Last updated on Oktober 18, 2025

Inhalt

Siehe auch
Kontenmodell (für lange Auslandsaufenthalte)
Sicherheit Unterwegs
Handy-Sicherheit

Gestohlenes oder verlorenes Bargeld ist meist unwiederbringlich verloren.

Generell bezahlen wir schon lange vieles digital – etwa Miete, Strom oder Versicherungen – per Abbuchungsgenehmigung oder Überweisung.

Ich nutze das Google Wallet. Selten physische Kreditkarten. Kaum Bargeld.

Sicherheit von Transaktionen mit Banking-Apps

Zur Autorisierung von Finanztransaktionen in Banking-Apps gibt es zwei grundsätzliche Verfahren (Zwei-Faktor-Authentifizierung [2FA]):

  • PC mit externem Kartenleser und Tastatur (Chip-TAN):
    Gilt als das sicherste Verfahren. Die Freigabe erfordert die Girocard (Besitz) und PIN-Eingabe auf dem Leser (Wissen). Transaktionsdaten werden meist durch Scannen eines QR-Codes oder einer Grafik vom Bildschirm in das Gerät übertragen. Die Autorisierung erfolgt auf einem physisch getrennten Gerät, was maximalen Schutz vor Malware bietet.
    Die Kartenleser funktionieren nur an PCs und Notebooks, nicht an Handys.
  • Handy-App (Push-TAN):
    Gilt ebenfalls als sehr sicher. Die Freigabe erfolgt über App-PIN/Passwort (Wissen) oder Fingerabdruck/Gesichtserkennung direkt im Smartphone (Besitz). Das Verfahren ist anfälliger, wenn die Banking-App und die TAN-App auf demselben kompromittierten Gerät genutzt werden. Es bietet jedoch den höchsten Komfort.

SEPA-Lastschriftmandate lassen sich wohl leicht fälschen (das System ist auf die Widerspruchsmöglichkeit ausgelegt), also kann grundsätzlich jeder relativ leicht von irgendeinem Konto abbuchen.

Beleghafte Überweisungen (in Filiale, oder per Post) sind signifikant unsicherer als elektronisch autorisierte. Das alleinige Sicherheitsmerkmal ist die Unterschrift, welche leicht gefälscht werden kann, und die manuelle Bearbeitung erhöht das Risiko von Fehlern oder Manipulation. Der Kunde erhält keine Auftragsbestätigung.

Kartenarten & Sicherheitsmerkmale

Es gibt Kredit- und Debit-Karten. Bei Debit werden Zahlungen und Abhebungen immer direkt vom Referenzkonto abgebucht. Bei Kredit räumt die Bank ein Kreditlimit ein und bucht die Umsätze gesammelt erst an einem Stichtag oder in Ratenzahlungen (wegen extrem hoher Zinsen nicht empfohlen!) ab.

Es gibt physische und virtuelle Karten. Virtuelle existieren ausschließlich digital. Sie können nur online (im Browser) oder via Wallet genutzt werden.

Die Girocard (früher EC-Karte) ist eine deutsche Debitkarte.

  • Reine Girocards ohne Co-Badges (zusätzliches Zahlverfahren) werden nur in Deutschland akzeptiert und in einigen touristischen Regionen im Ausland. Sie können nicht für Online-Zahlungen genutzt werden. Sie sind nicht wallet-fähig.
  • Es gibt Girocards mit Co-Badge „V-Pay“. Visa V-Pay wird hauptsächlich in Europa akzeptiert und läuft aus. Mit diesen kann man nicht online zahlen. Sie sind nicht wallet-fähig.
  • Filialbanken stellen schrittweise auf die Co-Badges „Debit Visa“ und „Debit Mastercard“ um. Mit diesen Karten kann man online zahlen. Je nach Bandk sind sie wallet-fähig.
  • Direktbanken (wie ING, DKB, Consorsbank) planen nicht, von V-Pay auf die anderen Co-Badges umzustellen. Sie setzten auf separate Debit-Kreditkarten. Diese sind wallet-fähig.
  • Die Authentifizierung mit einem Kartenleser (für Banking- und Gesundheits-Apps) funktioniert nur mit Girocard.

