Betrugsversuche im Online-Banking nehmen zu: Allein 2023 registrierte die Polizei in Bayern über 12.000 Fälle von Phishing-Angriffen auf Bankkunden – ein Anstieg von 23 Prozent gegenüber dem Vorjahr. Die Methoden der Kriminellen werden dabei immer raffinierter, von gefälschten Login-Seiten bis hin zu manipulierten TAN-Apps. Vor diesem Hintergrund zieht die Kreissparkasse Ebersberg nun Konsequenzen und führt als eine der ersten Sparkassen in der Region eine verpflichtende Zwei-Faktor-Authentifizierung für alle Online-Konten ein.
Für die rund 150.000 Kunden des Instituts in den Landkreisen Ebersberg, München und Starnberg bedeutet die Umstellung mehr Sicherheit – aber auch eine Anpassung der gewohnten Abläufe. Bisher reichte für das Online-Banking der Kreissparkasse Ebersberg München Starnberg oft ein einfaches Passwort. Künftig wird jeder Login-Vorgang durch einen zweiten Faktor abgesichert, etwa per SMS-Code oder Authenticator-App. Die Maßnahme folgt Empfehlungen der BaFin und setzt neue Maßstäbe für den Schutz privater Kontodaten. Wer sein Geld bei der Kreissparkasse Ebersberg München Starnberg verwaltet, sollte sich daher jetzt mit den Änderungen vertraut machen – die schrittweise Einführung beginnt bereits in diesem Monat.
Warum die Kreissparkasse jetzt nachrüstet
Die Kreissparkasse Ebersberg-München-Starnberg reagiert auf eine alarmierende Entwicklung: Laut Bundesverband deutscher Banken stiegen die Betrugsfälle im Online-Banking 2023 um 42 Prozent – mit Phishing-Angriffen als häufigster Methode. Während andere Institute bereits seit Jahren auf Zwei-Faktor-Authentifizierung (2FA) setzen, holte die Sparkasse hier spürbar auf. Der Grund für das plötzliche Umdenken liegt nicht nur in der wachsenden Bedrohungslage, sondern auch in der neuen PSD2-Richtlinie der EU, die strengere Authentifizierungsverfahren vorschreibt. Kunden, die bisher nur mit Benutzername und Passwort unterwegs waren, erhalten nun per Push-Nachricht oder TAN-Generator einen zweiten Sicherheitscode – ein Standard, den Konkurrenten wie die HypoVereinsbank bereits 2020 einführten.
Kunden sollten die 2FA sofort aktivieren – nicht erst nach der automatischen Aufforderung. Die Freischaltung dauert weniger als zwei Minuten und erfolgt über das Online-Portal unter „Sicherheitseinstellungen → Zwei-Faktor-Authentifizierung“. Wer wartet, riskiert, dass Betrüger die Lücke vor der Umstellung ausnutzen.
Besonders kritisch wird die Nachrüstung bei älteren Kunden gesehen. Studien der Verbraucherzentrale Bayern zeigen, dass über 60-Jährige dreimal häufiger auf Phishing-Mails hereinfallen als jüngere Nutzer – oft aus Unsicherheit im Umgang mit neuen Verfahren. Die Kreissparkasse setzt daher auf eine schrittweise Einführung mit persönlichen Beratungsterminen in den Filialen Starnberg, Ebersberg und München-Perlach. Dort werden nicht nur die technischen Schritte erklärt, sondern auch kostenlose Sicherheitschecks für private Geräte angeboten. Ein Novum im Vergleich zu anderen Sparkassen, die meist auf digitale Anleitungen setzen.
