Schutz vor Betrug: Tipps für sicheres Onlinebanking

Stand:
Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.
Tan Generator vor Bildschirm

Das Wichtigste in Kürze:

  • Seit 14. September 2019 ist Onlinebanking mit TAN-Listen auf Papier nicht mehr erlaubt. Hintergrund ist sind Vorgaben der EU.
  • Die meisten Banken bieten inzwischen sichere Alternativen.
  • Ein wichtiger Schutzfaktor sind Sie selbst.
On

Beim Onlinebanking können Sie einen Zahlungsvorgang nicht einfach unterschreiben, wie das z.B. bei einem Überweisungsträger geht. Mit der Unterschrift überprüft das Kreditinstitut, ob tatsächlich der Kontoinhaber eine Überweisung auslöst oder es sich um einen Betrüger handelt.

Beim Onlinebanking ist das TAN-Verfahren eine weit verbreitete Sicherheitsmaßnahme, neben Benutzerkennung und Passwort. Da Onlinebanking immer wieder Angriffen von Kriminellen ausgesetzt ist, ist die Wahl eines sicheren Verfahrens äußerst wichtig. Entscheidend ist, dass niemand die TAN auf dem Weg von der Bank an Sie und zurück auslesen und missbrauchen kann.

Was ist eine TAN?

Transaktionsnummern (TAN) sind quasi ein Einmalpasswort, das in der Regel aus sechs Ziffern besteht. Sie werden dazu genutzt, einen Auftrag an die Bank (zum Beispiel eine Überweisung) online zu genehmigen – ersetzen also die Unterschrift.

Die europäische Zahlungsdienste-Richtlinie war der Anlass, dass Banken und Sparkassen seit 14. September 2019 neue TAN-Verfahren eingeführt haben. Wichtige Änderungen gibt es außerdem bei Kartenzahlungen im Internet und beim Einloggen ins Onlinebanking.

Was gilt beim Online-Shopping mit einer Bankkarte, wie einer Kreditkarte?

Die strengeren Sicherheitsbestimmungen für das Bezahlen per Kreditkarte im Internet greifen spätestens seit 15. März 2021. Seitdem reicht es beim Bezahlen in Onlineshops mit Visa, Mastercard & Co. nicht mehr aus, lediglich die Prüfziffer von der Rückseite der Karte einzugeben. Ohne zusätzliches Sicherheitsverfahren – wie zum Beispiel eine an das Mobiltelefon geschickte Transaktionsnummer (TAN) – soll es Kartenzahlungen auch an der virtuellen Kasse nicht mehr geben. Das gilt für Onlinehändler oder andere Webseitenbetreiber, bei denen Sie mit Karte zahlen können.

Im Rahmen der Umsetzung der europäischen zweiten Zahlungsdiensterichtlinie (Payment Services Directive2, PSD2), die seit dem 14. September 2019 verschärfte Sicherheitsmaßnahmen beim Onlinebanking und Onlineshopping forderte, ist eine sogenannte Zwei-Faktor-Authentifizierung vorgesehen: Der Kunde muss beim Anmeldevorgang nachweisen, dass er derjenige ist, für den er sich ausgibt – und das mittels zweier unabhängiger Faktoren aus den Bereichen Wissen, Besitz oder Inhärenz. Also zum Beispiel durch ein Passwort (Wissen), durch einen Fingerabdruck (Inhärenz) oder durch den Besitz eines Smartphones, der durch die Eingabe einer Transaktionsnummer (TAN), die zuvor per SMS an das Telefon geschickt worden ist, nachgewiesen werden kann. Ziel ist es, Händler und Konsumenten stärker vor Kartenbetrug zu schützen.

Video laden "TAN-Verfahren: Welche gibt es und wie sicher sind sie?"

Erst wenn Sie auf "Inhalte anzeigen" klicken, wird eine Verbindung zu YouTube hergestellt und Daten werden dorthin übermittelt. Hier finden Sie dessen Hinweise zur Datenverarbeitung.

