Digitale Finanzen 01.02.2022, 09:15 Uhr

Sicherheitstipps zwischen Banking und Kryptowährungen

Wer unterwegs und daheim seine Finanzangelegenheiten in digitaler Form regelt, sollte Sicherheit sehr grossschreiben. Denn die Risiken sind hierbei definitiv vielfältiger als am Bankschalter oder -automat.
(Quelle: stock.adobe.com / everythingpossible)
Das Digitale ist längst schon das Finanzielle. Ganz gleich, ob es darum geht, via Payment-Dienstleister eine Bestellung im Netz sofort nach dem Kauf zu bezahlen, eine Banküberweisung mit dem Tablet in die Wege zu leiten oder gleich das Handy im Geschäft über das Terminal zu halten, um die Wocheneinkäufe mitnehmen zu können.
Doch wo es digital wird, da wird es häufig auch unsicher. Im finanziellen Bereich häufig nicht einmal so sehr durch echte Sicherheitslücken als vielmehr durch unsicheres Verhalten. Lesen Sie deshalb jetzt, was Sie tun und vermeiden sollten.

1. LAN, WLAN und Mobilnetze unter der Lupe

Bei vielen digitalen Finanzthemen ist eine Verbindung mit dem Internet zwingend vonnöten. Allerdings ist es eine Tatsache, dass dann eine ganze Reihe äusserst brisanter Daten vom und zum User übertragen werden – beispielsweise seine Kreditkarteninformationen oder Passwörter.
Angesichts dessen sollte es möglichst niemanden, oder wenigstens keinen Unbekannten, geben, der sich theoretisch und praktisch ebenfalls in diesem Netzwerk aufhält. Denn wenn das der Fall ist, könnte diese Person mit entsprechenden Fähigkeiten die Daten abgreifen und einsehen – die Sicherheit wäre kompromittiert.
Unter diesem Aspekt ist es nötig, alle für Privatanwender gängigen Verfahren der Internetkonnektivität zu bewerten und dementsprechend in Finanzangelegenheiten nur diejenigen zu nutzen, die dem Anlass entsprechend sicher sind.
Öffentliche und frei zugängliche Netzwerke sind besonders im Zusammenhang mit finanziellen Angelegenheiten die denkbar unsicherste Option
Quelle: stock.adobe.com / Cara-Foto
Wichtige Do’s und Dont’s für Anwender
In diesem Sinne lässt sich klar eine Abstufung des Sicherheitsniveaus diverser Verbindungen erkennen. Hieraus ergeht dann automatisch, was zu vermeiden ist. Von «unsicher» nach «sicher» bedeutet dies:
  1. Öffentliche WLAN-Netze, bzw. Hotspots: Diese sind in aller Regel nicht mit Passwörtern gesichert. Zudem können sich in einem Netzwerk hunderte Anwender befinden, je nach Grösse der Lokalität. Hierüber sollten niemals Finanzangelegenheiten geregelt werden.
  2. Private, aber fremde WLAN-Netze, etwa bei Bekannten: Man selbst kann nicht garantieren, dass hier alle Möglichkeiten der Router-Absicherung ausgeschöpft wurden, daher höchste Vorsicht.
  3. Firmennetzwerke auf der Arbeit: Zumindest in grösseren Unternehmen steht dahinter eine IT-Abteilung, die (hoffentlich) ihren Job richtig macht und alles relativ sicher konfiguriert hat. Doch Vorsicht aus arbeitsrechtlichen Gründen; ausserdem gilt diese Einstufung nur für Netze, zu denen ausschliesslich Mitarbeiter Zugang haben – keine Externen.
  4. Das private WLAN: Hier hat man es selbst in der Hand, wie sicher es konfiguriert wurde.
  5. Das normale Mobilfunknetz: Zwar kann es ebenfalls gehackt werden, allerdings tragen die Provider Sorge dafür, dass dies nicht so einfach möglich ist.
Den Gipfel stellt allerdings nach wie vor ein privates LAN dar. Also ein Netzwerk, an das das Endgerät via Kabel angeschlossen ist. Schlicht, weil hier alle Sicherheitsvorteile der eigenen Konfigurierbarkeit bestehen und es gleichsam aufgrund der reinen Kabel-Anbindung sehr schwierig ist, dass sich jemand unbemerkt einklinkt. Dies gilt natürlich nur dann, wenn gleichzeitig die WLAN-Funktion ausgeschaltet ist.