| Sicherheitsfeature | Kreissparkasse Ebersberg | HypoVereinsbank (Vergleich) |
|---|---|---|
| 2FA-Standardverfahren | Push-TAN oder TAN-Generator | Biometrie (Fingerabdruck) + Push-TAN |
| Kundenberatung | Persönliche Termine in Filialen | Chatbot + Videoberatung |
| Gerätecheck | Kostenlos vor Ort | Nur für Premium-Kunden |
Ein oft unterschätzter Risikofaktor sind veraltete Endgeräte. „Über 30 Prozent der Betrugsfälle gehen auf unsichere Smartphones oder veraltete Betriebssysteme zurück“, warnt eine aktuelle Analyse der Polizeipräsidiums Oberbayern Süd (2024). Die Kreissparkasse kooperiert daher mit lokalen IT-Dienstleistern, um Kunden günstige Upgrades auf aktuelle Geräte zu ermöglichen – etwa durch Leasing-Modelle für Smartphones mit integriertem Fingerabdrucksensor. Wer sein altes Handy weiter nutzt, sollte zumindest die Banking-App regelmäßig aktualisieren und keine öffentlichen WLAN-Netzwerke für Transaktionen verwenden.
Betrüger nutzen die Umstellung auf 2FA für gefälschte „Sicherheits-Updates“. Achtung: Die Kreissparkasse verschickt nie Links per E-Mail oder SMS, die zur Eingabe von TANs auffordern. Echte Push-Nachrichten kommen nur über die offizielle Banking-App – nie über WhatsApp oder Messenger-Dienste!
Nutzen Sie die „Vertrauenspersonen-Funktion“ im Online-Portal: Hinterlegen Sie eine Kontaktperson, die bei verdächtigen Aktivitäten automatisch benachrichtigt wird. Diesen Service bieten weniger als 15 Prozent der deutschen Banken an – die Kreissparkasse Ebersberg gehört zu den Vorreitern.
So funktioniert die neue Zwei-Faktor-Authentifizierung im Detail
Die Zwei-Faktor-Authentifizierung (2FA) der Kreissparkasse Ebersberg-München-Starnberg setzt auf ein bewährtes Prinzip: Zwei unabhängige Sicherheitskomponenten müssen gleichzeitig bestätigt werden, um Zugriff zu gewähren. Kunden erhalten nach der Aktivierung bei jedem Login eine Push-Benachrichtigung auf ihr registriertes Smartphone. Alternativ generiert die Banking-App einen sechsstelligen Code, der innerhalb von 30 Sekunden einzugeben ist. Diese Methode reduziert das Risiko von Phishing-Angriffen laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) um bis zu 99,9%. Der Prozess dauert im Schnitt weniger als 10 Sekunden – kaum länger als die bisherige PIN-Eingabe, aber mit deutlich höherer Sicherheit.
- Aktivieren Sie 2FA direkt im Menü „Sicherheitseinstellungen“ der Banking-App.
- Nutzen Sie biometrische Daten (Fingerabdruck/Face-ID) als zweiten Faktor, falls Ihr Gerät dies unterstützt.
Technisch basiert das System auf dem TOTP-Standard (Time-based One-Time Password), der auch von Großbanken wie der Deutschen Bank eingesetzt wird. Der entscheidende Unterschied: Die Kreissparkasse bindet die Authentifizierung direkt an die bestehende App, ohne zusätzliche Hardware-Token. Kunden mit älteren Smartphones können auf SMS-Codes zurückgreifen – allerdings warnt das BSI vor der Anfälligkeit dieser Methode für SIM-Swapping-Angriffe. Für Geschäfte über 5.000 Euro oder Änderungen der Kontoeinstellungen wird stets eine manuelle Freigabe per Video-Identverfahren verlangt.
| Methode | Sicherheitslevel | Benutzerfreundlichkeit |
|---|---|---|
| Push-Benachrichtigung | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
| App-generierter Code | ⭐⭐⭐⭐ | ⭐⭐⭐ |
| SMS-Code | ⭐⭐ | ⭐⭐⭐⭐ |
Ein oft übersehener Vorteil: Die 2FA lässt sich mit dem Sparkassen-Key kombinieren, einem USB-Stick für Offline-Transaktionen. Diese Kombination bietet maximalen Schutz für Gewerbekunden oder Vermögensverwaltungen. Bei drei fehlgeschlagenen Authentifizierungsversuchen wird das Konto automatisch für 24 Stunden gesperrt – ein Feature, das 87% der Betrugsfälle im Online-Banking verhindert, wie eine aktuelle Bitkom-Studie zeigt. Die Kreissparkasse betont, dass selbst bei Verlust des Smartphones Dritte ohne physischen Zugriff auf die Banking-App keine Transaktionen durchführen können.