Die Verfahren und ihre Kurzbewertung im Überblick

mTAN – die SMS aufs Handy

Kurzbeschreibung: Für jede Überweisung, die Sie tätigen möchte, wird eine TAN angefordert. Beim mTAN-Verfahren erhalten Sie diese als SMS auf Ihr Handy, um sie dann für den Banking-Vorgang einzusetzen.

Bewertung: Diese Methode ist relativ sicher, aber das Handy kann gestohlen und die TAN abgefangen werden. Das zuständige Bundesamt BSI warnt, dass das Abfangen von SMS Kriminellen mit entsprechendem Vorwissen gelingen kann.

Push-TAN / AppTAN: App auf dem Handy

Kurzbeschreibung: Auch hier wird für jede Überweisung, die Sie tätigen möchten, die TAN angefordert. Im Unterschied zur mTAN nutzen Sie hier eine spezielle App, in der die TAN generiert wird.

Bewertung: Hohe Sicherheit. Das zuständige Bundesamt BSI sagt, dass die Sicherheit des TAN-Verfahrens erhöht werden kann, wenn zwei unterschiedliche Geräte für Banking und TAN-Generierung eingesetzt werden. 

Es ist eine Diskussion entbrannt, wie TAN-Generierungen zu bewerten sind, die zwar mit verschiedenen Apps, aber auf einem Gerät durchgeführt werden. Anlass bot ein Urteil des Landgerichts Heilbronn vom 16. Mai 2023 (Az: Bm 6 O 10/23, 6 O 10/23). 

Chip-TAN – das Lesegerät für zu Hause

Kurzbeschreibung: Beim Chip-TAN-Verfahren kommt ein TAN-Generator in Kombination mit dem Chip auf der Bankkarte zum Einsatz. Der Generator ermittelt durch Auslesen eines flackernden Feldes auf dem Schirm die jeweils erforderliche TAN.

Bewertung: Hohe Sicherheit, da zwei getrennte Geräte verwendet werden und zusätzlich die Bankkarte nötig ist.

Photo-TAN

Kurzbeschreibung: Das Photo-TAN-Verfahren läuft im Prinzip so wie das Chip-TAN-Verfahren - nur dass hier eine Grafik statt eines flackernden Feldes zum Einsatz kommt, die mit einer App auf dem Smartphone ausgelesen wird.

Bewertung: Hohe Sicherheit, sofern nicht für App und Onlinebanking das gleiche Smartphone verwendet wird.

Beachten Sie: Einige Verfahren erfordern die Eingabe eines Passworts zur Nutzung. Zum Teil können auch biometrische Merkmale wie der Fingerabdruck oder die Gesichtserkennung die Eingabe von Passwörtern ersetzen.

Fazit: Bei modernen Verfahren wird jede TAN aus den Überweisungsdaten entwickelt. Dadurch sind die Codes nur für bestimmte Vorgänge und zeitlich begrenzt nutzbar.

Je mehr Geräte beteiligt sind, desto sicherer der Vorgang. Auch bei mobilen TAN-Verfahren sollten Sie am besten nicht alles übers Smartphone abwickeln, sondern sich zum Beispiel einerseits auf einem Laptop/PC/Tablet ins Onlinebanking einloggen und andererseits per Smartphone die TAN empfangen.

Kleinstüberweisungen ohne TAN

Bei Transfers von Beträgen bis zu 30 Euro bieten einige Banken ihren Kunden beim Online-Banking eine Überweisung ohne TAN an. Ein Verzicht auf die zweifache Kundenauthentifizierung (Zugangsdaten plus TAN) hat nach unserer Ansicht zur Folge, dass die Bank bei Transaktionen ohne TAN-Eingabe allein für mögliche Schäden haftet und von Ihnen keinen Ersatz verlangen kann.