2. Etwas Vorsicht bei digitalen Investitionen

Der alte Apple-Werbeslogan «Es gibt für alles eine App» ist längst auch im finanziellen Bereich wahr geworden. Zwischen Aktienhandel und Depotverwaltung ist alles auf praktisch jedem Smartphone und sowieso über den Browser möglich. Ebenfalls haben Kryptowährungen schon seit Jahren ihre Nische verlassen und wurden zu einem gigantischen Welterfolg, der sogar die Glücksspielindustrie beeinflusst, weil die damit verbundenen Ein- und Auszahlungen den dortigen Realitäten so stark entgegenkommen. Dass das «Mining» von Bitcoins und Co. allerdings die Hardware-Verfügbarkeit negativ beeinflusst, ist ebenfalls eine Tatsache.
Als technisch sicher dürfen hierbei alle einschlägig erfolgreichen Apps angenommen werden, sofern alle anderen Sicherheitsmassnahmen eingehalten werden. Das Problem ist hier vielmehr der Mensch.
Durch die virtuelle Natur fühlt sich der Umgang mit vielen Anleger- und Investment-Programmen rasch wie ein Videospiel an – der Umgang mit dem eigenen Geld wird dadurch ebenfalls oft zu einem Spiel
Quelle: stock.adobe.com / Alex from the Rock
Wichtige Do’s und Dont’s für Anwender
Denn die ständige Verfügbarkeit des Smartphones gepaart mit der oft geradezu spielerisch anmutenden Bedienung der Finanzverwaltung sorgt bei vielen dafür, dass sie ein wenig vergessen, dass sie hier mit ihrem eigenen Geld hantieren. Wo es für den Kauf eines Aktienpakets beispielsweise nur einen Fingerwisch benötigt, gerät das digitale Investieren rasch zu einem gefährlichen Spiel.
Hier gelten deshalb drei wichtige Grundregeln:
  1. Die Apps, bzw. Accounts im Browser, so konfigurieren, dass man sich jedes Mal einloggen muss. Eine kleine Hürde sozusagen. Ausloggen nach Nutzung bitte nicht vergessen.
  2. Diesbezügliche Benachrichtigungen abschalten. Kursschwankungen sind normal, können aber auf dem Handy von Unerfahrenen zu Kurzschlusshandlungen verführen.
  3. Bestimmte Tageszeiten festlegen, zu denen man sich dem Thema widmet, sonst besteht ebenfalls die Gefahr von kopflosem Handeln.
Zudem empfiehlt es sich dringend, für die hier erforderlichen Gelder ein separates Konto zu eröffnen, damit jegliches Risiko ausgeschlossen ist, sich um den letzten Rappen zu bringen.

