Online-Banking mit einfachen Mitteln etwas sicherer machen

Allgemein wird geraten, die Bank NICHT als Lesezeichen abzulegen, sondern sie jedesmal neu einzugeben. So soll man verhindern können, daß Hacker die Seite präparieren.

Bevor ein "Hacker" ein Lesezeichen präpariert, lenkt er eher die komplette Webseite über einen Eintrag in der hosts-Datei um. Aber wenns soweit kommt ist eh alles zu spät...

ich wußte gar nicht, dass man auslandsüberweisungen sperren lassen&ein überweisungslimit angeben kann.finde ich klasse tipps.mein konto werde ich auf jeden fall auch für auslandsüberweisungen sperren lassen!

Man kann zusätzlich noch sein Dispo verringern lassen - wenn jemand abräumt, dann wenigstens nicht noch 5 Monatsgehälter in die roten Zahlen hinein.

@Frau-Lich und Teddy: Jetzt bin ich verunsichert, denn ich habe im Radio (Quintessenz WDR 2) vor längerer Zeit genau das Gegenteil gehört. Man sollte die Seite mit der Eingabemaske als Lesezeichen speichern, damit man auch immer genau auf dieser Seite landet und nicht über irgendwie präparierte Seitenaufrufe auf einer manipulierten Seite ankommt.

@Bzzz:
Jein, denn zum Manipulieren der hosts-Datei werden Adminrechte benötigt (mit denen man hoffentlich nie im Internet unterweg ist) und bei den Lesezeichen/Favoriten genügen die aktuellen Benutzerrechte, insofern ist es um einiges einfacher und/oder unauffälliger lediglich die Lesezeichen zu manipulieren.

@nellocat:
Über eine irgendwann vorher mal besuchte Webseite, die entsprechend manipuliert wurde, könnten die Lesezeichen eventuell unbemerkt geändert worden sein.

@Alle:
Wer ganz sicher gehen will sollte sich ein sog. Live-System (http://de.wikipedia.org/wiki/Live-System) auf CD/DVD brennen und dieses für das Onlinebanking starten, den das auf CD/DVD gebrannte Betriebssystem lässt sich nachträglich nicht mehr manipulieren.
Eine Computer-Fachzeitschrift stellt sogar eines, speziell für Online-Banking, zur Verfügung:
http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html
Ich muß allerdings zugeben, es selber nicht zu benutzen, deswegen kann ich da keine weiteren Aussagen darüber treffen.

Ansonsten stimmen aber die auf Webadressen bezogenen Tipps, dass die Internetadresse mit "https:\\..." (= verschlüsselte Verbindung) beginnen sollte und man grundsätzlich nicht ungeprüft auf die Links oder Anhänge einer E-Mail klicken soll (nicht nur beim Onlinebanking). Wie immer ist es natürlich ein Zusammenspiel vieler Faktoren, die das Onlinebanking umso sicher machen.

"Für den Fall, dass doch mal nach auswärts und/oder ein höherer Betrag angewiesen werden muss, kann ich das immer noch persönlich bei der Bank machen."
Das werde ich bestimmt nicht machen, da Online-Banking kostenlos ist und ich gewaltige Gebühren bezahlen muss, wenn ich eine Überweisung über die Bank mache. Bei größeren Summen geht das noch mehr ins Portomonaise.

neben den bereits gemachten guten Vorschlägen, möchte ich noch ergänzen, dass ich alle Eingaben beim Banking immer mit einer virtuellen Tastatur vornehme.
Leider bekommt Mozilla es nicht hin, die Virtuelle Tastatur im Browserfenster zu plazieren. Mozilla aktualisiert ständig seinen Browser im Wettlauf mit den anderen Anbietern, lässt aber die Sicherheit mit z.B. der virtuellen Tastatur unberücksichtigt.
Die meisten Betriebssystem,e haben aber eine Virtuelle Tastatur im Programm oder über das Anitvirenprogramm, wie bei mir.
Ich muss es nur extra aufrufen.

