Informationen zum Thema Sicherheit

Sicherheitshinweise

Das Internet hat sich zu einem selbstverständlichen Medium entwickelt, dessen Bedeutung stetig zunimmt. Neben den positiven Möglichkeiten des Internets ergeben sich jedoch auch eine Reihe von Sicherheitsrisiken, denen durch geeignete Maßnahmen entgegengewirkt werden muss.

Für die Sicherheit der Online-Filiale ist neben der Vielzahl von Sicherheitsvorkehrungen, die durch Kreditinstitute und die Fiducia und GAD IT AG als IT-Dienstleister der Kreditinstitute umgesetzt wurden, die Sicherheit des Internetnutzer-Computers sowie die Sensibilisierung der Online-Banking-Nutzer von hoher Bedeutung.

Gerade aktuelle Angriffszenarien zielen immer öfter nicht nur auf die Ausnutzung von System- und Anwendungsschwachstellen ab, sondern nutzen gezielt bestimmte Verhaltensmuster der Anwender. Durch den sensiblen Umgang mit den gegebenen technischen Möglichkeiten lassen sich jedoch die meisten Angriffe abwehren.

Folgende Punkte sind hierbei von wesentlicher Bedeutung:

  • Sicherheit am Computer
  • Prüfung der Authentizität der Online-Filiale
  • Bedeutung und Kontrolle der wesentlichen Bestandteile der Internet-Adresse (URL) der Online-Filiale
  • Zertifikatsprüfung
  • Abgleich des Fingerprints (Digitales Server-Zertifikat)
  • Generelle Verhaltensregeln

Sicherheit am Computer

Der vertrauenswürdige Zustand Ihres Computers ist die Voraussetzung für sicheres Banking und Brokerage. Um die Sicherheit Ihres Computers zu gewährleisten, sind folgende Maßnahmen von wesentlicher Bedeutung: Nutzen und installieren Sie nur Software aus vertrauenswürdigen Quellen.

Überlegen Sie immer, ob Sie eine Software wirklich brauchen und ob Sie dem Anbieter (Hersteller und Download-Quelle) wirklich vertrauen. Generell sollten Sie keine Dateien von unbekannten Servern bzw. E-Mail-Anhänge unbekannten Ursprungs öffnen, herunterladen oder ausführen. Sollte dies jedoch erforderlich sein, so ist zumindest eine Überprüfung der Dateien mit einem aktuellen Virenscanner sinnvoll. Schutz vor Viren, Würmern, Trojanern und anderer Schadsoftware. Einmal auf Ihrem System installierte Schadsoftware hat auf Ihrem System weitreichende Möglichkeiten. Sobald eine solche Schadsoftware auf Ihrem System installiert wurde, kann der Schutz Ihrer Daten und die korrekte Funktion von Betriebssystem und Anwendungen prinzipiell nicht mehr gewährleistet werden. Um eine optimale Abwehr von Schadsoftware zu erreichen, ist die Installation eines Virenscanners und einer Personal Firewall erforderlich bzw. sinnvoll. Wesentlich für die Wirksamkeit dieser Komponenten ist zudem eine regelmäßige Aktualisierung (mindestens ein Mal pro Woche).

Sicherheitsaktualisierungen für Betriebssystem und Browser

Zum Teil nutzen Angreifer und Schadprogramme Sicherheitslücken im Betriebssystem und Programmen wie dem Browser, um sich unbemerkt in Ihrem Computer einzunisten. Um das Angriffspotenzial über offene Schwachstellen zu minimieren, sollten Aktualisierungen für Betriebssysteme, Browser und Sicherheitskomponenten (wie Personal Firewall oder Virenscanner) umgehend installiert werden. Die meisten Programme bieten für diesen Zweck automatische Update-Funktionen, die in regelmäßigen Abständen auf den Herstellerseiten nach Aktualisierungen der Produkte suchen und diese ggf. installieren.

