Das Konto liegt heute auf dem Smartphone, nicht mehr in der Filiale. Das ist bequem, macht das Online-Banking aber zum lohnenden Ziel für Betrüger. Mit ein paar festen Gewohnheiten lässt sich das Risiko deutlich senken, ganz ohne tiefes Technikwissen.
Warum Online-Banking ein attraktives Ziel ist
Wer Zugriff auf Ihr Konto bekommt, kommt direkt an Geld. Genau deshalb investieren Kriminelle viel Mühe in gefälschte Bank-Mails, nachgebaute Login-Seiten und Anrufe angeblicher Bankmitarbeiter. Die Technik dahinter wird selten geknackt, meist wird der Mensch getäuscht. Die gute Nachricht: Genau dort können Sie ansetzen.
PSD2 und die Zwei-Faktor-Authentifizierung
Seit der EU-Zahlungsdiensterichtlinie PSD2 ist die starke Kundenauthentifizierung (SCA) in Europa Pflicht. Jede Überweisung verlangt zwei unabhängige Faktoren, etwa Ihr Passwort plus eine Freigabe in der Banking-App. Laut Microsoft verhindert eine aktive Zwei-Faktor-Authentifizierung rund 99,9 Prozent aller Kontoübernahmen, selbst wenn das Passwort bereits gestohlen wurde.
Noch stärker sind Hardware-Sicherheitsschlüssel nach dem FIDO2-Standard. Ein solcher Schlüssel kommuniziert nur mit der echten Website und funktioniert auf einer Phishing-Seite schlicht nicht. Für die meisten Nutzer reicht die App-Freigabe, wer besonders sensible Konten absichern will, fährt mit einem FIDO2-Schlüssel am sichersten.
Bei den TAN-Verfahren gibt es Unterschiede. Das pushTAN-Verfahren über die App ist bequem, setzt aber ein gut gesichertes Smartphone voraus. Das chipTAN-Verfahren mit separatem Lesegerät gilt als besonders robust, weil die Freigabe an einem Gerät erfolgt, das nicht mit dem Internet verbunden ist. Wer die Wahl hat, sollte sich bewusst für ein Verfahren entscheiden und nicht beide parallel offen lassen.
Phishing erkennen, bevor es zu spät ist
Die wichtigste Regel ist einfach: Keine Bank fragt per E-Mail, SMS oder Telefon nach Ihrem Passwort oder einer TAN. Wer das verlangt, ist ein Betrüger. Die Verbraucherzentrale fasst die wichtigsten Tipps für sicheres Onlinebanking kompakt zusammen und aktualisiert sie regelmäßig.
Prüfen Sie vor jeder Anmeldung die Adresszeile. Beginnt sie mit https und zeigt ein Schloss-Symbol, ist die Verbindung verschlüsselt. Bei gefälschten Seiten fehlt oft das „s” oder die Adresse weicht minimal ab. Tippen Sie die Bankadresse im Zweifel selbst ein, statt auf Links in Nachrichten zu klicken.
Starke Passwörter und ein Passwortmanager
Die Zwei-Faktor-Authentifizierung ersetzt kein gutes Passwort, sie ergänzt es. Für jedes Konto gilt: ein eigenes, langes Passwort. Wer dasselbe Passwort für E-Mail, Shop und Bank nutzt, öffnet bei einem einzigen Datenleck gleich mehrere Türen. Besonders das E-Mail-Postfach ist heikel, weil darüber bei vielen Diensten die Passwort-Zurücksetzung läuft.
Ein Passwortmanager nimmt Ihnen das Merken ab, schlägt sichere Kombinationen vor und warnt vor mehrfach verwendeten Zugangsdaten. Ob Bitwarden, 1Password oder der in Chrome und iOS integrierte Manager: Entscheidend ist die konsequente Nutzung, nicht der Markenname. Das Master-Passwort dafür sollte lang sein und nirgendwo sonst auftauchen.
Das Smartphone als Schwachstelle
Viele Angriffe zielen heute auf das Handy, weil dort App und Freigabe zusammenlaufen. Drei Punkte helfen:
- Installieren Sie System- und App-Updates zeitnah, denn sie schließen bekannte Lücken.
- Trennen Sie nach Möglichkeit Banking-App und TAN-Freigabe auf zwei Geräte, das erschwert die Übernahme erheblich.
- Sichern Sie das Gerät selbst mit einer sechsstelligen PIN oder Biometrie und nicht mit „1234″.
Öffentliche WLAN-Netze am Bahnhof oder im Café sind für Bankgeschäfte tabu. Nutzen Sie dort lieber das Mobilfunknetz oder warten Sie, bis Sie wieder in einem vertrauenswürdigen Netz sind. Wer häufig unterwegs Bankgeschäfte erledigt, kann zusätzlich eine biometrische Sperre für die Banking-App aktivieren, sodass selbst bei einem entsperrten Handy niemand ohne Fingerabdruck an das Konto kommt.
Vorsicht bei Anrufen und Fernwartung
Eine besonders dreiste Masche läuft über das Telefon. Angebliche Bankmitarbeiter oder falsche Microsoft-Techniker rufen an, erzeugen Druck und bitten darum, eine Fernwartungs-Software wie AnyDesk oder TeamViewer zu installieren. Wer das tut, gibt Fremden die volle Kontrolle über den Bildschirm und damit über das Online-Banking.
Die Regel ist klar: Installieren Sie niemals auf telefonische Aufforderung eine solche Software und geben Sie keine Freigaben frei, die Sie nicht selbst ausgelöst haben. Legen Sie im Zweifel auf und rufen Sie Ihre Bank über die offizielle Nummer auf der Rückseite Ihrer Karte zurück. Seriöse Institute setzen Sie nie unter Zeitdruck.
Was tun, wenn doch etwas passiert
Wer eine verdächtige Abbuchung entdeckt, sollte sofort die Bank informieren und das Konto sperren lassen. Die Sperr-Hotline 116 116 ist rund um die Uhr erreichbar. Nach Paragraf 675v BGB haften Bankkunden bei nicht autorisierten Zahlungen nur eingeschränkt, sofern sie nicht grob fahrlässig gehandelt haben. Wer also nie eine TAN herausgegeben hat, trägt den Schaden meist nicht allein.
Technische Grundlagen und aktuelle Warnungen bündelt das Bundesamt für Sicherheit in der Informationstechnik auf seiner Webseite des BSI. Ein gelegentlicher Blick dorthin lohnt sich, weil neue Betrugsmaschen dort früh dokumentiert werden.
Fazit
Sicheres Online-Banking ist 2026 keine Frage teurer Technik, sondern fester Gewohnheiten. Wer 2FA aktiviert, Phishing-Nachrichten ignoriert, sein Smartphone aktuell hält und im Schadensfall sofort reagiert, macht es Betrügern sehr schwer. Diese vier Punkte schützen besser als jedes nachträgliche Aufräumen.