Wenn ich was bezahle im Internet,verwende ich meistens PayPal.Da hat man die Sicherheit,dass wenn ein Verkäufer nicht liefert,man den Betrag wieder bekommt.Letztens hatte ich allerdings eine Mail,wo drin stand,dass etwas mit meiner Karte nicht stimmen würde.Habe denen eine Mail geschicht,sie wussten nichts davon. Also : Augen auf,wenn jemand die Kartendaten anforden will!
CCleaner benutze ich auch.Da wird wirklich alles vernichtet,was den Computerverlauf anzeigen könnte.

@keula57:kommt darauf an, bei welcher Bank Du bist - bei meiner würde das nix kosten.

@cassymaedchen: Vielleicht mal bei PayPal Bescheid geben?

Auch ich habe meine Online-Banking-Überweisungshöhe begrenzt, sollte ich sie mal überschreiten müssen, rufe ich den für mich zuständigen Sachbearbeiter an, "warne" ihn vor und sende ihm anschließend einen Überweisungsauftrag über die verabredete Summe - - ich arbeite mit diesem Mann seit über 20 Jahren zusammen, und er kennt so natürlich meine Stimme und Diktion ganz genau, problemloser und sicherer geht's eigentlich nicht.
Noch ein Wort zum Thema "Verdächtige Mails": Bei Mails, die irgendwelche Fragen so "aus heiterem Himmel" beantwortet haben wollen und solchen von unbekannten Absendern sowieso -sofern ich sie nicht umgehend total lösche (d.h. "Löschen" und aus den "Gelöschte Dateien" auch gleich rausschmeißen)- klicke ich sie im Posteingang mit der rechten Maustaste an, dann in dem sich öffnenden Kasten ganz unten auf "Eigenschaften" und schließlich oben auf die Karteikarte "Details". Da bekommt man den gesamten Weg dieser Mail vom Urheber bis zum Empfänger zu sehen, inkl. aller Zwischenstationen und verwendeter Netze.
Es offenbaren sich dort mitunter gar seltsame Konstellationen und Namenswechsel der Absender; probiert es aus, es ist hochinteressant!

Zu warnen ist auch dringend davor, wenn bei unverlangten oder/und undurchsichtigen Mails aufgefordert wird, einen mitgelieferten Link anzuklicken, der einen angeblich davor bewahren soll, weiterhin Mails vom gleichen Absender zu bekommen (meist ist in diesem Link das Wort "unsubscribe" enthalten), damit beweist man dem Absender lediglich, daß er mit seinen nach dem Gießkannen-Prinzip ausgestreuten Spams mal wieder ins Schwarze getroffen hat, und man ist auf ewig bei ihm für seine weiteren Missetaten gespeichert, mal ganz abgesehen davon, daß er seinen Fund an eine unbestimmte Vielzahl von weiteren dubiosen Unternehmen weitergibt und man sich dann nicht zu wundern braucht, wenn man künftig mit Spams eingedeckt wird.
Es gibt zwar ganz hervorragende Spam-Filterprogramme, aber die Urheber werden auch immer raffinierter, so daß trotzdem noch Unerwünschtes durchdringt. Man muß damit leider leben bzw. den Provider und damit die Adresse wechseln, um so erstmal "abzutauchen" :-))

Sehr gut. ein einfacher Tip, der helfen kann Missbrauch zu verhindern.

@stadtfuchs99: Das ist so nicht richtig. Auch ueber WLAN kann man sicher surfen, vorausgesetzt, man nutzt eine über SSL verschlüsselte Website (https). Und da Onlinebanking immer über SSL läuft, kann auch niemand im WLAN mitlesen, da die Daten bereits auf deinem Rechner verschlüsselt werden und dann erst auf dem Server wieder entschlüsselt werden. Und SSL ist nach heutigen Standards sehr sicher (kann praktisch nicht geknackt werden).

Anders verhält es sich bei Seiten, die man nur mit http und nicht mit https aufruft. Hier kann sehr wohl jeder andere Teilnehmer im WLAN mit einem Netzwerksniffer mitlesen.