Ich vertraue nicht darauf, dass Debit-Karten (Visa, Mastercard, Girocards mit Co-Badge) genauso breit akzeptiert werden wie traditionelle Kreditkarten (Mietwagenkautionen, Hotelreservierungen) und trage deshalb die Kosten für klassische Kreditkarten gerne.

Sicherheitskritisch bei Karten sind vor allem PIN und CVC-Code (Prüfziffer). Name und Kartennummer sind weniger sensibel und ohnehin relativ leicht auszuspähen.

  • PINs sollte man sich merken oder sicher speichern, z.B. im Passwortmanager oder auf einem verschlüsselten PIN-Spickzettel notieren.
  • Am sichersten sind Karten ohne aufgedruckten CVC-Code (Wise, N26, Revolut, bung, Vivid). Dieser lässt sich dann nur in der App anzeigen. Manche Anbieter ändern den CVC-Code und Kartennummer mit jeder Transaktion. Karten mit aufgedrucktem CVC-Code sollte man nur in Wallets nutzen oder (temporär) für Online-Käufe sperren.
    • Missbräuchliche Online-Zahlungen und Telefongeschäfte mit ausgespähtem CVC-Code oder CVC-Code aus Datenleck sind heutzutage bei Händlern, die über in der EU ansässige Zahlungsdienstleister abrechnen, via zusätzlicher Bestätigung über 3D-Secure (Visa Secure, Mastercard Identity Check) ausgeschlossen. Ausgenommen von 3D-Secure können sein: Kleinbeträge, wiederkehrende Zahlungen (Abos) oder manuell freigegebene Händler (Whitelist).
    • Über nichteuropäische Zahlungsdienstleister z.B. in Japan, USA, Asien könnte mit ausgespähtem CVC-Code bis zum Kartenlimit online eingekauft werden, aber meines Wissens blockieren meine Banken Transaktionen von solchen Dienstleistern.

Sicherheit von Karten und Wallets

Mit Karte kann ohne PIN bis ca. 50 € gezahlt werden. Mit erpresster oder ausgespähter PIN bis zum Kartenlimit, bei Girocards bis zum Kontolimit. Mit ausgespähtem CVC-Code könnte über nichteuropäische Zahlungsdienstleister bis zum Kartenlimit online eingekauft werden, falls die Bank das nicht blockiert.

In manchen Ländern ist bei einigen Banken kartenloses Abheben an Geldautomaten mit Wallet via NFC oder Bank-Apps oder via QR-Code oder Abhebe-Code an Geldautomaten möglich. Das unterbindet das Risiko von PIN-Diebstahl durch Ausspähen oder Skimming und scheint mir generell sicherer zu sein.

Kartenzahlung per Wallet auf Handy oder Smartwatch ist insofern sicherer als mit physischer Karte, als selbst Zahlungen von Kleinstbeträgen nur mit entsperrtem Gerät möglich sind und weil dabei Karteninformationen nicht ausgespäht werden können. PIN, CVC-Code und Name werden nicht mal an das Händlersystem übertragen.

Wird aber ein Handy gestohlen und dem Dieb gelingt die Entsperrung (technisch oder durch Zwang, Betäuben, Entreissen), kann das folgenreicher sein als ein Kartenverlust. Ich halte dieses Szenario aber für unwahrscheinlich und es bleibt die Möglichkeit, Kartentransaktionen zurückzubuchen, falls keine grobe Fahrlässigkeit nachweisbar ist. Betrügerische Überweisungen hingegen lassen sich vom Empfänger nur schwer zurückholen oder von der Bank erstatten.