Auf folgenden Seiten finden Sie weiterführende Informationen zur Sicherheit im Internet:

    www.bsi-fuer-buerger.de
    www.buerger-cert.de

Prüfung der Authentizität des Online-Angebots

Die Authentifizierung ist der Nachweis eines Kommunikationspartners, dass er tatsächlich derjenige ist, für den er sich ausgibt. Authentizität wird in der Online-Filiale durch den Einsatz von TLS in Verbindung mit digitalen Zertifikaten gewährleistet. Hierbei wird mit hilfe eines digitalen Zertifikat die Authentizität des Anbieters bestätigt. Eine erste und einfache Möglichkeit der Prüfung ist zudem anhand der angezeigten Internet-Adresse (URL) im Browser möglich.

Prüfen der Internet-Adresse

Als Anwender sollten Sie darauf achten, dass Sie die korrekte Adresse (URL) für die Online-Filiale kennen. Bei jeder Sitzung sollten Sie die im Browser angezeigte URL auf Plausibilität prüfen. Jede unbekannte Internet-Adresse kann als nicht vertrauenswürdig eingestuft werden. Geben Sie bei fremden Adressen niemals persönliche Informationen oder Ihre Zugangsdaten der Online-Filiale ein.

Der Zugang zur Online-Filiale sollte immer über die offizielle Homepage Ihrer Bank gestartet werden. Auf keinen Fall sollten Sie Links zur Online-Filiale verwenden, die über Web-Seiten oder E-Mails anderer Anbieter zur Verfügung gestellt werden.

Die Adresse des Online-Bankings (www.volksbank-phd.de) setzt sich wie folgt zusammen:

  1. https:// – Kommunikation über HTTP Secure (TLS, Verschlüsselte Kommunikation mit Authentizitätsnachweis des Anbieters
  2. www.volksbank-phd.de – Domain-Name der Volksbank Paderborn-Höxter-Detmold

Zertifikatsprüfung

Die TLS-gesicherte Verbindung garantiert Ihnen, dass eine verschlüsselte Kommunikation mit der Fiducia und GAD IT AG, dem IT-Dienstleister Ihres Kreditinstitutes, stattfindet. Digitale Zertifikate enthalten hierfür u.a. den öffentlichen Schlüssel des Anbieters sowie Angaben zur eindeutigen Identifikation.
Das digitale Zertifikat der Online-Filiale ist durch den IT-Dienstleister Fiducia und GAD IT AG mit Sitz in Münster ausgestellt.

Niemals sollte ein Zertifikat eines anderen Anbieters im Rahmen einer Sitzung in der Online-Filiale akzeptiert werden. Manuelle Bestätigungen des Zertifikats sind zudem in der Online-Filiale der Fiducia und GAD IT AG nicht erforderlich, da hierbei ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zum Einsatz kommt.

Potentielle Angreifer nutzen i.d.R. selbsterstellte Zertifikate, welche vom Browser nur mit Bestätigung des Benutzers akzeptiert werden, da dieser die Authentizität nicht zweifelsfrei feststellen kann.

Bei Rückfragen des Browsers, ob einem Zertifikat vertraut werden soll, ist daher Vorsicht geboten, bevor fremde Zertifikate akzeptiert bzw. als vertrauenswürdig eingestuft werden. Das Zertifikat des Anbieters sowie Angaben zur Stärke der Verschlüsselung Ihrer TLS-gesicherten Verbindung können Sie über das Vorhängeschlosssymbol neben der Adresszeile des Browsers überprüfen.

Zertifizierungsstelle

Die Zertifizierungsstelle ist eine Instanz, die Zertifikate ausstellt. Bei der Zertifikatsausstellung ist ein spezieller Authentizitätsnachweis erforderlich, so dass später über das ausgestellte Zertifikat eine Authentizitätsprüfung möglich ist. Die Online-Filiale der GAD eG verwendet „VR-Ident“ als Zertifizierungsstelle.