@Gaikana und auch @ viele andere: Bei manchen Antworten rollen sich einem echt die Zehennägel hoch. Bei der geballten Kompetenz hier fragt man sich fast, wieso Onlinebanking wegen ständigem Missbrauch nicht schonwieder abgeschafft wurde. Für viele ist so ein Computer wohl ein Wunderding, und das was angezeigt wird, wird wohl auch stimmen - steht ja "im Internet". Meine Fresse....

#5: Man kann auch uralte Gebrauchtwagen fahren und die Differenz zum Neuwagen spenden - weil wenns mal geklaut wird, wars ja nur ein alter Kübel. Logik vom Feinsten.

#6: Was hat der Verlauf mit Onlinebanking zu tun? NICHTS. Und Cookies löschen ist ebenfalls unsinnig, da jede Bank einen Neulogin bei jeder Sitzung ERFORDERT, ergo werden gerade von denen Cookies entweder nicht genutzt, oder es liegen keine relevanten Daten drin. Man verwischt bestenfalls die Spuren, dass man bei Bank X Kunde sein könnte.

#8: Wenns schon jemand an deinem Router vorbei bis in dein System schafft: Meinst du, es ist noch ein Problem Adminrechte zu erlangen? Wie naiv kann man sein?

#8, Teil 3: Klar, wieviele Menschen machen Onlinebanking auf nem Live-System? Darf ich fragen, ob dein Systempasswort 15 Zeichen, darunter große und kleine Buchstaben, Zahlen und diverse Sonderzeichen enthält? Sichere Systeme werden nur dann akzeptiert = genutzt, wenn es praktikabel ist. Ein Livesystem für eine Überweisung zu booten ist das sicherlich nicht.

#8, Teil 4: Es lautet https://...

#9: Nicht zwingend. Manche verlangen pauschale Gebühren fürs Onlinebanking, manche lassen x Transaktionen pro Monat frei und verlangen erst dann was, z.B. für die teils zwangseingeführten SMS-TAN. Aber richtig ist allemal, dass denen die Bearbeitung von Papieraufträgen mehr kostet als ein elektronisch eingereichter, und das demnach auch durch niedrige Preise gefördert wird.

#10: Und die virtuelle Tastatur bringt was? Keylogger umgehen, die von Einbrechern zwischen Tastatur und PS/2- bzw. USB-Port geklemmt wurden?

#11: Wenn jeder denen über jeden Phishingversuch eine Mail schickt, dann haben die den ganzen Tag nichts anderes zu tun, als genau diese unsinnigen Rückmeldungen zu löschen.

#12: Bitte, wenn du für Zusatzsoftware zahlen möchtest und dich mit regelmäßigen "Versionsupdates" zum Neukauf gängeln lässt - ist ja nicht mein Geld. Starmoney bin ich mit 6.x losgeworden, weil das Programm einfach nur fett geworden ist, die Updatezyklen und -preise unverschämt wurden, bei ner Neuinstallation ein Hochpatchmarathon losging und es sich auch leider leider nicht mit meinem heutigen Betriebssystem verträgt. Zudem gibts solche Software auch vermutlich nur mit Windows- und vielleicht auch Mac-Unterstützung. Mir wäre keine Banksoftware bekannt, die direkt unter Linux läuft. Und auf Drittanbieter auszuweichen ist für Bankingsoftware ja auch ne klasse Idee...

#13: Die TAN kann unter ganz tollen Umständen abgefangen werden, aber ohne TAN kannst du nicht überweisen. Zudem steht in der SMS, welcher Betrag an welches Konto gehen soll. Und aus den Daten errechnet sich wiederum die TAN, was die Fälschung eher schwierig macht. Kosten sind, wie #9, bankabhängig. Bei meiner Stammbank comdirect ist die iTAN Standard und SMS-TAN optional, beides kostenlos. Alle Banken verweisen übrigens in ihren AGB, dass SMS-TAN nicht mit Banking auf dem gleichen Handy verwendet werden darf, und wenn man das trotzdem macht, jegliche Haftung ausgeschlossen wird.