Tipps für mehr Sicherheit beim Onlinebanking

  • Starkes Passwort verwenden: Erstellen Sie ein sicheres Passwort für Ihren Banking-Zugang und nutzen Sie es nirgendwo anders.
  • Zugangsdaten sicher aufbewahren: Speichern Sie Ihre Zugangsdaten an einem geschützten Ort und teilen Sie sie niemals per Textnachricht.
  • Öffentliches WLAN vermeiden: Nutzen Sie Online-Banking nicht in öffentlichen WLANs – es sei denn, Sie verwenden einen VPN-Tunnel.
  • Verlust des Smartphones melden: Falls Sie Ihr Smartphone verlieren, informieren Sie sofort Ihre Bank, wenn Sie deren Banking-Apps nutzen.
  • Online-Banking nur über Lesezeichen aufrufen: Öffnen Sie Ihr Online-Banking manuell oder über ein gespeichertes Lesezeichen, um gefälschte Webseiten zu vermeiden. Klicken Sie nie auf Links, die angeblich zu Ihrer Bank führen.
  • Auf Fehlermeldungen achten: Seien Sie misstrauisch, wenn direkt nach der Freigabe eines Bankauftrags eine Fehlermeldung erscheint – im Zweifel kontaktieren Sie Ihre Bank.
  • Keine vertraulichen Daten weitergeben: Ihre Bank wird Sie niemals per E-Mail oder Telefon nach Ihrem Passwort fragen. Prüfen Sie verdächtige Anfragen über offizielle Kontaktwege.
  • Verfügungslimit festlegen: Vereinbaren Sie mit Ihrer Bank ein Höchstlimit für Überweisungen, um Schäden bei Betrugsfällen zu begrenzen.
  • Software aktuell halten: Nutzen Sie nur Geräte mit aktueller Software aus vertrauenswürdigen Quellen. Veraltete Software ohne Sicherheitsupdates kann ein Sicherheitsrisiko darstellen.
  • Zwei Geräte verwenden: Nutzen Sie für die TAN-Generierung und den Kontozugriff zwei verschiedene Geräte.
  • Vorsicht bei Videoidentifizierung: Lassen Sie sich nur mit Ihrem Personalausweis identifizieren, wenn der Zweck klar ist. Nehmen Sie niemals an angeblichen Testläufen gegen Bezahlung teil.

Dieser Inhalt wurde von der Gemeinschaftsredaktion in Zusammenarbeit mit den Verbraucherzentralen Hessen und Nordrhein-Westfalen für das Netzwerk der Verbraucherzentralen in Deutschland erstellt.

Ratgeber-Tipps

Das Haushaltsbuch
Mit dem Haushaltsbuch der Verbraucherzentrale führen Sie Ihr "Unternehmen Haushalt" erfolgreich - Sie…
Eine Fahrradfahrerin vor dem Reichstag.

Koalitionsvertrag 2025: Was er für Verbraucher:innen bedeutet

Die nächste Bundesregierung aus Union und SPD hat in ihrem Koalitionsvertrag etliche Maßnahmen angekündigt, die den Alltag von Verbraucher:innen verbessern sollen. Der Verbraucherzentrale Bundesverband (vzbv) hat 100 dieser Vorhaben geprüft – mit gemischtem Fazit, auch wenn die Richtung stimmt.
Ein Smartphone zeigt die UK-Regierungswebsite zur Beantragung der elektronischen Reisegenehmigung (ETA) für das Vereinigte Königreich an. Im Hintergrund ist ein verschwommener Bildschirm mit weiteren Informationen zur ETA sichtbar.

ETA für Großbritannien beantragen – Wie erkenne ich betrügerische Seiten?

Seit April 2024 ist für Reisen nach Großbritannien eine ETA nötig, wenn kein anderer Aufenthaltstitel oder Visum vorliegt. Wer nicht genau hinsieht, zahlt schnell das Zehnfache des offiziellen Preises – und hat immer noch keine Einreisegenehmigung.
Eine Frau blickt auf eine digitale Anzeige.

"Meta AI" bei Facebook, Instagram und WhatsApp – so widersprechen Sie

Meta will nun auch in Europa öffentliche Nutzerinhalte fürs Training der KI "Meta AI" verwenden. Das hat auch etwas mit dem blauen Kreis im Facebook Messenger, bei Instagram und WhatsApp zu tun. Sie können der Nutzung Ihrer Daten widersprechen, den Chatbot mit dem blauen Kreis aber nicht abschalten.