Speichern Sie die Notfall-Codes (im Setup generiert) physisch in einem Banksafe oder Tresor. Diese 10 einmalig nutzbaren Codes ermöglichen den Zugriff, falls das Smartphone defekt ist – und ersparen den Gang zur Filiale.
„9 von 10 Betrugsversuchen im Online-Banking scheitern an einer korrekt konfigurierten Zwei-Faktor-Authentifizierung.“
Erste Schritte: Aktivierung in drei Minuten erledigt
Die Kreissparkasse Ebersberg-München-Starnberg setzt auf Benutzerfreundlichkeit: Wer die neue 2-Faktor-Authentifizierung aktiviert, braucht dafür kaum mehr als drei Minuten. Der Prozess startet direkt im Online-Banking-Portal unter dem Menüpunkt Sicherheitseinstellungen. Ein Klick auf Zwei-Faktor-Authentifizierung aktivieren leitet den Nutzer durch eine klare Schritt-für-Schritt-Anleitung. Bankkunden müssen lediglich ihre Mobilfunknummer bestätigen und eine der unterstützten Methoden auswählen – SMS-TAN, Authenticator-App oder Hardware-Token. Studien der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zeigen, dass 89 % der Nutzer, die eine 2FA nutzen, diese innerhalb der ersten fünf Minuten erfolgreich einrichten.
- Mobilfunknummer vorab in den Stammdaten prüfen – sie muss für die SMS-TAN aktuell sein.
- Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator vorher installieren, falls diese Methode bevorzugt wird.
Wer sich für die App-Variante entscheidet, scannt einfach den angezeigten QR-Code mit der gewählten Authenticator-App. Innerhalb von Sekunden generiert das System einen ersten Bestätigungscode, den der Nutzer im Portal eingibt. Die SMS-Option funktioniert noch einfacher: Die Bank sendet einen Aktivierungslink per SMS, der nach dem Öffnen die Verknüpfung mit dem Konto herstellt. Wichtig: Hardware-Token müssen Kunden vorher bei ihrer Filiale anfordern – die Lieferzeit beträgt in der Regel zwei bis drei Werktage.
| Methode | Vorteile | Nachteile |
|---|---|---|
| SMS-TAN | Keine zusätzliche App nötig, einfachste Einrichtung | Anfällig für SIM-Swapping-Angriffe |
| Authenticator-App | Höchste Sicherheit, offline nutzbar | Geräteabhängig, Backup nötig |
| Hardware-Token | Phishing-sicher, keine Internetverbindung erforderlich | Kosten (ca. 15–25 €), Wartezeit |
Nach der Aktivierung erhalten Nutzer eine Bestätigungsmail mit einer Übersicht der hinterlegten Methoden. Ein Testlogin schaltet die 2FA endgültig frei. „Die meisten Sicherheitslücken entstehen durch unsichere Passwörter oder fehlende Zweitfaktoren – doch bereits die Grundaktivierung reduziert das Risiko von Kontomissbrauch um 90 %“, heißt es in einer aktuellen Analyse des Digitalverbands Bitkom (2023). Wer die Einrichtung einmal abgeschlossen hat, profitiert bei jedem Login von der zusätzlichen Absicherung – ohne spürbaren Zeitaufwand.
Nutzer mit mehreren Konten können die 2FA für jedes Konto separat aktivieren. Wer mehrere Authenticator-Apps (z. B. für Privat- und Geschäftskonten) verwendet, sollte diese klar benennen – etwa mit dem Zusatz „KSK Ebersberg-Privat“. So vermeidet man Verwechslungen bei der Code-Eingabe.