#20: Wenn du ein offenes WLAN hast - schlag mal "Störerhaftung" nach. Wenn deine gesamte Nachbarschaft in deinem verschlüsselten WLAN hängt, dann bist du selber schuld. WPA2 ist derzeit sicher, und in den ohnehin verschlüsselten Datenpaketen flitzen dann die nochmals (wegen der https-Verbindung) verschlüsselten Daten hin und her. Unterschied zu Kabel-LAN: NULL.

#21: Endlich mal ein vernünftiger Beitrag - danke.

#24: Der Man-in-the-Middle-Angriff klappt nur, wenn die Daten im Klartext übertragen werden. Werden sie auf Bankingseiten aber nicht.

#25: Du weißt offenbar nicht, was die hosts-Datei bewirkt. Schlag doch mal erstens das nach, und zweitens den Dunning-Kruger-Effekt.

#27: Exakt. Bei den allermeisten kann man das Problem genau DORT lokalisieren. Auf OSI-Layer 8...

@Bernhard: die Verschlüsselung ist schon recht sicher - aber trotzdem sollte man auch dem LAN bzw. WLAN, in dem man sich mit dem Internet verbindet, vertrauen können. Es geht um den VerbindungsAUFBAU, der schon schief gehen kann.
Man baut sonst ggfs. eine schön verschlüsselte Verbindung zur gefälschten Seite auf. So ähnlich wie Kindersicherungen im Router, nur daß dort Seiten gesperrt statt gefälscht werden (Stichwort: falscher DNS-Server oder geänderte Routing-Tabellen)

@Bzzz
Dass comdirect noch mit i-tan arbeitet, wundert mich nicht. Die arbeiten ebenso wie die Postbank mit Uralt-Technik. Wesentlich sicherer ist z.B. smartTAN optic, das von Volksbanken und Sparkassen verwendet wird: http://www.vr-dienste.de/html/sicherheit/sicherheitsverfahren/smarttan-optic.html

Eine Bank, die in einer mTAN Betrag und Kontonummer nennt, hat nicht alle auf'm Zaun. Meine Bank nennt nicht mal ihren Namen.

Bei dem Hinweis auf den Dunning-Kruger-Effekt habe ich den Eindruck, dass Du ein Problem damit hast...

@chris35: Ja, da hast du recht. Man muss halt die Zertifikate pruefen.

@Beteigeuze: Ich sehe schon keinen Zweck in iTAN (gegenüber TAN), aber da ja auch SMS-TAN angeboten wird, dürften da auch Sicherheitsfanatiker zufrieden sein. Was gegen die Nennung von Uhrzeit, Betrag und Konto des Empfängers in der TAN-SMS spricht versteh ich auch nicht, aber du kannst es mir gern erklären. Übrigens macht das die Sparkasse so, bei comdirect kann ichs nicht direkt sagen, der einen SMS nach zu urteilen eher nicht. Dort werd ich halt auch nicht zur Nutzung gezwungen, bei der Spaßkasse schon. Sobald mich das Konto dort etwas kostet sind die mich los...

Und diese Flickerleser funktionieren nach meiner letzten Info nicht zuverlässig und kosten je nach Bank auch Geld. Dazu kommt, dass man die Teile mitschleppen müsste, wenn man mal von anderswo eine Überweisung tätigen will. Zudem muss man für ne Überweisung seine Bankkarte holen - die nimmt man zwar üblicherweise überallhin mit, aber man hat sie selten neben dem Computer liegen. Für mich eher inakzeptabel. Da fehlt nicht mehr viel und man muss sich seine TAN gegen Perso-Vorlage am Schalter abholen.

@Gaikana: Ich bin ganz Ohr. Und wenn du mit der Auflistung meiner persönlichen Fehler fertig bist, füg doch noch dazu, was ich an inhaltlichen Fehlern produziert hab.

ECHT? Davon halte ich überhaupt nichts, ist zu gefährlich.

Mann sollte da schon etwas mehr lesen, dann wird man sehen das die nicht gut ist.

Ich halte nichts von Home Banking über Handy oder Smart Phone zu machen!!!!

Aber wie immer im Leben, muss jeder wissen was er macht.