Sicherheit im Online-Banking

Infos, Hilfe & Tipps für Ihre digitalen Bankgeschäfte

Erfahren Sie hier, wie Sie aktuelle Betrugsmaschen erkennen, wo Sie Hilfe erhalten und wie Sie Ihr Online-Banking sicher gestalten können.

9 Tipps für Ihre digitalen Bankgeschäfte

Grundsätzlich betrachtet ist Online-Banking genauso sicher wie Bankgeschäfte in der Filiale. Trotzdem drohen Gefahren durch gefälschte E-Mails und manipulierte Websites, über die sich Kriminelle Zugang zu Ihrem Konto verschaffen können. Doch wenn Sie Vorsicht walten lassen und sich an einige sinnvolle Regeln halten, können Sie das Risiko minimieren und Ihre Bankgeschäfte sorglos von zuhause erledigen.

Sorgen Sie für höchstmögliche Sicherheit auf Ihrem Rechner. Veraltete Internet-Browser sind leichter zu manipulieren. Nutzen Sie daher immer die neuste Version Ihres Browsers für das Online-Banking. Wichtig ist, dass Sie die Software aus einer sicheren Quelle herunterladen, um mit dem Browser keine Viren oder andere unerwünschte Programme zu installieren. Das können die Hersteller selbst sein oder seriöse Anbieter wie Chip oder Heise. 

Ein aktuelles Virenprogramm ist ebenfalls ratsam. Damit können Sie auf Ihrem Rechner Viren frühzeitig erkennen und teils sogar direkt entfernen.

Nicht nur durch Software, auch durch Schnittstellen können sich Hacker:innen über einen Router Zugang zu Ihrem Netzwerk verschaffen. Tragen Sie daher Sorge, Ihr Netzwerk so gut wie möglich gegen Zugriffe von außen zu sichern: Halten Sie das Betriebssystem aktuell, verwenden Sie für das WLAN ein sicheres Passwort und ändern Sie den Netzwerknamen (SSID). Wenn Sie Ihren Router konfigurieren oder Einstellungen vornehmen, tun Sie dies über eine Kabelverbindung.

Tätigen Sie Ihre Bankgeschäfte außerdem niemals in einem offenen Netzwerk, beispielsweise ein öffentliches WLAN. Es empfiehlt sich außerdem, Bankgeschäfte nur auf den eigenen und anderen vertrauenswürdigen Endgeräten zu tätigen.

Nutzen Sie stets die sichere Verbindung, wenn Sie im Internet surfen. Das ist besonders wichtig, wenn Sie Online-Banking betreiben. Eine sichere Verbindung erkennen Sie an der Adresszeile der Website: Die Online-Banking-Website muss das Kürzel „https://“ (statt „http://") aufweisen. Die meisten Browser kennzeichnen diese gesicherte Verbindung zusätzlich mit einem kleinen Schlosssymbol. Ist das Online-Banking nicht verschlüsselt, wurde die Website entweder manipuliert oder Sie befinden sich gar nicht auf der echten Seite (mehr dazu in Tipp 5).

Hacker:innen können Passwörter mit ihren Werkzeugen in kürzester Zeit knacken. Machen Sie es Ihnen nicht leicht und nutzen Sie komplexe Passwörter. Wichtig ist, dass das Passwort mindestens 8 bis 12 Zeichen lang ist, Ziffern, Sonderzeichen, Groß- und Kleinbuchstaben enthält. Wichtig ist, dass Sie für jeden Dienst ein eigenes Passwort vergeben. Vor allem Ihr Online-Banking-Passwort sollten Sie nicht für mehrere Dienste nutzen. Notieren Sie zudem das Passwort nicht und geben Sie es niemandem weiter. 

Tipp: Sie können auch einen Passwortgenerator verwenden, der ein komplexes Passwort nach Ihren Vorgaben erstellt. Geben Sie dazu einfach den Begriff „Passwortgenerator" in eine Suchmaschine ein.

Übrigens: Der UmweltBank-Kundenservice fragt Sie niemals nach Ihren Zugangsdaten. Lediglich das Geheimwort fragen wir bei Bankgeschäften am Telefon ab. Dieses können Sie bedenkenlos weitergeben, sofern Sie unseren Kundenservice selbst angerufen haben.

