Die 5 wichtigsten Tipps für sicheres Online-Banking
Generell machen Sie nichts falsch, wenn Sie einen der „großen“ Browser fürs Online-Banking nutzen. Automatische Updates, Warnung vor betrügerischen Internetseiten und Schädlingserkennung haben alle drei eingebaut. Ob die Verbindung zur aufgerufenen Internetseite gesichert ist oder nicht, kennzeichnen ebenfalls alle Browser anhand auffälliger Symbole. Das ist besonders beim Online-Banking wichtig, denn nur so können Sie sich sicher sein, dass Sie eine sichere Verbindung nutzen und Ihre Bankdaten nicht ausgespäht werden können. Die drei genannten Browser verwenden darüber hinaus ausgefeilte Sandbox-Techniken. Sie erstellen also einen geschützten Bereich, in dem der Programmcode läuft, ohne Einfluss auf andere Bereiche zu haben, etwa das Betriebssystem.
Online-Banking: Risiko Erweiterungen
Was Sie wissen müssen: Das Risiko beim Online-Banking geht weniger vom Browser selbst als vielmehr von den installierten Erweiterungen aus. Da Windows Add-Ons als Erweiterungen für bereits installierte Programme betrachtet, lassen sie sich einfach hinzufügen – nicht einmal Administratorenrechte sind dafür erforderlich. Außerdem werden sie als Erweiterung eines Hauptprogramms weder von der Windows-Firewall geblockt noch vom Viren-Scanner unter die Lupe genommen. Darüber hinaus sollten Sie folgende Hinweise beachten.
Wie sicher sind Ihre Daten bei einem Cyberangriff? Wie gut ist Ihr PC gegen Cyberangriffe aus dem Internet gewappnet? Sind Hacker etwa in der Lage, Ihre Daten auszuspähen?
Die 5 wichtigsten Tipps für sicheres Online-Banking
1. Nutzen Sie einen Browser ohne installierte Erweiterungen (Add-Ons).
2. Verwenden Sie einen bestimmten Browser am besten ausschließlich fürs Online-Banking. So vermeiden Sie Manipulationsversuche, die beispielsweise beim Surfen auf einer gefährlichen Internetseite zum Einsatz kommen. Setzen Sie also zum Beispiel Chrome zum täglichen Surfen und einen anderen – etwa Firefox – ausschließlich fürs Online-Banking.
3. Schließen Sie vor dem Online-Banking alle anderen Browser und öffnen Sie ausschließlich der Browser, den Sie für das Online-Banking einsetzen.
4. Öffnen Sie keine andere Internetseite außer der Banking-Seite.
5. Haben Sie Ihre Bank-Geschäfte erledigt, melden Sie sich ordnungsmäßig von der Banking-Seite ab und schließen Sie erst danach den Browser.
Spezielle Banking-Browser überflüssig
Die Installation eines speziellen Banking-Browsers, die auf bestimmten Internetseiten zum Download angeboten werden, können Sie sich bei der Beachtung der genannten Tipps sparen. Nutzen Sie etwa Firefox fürs Online-Banking, überprüfen Sie folgende Sicherheitseinstellungen, zu finden in den Einstellungen unter Datenschutz & Sicherheit. Hier sollten folgende Häkchen gesetzt sein:
Unter „Berichtigungen“: Warnen, wenn Websites versuchen, Add-Ons zu installieren .
. Folgende drei im Bereich „Sicherheit“: Gefährliche und betrügerische Inhalte blockieren, Gefährliche Downloads blockieren sowie Vor unerwünschter und ungewöhnlicher Software warnen.
Nutzen Sie Firefox fürs Online-Banking, kontrollieren Sie diese Sicherheitseinstellungen. © IMTEST
Kein Online-Banking ohne Antiviren-Programm
Und natürlich dürfen Sie die wichtigste Regel beim Online-Banking nicht vergessen: Schützen Sie Ihren Computer vor Trojanern und anderen Schädlingen mit einem guten Antivirenprogramm. Welches Ihren Computer am besten schützt, erfahren Sie im Test von 10 beliebten Antivirenprogrammen.
Sechs Tipps für mehr Online-Sicherheit
IT-Sicherheit ist Gewohnheitssache. Viele Sicherheitsmaßnahmen können Sie sich so antrainieren, dass sie schnell in Fleisch und Blut übergehen. Wir haben sechs Tipps, mit denen Sie dafür sorgen können, dass Ihre digitale Identität nicht in die Hände von Kriminellen fällt.
