GUTschrift Das Online-Magazin Ausgabe März 2015 GUTrat Wie sicher ist Online-Banking? Online und mobil geht fast alles: bestellen, bezahlen, überweisen, Daueraufträge einrichten und vieles mehr. Aber ist das auch sicher? Wie verhalte ich mich im WWW richtig, um Betrügern keine Chance zu geben meine Daten zu klauen? In Zeiten von NSA und Co. reden alle über Datensicherheit. Gerade derzeit berichten viele große Medien über den „virtuellen Bankraub“ mittels einer Schadsoftware. Kriminelle sollen über einen längeren Zeitraum systematisch überall auf der Welt Banksysteme ausspioniert und auf diese Weise große Geldmengen erbeutet haben. Sparkassen und andere Kreditinstitute in Deutschland sind von diesem Angriff nicht betroffen. Bei den deutschen Kreditinstituten herrschen seit Jahren hohe Sicherheitsstandards sowohl für die Abwehr als auch den Schutz vor Angriffen, die stetig an neue Entwicklungen angepasst werden. Dennoch hat sich der Blick der Menschen auf das Internet verändert: Aus einer großen Errungenschaft, die unser Leben einfacher gestaltet und viele neue Freiheiten bietet, ist es ein Medium geworden, in dem ausgespäht und manipuliert wird. Die diversen Cyberattacken auf Unternehmen haben diesen Eindruck verstärkt. Was bedeutet das für unser Verhalten im Netz und fürs Online-Banking? „Bankdaten gehören zu den sensibelsten Daten, dementsprechend sorgsam sollte man mit ihnen umgehen und sie nur an vertrauenswürdige Quellen herausgeben. Dazu zählen auch der eigene Browser, Smartphones und Tablets“, meint Internetexperte Matthias Dengel, Dipl.-Informatiker und Dozent an der Volkshochschule in Heidelberg. Herr Dengel gibt unterschiedliche Kurse an der VHS in Heidelberg und wir hatten die Möglichkeit ihn als Sparkassenkunde näher zum Thema „Internetsicherheit“ zu befragen. Matthias Dengel, Dipl.-Informatiker und Dozent an der VHS Heidelberg und Carina Hübl von der Sparkasse Heidelberg, GUTschrift Redaktion Herr Dengel, machen Sie selbst Online-Banking und was halten Sie davon? Selbstverständlich nutze ich den schnellen und einfachen Zugriff, Bankgeschäfte über das Online-Banking zu erledigen. Man sollte hierbei natürlich vorsichtig mit seinen Daten umgehen. Ich werde häufig von meinen Kursteilnehmern gefragt, ob sie Online-Banking nutzen sollen. Da bin ich der Ansicht: Wenn Sie an den Geldautomaten gehen, um Geld abzuheben, dann können Sie auch Online-Banking machen! Als Kunde einer Sparkasse, wie betreibe ich ihrer Meinung nach sicheres Online-Banking? Um die Sicherheit beim Online-Banking zu erhöhen, sollten Sie Ihre Bankdaten nicht in Ihrem Browser oder in einem Dokument auf Ihrem Computer speichern. Indem Sie Ihre Bankdaten nicht elektronisch ablegen, erschweren Sie es Hackern, mit ihren Angriffen darauf zuzugreifen. Sollten Sie Ihre Bankdaten unbedingt digital speichern wollen, sollten Sie sie verschlüsseln. Verschlüsselungssoftwares ersetzen aber keinesfalls ein Antivirenprogramm oder eine Firewall. Grundsätzlich gilt: Speichern Sie nach Möglichkeit keine Zugangsdaten auf Ihrem PC – schon gar nicht den Anmeldenamen und die PIN Ihres OnlineBanking-Zugangs. Das heißt ich schütze zunächst erstmal meinen PC, indem ich ein Virenschutzprogramm und eine Firewall installiere, richtig? Ganz genau. Für den Schutz der eigenen Online-Banking-Daten spielt die Computersicherheit eine entscheidende Rolle. Hierbei gilt zu beachten: Erstens, dass das Betriebssystem durch regelmäßige Updates aktuell gehalten wird. Zweitens: Installieren Sie ein Virenschutzprogramm und aktualisieren dieses regelmäßig – am besten über die Funktion „automatische Updates“. Vermeiden Sie es mehrere Virenschutzprogramme zu laden, da sich diese gegenseitig blockieren. Und Drittens, richten Sie eine Firewall ein. Sie schützt Ihren PC vor nicht autorisierten Netzwerkzugriffen. Was für Ihren Computer gilt, gilt auch für ihr Smartphone – nicht vergessen. Wie wir wissen, lauern Im Internet vielfältige Gefahren: Von Schadprogrammen wie Viren, Würmern und Trojanern über Botnetze bis hin zu Phishing und Abofallen – die Fantasie der Betrüger ist scheinbar grenzenlos. Was machen diese Eindringlinge