Gehören Sie nicht dazu.
Lassen Sie sich in Ihrer Bank beraten, wie Sie mit einer Banking-Software Ihre Bankgeschäfte erledigen können. Es kommen einmalige zusätzliche Kosten auf Sie zu, da das Programm etwas kostet und der Kartenleser ebenfalls (zusammen etwa 100 Euro, Programmversionen für Firmen mit umfangreicheren Möglichkeiten können teurer sein). Aber das ist nichts im Vergleich zu dem Schaden, den ein Banking-Trojaner in Ihrem Browser anrichten kann, und den Ihre Bank vielleicht nicht mehr übernimmt.
War dieser Beitrag für Sie nützlich?
[thumbs-rating-buttons]