1: Lernen Sie etwas OPSEC
„Die Leute wollen sich immer gegen Hacker schützen – aber deutlich wahrscheinlicher ist es, dass sie ihr Smartphone oder den Laptop in einem Taxi liegen lassen“, sagt Tom Van de Wiele, Principal Security Consultant bei F-Secure. Das menschliche Gehirn ist nicht besonders gut, wenn es ums Abschätzen von Risiken geht, so Tom. Wir sind besessen von schlagzeilenträchtigen Risiken, ignorieren aber Dinge, die deutlich realistischer sind. So ist es beispielsweise deutlich wahrscheinlicher, dass das eigene Kind oder eine Evil Maid an den Laptop kommt statt dass ein Hacker im Staatsdienst das System im Visier hat. Um die eigene Angriffsfläche gegen reale Attacken zu minimieren, sollten Sie sich zumindest ein wenig mit dem Thema Operative Sicherheit, kurz OPSEC, vertraut machen. Das ist nicht schwer und erfordert eigentlich nur, dass man sich seiner Umgebung bewusst ist. Beispiele dafür sind etwa, dass Sie Zugangskarten nicht offen tragen sollten oder darauf achten, dass Ihnen beim Arbeiten niemand über die Schulter sieht.
Den kompletten Comic können Sie hier kostenlos als PDF herunterladen.
2: Setzen Sie auf schlaue Software
Gute Sicherheitsprogramme arbeiten für Sie – nicht andersherum. Bei F-Secure haben wir neben den Schutzprogrammen für Endpunkte wie Smartphones, Tablets oder Notebooks zwei Lösungen, die genau hier ansetzen: Der Passwort Manager F-Secure KEY sorgt dafür, dass Sie sich nur noch ein Kennwort merken müssen, aber für jeden Zugang ein starkes Passwort nutzen. Die Software ist in der Grundversion kostenlos.
Zudem sorgen wir dafür, dass Ihre Kommunikation auch in öffentlichen Netzwerken geschützt ist – zumindest, wenn Sie unsere VPN-Lösung F-Secure FREEDOME nutzen. Diese schützt Sie nicht nur vor Mitlauschern im öffentlichen WLAN, wir blocken auch Tracking-Software automatisch.
3: Gehen Sie davon aus, dass andere Ihre Daten nicht schützen
Falls Ihre Zugangsdaten öffentlich im Netz landen, ist das wahrscheinlich nicht Ihre Schuld. Tatsächlich könnte Ihr Kennwort samt Nutzername längst im Web bekannt sein, ohne dass Sie etwas davon merken. Denn durch Einbrüche bei Unternehmen wie LinkedIn, Yahoo, Adobe, MySpace oder Gamigo sind Millionen von Zugangsdaten im Web zu finden. Überprüfen können Sie das einfach, indem Sie den Dienst besuchen und ihre E-Mail-Adresse dort eingeben.
Wie lässt sich das Risiko eines Missbrauchs minimieren, wenn ein Anbieter Ihre Daten an Kriminelle verliert? Sie sollten pro Dienst ein starkes, einmaliges Kennwort haben. Das verhindert eine Mehrfachnutzung. Auch macht es Sinn, mehrere E-Mail-Konten zu nutzen oder Mail-Adressen dynamisch anzulegen. Google-Mail etwa erlaubt den Einsatz von Aliasen, so dass E-Mails an im gleichen Postfach landen wie Ähnlich klappt das auch bei T-Online oder GMX. Eine Alternative dazu sind Wegwerf-E-Mail-Adressen. Diese Postfächer gibt es nur kurze Zeit, sie werden danach gelöscht. So können Spammer oder Phisher diese Informationen nicht wirklich nutzen.
4: Nutzen Sie einen Browser exklusiv für Shopping und Online-Banking
Browser sind essentiell für den Internetzugriff – entsprechend sind sie auch Ziele für Kriminelle. Es macht daher durchaus Sinn, die eigenen Browser-Gewohnheiten aufzuteilen. F-Secure Experte Sean Sullivan empfiehlt, sich einen Browser exklusiv für Online-Shopping oder Online-Banking zu installieren. So stellen Sie sicher, dass etwa die Zugangsdaten für Ihr Bankkonto komplett isoliert sind.
