Online Banking - Euer Sicherheitskonzept

    Hallo in die Runde,


    Die freie Zeit über den Jahreswechsel hat mich wieder mal zum Nachdenken gebracht, wie man seine Bankgeschäfte möglichst sicher gestaltet. Daher wollte ich einmal fragen, wie ihr das handhabt und was dahingehend best practices sind.


    Zunächst mal mögliche Bedrohungen, die ich sehe:

    1. Hacking des Endgeräts (z.B. Key-Logger auf Computer/Handy…)
    2. Phishing (Umleitung auf falsche Website)
    3. Enkeltrick, “Bank ruft an” o.ä.
    4. Einbruch zuhause, Erbeutung von Passwörtern und Geräten
    5. Einbruch zuhause mit “Geiselnahme”, also der Einbrecher zwingt mich mich, mich ins online Banking einzuloggen und Transaktionen vorzunehmen
    6. Überfall/Entführung auf der Straße (z.B. im Urlaub), Täter zwingt mich auf dem Handy Transaktionen vorzunehmen

    Meine Gedanken, wie man dem begegnen kann:


    Zu 1. und 2. scheint es mir deutlich sicherer, mit einer App auf einem iOS gerät zu arbeiten, als Banking im Browser zu machen. Banking-App und TAN-App möglichst auf getrennten Geräten? Bei der ING z.B. gibt es aber nur eine App, fühlt sich für mich nicht so gut an.


    3. lässt sich nur dadurch verhindern, dass man versucht möglichst klar im Kopf zu bleiben?


    4. Gefahr durch TAN App-Verfahren etwas reduziert, da das Gerät mit der TAN-App erst mal entsperrt werden muss? Aber: Geräte-Passwort / Code hat man vielleicht auch irgendwo aufgeschrieben…

    TAN-App besser auf dem Gerät, das man mit sich führt, damit es nicht zuhause rumliegt wenn man unterwegs/im Urlaub ist?


    5. Lässt sich nur dadurch vermeidet, dass man komplett auf online Banking verzichtet?


    6. Würde dafür sprechen, auf dem Handy, das man mit sich führt, keine Banking App zu installieren. Also zuhause noch ein zweites Handy, das man nur dafür nutzt? Auf dem Dabei-Gerät am besten auch keine TAN-App? Aber, siehe 4 —> Also TAN App doch mitnehmen?


    Wie macht ihr das?


    PS: Ja, ich weiß, bin etwas paranoid ;)

    1. brain.exe

    2. brain.exe

    3. brain.exe

    4. Fortlaufend (Sicherheits-)Updates installieren

    5. Ich nutze privat macOS auf dem Computer - Trotz ebenfalls vorhandener Sicherheitslücken, ist der Angriffsvektor doch deutlich kleiner als beim typischen Windows-User. Zudem prüfe ich sorgfältig, was ich von wo installiere. Als Erhöhung der Sicherheitsstufe könnte ich auch ein Debian-Linux verwenden, welches auf einem Bastelrechner (Raspberry Pi) läuft und per Remote Desktop drauf zugreifen.

    6. Auf dem Handy nutze ich iOS, welches im Vergleich zu Android doch auch deutlich Sicherheitsvorteile auf verschiedenen Ebenen (Hardware, Firmware, Software) hat. Logisch ist, dass das Gerät nicht jailbroken ist.

    7. Gehe ich per Computer ins Online-Banking, nutze ich meine Bookmarks direkt zum Login.

    8. Prüfen was bei der Transaktion angezeigt wird.

    9. Regelmäßig die Kontobewegungen prüfen.

    10. Möglichst keine Kreditkartendaten bei Anbietern speichern lassen.

    11. Nicht auf obskure Mails oder SMS reagieren.

    12. Ich hab einen Adblocker (Pihole) als DNS-Server im Heimnetzwerk laufen, welcher zum Teil auch Malware- und Phishing-Seiten blockt (wobei natürlich immer neue Domains aufpoppen und die Gefahr besteht, dass die Blockliste unvollständig ist).


    Zu deinen Bedrohungen:

    3) Ich erwarte keine Anrufe von meiner Bank. Die sollen sich schriftlich an mich wenden, wenn sie ein Begehren haben.

    4) Wäre doof, hätte aber keinen Impact, da dem Einbrecher dann trotzdem noch mindestens ein Faktor für den Login fehlt (z.B. mein Fingerabdruck oder Passcode); Passwörter habe ich nicht im Klartext gespeichert oder aufgeschrieben.

    5) und 6) halte ich für statistisch nicht relevant bzw. nicht realistisch. Aber ich würde auch nicht in Mexico oder Brasilien Urlaub machen. Und warum sollte mich jemand, was sehr aufwändig und gefährlich ist, als Geisel nehmen, eine nachverfolgbare Zahlung durchführen, wenn er stattdessen einfach während meines Urlaubs meine Wohnung ausräumen könnte?