Mit der Überwindung der biometrischen Sperre eines Handys ist häufig auch die biometrische Sperre von Wallet, Finanz-Apps, Authenticator-App und des Passwortmanagers überwunden. Hat der Dieb also z.B. den Fingerabdruck zum Entsperren des Handys geknackt, dann hat er auf alles Zugriff, was via Fingerabdruck abgesichert ist.
Um zu verhindern, dass in solchen Fällen ein Dieb die Kartenlimits erhöht oder Guthaben überweist, kann man

  • Banking-App erst gar nicht auf dem Handy installieren (das geht aber meist nicht, weil die Apps für Freigaben und Banking nicht getrennt sind).
    Siehe auch Digitale Souveränität.
  • Bei Banking-Apps die komfortable biometrische Entsperrung ausschalten. Meine Banking-Apps verlangen dann immer die Eingabe der App-PIN.
  • Bei manchen Banking-Apps (wie ING) lässt sich die Biometrie rein für Freigaben ausschalten. Das ist ein guter Kompromiss zwischen Sicherheit und Bequemlichkeit. Bei DKB und der Postbank (BestSign) lässt sich leider nicht getrennt einstellen, ob Biometrie nur für die Anmeldung oder auch für Freigaben genutzt wird.

Haftung und Zurückbuchen, Erstattung

Irrtümliche oder betrügerische Überweisungen zurückzubuchen kann schwierig bis unmöglich sein, denn Überweisungen sind grundsätzlich endgültig. Die Bank haftet nur bei nicht autorisierten Zahlungen, etwa wenn Onlinebanking ohne Mitwirkung des Kunden gehackt wurde. Selbst wenn die Überweisung durch Drohung, Täuschung, Betäubung oder Gewalt erzwungen wurde, erstattet die Bank nicht. Ein Herausgabeanspruch gegen den Empfänger besteht zwar, doch muss man in der Praxis oft klagen – der Erfolg ist ungewiss.

Lastschriften lassen sich leicht zurückbuchen. Man hat ein bedingungsloses Widerspruchsrecht und kann die Rückbuchung ohne Angabe von Gründen verlangen.

Die Haftung bei Missbrauch von Zahlungskarten ist gesetzlich auf 50 € begrenzt – außer bei grober Fahrlässigkeit (z. B. PIN auf Karte, in Kartennähe oder unverschlüsselt auf Zettel notiert) oder Vorsatz. Nach Sperrung haftet man generell nicht mehr. Viele Banken erstatten die 50 €, wenn keine Mitschuld vorliegt.
Die Bank trägt die Beweislast für die Autorisierung. Der Kunde muss lediglich bestreiten, dass er autorisiert hat. Die Bank kann die Erstattung nur verweigern, wenn sie dem Kunden grobe Fahrlässigkeit nachweisen kann. Es reicht nicht, dass die Bank nur technische Aufzeichnungen vorlegt, die die Nutzung eines Authentifizierungsinstruments belegen; sie muss zeigen, dass keine Manipulation oder kein Fremdzugriff stattgefunden hat.
Es scheint häufig vorzukommen, dass Banken mit dem pauschalen Vorwurf grober Fahrlässigkeit oder generellem Verweis auf die Sicherheit ihrer Systeme ablehnen. Dann hilft nur, Widerspruch einzulegen und wenn erfolglos, den Rechtsweg über Ombudsstellen oder Gerichte zu beschreiten.

Irrtümliche oder betrügerische Buchungen mit Kredit- oder Debit-Karten lassen sich in der Regel leicht zurückbuchen (Chargeback), wenn man sie rechtzeitig bemerkt und keine grobe Fahrlässigkeit vorliegt. In vielen Apps kann man den Umsatz direkt auswählen und „Umsatz beanstanden“ tappen oder man nutzt ein Reklamationsformular.
Muss man bei der Zahlung eine Unterschrift leisten, wie an manchen Tankstellen, wird die Transaktion über das Lastschriftverfahren abgewickelt und kann nicht über Chargeback storniert werden, sondern über Lastschrift-Rückgabe.

Mit Girokarten ist das Zurückbuchen umständlicher als bei Kreditkarten und oft weniger erfolgreich. Das Verfahren ist nicht standardisiert und man ist eher vom guten Willen der Bank abhängig.
So musste ich z. B. nach einem Skimming‑Vorfall auf Aufforderung meiner Bank eine Anzeige erstatten, obwohl deren Systeme den Betrug bereits vor mir erkannt hatten.