Es ist sehr praktisch, auf Links in Suchergebnissen oder E-Mails zu klicken. Aber: Es ist sicherer, die Adresse der Internetseite händisch einzugeben, wenn Sie das Online-Banking nutzen wollen. Tippen Sie daher die URL immer oben in die Adresszeile Ihres Browsers ein - achten Sie auch auf Vertipper. Die URL unseres Online-Bankings lautet https://banking.umweltbank.de. Sie können auch den Link zum Login von der UmweltBank-Website anklicken, wenn Sie die URL vorher geprüft haben.

Speichern Sie zudem keine Passwörter im Browser oder in einem Programm, sondern geben Sie Ihr Passwort beim Login stets manuell ein.

Wenn Sie Online-Banking betreiben, nutzen Sie dazu am besten zwei verschiedene Geräte: Loggen Sie sich z. B. über Ihren Computer auf der Website ein. Bestätigen Sie Aufträge dann per TAN über Ihr Smartphone, anstatt beide Vorgänge über ein Smartphone in zwei Apps abzuwickeln. Wenn Sie die Banking-App auf Ihrem Smartphone für Ihre Bankgeschäfte nutzen, empfiehlt es sich, die Freigabe per Biometrie (z. B. Fingerabdruck) zu aktivieren.

Wichtig: Melden Sie sich unbedingt ab, wenn Sie mit Ihren Bankgeschäften fertig sind.

Gefälschte Anrufe, E-Mails, SMS oder Websites von Banken, Versandhändlern und Zoll – sogenanntes Phishing – kommt leider sehr häufig vor. Dabei geht es darum, Ihre Daten abzufangen und im schlimmsten Fall damit Zahlungen abzuwickeln. Vergewissern Sie sich daher immer, ob eine Nachricht echt ist. Prüfen Sie die Absenderadresse einer E-Mail, achten Sie auf die Wortwahl am Telefon und vergleichen Sie die Mails oder Briefe mit anderen, die Sie bereits erhalten haben.

Schauen Sie sich Links genau an: Dazu klicken Sie diese aber nicht an, sondern bewegen lediglich Ihren Mauszeiger darauf. Die verlinkte Adresse wird Ihnen meist in einer Vorschau anzeigt. Ist die Domain korrekt oder führt er zu einer vollkommen fremden Seite mit kryptischem Link? Gefälschte Websites können der echten Bankseite täuschend ähnlich sein. Lediglich die URL und die Verlinkungen unterscheiden sich. Loggen Sie sich daher nur in Ihren Bankaccount ein, wenn Sie sich sicher sind, dass Sie sich auf der richtigen Seite befinden.

Halten Sie stets ein Auge auf Ihr Konto. Loggen Sie sich regelmäßig ein und prüfen Sie alle Kontobewegungen. Bei Konten wie dem Girokonto können Sie außerdem Limits festlegen, sodass Überweisungen nur in bestimmter Höhe getätigt werden. Im Fall der Fälle minimiert dies zumindest den Verlust.

Notieren Sie die PINs Ihrer Karten nicht, weder  auf Ihrer Karte noch sichtbar in Ihrem Geldbeutel. Haben Sie Ihre Karte verloren oder wurde sie gestohlen, können Sie die Karte sperren. Das können Sie direkt in Ihrem Online-Banking erledigen oder über die bundesweite Sperrhotline (+49) 116 116, die 24 Stunden am Tag erreichbar ist.

Tipp: Ausführliche Infos und Tipps zu sicherem Bezahlen und Geld abheben mit der Karte finden Sie in unserem Magazin.

Gängige Betrugsmaschen und wie man sie erkennt

Ob gefälschte E-Mail, dubiose SMS oder der angebliche Sohn in Not – Kriminelle sind kreativ, wenn es darum geht, an fremdes Geld oder sensible Daten zu kommen. Phishing, Quishing, Telefonbetrug oder Identitätsdiebstahl: Die Maschen sind vielfältig, das Prinzip dahinter aber immer dasselbe – Druck machen, Vertrauen erschleichen, schnelles Handeln provozieren. Die gute Nachricht: Wer die typischen Tricks kennt, lässt sich deutlich schwerer austricksen.

Phishing

Phishing ist eine gängige Betrugsmethode im digitalen Zeitalter. Dabei versuchen Kriminelle, durch gefälschte E-Mails, SMS, Anrufe oder sogar Social-Media-Nachrichten an vertrauliche Daten wie Passwörter, Kreditkarteninformationen, PINs oder TANs zu gelangen. Die Täter geben sich dabei als Banken, Zahlungsdienstleister, Online-Shops oder sogar Behörden aus.