3. Passwortsicherheit als wichtige Grundlage

Das Passwort ist bei vielen finanziellen Anwendungen das Einzige, was zwischen Sicherheit und Angreifbarkeit steht. Leider verstehen jedoch viele Nutzer nicht, wie komplex dieses Thema ist und wie gewieft viele Angreifer sind.
Bei Dingen wie dem eigenen Social-Media-Account mögen passwortbedingte Sicherheitslücken nur ärgerlich sein. Wenn es jedoch beispielsweise um das private PayPal-Konto geht, das mit der Kreditkarte oder gar dem Bankkonto verknüpft ist, werden solche Lücken zu einem katastrophalen Risiko.
Die Passworteingabe sollte anderen niemals Hinweise auf Anzahl und Art der verwendeten Symbole geben. Der private Bereich ist deshalb deutlich sicherer als die Öffentlichkeit
Quelle: stock.adobe.com / Prostock-studio
Wichtige Do’s und Dont’s für Anwender
Grundsätzlich gelten für die diesbezügliche Sicherheit sämtliche Basis-Regeln von Passwörtern. Weiterhin gilt speziell beim Umgang mit digitalen Finanzen:
  1. Mindestens ein fünfzehnstelliges Passwort wählen. Die mit der Passwortlänge verbundenen mathematischen Prinzipien gelten ungeachtet der Rechengeschwindigkeit.
  2. Niemals dieses Passwort auf öffentlichen «Passwort-Checker-Sites» überprüfen lassen, denn dann muss es bereits als kompromittiert gelten.
  3. Das Passwort am besten niemals in der Öffentlichkeit eingeben. Zumindest aber eine Anzeige in Klarzeichen ausschalten – lieber zuhause fehlerfreies Eintippen üben!
  4. Immer mit Zwei-Faktor-Authentifizierung arbeiten, sodass ein Login erst nach Eingabe eines weiteren, nach Absenden des ersten empfangenen, Passworts möglich ist.
Zudem sollten alle diesbezüglichen Konten so konfiguriert werden, dass man über jeden Login und jede Transaktion via E-Mail oder SMS informiert wird – das, was man am schnellsten mitbekommt.
Übrigens ist es überdies nicht die schlechteste Idee, nur für seine finanziellen Angelegenheiten ein getrenntes E-Mail-Konto zu eröffnen, damit sich dieses Feld nicht die Login-E-Mail mit Social Media und anderen Elementen teilt. Das reduziert die Möglichkeiten, über die die Adresse kompromittiert werden kann.

4. Mobile Payment und die gesonderte Kreditkarte

Was den D-A-CH-Raum anbelangt, so gilt die Schweiz längst als schnellster Wachstumsmarkt auf dem Gebiet des Bezahlens mit dem Mobiltelefon – nicht so weit, wie es andere Länder sind, aber deutlich weiter als unsere nördlichen und östlichen Nachbarn. 2021 zahlten immerhin mehr als zwei Drittel aller Schweizer wenigstens einmal wöchentlich mit dem Natel in einem analogen Umfeld, also beispielsweise im Geschäft.
Tatsache ist jedoch, dass einerseits das mobile Bezahlen per se durch die nicht bei allen Transaktionssummen nötige Passworteingabe seine Tücken hat. Andererseits laufen auf dem Smartphone viel zu viele Stränge zusammen, sodass hierüber verschiedenste Angriffsvektoren bestehen.
Beim mobilen Bezahlen reduziert der Einsatz einer gesonderten Kreditkarte zur Verknüpfung mit dem Zahlungssystem sämtliche Risken auf das überschaubare Minimum des Kreditrahmens
Quelle: stock.adobe.com / bnenin
Wichtige Do’s und Dont’s für Anwender
Die meisten mobilen Payment-Lösungen vertrauen darauf, mit einer Kreditkarte verknüpft zu werden. Angesichts dessen wäre es riskant, dafür die normale Karte heranzuziehen – denn diese hat je nach Besitzer ein hohes Limit. Dadurch kann also ein Hack sehr grosse Schäden verursachen.
Angesichts der Tatsache, dass es bei den meisten mobil durchgeführten Zahlungen um vergleichsweise geringe Summen geht, sollte deshalb eine zweite Kreditkarte mit einem deutlich geringeren Limit benutzt werden. Wie hoch, diktiert die Gesamtsumme, die man in einem typischen Monat per Handy bezahlt, ergänzt um eine Sicherheitsreserve. Die meisten Kreditkartenanbieter erlauben hier mittlerweile eine freie Limit-Gestaltung bis auf den einzelnen Franken.