Grob fahrlässig könnte sein:

  • Umgang mit PIN und Karte
    • PIN auf Karte, in Kartennähe oder unverschlüsselt notiert
    • Weitergabe der PIN – auch an Bankmitarbeiter oder Familienangehörige
    • Nutzung leicht erratbarer PINs (z. B. Geburtsdatum, 1234)
  • Verhalten bei Online-Zahlungen
    • Ignorieren offensichtlicher Warnhinweise oder Sicherheitsvorkehrungen (z.B. Eingabe von Daten auf offensichtlich gefälschten Websiten wie bei Phishing mit schlechter URL)
    • Klicken auf Links in verdächtigen E-Mails oder SMS (z. B. angebliche Paketbenachrichtigungen) oder Scannen irgendwelcher QR-Codes
    • Ignorieren von Sicherheitswarnungen des Browsers oder der Banking-App
  • Gerätesicherheit (Handy, Tablet, PC)
    • Unzureichender Schutz der Zugangsdaten
      Analog zum Umgang mit PIN und Karte
    • Entsperren des Handys mit einfacher Wischgeste oder kurzer PIN
    • Nutzung eines gerooteten oder gejailbreakten Geräts
    • Nutzung veralteter oder nicht offiziell unterstützter Banking-Apps (ist häufig bei deGoogled Android-Handys)
    • Deaktivierung von Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung oder Gerätesperre
  • Allgemeines Verhalten
    • Nichtmeldung eines Kartenverlusts oder verdächtiger Buchungen über längere Zeit
    • Aufbewahrung der Karte an unsicheren Orten (z. B. offen im Auto)
    • Weitergabe von Karten oder Zugangsdaten an Dritte zur „Nutzung im Auftrag“

Vorsicht mit E-Mails!

Vorsicht bei (unerwarteten) E-Mails oder Nachrichten von (angeblichen) Banken – insbes., wenn die Mail vor Missbrauch warnt! Phishing ist weitverbreitet. Keine Links anklicken, keine Nummern aus Mails anrufen – auch dann nicht, wenn man ganz sicher ist, dass es eine normale E-Mail von einer Bank ist. Immer direkt per App oder gespeicherter URL ins Onlinebanking gehen. Nicht nach URLs oder Kontakt-Infos im Web suchen, nur die Infos nutzen, die man sich mal in Ruhe bei Kontoeröffnung im Passwortmanager eingetragen hat.

Es gab schon Fälle, bei denen E-Mails abgefangen und die IBAN in Rechnungen geändert wurde. Erst seit Okt. 2025 sind Banken verpflichtet zu prüfen, ob Empfängername und IBAN zusammenpassen.

Empfehlenswerte Sicherheitsmaßnahmen

Wertsachen auf mehrere Orte verteilen: Safes, Geldbeutel, Waist-Bag, in getragener Kleidung, in Gepäckstücken, bei mehreren Banken.

Möglichst wenig Bargeld außerhalb von Safes haben.
Auch auf Reisen habe ich nur wenig Bargeld dabei. Das ist sicherer und die Wechselkurse (inkl. Gebühren) in Wechselstuben sind nicht besser als die von Visa oder Mastercard.

Handys und Smartwatches sicher konfigurieren:

  • Face ID ist sicherer als Fingerprint und der ist sicherer als kurze numerische PINs. Wischgesten halte ich für zu unsicher. Da man Handys immer auch per PIN entsperren kann, sollte diese mindestens 6-ziffrig sein oder besser ein gutes, langes, aber leicht einzugebendes Passwort
  • Verfügbare Sicherheits- und App-Updates zeitnah installieren
  • kein Sideloading
  • Bildschirm automatisch sperren nach kurzer Inaktivität (max. 30–60 Sek)
  • Sicherheitsfeatures wie Android Auto-Lock Protection und Lockdown Button aktivieren
  • Repair-Mode (bei Abgabe zur Reparatur) und Gastzugang (wenn kurz an andere verliehen) nutzen
  • Für weiteres siehe Handy-Sicherheit.