Ein zentrales Merkmal von Phishing ist die Erzeugung von Dringlichkeit: Betreffzeilen wie „Ihr Konto wird in 24 Stunden gesperrt!“ sollen dazu verleiten, unüberlegt zu handeln. Dabei werden die Betroffenen aufgefordert, auf einen gefälschten Link zu klicken, der sie auf eine täuschend echte, aber betrügerische Website führt. Dort sollen sie dann ihre Zugangsdaten eingeben – die direkt in die Hände der Betrüger gelangen. Manchmal können solche Links auch Schadsoftware installieren, die weitere Daten ausspäht.

Woran erkennt man Phishing?

  • Ungewöhnliche Absenderadressen: Oft enthalten diese kryptische Absenderadressen oder kleine Fehler.
  • Sprache: Viele Phishing-Nachrichten enthalten Rechtschreibfehler oder unnatürliche Formulierungen – allerdings werden sie durch KI immer professioneller.
  • Persönliche Ansprache fehlt: Seriöse Unternehmen sprechen Kund:innen meist mit Namen an, während Phishing-Mails oft unpersönlich („Sehr geehrter Kunde/Sehr geehrte Kundin“) bleiben.
  • Aufforderung zur Dateneingabe: Kein seriöses Unternehmen fragt per E-Mail oder SMS nach Passwörtern oder TANs!
  • Verdächtige Anhänge oder Links: Die Mails enthalten Anhänge oder kryptische Links.

Varianten von Phishing

  • Smishing: Phishing per SMS oder Messengerdienste. Das Vorgehen ist ähnlich: Es handelt sich um gefälschte Nachrichten von Banken, Institutionen oder Paketdiensten. Der in der Nachricht enthaltene Link führt dann auf eine betrügerische Website, die vertrauliche Informationen abgreift oder Schadsoftware installiert. Smishing ist besonders tückisch, weil SMS oft schneller und häufiger geöffnet werden als E-Mails – und viele Nutzer:innen durch die Alltäglichkeit von Benachrichtigungen (z. B. für Lieferungen oder Sicherheitscodes) weniger misstrauisch sind. Warnsignale sind unter anderem unbekannte Absender, Rechtschreibfehler, überstürzte Handlungsaufforderungen oder verdächtige Links.

 

 

  • Karten-Phishing: Hier werden gezielt Kreditkarten- oder Debitkartendaten (wie Kartennummer, Ablaufdatum, CVV-Code oder PIN) abgegriffen, um damit unbefugte Abbuchungen zu tätigen oder die Daten im Darknet zu verkaufen. Die Betrüger:innen fordern Opfer auf, angeblich defekte Karten zerschnitten per Post einzusenden, locken mit gefälschten Online-Shops (die verlockende Angebote anbieten, aber nie Ware liefern) oder verschicken Phishing-Nachrichten per E-Mail, SMS oder sogar postalisch, die unter einem Vorwand zur Eingabe der Kartendaten auf gefälschten Webseiten auffordern.

    Um sich zu schützen, sollten Sie niemals Kartendaten oder PINs weitergeben, Links oder QR-Codes in verdächtigen Nachrichten kritisch prüfen, Online-Shops vor dem Kauf auf Seriosität überprüfen (z. B. mit dem Fakeshop-Finder der Verbraucherzentrale) und Kontobewegungen regelmäßig kontrollieren, um ungewöhnliche Abbuchungen schnell zu erkennen. Zudem empfiehlt es sich, Karteneinstellungen im Online-Banking anzupassen – etwa durch das Setzen von Limits für Online-Zahlungen oder das Sperren bestimmter Plattformen. Falls man Opfer von Karten-Phishing geworden ist, sollte man sofort die Karte sperren lassen und die betroffene Bank kontaktieren.

    Tipp: Sicheres Kartenzahlen per 3D Secure

 

 

  • Quishing: Dabei nutzen Kriminelle gefälschte QR-Codes, um Nutzer:innen auf betrügerische Webseiten zu locken und dort vertrauliche Informationen abzugreifen. Diese Codes können physisch (z. B. auf gefälschten Briefen, Rechnungen, Parkautomaten oder Strafzetteln) oder digital (per E-Mail, Social Media oder Webseiten) auftauchen.
    Scannen Sie daher nur vertrauenswürdige QR-Codes, besonders bei physischen Medien wie Briefen oder Plakaten. Prüfen Sie URLs vor dem Öffnen mit Scanner-Apps, die die Zieladresse anzeigen, und achten Sie auf kleine Abweichungen. Bei Rechnungen mit QR-Code kontrollieren Sie immer manuell Empfänger-IBAN und Betrag. 