5. Gute TANs und schlechte TANs

Onlinebanking gehört grundsätzlich zu den sichersten digitalen Finanzvorgängen überhaupt, weil zumindest aufseiten der Banken alle Register der digitalen Sicherheit gezogen werden. Zudem gehört der Bankensektor zu denjenigen Branchen, die die fähigsten Köpfe der IT-Sicherheit beschäftigen.
Weitere Sicherheit entsteht dadurch, dass die allermeisten Elemente des Bankings nur nach Eingabe einer TAN möglich sind und damit einem Verfahren, das sicherer ist als viele denkbare Alternativen. Jedoch: TAN-Verfahren unterscheiden sich erheblich voneinander, was die Sicherheit anbelangt.
Das chipTAN-Verfahren gilt aktuell als beste Kombination aus Komfort und Sicherheit. Allerdings ist es deshalb nicht gleichzeitig das sicherste TAN-Verfahren überhaupt
Quelle: stock.adobe.com / Ingo Bartussek
Wichtige Do’s und Dont’s für Anwender
Insofern gilt heute (Anfang 2022), dass HBCI das sicherste TAN-Verfahren ist. Wenn es etwas komfortabler sein soll, dann empfiehlt sich das chipTAN-Verfahren. mTAN und andere Verfahren wurden dagegen bereits mehrfach nachweislich gehackt und sollten nicht verwendet werden.
Allerdings zieht hierbei die Sicherheit deutlich grössere Kreise. Denn es ist nötig, ein Kreditinstitut zu wählen, dass diese besonders sicheren Verfahren anbietet. Das ist längst nicht überall der Fall.

6. Sichere Geräte sind buchstäblich Geld wert

Es gibt viele verschiedene externe Faktoren, die über die Sicherheit digitaler Finanzangelegenheiten bestimmen. Was jedoch häufig übersehen wird, sind die Endgeräte, auf denen das alles stattfindet. Hier ist es eine Tatsache, dass Sicherheit von Gerätehersteller zu Gerätehersteller und von Betriebssystem zu Betriebssystem vollkommen unterschiedlich stark ausgeprägt sein kann. Insofern sollten die Geräte selbst und ihre Software einer kritischen Überprüfung standhalten können. Doch was macht ein Gerät wirklich sicher?
Ein grundsätzlich mit sicheren Verfahren vor unbefugtem Zugriff gesperrtes Endgerät ist die wichtigste Basis, selbst wenn es hierbei noch deutlich mehr zu tun gibt
Quelle: stock.adobe.com / denisismagilov
Wichtige Do’s und Dont’s für Anwender
Tatsächlich fängt hier alles bereits im Grossen an: Es gibt nun einmal Hardware-Hersteller, von denen – freundlich formuliert – bekannt ist oder vermutet wird, dass sie es mit der Sicherheit nicht so genau nehmen. Das gilt selbst, wo das deutsche BSI gerade vermeldete, dass es auf Xiaomi-Geräten keine Sicherheitslücken gäbe. Ungleich zu dem, was litauische Behörden zuvor gemeldet hatten.
Diesbezüglich sollte es nicht gerade ein Billig-Handy vom No-Name-Hersteller sein, über das man vielleicht zehntausende Franken zwischen Konten verschiebt. Diese bieten selbst dann keine grosse Sicherheit, wenn darauf ein bekanntes Betriebssystem läuft – schliesslich kann auch Hardware diverse Lücken haben. Zudem gibt es besonders im Bereich der mobilen Betriebssysteme, und hier speziell Android, genügend Hersteller, die eigens angepasste Versionen nutzen.
Wenn diese Grundlage besteht, können weitere Massnahmen erfolgen:
  • Auf dem Gerät sollte es keine Programme/Apps zweifelhaften Verhaltens oder Herkunft geben.
  • Die Finanz-Apps sollten von namhaften Quellen stammen. Banken, grosse Software-Hersteller und ähnliches. Bitte vor dem Installieren immer recherchieren!
  • Alle beteiligten Systeme sollten ständig die neuesten Updates installiert haben – viele davon schliessen Sicherheitslücken.
  • Bei den Apps sollten die Berechtigungen genau überprüft und nötigenfalls entzogen werden.
  • Wichtige Passwörter sollten niemals auf demselben Gerät gespeichert werden. Allerhöchstens in einer renommierten Tresor-App. Hier lohnt es sich unbedingt, auf kostenpflichtige Programme zu setzen.
  • Das Gerät selbst sollte niemals ohne weitere Massnahmen zu entsperren sein, weil es sonst jeder Dieb/Finder viel zu leicht hat. Die grösste Sicherheit bietet eine Kombination aus biometrischer und Passwortsicherheit. Zudem sollte das Gerät so konfiguriert werden, dass es sich bei Verlust aus der Ferne sperren lässt.
Bei mobilen Geräten sollte zudem die Aufmerksamkeit unbedingt auf die virtuelle Tastatur gerichtet werden. Da sie letztlich ebenfalls nur eine Software ist, ist es leicht, darüber jede Eingabe an unbekannte Dritte weiterzuleiten. Hierbei sind leider selbst bekannte Tastaturen nicht frei von Sicherheitsbedenken.
Zumindest für Finanzhandlungen, die wirklich als kritisch angesehen werden können, sollte deshalb besser eine physische Tastatur genutzt werden. Zwar kann diese ebenfalls ausgespäht werden, jedoch nur mit deutlich grösserem Aufwand.