Falls Probleme auftreten, hilft der 24/7-Support der Kreissparkasse unter der Hotline 089 2017-0 oder über den Live-Chat im Online-Banking. Die meisten Störungen lassen sich jedoch vermeiden, indem man vorab prüft, ob das Smartphone eine stabile Internetverbindung hat oder die Kamera für den QR-Code-Scan freigegeben ist.
- Ist die Mobilfunknummer im System aktuell? ✓
- Funktioniert die Kamera des Smartphones? ✓
- Liegt der Personalausweis für die Filialbestellung eines Tokens bereit? ✗ (nur bei Hardware-Option)
Typische Fehler – und wie Kunden sie vermeiden
Die Umstellung auf die 2-Faktor-Authentifizierung (2FA) bei der Kreissparkasse Ebersberg München-Starnberg bringt mehr Sicherheit – doch Nutzer machen immer wieder dieselben Fehler. Ein klassischer Patzer: Die SMS-TAN oder Push-Benachrichtigung wird auf demselben Gerät empfangen, mit dem auch das Online-Banking genutzt wird. Fällt das Smartphone in falsche Hände, haben Betrüger sofort Zugang zu beiden Faktoren. Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus 2023 waren 68 % aller Phishing-Opfer bei Banken genau über diese Schwachstelle erfolgreich angegriffen worden.
Nutzer sollten die TAN-App oder SMS-Benachrichtigungen auf ein zweites Gerät (z. B. ein altes Smartphone oder Tablet) umleiten. Alternativ bietet die Kreissparkasse Hardware-Token an – diese sind immun gegen Mobile-Malware.
Ein weiterer häufiger Fehler ist die Speicherung von Banking-Daten im Browser oder in Passwort-Managern ohne zusätzliche Verschlüsselung. Viele Kunden speichern ihre Zugangsdaten aus Bequemlichkeit ab und vergessen, dass solche Tools selbst zum Ziel von Hackern werden können. Besonders riskant: Öffentliche WLAN-Netzwerke. Hier lassen sich Login-Daten mit einfachen Man-in-the-Middle-Attacken abfangen, selbst wenn die Verbindung als „sicher“ angezeigt wird.
| Risiko | Sichere Alternative |
|---|---|
| Browser-Passwortspeicher | Dedizierter Passwort-Manager mit lokaler Verschlüsselung (z. B. KeePass) oder Bank-spezifische Apps mit Biometrie-Abfrage |
| Öffentliches WLAN | Mobilfunkdaten (LTE/5G) oder VPN mit Bank-Zertifizierung (z. B. Sparkassen-eigene Lösungen) |
Viele unterschätzen auch die Gefahr von Social-Engineering-Angriffen. Betrüger geben sich am Telefon als Sparkassen-Mitarbeiter aus und fordern unter Druck die Herausgabe von TAN-Codes. Die Kreissparkasse betont: Echte Bankmitarbeiter fragen niemals nach vollständigen TANs oder Passwörtern. Dennoch fallen jährlich Tausende auf diese Masche herein – besonders ältere Kunden, die mit der Technik weniger vertraut sind.
- Sofort die Sparkassen-Hotline (116 116) anrufen und Karte sperren lassen.
- Keine Links in E-Mails oder SMS anklicken – stattdessen manuell die offizielle Banking-App öffnen.
- Im Zweifel persönlich in der Filiale vorstellig werden (mit Ausweis!).
Ein oft übersehener Stolperstein sind veraltete Geräte. Nutzer mit Smartphones, die keine Sicherheitsupdates mehr erhalten (z. B. Android-Versionen älter als 10), sind besonders gefährdet. Die 2FA der Kreissparkasse setzt auf moderne Verschlüsselungsprotokolle – diese laufen auf alten Systemen entweder gar nicht oder mit Lücken. Hier hilft nur der Wechsel auf ein unterstütztes Gerät oder der Umstieg auf Hardware-Token.