Zur Vorbeugung gegen Defekt, Diebstahl oder Verlust meines primären Handys habe ich ein Ersatzhandy, welches bereits zur Authentifizierung (via Passwort-Manager und Authenticator-App) und für alle Finanz-Apps freigeschaltet ist. Das ist mir besonders auf Reisen wichtig.

Wo möglich, bei allen Konten und Karten Benachrichtigungen über Transaktionen aktivieren und zusätzlich alle paar Tage auf verdächtige Buchungen prüfen, um möglichst zeitnah Unstimmigkeiten zu bemerken. Siehe Vorsorge für Notfälle – Sperr-Notrufe

Bei Kredit- und Debit-Karten lässt sich meist über ihre Apps einstellen, wo sie eingesetzt werden können (an Geldautomaten, an POS-Terminals, für Online-Zahlungen, in welchen Ländern sie gültig sind), welche Tages- und Wochenlimits für sie gelten, ob man über jede einzelne Buchung informiert werden möchte und man kann sie temporär sperren.
Bei jeder neuen Karte sollte man prüfen, wofür sie automatisch freigeschaltet ist und was konfigurierbar ist.

Temporäre Kartensperren helfen gegen die max. 50€ Abbuchung ohne PIN und missbräuchlichen Einsatz mit dem CVC-Code. Aber man kann sich damit auch selbst aussperren, wenn man den Zugriff auf seine Karten-App verliert.

Ländersperren von Karten sind sehr sinnvoll, können unerwartete Auswirkungen haben: So wurde meine Mastercard bei Amazon abgelehnt, weil Amazon Deutschland über Luxemburg abbuchte und ich nur Deutschland freigeschaltet hatte.

Girokarten sind in der Regel automatisch für bargeldlose Zahlungen freigeschaltet. Über NFC könnte man bis 50€ ohne PIN-Eingabe zahlen. NFC lässt sich aber deaktivieren. Eingesteckt wird auch bei Kleinstbeträgen immer die PIN gefordert.

„Sichere“ Aufbewahrungsorte

Abgesehen von zu Hause fest eingebauten Safes und von Bankschließfächern gibt es keine gegen Diebstahl und Zerstörung sicheren Aufbewahrungsorte für Wertsachen wie Bargeld, Gold, Schmuck, Kreditkarten, PIN-Aufschriebe, Backups oder Originaldokumente.
Nur weil man sich zu Hause sicherer fühlt als auf der Straße, heißt das nicht, dass Karten in einer Schublade sicherer sind als unterwegs im Geldbeutel oder in einem Wallet.

Die Annahme, man könne bessere Verstecke finden als Diebe sie kennen, halte ich für naiv. Ich habe aber auch schon in Airbnbs meinen Notebook im Backofen versteckt  🙂

Handys sind technisch für Banking- und Gesundheits-Apps sicherer als PCs. Dieses technische Sicherheitsplus wird in der Praxis durch das höhere Diebstahlrisiko von Handys relativiert. Notebook-PCs teilen das Risiko des Diebstahls, sind jedoch meist weniger oft exponiert.

Auf Reisen sind die Aufbewahrungsmöglichkeiten in der Regel noch unsicherer. Selbst Hotelsafes haben häufig Nachschlüssel, viele lassen sich mit einem gezielten Schlag öffnen und manche sind nicht einmal fest verschraubt.

Das Risiko auf Reisen kann minimiert werden, indem man möglichst wenig Bargeld zu Hause oder dabei hat und indem man Wertsachen auf mehrere Stellen verteilt. Auf Reisen kann man z. B. so verteilen:

  • In Hotel Safe oder Innentasche der Hose:
    Pass, einige Kreditkarten, etwas Bargeld
  • Im Geldbeutel:
    Passkopie, Personalausweis, einige Kreditkarten, etwas Bargeld
  • In Hosengürtel mit Innenreisverschluss:
    Not-Bargeld
  • In einem Gepäckstück:
    Passkopie, Not-Bargeld