dann mit meinen Daten? Weit verbreitet sind zum Beispiel sogenannte Trojaner. Ist Ihr PC mit so einem Programm infiziert, überwacht dieses den Datenverkehr und späht sensible Daten wie Passwörter und Online-Zugänge aus oder verändert das Verhalten Ihrer Online-Banking-Anwendung. Wenn Ihr Antiviren programm vor der Ausführung des Trojaners nicht Alarm schlägt, kann der Schädling theoretisch wochenlang arbeiten, ohne dass Sie es bemerken. Ähnliche Eigenschaften besitzen Computerviren und -würmer. Sie verbreiten sich oftmals über Email-Anhänge, Wechselmedien wie USB-Sticks oder auch ganz normale Webseiten. Je nachdem wie gefährlich sie sind, beschädigen oder löschen sie Dateien. Insbesondere bei Emails von unbekannten Absendern sollten Sie immer skeptisch sein und keine Anhänge öffnen. Halten Sie daher Ihren Virenschutz immer aktuell! Wie kann ich mein Konto vor Online-Dieben schützen? Das häufigste Problem dabei ist, dass die meisten User häufig dasselbe Passwort für alle Online-Logins verwenden und damit Betrügern u.a. auch den Zugang zu ihrem Online-Konto ganz einfach machen. Um den Dieben keine Angriffsfläche zu bieten, sollten Sie beim Online-Banking und Mobile-Banking die folgenden Tipps beherzigen und im ersten Schritt die als „Anmeldename oder Legitimations-ID“ hinterlegte Kontonummer gegen eine individuelle Zeichenfolge aus Zahlen, Buchstaben und Sonderzeichen austauschen, welche Sie nirgendwo anders verwenden. Die PIN sollte zudem eine willkürlich gewählte Zahlen- und Buchstabenkombination ohne Zusammenhang sein. Was ist aus Ihrer Sicht ein sicheres Passwort? Diese Frage bekomme ich von meinen Kursteilnehmern auch immer gestellt. Das ist aber ganz einfach zu beantworten: Bauen Sie sich ihr ultimatives Passwort einfach mit Eselsbrücken, Gedichten oder Sätzen zusammen, indem Sie immer von den einzelnen Worten nur die Anfangsbuchstaben verwenden. Beispiel: Punkt, Punkt, Komma, Strich, fertig ist das Mondgesicht = PPKSfidM Grundsätzlich gilt: Je komplexer ein Kennwort ist, desto schwieriger ist es zu knacken. Durch leichte Tricks, kann man sich so ein sicheres Passwort auch gut merken. Woran kann ich eigentlich eine sichere Internetverbindung erkennen? Eine sichere Verbindung zu einer Website sollte immer über das geschützte https-Protokoll erfolgen. Ob das der Fall ist, können Sie daran erkennen, dass sich zum Beispiel der Anfang der Browserzeile verändert. Statt http:// steht dort https://. Seien Sie zudem vorsichtig bei der Nutzung von öffentlichen Computern und W-LAN. Hier wissen Sie nichts über die Sicherheitseinstellungen und können so reichlich Spuren für Fremde hinterlassen. Das Gleiche gilt, wenn Sie mit dem Notebook unterwegs sind, mit dem Sie kabellos im Internet surfen können. Verbindungen zu sogenannten „Hotspots“ können unzureichend gesichert sein und laden Betrüger zum Lauschen ein. Auch wenn Sie zu Hause ein WLAN nutzen, dann vergewissern Sie sich, dass die Verschlüsselung eingeschaltet und Ihre Firewall aktiv ist. Die meisten User gehen nämlich fälschlicherweise davon aus, dass ihnen innerhalb vom Haus („meinem WLAN“) nichts passiert, was aber ein Trugschluss ist! Herr Dengel, vielen Dank für das aufschlussreiche Interview. Wie verhalte ich mich, wenn ich doch einmal Opfer eines Phishing-Angriffs werde? Schnelles Handeln ist gefragt: Kontaktieren Sie Ihre Bank oder Ihren Geschäftspartner. Sperren Sie um gehend Ihr Konto und Ihren Online-Banking-Zugang, z. B. indem Sie ihre PIN dreimal falsch eingeben. Wenn Geld von Ihrem Konto abgebucht wurde, wenden Sie sich in jedem Fall an die Polizei und erstatten Sie Anzeige. Möglicherweise müssen Sie Ihren Computer für einige Tage zur Beweissicherung abgeben. Erst dann sollten Sie Ihren PC auf Schadprogramme untersuchen oder ggf. gleich die Festplatte formatieren und Ihr Betriebssystem neu installieren. Nur wenn Sie den Schädling komplett von Ihrem Computer verbannt haben, können Sie mit gutem Gewissen die Zugangsdaten zu Ihrem Konto und anderen passwort geschützten Websites ändern. Denn erst jetzt ist sichergestellt, dass der Trojaner keine Daten mehr an den Betrüger weiterleitet. Aus Sicherheitsgründen