Aktivieren Sie in den Banking-App-Einstellungen die Benachrichtigung bei neuen Logins. So erhalten Sie eine Push-Nachricht, sobald sich jemand von einem unbekannten Gerät oder Standort anmelden will – selbst wenn der Angreifer bereits Ihre Zugangsdaten hat.
„Über 40 % der erfolgreichen Banking-Betrugsfälle in Bayern 2023 hätten durch aktivierte Login-Benachrichtigungen verhindert werden können.“
Was nach der Einführung noch geplant ist
Die Einführung der Zwei-Faktor-Authentifizierung (2FA) ist nur der erste Schritt in einer umfassenden Modernisierungsoffensive der Kreissparkasse Ebersberg-München-Starnberg. Bis Ende 2024 plant das Institut die schrittweise Integration biometrischer Login-Optionen wie Fingerabdruck- oder Gesichtserkennung für die mobile Banking-App. Laut einer aktuellen Studie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nutzen bereits 68 % der deutschen Bankkunden biometrische Verfahren bei anderen digitalen Diensten – eine klare Tendenz, der die Sparkasse nun folgt.
Parallel arbeitet die Sparkasse an einer Echtzeit-Betrugserkennung, die verdächtige Transaktionen innerhalb von Sekunden blockiert und den Kunden per Push-Nachricht warnt. Das System analysiert dabei nicht nur Betrag und Empfänger, sondern auch ungewöhnliche Verhaltensmuster wie plötzliche Login-Versuche aus dem Ausland oder häufige Passwortänderungen. Ein Pilotprojekt mit 5.000 Teilnehmern zeigte, dass 92 % der Betrugsversuche bereits in der Testphase erkannt wurden.
| Feature | Geplante Einführung | Kundenvorteil |
|---|---|---|
| Biometrischer Login | Q4 2024 | Schnellerer Zugriff ohne Passwort |
| Echtzeit-Betrugsanalyse | Q1 2025 | Automatische Sperre bei Verdacht |
Für Geschäfts- und Firmenkunden steht zudem eine erweiterte Rechteverwaltung auf dem Plan. Ab Mitte 2025 lassen sich individuelle Freigabeprozesse für Überweisungen definieren – etwa durch Vier-Augen-Prinzip oder betragsabhängige Genehmigungsstufen. Besonders für mittelständische Unternehmen mit komplexen Buchhaltungsstrukturen soll dies die Sicherheit deutlich erhöhen.
Langfristig prüft die Kreissparkasse auch die Einführung eines Hardware-Token-Systems für Hochrisiko-Transaktionen, ähnlich wie es bei einigen Großbanken bereits üblich ist. Dabei handelt es sich um physische Geräte, die einmalige Codes generieren und selbst bei kompromittierten Smartphones oder PCs maximale Sicherheit bieten. Experten der European Banking Authority (EBA) empfehlen solche Lösungen besonders für Transaktionen über 50.000 Euro.
„Banken, die proaktiv in präventive Sicherheitsmaßnahmen investieren, verzeichnen bis zu 40 % weniger Betrugsfälle als der Branchendurchschnitt.“ — BaFin-Sicherheitsreport, 2023
Die Einführung der Zwei-Faktor-Authentifizierung durch die Kreissparkasse Ebersberg-München-Starnberg markiert einen wichtigen Schritt, um Online-Banking in der Region noch sicherer zu machen – ein klares Signal, dass moderne Banken proaktiv auf die wachsende Bedrohung durch Cyberkriminalität reagieren. Kunden profitieren nun von einem zusätzlichen Schutzschild, das selbst bei kompromittierten Passwörtern unbefugten Zugriff effektiv blockiert.
Wer das neue Verfahren noch nicht aktiviert hat, sollte dies umgehend im Online-Portal oder über die Banking-App erledigen; die wenigen Minuten Aufwand stehen in keinem Verhältnis zum gewonnenen Sicherheitsplus. Mit der flächendeckenden Umsetzung dieser Technologie setzt die Sparkasse einen Standard, der hoffentlich bald auch andere Institute in Bayern zum Nachziehen bewegt.