Das Online-Banking Angebot der Banken und Sparkassen erfüllt höchste Sicherheitsansprüche.
Zur Gewährleistung der Sicherheit werden diverse Sicherheits- und Verschlüsselungsverfahren (SSL 3.0 - 128 bit) eingesetzt, die ständig weiterentwickelt.

Das für Homebanking gebräuchliche PIN/TAN-Verfahren hat sich seit Jahren bewährt. Bis heute sind in Verbindung mit diesem System keinerlei reale Schäden aufgetreten.

Mit neuen Techniken und Verfahren werden Sicherheit und auch Kundenfreundlichkeit des Homebanking weiter entwickelt. Beispiel ist der durch das Deutsche Kreditgewerbe geschaffene HBCI-Standard.

Die Bankrechner sind mit zertifizierter Software, Firewall-Techniken und weiter entwickelte Zugangsmechanismen gesichert. Durch die Verwendung modernster Verschlüsselungstechniken ist also eine Manipulation der Daten auf dem Transportweg, auch über das Internet, weitgehend ausgeschlossen.

Die Gefahr geht vom Kunden aus

Die Leichtsinnigkeit der Hombanking-Kunden ist eine erhebliche Sicherheitslücke.
Nicht das eigentliche Übertragungsverfahren, sondern der Angriff über "die Hintertür" des Kunden-PCs bietet das Angriffspotential.

Folgende Hinweise sollten zur eigenen Sicherheit beachtet werden:

Software:
In jedem Fall sollte der Passwortschutz aktiviert werden, den das Betriebssystem, die Zugangssoftware für den Onlinedienst oder das PC-Programm für das Online-Banking bieten.

Auf jeden Fall nur Standard-Software (Browser etc.) verwenden und keine Software aus unbekannten Quellen herunter laden. Ausserdem ist es ratsam, stets die aktuelle Version des Browsers einzusetzen.
Noch besser ist es, auf die Benutzung des Browsers zu verzichten und lieber reine Hombankingprogrammme zu benutzen. z.B. Starmoney

Auf Deinem PC sollte grundsätzlich ein aktueller Virenscanner installiert sein.

Des weiteren ist der Schutz einer Personal-Firewall dringend zu empfehlen.

Passwörter:
Speichere keine sensiblen Daten auf der Festplatte.
PIN, TAN und Passwörter könnten sonst von Trojanischen Pferden aufgespürt und an Unbefugte weitergegeben werden.

Deaktivieren die Möglichkeit, dass Passwörter für bestimmte Anwendungen (z.B. DFÜ-Anwahl oder E-Mail-Abfrage) automatisch zur Verfügung stehen.

Verwende als Passwörter keine einfachen Begriffe wie Geburtsdatum, Vor- oder Nachnamen, die in Ihrem sozialen Umfeld bekannt sein können oder leicht zu erraten sind. Auch sollten Benutzername und Passwort keinesfalls identisch sein.

Bilde die Passwörter möglichst aus einer Kombination von (mindestens sechs) Buchstaben und Ziffern in Groß- und Kleinschreibung. Verwende zufällige Folgen von Buchstaben und Ziffern, keine Wörter aus dem Lexikon.

PIN und TAN getrennt aufbewahren. Schreibe Deine Passwörter nicht auf Schreibtischunterlagen oder Zettel.

Geben Sie auch auf Anfrage mündlich keine Passwörter weiter. WICHTIG: Mitarbeiter von Online-Diensten oder der Sparkasse Aachen werden Sie niemals nach Ihrem Passwort fragen!

Auch Passwörter sollten ein Verfallsdatum haben. Ändern Sie also Ihr Passwort in regelmäßigen Abständen

Es ist selbstverständlich, daß die PIN- und die TAN-Liste niemals in fremde Hände gelangen sollten, da sich sonst jeder beliebige als der eigentlich Zugriffsberechtigte ausgeben könnte.

Bei Verdacht auf missbräuchliche Verwendung von PIN und TAN lassen Sie den Online-Zugang zum Konto sperren. Bei den meisten Banken kann man jederzeit selbst im Bereich "PIN/TAN Verwaltung" die PIN ändern bzw. TAN-Liste sperren.

"Kontoplünderung per Computer"

In der Sendung "ARD-Ratgeber Technik" wurde am 16. September 2001 und auf der Internetseite der genannten Sendung unter dem Titel "Kontoplünderung per Computer" das Thema Sicherheit des Online-Banking aufgegriffen. Im Verlauf der Sendung wurde ein erfolgreicher Hackerangriff auf die Systeme der HypoVereinsbank demonstriert.

Den durch die ARD beauftragten Hackern ist es gelungen, in die Systeme der HypoVereinsbank einzudringen. Diese Informationen sind den Publikationen zu entnehmen und sind auch von der Bank bestätigt. Die Ursache war eine Sicherheitslücke im Microsoft Internet Explorer.

Außerdem wurde berichtet, dass ein gefährliches Sicherheitsleck beim HBCI-Verfahren aufgedeckt werden konnte. Bei näherer Betrachtung stellte sich heraus, dass mittels eines Trojaners die Möglichkeit geschaffen wurde, den HBCI-Schlüssel inklusive Passwort vom Kunden-PC zu entwenden. Konkret wurde mit Hilfe des Downloads einer Software aus dem Internet (Euro-Währungsrechner) ein Trojaner auf den PC des Kunden geschleust. Sobald ein HBCI-Kunde die Seite seiner Bank aufruft und seine Schlüsseldiskette einlegt, liest das Programm die auf der Diskette befindlichen Daten aus und sendet diese per Mail an den Hacker. Der Hacker kann damit eine Kopie der Schlüsseldiskette erzeugen und Aufträge im Namen des Kunden erzeugen.

ARD dementierte viele Aussagen bei Konkreten Nachfragen vieler Banken mit: "Hier haben wir uns wohl ein wenig zu weit aus dem Fenster gelehnt".

Bei der Darstellung der Sicherheitsprobleme werden die Sicherheitsbereiche Kunden-PC und der Bankenrechner unzulässig vermischt, was zwangsläufig zu Falschaussagen bzw. Fehlinterpretationen führt. Hinzu kam außerdem noch eine undifferenzierte Darstellung der Sicherheitsmedien HBCI und PIN/TAN.

Auch die Beschreibungen der "Sicherheitslücken bei HBCI" sind sehr ungenau ausgedrückt und verleiten zu falschen Schlussfolgerungen. Hier wird über die grundsätzlichen Probleme mit Spähprogrammen/Viren usw., die mit dem Begriff "Tronjanische Pferde" bezeichnet werden, eine Sicherheitslücke bei HBCI abgeleitet, die in dieser umfassenden Art nicht zutreffend ist.

Diese Probleme gelten für alle sicherheitsrelevanten Informationen auf dem Kunden-PC bzw. für Tastatureingaben, die durch den PC-Nutzer getätigt werden, und sind nicht spezifisch für HBCI oder Online-Banking.