7. Risiken kennen, Maschen vermeiden

Warum gibt es nach wie vor Menschen (und nicht gerade wenige), die via E-Mail nicht nur ihre Kontodaten auf Anfrage versenden, sondern sogar noch den PIN dazuschreiben? Ganz einfach: Weil es leider vielen nicht bewusst ist, wie trickreich, wandlungsfähig und vor allem dreist Kriminelle in digitalen Belangen vorgehen. Diese uralte Masche des Phishings funktioniert deshalb leider sogar in den frühen 2020ern immer noch hervorragend.
Der Kern dieses Beispiels ist derselbe, der für alle anderen Formen von digitaler Kriminalität besteht: Um zu wissen, wie man sich schützen kann, muss man zunächst erst einmal wissen, wie das Risiko aussieht.
stock.adobe.com / tippapatt
Quelle: Es gibt viele Betrugsmaschen, die auf digitale Finanzinformationen abzielen. Viele würden bereits scheitern, wenn alle User begriffen, dass kein seriöses Unternehmen brisante Informationen per E-Mail abfragen oder übertragen würde
Wichtige Do’s und Dont’s für Anwender
Daraus ergeht ein ganz simpler Grundsatz:
Wenn es, insbesondere in digitalen Finanzbelangen, etwas gibt, bei dem ich nicht sämtliche Risiken kenne, dann informiere ich mich zuvor. Und sobald mir irgendetwas auch nur im Entferntesten seltsam vorkommt, hake ich bei den entsprechenden Stellen nach.
Nach dieser Vorgehensweise wüsste beispielsweise jeder, dass …
  • die E-Mail ein extrem unsicheres Medium ist. Nicht umsonst sagt der Volksmund, dass man darüber nichts versenden sollte, was man nicht auf eine Postkarte ohne Couvert schreiben würde.
  • Banken die PIN und Kontodaten ihrer Kunden selbst kennen und diese niemals über irgendwelche Kanäle ausserhalb ihrer eigenen Website erneut abfragen würden – auch nicht für ominöse «Bestätigungen».
  • eine solche Anfrage per Mail praktisch ausschliesslich der Versuch ist, mit einer etablierten Phishing-Masche Menschen zu betrügen und zu bestehlen.
Nicht umsonst informieren wir in unserer Kategorie Sicherheit immer wieder im Detail über neue Betrugsmaschen. Nicht umsonst betreibt der Bund ein eigenes Anti-Phishing-Portal. Und nicht umsonst informiert wirklich jede Kantonspolizei auf ihrem digitalen Auftritt über weitere diesbezügliche Neuerungen.
Wie so oft im Netz so muss man erneut hier nur zugreifen, um sich die nötigen Informationen zu verschaffen. Das ist jedoch immer eine Holschuld. Von den Kriminellen darf man nicht erwarten, dass sie Hinweise geben.

