Verbraucher sollten nicht blind auf das bekannte Design des Internetauftritts ihrer Bank vertrauen. Denn Online-Kriminelle können Webseiten bauen, die denen der Geldinstitute täuschend ähnlich sehen. Werden dann Bankdaten eingegeben, landen diese direkt bei den Betrügern. Über einen solchen Fall hat der Bundesgerichtshof (BGH) in Karlsruhe am Dienstag (24. April) verhandelt und entschieden: Bankkunden, die auf gefälschten Webseiten ihre Trankaktionsnummern (TAN) angeben, müssen für den Schaden durch betrügerische Überweisungen in der Regel selbst aufkommen (Aktenzeichen: XI ZR 96/11).

Worauf Verbraucher achten müssen, wenn sie im Netz ihre Geldgeschäfte sicher erledigen wollen:

Keine Tans herausgeben: Wer beim Online-Banking gleich nach dem Login nach einer Transaktionsnummer gefragt wird, befindet sich mit Sicherheit auf einer gefälschten Phishing-Seite, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Verschlüsselte Verbindung: Sicherheitshalber sollte man die Internetadresse der Bank immer von Hand eingeben, auf eine verschlüsselte https-Verbindung achten und mit einem Doppelklick auf das kleine Schloss-Symbol überprüfen, ob die Seite tatsächlich der Bank gehört. Weist das sich öffnende Zertifikat nicht die Bank als Besitzerin der Internetadresse, sollte man die Transaktion abbrechen. Praktisch: Browser-Plug-ins wie HTTPS Everywhere können verschlüsselte Verbindungen - falls verfügbar - erzwingen.

Phishing-Mails ignorieren: Ein Alarmsignal ist außerdem, wenn Internetnutzer angeblich offizielle Mails bekommen, in denen sie aufgefordert werden, TANs, PINs, Kreditkartennummern oder Passwörter anzugeben oder auf Links zu klicken. Denn auch hinter diesen Phishing-Mails stecken Online-Kriminelle, erklärt das BSI. Seriöse Banken, Zahlungsdienstleister oder Unternehmen fordern ihre Kunden niemals per Mail oder Telefon zur Eingabe sensibler Daten auf. Die Betrüger arbeiten kreativ mit Sperrandrohungen, vermeintlichen Aktualisierungen oder Bestätigungen aus Sicherheitsgründen, angeblich ablaufenden oder verlorenen Passwörtern oder Kreditkartennummern. Wer unsicher ist, kontaktiert am besten seine Bank oder das betreffende Unternehmen.

Zugangsdaten schützen: Ihre Zugangsdaten fürs Online-Banking sollten Surfer wie ihren Augapfel hüten. Benutzername, Kennwort und TANs dürfen nie im Internet, zum Beispiel in sozialen Netzwerken, weitergegeben und nur auf der Seite der eigenen Bank oder bei vertrauenswürdigen Online-Shops genutzt werden. Auf Rechnern, Tablets oder Handys sollte man Bankdaten nicht speichern und sein Passwort zum Online-Banking regelmäßig, etwa alle drei Monate wechseln.

Sicheres Passwort wählen: Nur ein abstraktes Passwort mit Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen, das keinen Sinn ergibt, ist ein sicheres Passwort. Man merkt es sich am besten mit einem Satz als Eselbrücke. Dabei wird das Passwort aus dem ersten Zeichen jedes Wortes und den Ziffern und Satzzeichen gebildet. Beispielsweise ergibt der Satz „Wie soll ich mir 5 Passwörter merken?“ das Passwort „Wsim5Pm?“.

Überweisungslimit einrichten: Um einen möglichen Schaden durch Online-Kriminelle von vorneherein zu begrenzen, kann man mit seiner Bank ein Limit für tägliche Geldbewegungen festlegen. Nur wer seine Kontobewegungen regelmäßig überprüft, kann Unregelmäßigkeiten schnell feststellen und reklamieren - auch auf seinem Kreditkartenkonto. Da digitale Kontoauszüge gefälscht sein können, rät das BSI auch weiterhin Papierauszüge von der Bank zu holen.

Rechner schützen: Damit Phishing-Betrüger keine Sicherheitslücken ausnutzen können, sollten Nutzer eine Firewall und Virenschutzsoftware einsetzen und diese wie das Betriebssystem immer auf dem neuesten Stand halten. Nach Möglichkeit nutzen Verbraucher Online-Banking immer nur mit eigenen Geräten.

Risikofaktor Mobile Banking: Kriminelle versuchen sogar schon, an mobile TAN-Nummern (mTANs) zu gelangen, die die Banken an das Handy des Kunden schicken. Entweder versuchen sie mTANs per Trojaner abzugreifen, die sie über Apps aufs Smartphone schleusen. Oder sie greifen erst den PC und dann das Smartphone an. Vor allem Android-Nutzer, installieren deshalb möglichst nur bekannte und weit verbreitete Apps aus vertrauenswürdigen Quellen wie dem Play Store. Smartphone-Nutzer sollten zudem nie Mobilfunknummer, Handymodell oder IMEI-Nummer angeben - denn auch solche Daten fragen Banken nicht ab, sondern nur Betrüger.

Wer mobiles Banking nutzt, sollte wissen, dass die Banken in ihren Geschäftsbedingungen verbieten, dass mTANs an ein Handy geschickt werden, mit dem online Bankgeschäfte erledigt werden. Darauf weist die Verbraucherzentrale Nordrhein-Westfalen hin. Wer also im Betrugsfall nicht auf dem Schaden sitzen bleiben will, muss streng genommen ein zweites Handy für die Zusendung der mTAN nutzen.

Mit dem aktuellen Urteil des BGH vom Dienstag blieb die Klage eines Bankkunden aus Nordrhein-Westfalen ohne Erfolg. Von seinem Konto waren 5000 Euro nach Griechenland überwiesen worden. Zuvor hatte er insgesamt zehn Transaktionsnummern (TANs) auf einer vermutlich gefälschten Website eingegeben. Der Kunde habe damit „die im Verkehr erforderliche Sorgfalt außer Acht gelassen“, so der BGH. Er hätte Warnhinweise vor Online-Betrügern berücksichtigen müssen. Deshalb sei er selbst für den Schaden verantwortlich und habe keinen Anspruch auf Ersatz des Geldes.