Von Anne Grüneberg Mit ein paar einfachen Verhaltensregeln lässt sich die Sicherheit beim Onlinebanking deutlich verbessern.1. Vorsicht vor Phishing-Mails: Die gefälschten E-Mails im Namen von Freunden, Firmen oder Unbekannten sind heutzutage oft professionell gestaltet und haben zum Teil eine persönliche Anrede. Eine Bank würde ihre Kunden aber niemals dazu auffordern, vertrauliche Daten wie Benutzerdaten, PIN, TAN oder Kontonummer bekannt zu geben. Häufig werden Sie auch über einen Link zu einer betrügerischen Internetseite weitergeleitet, auf der ebendiese Daten abgefragt werden. Falls Sie solche Nachrichten erhalten, informieren Sie Ihre Bank darüber.2. Keine unbekannten Anhänge öffnen: Oftmals enthalten Phishing- Mails Viren und Trojaner, die sich im Anhang verstecken. Internetnutzer sollten deshalb nur Anhänge öffnen, die vertrauenswürdig sind.3. Auf sichere Verbindung achten: Die Onlinebanking-Portale der Banken und Sparkassen nutzen sichere Verbindungen – Verbraucher können sie daran erkennen, dass aus dem normalen http:// ein https:// wird. Im Firefox-Browser und im Internet Explorer wird die sichere Verbindung zusätzlich durch ein grünes Schloss im Adressfeld gekennzeichnet.4. Kein Onlinebanking in öffentlichen WLANs: Experten empfehlen, Bankgeschäfte nur von eigenen Geräten und im heimischen WLAN zu tätigen. In öffentlichen Hotspots können Hacker Log-in-Daten leicht ausspionieren. Auch wer von fremden Geräten Überweisungen tätigt, geht ein Risiko ein: Der Besitzer könnte den Browserverlauf aufzeichnen.5. Virenschutz aktuell halten: Antivirenprogramme erkennen, wenn sich Viren und Trojaner auf dem Computer einschleichen. Wer digital Bankgeschäfte erledigt, sollte also unbedingt diesen Schutz aktuell halten.
Sicherheitswochen 2017
Wer haftet für Schäden?
Sicherheit im Onlinebanking liegt im Interesse der Bank und des Kunden. Dennoch gelingt es Betrügern immer wieder, sich Zugang zu den Log-in-Daten und TANs zu verschaffen. Wer im Schadensfall für die erbeutete Summe aufkommt, ist abhängig vom individuellen Fall.
Laut dem Deutschen Anwaltverein haftet der Bankkunde, wenn dieser selbst seine Log-in-Daten und TAN preisgibt – etwa per E-Mail oder über einen betrügerischen Link. Juristen sprechen dann von einer „autorisierten Zahlung“.
Anders sieht es aus, wenn Betrüger die TAN auf Umwegen erbeuten – etwa durch ein Virus auf dem Computer. Dann stellt sich die Frage, ob den Bankkunden eine Mitschuld trifft, weil dieser auf die Masche der Betrüger nicht hätte hereinfallen dürfen. Grundsätzlich muss aber das Sicherungssystem der Bank zum Tatzeitpunkt so gut wie möglich gewesen sein. Ansonsten trifft die Bank die Schuld.
In der Realität kommen die Banken aber in den allermeisten Fällen für den Schaden auf, wie „c’t“-Sicherheitsexperte Ronald Eikenberg berichtet. Denn für die Banken bedeutet jeder Betrug einen erheblichen Imageschaden. Um das Vertrauen der Verbraucher in das Onlinebanking zu stärken, gleichen die Institute meist aus Kulanz den Schaden aus.
Im Test
Lauschangriff aufs Kinderzimmer
„Hello Barbie“ und Co. sind so smart, dass sie Fremden ungewollte Einblicke gewähren
Sie fragen nach dem Namen, antworten auf neugierige Kinderfragen und folgen per Sprachbefehl ihrem kleinen Besitzer durch die ganze Wohnung: Smart Toys sind intelligente Spielzeuge, die via App auf dem Smartphone der Eltern oder dem der Kinder aufs Internet zugreifen können. So können sie sich, im unendlichen Datenspeicher des World Wide Web, auch Namen, Geburtstage und Hobbys ihrer kleinen Nutzer merken. Manch smartes Spielzeug übermittelt sogar einen Gruß der Mama an das Kind – oder den eines Nachbarn, mitunter sogar den eines Fremden … Und genau da liegt der Fehler im System bei einem Großteil aller von der Stiftung Warentest untersuchten intelligenten Spielzeuge: Weil die Verbindung zwischen Smartphone und Smart Toy nicht ausreichend gesichert ist, können Fremde meist spielend leicht mittels einer Bluetooth-Verbindung auf das smarte Spielzeug zugreifen – weder Passwort noch PIN sind dafür notwendig.
Das Smart Toy als Befehlsgeber
Wegen dieser Sicherheitslücke kam keines der sieben getesteten Spielzeuge über ein „kritisch“ hinaus. Drei der Spielzeuge, darunter auch der i-Que Intelligent Robot, wurden sogar als „sehr kritisch“ eingestuft, weil sie einem Fremden durch die bestehende Sicherheitslücke ermöglichen, das Kind auszuspionieren. Auf die Spitze getrieben würde das auch bedeuten, dass ein Unbeteiligter dem Kind Befehle über das smarte Spielzeug erteilen könnte. Ähnlich verhält es sich mit dem Roboterhund Chip: Sind die Eltern nicht bereits mit dem Spielzeug verbunden, kann im Prinzip jeder andere im Umkreis von zehn Metern auf Chip zugreifen. Auch durch Wände soll das laut Testern möglich sein.
Etwas besser im Test, wenn auch nur „kritisch“, wurden Mattels sprechende „Hello Barbie“ und Fisher-Prices Smart Toy Bear bewertet. Deren Passwörter waren immerhin verschlüsselt, aber nicht zusätzlich codiert, was die Anforderungen für potenzielle Hacker gering hält. Der Smart Toy Bear setzt bei der Android- Variante zudem Tracker und mehrere Identifikationsnummern, die auch an Dritte gesendet werden – darunter unter anderem die Smartphone-ID. Die „Hello Barbie“ ermöglicht es Eltern, sämtliche Sprachaufnahmen ihrer Kinder online abzuhören, was bereits 2015 bei der Markteinführung der allzu smarten Blondine einen lauten Aufschrei bei Datenschützern nach sich zog. rnd