8. Das Problem von Default-Einstellungen

Usability ist schon seit den 1970ern ein Faktor, unter dem Entwickler vieles andere unterordnen müssen. Nutzer müssen also in der Lage sein, Hard- und Software zu bedienen, ohne dafür grossartig lernen oder nachdenken zu müssen.
Mittlerweile hat dieser Grundgedanke dazu geführt, dass die Usability von Geräten und Softwares auf Konsumentenebene hervorragend ist. Alles ist selbsterklärend und intuitiv. Gleichzeitig jedoch werden diese Geräte dennoch immer komplexer. Allein, wie viele verschiedene Sensoren in ihrem Natel stecken, ist vielen Smartphone-Besitzern nicht einmal im Ansatz bewusst.
Das Problem daran: Usability ist immer eine Gratwanderung zwischen Komfort und Sicherheit. Viele Hersteller tendieren leider dazu, ersterem den Vorgang zu geben. Dadurch befinden sich Millionen Geräte weltweit im Umlauf, die zwar jeder bedienen kann, die aber ohne weitere Massnahmen nicht so sicher sind, wie sie es eigentlich sein könnten.
Viele moderne Geräte sind im Neuzustand unsicher konfiguriert – aus Komfortgründen. Es liegt deshalb ab jedem Nutzer selbst, durch Einstellungen und Löschungen diesen Zustand abzustellen
Quelle: stock.adobe.com / Ocskay Mark
Wichtige Do’s und Dont’s für Anwender
Das führt uns zu den Default-Einstellungen. Wer beispielsweise heute ein neues Android-Handy erstmalig startet, dem muss klar sein, dass darauf nicht nur sehr viel Überflüssiges läuft, sondern vieles zudem unsicher ist – beispielsweise eine dauerhaft eingeschaltete Bluetooth-Verbindung, die im Default-Modus keinen Passwortschutz eingestellt hat.
An diesem Punkt unterscheiden sich digitale Finanzen nicht mehr von jeder anderen Anwendung: Alles, was als Default-Modus eingestellt wurde, sollte «sicherheitshalber» als unsicher angesehen werden.
  • Einstellungen,
  • Rechte,
  • Passwörter,
  • Sichtbarkeit.
All das sollte gründlich überprüft und vom Nutzer selbst sicher gemacht werden. Allein schon, weil die Default-Positionen auf wirklich jedem Gerät einer Modellreihe gleich sind und somit beispielsweise jeder dasselbe Passwort verwendet.
Sein Gerät sicher zu machen, ist eine Bringschuld sich selbst gegenüber. Dabei sollte man es den Herstellern nicht verübeln, dass sie für die Grundeinstellungen dem Komfort Vorrang geben – denn das ist es schliesslich, was die allermeisten Nutzer zuvorderst fordern.

Zusammenfassung und Fazit

Insbesondere auf dem Smartphone laufen heute zahlreiche «Fäden» unseres gesamten Lebens zusammen. Verständlich ist es, dass viele deshalb dazu tendieren, hierüber wenigstens einen Teil ihrer Finanzbelange abzuwickeln. Doch gerade, weil hier so vieles zusammenläuft, besteht ein beträchtliches Risiko – und das beileibe nicht nur bei Verlust oder Diebstahl.
Wer alle Vorteile der digitalen Finanzwelt nutzen möchte, muss sich deshalb immer darüber im Klaren sein, dass dieser Komfort niemals zulasten der Sicherheit gehen darf. Nur ist dafür jeder weitestgehend selbst verantwortlich und muss entsprechend handeln.




Das könnte Sie auch interessieren