 

 

Betrug per Chat

Der „Hallo-Mama-Trick“ ist eine Betrugsmasche auf WhatsApp, bei der Kriminelle sich als Verwandte – meist Kinder oder Enkelkinder – ausgeben und unter einem Vorwand (z. B. „meine Handynummer hat sich geändert“) eine dringende finanzielle Notsituation vortäuschen. Ziel ist es, das Opfer unter Zeitdruck zu setzen und es zur schnellen Geldüberweisung oder Weitergabe sensibler Daten zu bewegen. Die Täter:innen nutzen dabei gezielt menschliches Vertrauen und Emotionen, um ihre Opfer zu manipulieren.

Der Ablauf folgt meist einem festen Muster: Kontaktaufnahme über eine unbekannte Nummer, Vortäuschen einer neuen Handynummer, Schilderung einer Notlage (z. B. offene Rechnung oder gesperrtes Konto) und schließlich die Aufforderung zur Überweisung – oft auf ein fremdes Konto mit plausiblen Ausreden (z. B. „ein Freund nimmt das Geld entgegen“).

Um sich zu schützen, sollte man nie auf Geldforderungen per WhatsApp reagieren, sondern immer die Identität des Absenders überprüfen – etwa durch einen Rückruf auf die bekannte Nummer. Verdächtige Nachrichten sollten sofort blockiert und gemeldet werden. Zudem ist es ratsam, persönliche Daten wie Handynummern oder Bankinformationen nicht leichtfertig weiterzugeben und sich über aktuelle Betrugsmethoden zu informieren, etwa bei Verbraucherzentralen oder dem BSI. Im Zweifel hilft es, Ruhe zu bewahren und bei der Bank oder Polizei nachzufragen – denn echte Verwandte würden niemals unter Druck Geld verlangen.

Betrug per Anruf

Beim Telefonbetrug geben sich Kriminelle am Telefon als Bankmitarbeiter:innen aus, um an sensible Daten zu gelangen. Besonders tückisch ist das Call-ID-Spoofing, bei dem die Betrüger:innen die Rufnummer der echten Bank oder Behörde vortäuschen.

Typische Betrugsmaschen sind Fake-Anrufe von angeblichen Bankmitarbeitenden, die vorgebliche Sicherheitsvorfälle oder Rücküberweisungen fordern, oder Schockanrufe, bei denen die Kriminellen als Polizist:innen, Ärzt:innen oder Anwält:innen auftreten und mit Notlagen (z. B. „Ihr Angehöriger wurde verhaftet!“) Druck ausüben. Auch Anrufe im Namen der BaFin, von Zahlungsdienstleistern oder Onlinehändlern sind verbreitet, bei denen die Opfer zur Installation von Fernwartungssoftware oder zur Freigabe von Transaktionen gedrängt werden. Bei Unsicherheit legen Sie auf und kontaktieren Ihre Bank selbst.

Denken Sie daran: Echte Banken verlangen nie nach Ihren Zugangsdaten, weder schriftlich noch per Telefon.

Identitätsdiebstahl

Hierbei stehlen Kriminelle persönliche Daten wie Namen, Adressen oder Kreditkarteninformationen, um Konten zu eröffnen, Kredite aufzunehmen oder Online-Einkäufe zu tätigen. Die Daten werden oft durch Phishing (gefälschte E-Mails/SMS), Dumpster Diving (Durchwühlen von Altpapier nach Rechnungen/Ausweisen) oder Shoulder Surfing (Ausspähen von PINs/Passwörtern in der Öffentlichkeit) erlangt. Besonders gefährlich ist der Missbrauch im Internet, wo Betrüger:innen mit gestohlenen Identitäten Kreditkarten beantragen, Abos abschließen oder sogar Straftaten begehen – was für die Opfer oft erst durch unbekannte Abbuchungen, Mahnungen oder Rufschädigung in sozialen Medien auffällt.

Um sich zu schützen, sollte man sichere Passwörter (mind. 8 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und Zwei-Faktor-Authentifizierung nutzen, persönliche Daten sparsam teilen (z. B. keine Ausweiskopien ungeschützt versenden), regelmäßig Updates installieren und öffentliche WLAN-Netze meiden. Verdächtige Anzeichen sind z. B. unbekannte Kontobewegungen oder Mahnungen für nicht getätigte Käufe. Bei Verdacht sollte man sofort betroffene Konten sperren, die Schufa prüfen und den Vorfall bei der Polizei oder Bank melden. Eine Rechtsschutzversicherung mit Cyber-Deckung kann im Schadensfall helfen.