sollten Sie alle Ihrer Passwörter ändern, auch wenn der Phishing-Angriff augenscheinlich nur Ihren Online-Banking-Daten galt. S Sparkasse Die wichtigsten Regeln für sicheres Online-Banking Vorsicht: Ihre TAN ist wertvoll Eine TAN ist in der Regel dafür da, Bankgeschäfte zu bestätigen. Seien Sie wachsam, wenn Sie nach einer TAN gefragt werden, ohne dass Sie eine Transaktion vornehmen wollen. Kontrollieren Sie Ihre Daten sorgfältig Die wichtigsten Daten Ihres Online-Auftrags werden Ihnen auf dem Display Ihres TAN-Generators oder Smartphones angezeigt. Wenn diese Daten nicht mit Ihren Eingaben übereinstimmen, beenden Sie die Aktion sofort. Keine Software installieren Für das Banking mit smsTAN sind weder eine Software-Installation noch Änderungen an Ihrem mobilen Gerät und dem PC notwendig. Wenn Sie dazu aufgefordert werden: Aktion abbrechen! Grenzen ziehen Legen Sie ein Limit für die täglichen Transaktionen auf Ihrem Konto fest. So schränken Sie den Verfügungsrahmen für unberechtigte Zugriffe, ein. Sie können das Limit jederzeit wieder ändern. Bleiben Sie kritisch Wenn Sie Zweifel haben und Ihnen während der Verbindung zum Online-Banking etwas dubios vorkommt – brechen Sie die Aktion besser ab. Ihre Sparkasse wird Sie niemals auffordern, z. B. für Gewinnspiele oder SicherheitsUpdates eine TAN einzugeben. Ist das Schloss verriegelt? Achten Sie auf das Schlosssymbol in der Adressleiste Ihres Browsers. Es muss geschlossen sein, bevor Sie sich zum Online-Banking Ihrer Sparkasse anmelden. Konto überwachen Sehen Sie regelmäßig nach den Umsätzen auf Ihrem Konto. Prüfen Sie Kontoauszüge oder im OnlineBanking, ob unberechtigte Abbuchungen vorliegen. Dann können Sie fristgerecht reagieren. Zugang sperren Wenn Sie nicht sicher sind, ob Ihr Banking regulär funktioniert – sperren Sie den Zugang. Wenden Sie sich direkt an Ihre Sparkasse oder wählen Sie die in Deutschland kostenfreie SperrNotrufnummer 116 116, die Sie auch aus dem Ausland erreichen. Im Notfall sperrt die dreimalige Falscheingabe einer PIN Ihr Konto. Sicheres Online-Banking – Geben Sie Betrügern keine Chance Beim Online-Banking ist es wie im Straßenverkehr. So sicher Ihr Auto auch sein mag, Sie müssen sich anschnallen, Ihre Fahrweise den Verkehrsverhältnissen anpassen und Ihr Auto gut in Schuss halten. Sie haben es also selbst in der Hand ihr Online-Banking sicher zu machen. Wenn Sie unsere Tipps beachten, machen Sie es Betrügern im Netz sehr schwer, an ihre Daten zu kommen. So bleibt Online-Banking schnell, bequem und sicher. Ganz wichtig: Geben Sie auf keinen Fall Ihre PIN und TAN heraus! Auch nicht, wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Ihre Sparkasse wird Sie zu keiner Zeit, weder persönlich, telefonisch noch per E-Mail, dazu auffordern, Ihre Zugangsdaten bzw. PIN und/oder TAN preiszugeben. Tageslimits bei Online-Überweisungen Bei größeren Anschaffungen mag ein Tageslimit zwar hinderlich sein. Für Ihre Sicherheit beim Online-Banking bietet es aber große Vorteile. Denn sollten Sie doch einmal Opfer eines Hackerangriffs geworden sein, kann der Betrüger nur den von Ihnen festgelegten Höchstbetrag von Ihrem Konto abbuchen. Das Tageslimit gilt für alle Geräte und Programme: Online-Banking per Laptop oder PC, Mobile-Banking, Sparkassen-Apps und StarMoney. Wenn Sie regelmäßig größere Beträge überweisen, können Sie Ihr Limit auch individuell anpassen. Sprechen Sie hierzu mit Ihrer Beraterin oder Ihrem Berater der Sparkasse Heidelberg. Kontowecker Lassen Sie sich bequem und zeitnah über Ihre Kontoaktivitäten informieren und bleiben Sie so immer auf dem Laufenden. Weitere Infos Demo-Zugang Testen Sie das Online-Banking der Sparkasse. Hier geht’s zur Anwendung! Weitere Infos Weitere hilfreiche Seiten zum Thema Internetsicherheit: Aktuelle Warnhinweise, Sparkassen-Computercheck und weitere Sicherheitstipps Weitere Infos Informationen über Sicherheitslücken und neue Betrugsmaschen Weitere Infos Kursangebote der VHS Heidelberg Weitere Infos Zugangswege zum Online-Banking - NEU: push-TAN - sms-TAN - chip-TAN Wofür brauche ich PIN und TAN und für welches Sicherungsverfahren entscheide ich mich?