5: Gesundes Misstrauen bei E-Mails auf
E-Mails sind für Kriminelle noch immer einer der einfachsten Wege, um System zu infizieren. Eine gut gemachte Phishing Mail reicht und Ihre Zugangsdaten sind weg oder Sie haben Malware auf Ihrem System. Die meisten Anhänge in Spam-Nachrichten enthalten einen Trojaner – hier gilt besondere Vorsicht. Allerdings sollten Sie sich nicht auf Filter verlassen. Denn rutscht eine Nachricht versehentlich durch, liegt es an Ihnen, diese zu erkennen und nicht darauf zu klicken. Ein guter Tipp von Sean Sullivan ist, HTML und sonstige Spielereien abzuschalten und E-Mails im reinen Textmodus anzeigen zu lassen. So verhindern Sie, dass Links getarnt werden oder unnötige Tracker nachgeladen werden.
6: Setzen Sie auf 2-Faktor-Anmeldungen
Hinter dem sperrigen Begriff 2-Faktor-Authentifizierunt (2FA) verbirgt sich ein sinnvolles Schutzsystem für Online-Konten. Einfach gesagt: Bei jeder Anmeldung benötigen Sie nicht nur ein Passwort, sondern auch noch eine Zahl, die eine App auf Ihrem Handy erzeugt. So ein Verfahren kennen die meisten bereits vom Online-Banking – die TAN ist ein Zwei-Faktor-System. Der Sinn dahinter: Selbst wenn Kriminelle an Ihr Kennwort kommen, ohne Ihr Smartphone können sie sich nicht an Ihrem Account anmelden. 2FA-Zugänge sind inzwischen weit verbreitet, eine gute Übersicht finden Sie auf dieser Seite. Zu Beginn sollten Sie vielleicht nur wichtig Konten schützen, etwa für die E-Mail oder den Passwort Manager. Sobald Sie sich daran gewöhnt haben, können Sie den Schutz ausweiten. Wichtig: Drucken Sie sich zu jedem Konto die Backup-Zahlen aus und verwahren Sie diese an einem sicheren Ort – denn geht Ihr Smartphone kaputt, haben Sie im Zweifel keinen Zugriff mehr auf die 2FA-Zahlen.
Erfundene Rechnungen kommen mit echten Daten per E-Mail
Im aktuellen Beispiel gibt es meistens Links in den Nachrichten, die angeblich "auf den Warenkorb", "vorbereitete Dokumente" oder in einen "Onlineshop" führen, um die Bestellung nachzuvollziehen. Da die Empfänger der E-Mails in der Regel nichts von einer Bestellung wissen und auch den genannten Shop nicht kennen, ist die Versuchung groß, den Link anzuklicken. Aber Vorsicht: klicken Sie nichts an! Es besteht die Gefahr, dass Sie Ihr System dadurch mit Schadprogrammen (zum Beispiel so genannte Malware und Ransomware oder Viren und Trojaner) infizieren. Die Links einiger Mails mit Fake-Rechnungen aus der Welle 2019 hatte das Bundesamt für Sicherheit in der Informationstechnik untersucht. Sie führten auf eine zip-Datei, die den Schädling "Nymaim" enthielt.
Beispiel einer erfundenen Forderung per E-Mail: Ein hoher Rechnungsbetrag soll noch offen sein und der Empfänger soll auf einen Link klicken, um weitere Infos zu erhalten. Nicht anklicken! In der Datei befindet sich Schad-Software.
Echte Daten der Empfänger – woher stammen die?
Für zusätzliche Verunsicherung sorgten echte Daten der Mail-Empfänger: Sie wurden mit ihrem Namen begrüßt und dieser wurde auch im Verlauf des Textes erwähnt. In anderen Versionen – wie sie zum Beispiel schon 2016 in Wellen verschickt wurden – fanden sich sogar Anschriften und Telefonnummern:
Angebliche Rechtsanwälte versendeten im März und April 2016 unzählige Mails mit gefährlichen E-Mail-Anhängen. Persönliche Daten der Empfänger sollten den Nachrichten trügerische Seriosität verleihen.
Wenn korrekte persönliche Daten in solchen E-Mails enthalten sind, glauben Empfänger oft, dass ja etwas an den Behauptungen dran sein müsste. Doch das muss nicht stimmen! Oft nutzen die Betrüger die Ausbeute aus gehackten Datenbanken, Telefonverzeichnissen oder von Adresshändlern. Die kommen zum Beispiel über vermeintliche Gewinnspiele an die Daten. Eine beliebte Masche erklärt checked4you, das Online-Jugendmagazin der Verbraucherzentrale NRW.
Drei Tipps zum Erkennen von Fake-Rechnungen