Als weitere Möglichkeit steht Ihnen ein Abgleich des Fingerprints des digitalen Zertifikats zur Verfügung. Beachten Sie hierzu bitte die Hinweise im folgenden Absatz.

Abgleich des Fingerprints (SSL-Server-Zertifikat)

Weitergehend können Sie die Korrektheit und Authentizität des verwendeten Zertifikats überprüfen, indem Sie sich den sogenannten Fingerprint (Fingerabdruck) anzeigen. Wenn Sie die Details des Zertifikats im Browser betrachten, wird Ihnen der unten aufgeführte Fingerprint angezeigt. Durch den Abgleich der angezeigten Daten mit den Informationen des Herausgebers können Sie sicher feststellen, dass es sich um das Originalzertifikat handelt, welches Sie nutzen möchten. Das digitale Zertifikat sichert Ihnen zu, dass eine gesicherte Kommunikation mit dem gewünschten Gesprächspartner verschlüsselt erfolgt.

Der Fingerprint (SHA-1) für das Online-Banking-Zertifikat lautet:
60:81:59:52:F5:D7:39:A7:FA:A2:19:49:F6:7F:79:6D:9C:DD:72:66

Der Fingerprint (SHA-256) für das Online-Banking-Zertifikat lautet:
AB:9A:15:09:46:B4:98:CE:86:9C:6F:BA:EB:4C:69:40:B7:22:A1:D3:80:7B:4B:5A:6F:74:CF:4D:16:45:D1:A9

(Je nach verwendetem Browser unterscheidet sich die Darstellungsweise hinsichtlich Groß- und Kleinschreibung und dem verwendeten Trennzeichen.)

Generelle Verhaltensregeln

  • Geheimhaltung von PIN und TAN
    PIN und TANs dürfen nur im gesicherten Angebot der Online-Filiale verwendet werden. Niemals dürfen PIN oder TANs per E-Mail übertragen oder auf anderem Wege Dritten anvertraut werden. Achten Sie darauf, dass Ihnen bei der Eingabe von PIN oder TANs niemand „über die Schulter sieht“ und speichern Sie nie Ihre PIN oder TANs auf der Festplatte oder anderen Speichermedien Ihres Endgerätes. Deaktivieren Sie hierzu auch die automatische Passwort-Speicherung Ihres Browsers.
  • Änderung der PIN bei Verdacht der Kompromittierung
    Sollten Sie versehentlich eine zweifelhafte Internet-Seite besucht und Ihre Daten preisgegeben haben, empfehlen wir Ihnen, die PIN zu ändern. Dies können Sie direkt in Ihrer Online-Filiale durchführen. Wenden Sie sich bei Problemen umgehend an Ihr Kreditinstitut.
  • Prüfung der TLS-gesicherten Verbindung
    Die Stärke der Verschlüsselung Ihrer TLS-gesicherten Sitzung sowie das Zertifikat des Anbieters können Sie über das Vorhängeschlosssymbol in der Statuszeile des Browsers durchführen. Nutzen Sie die Online-Filiale nur über die TLS-gesicherten Verbindungen zum Rechenzentrum der Fiducia und GAD IT AG. Achten Sie auf die korrekte Adresse der Online-Filiale (URL). Rufen Sie die Online-Filiale ausschließlich über die Homepage Ihres Kreditinstitutes auf.
  • Reagieren Sie in keiner Weise auf E-Mails, die unaufgefordert an Ihre private E-Mail-Adresse geschickt werden und Fragen zu Ihren Bankdaten wie zB. dem Online-Banking oder Ihrer Kreditkarte enthalten.
    Niemals wird ein Kreditinstitut seine Kunden per E-Mail auffordern, vertrauliche Daten preiszugeben. E-Mails mit Inhalten wie: „Bitte prüfen Sie umgehend Ihren Online-Banking-Zugang“ weisen in der Regel auf den Versuch einer so genannten Phishing-Attacke hin. Hierbei versuchen Betrüger, Online-Banking-Nutzer auf ihre Web-Seite zu locken, um Zugangsinformationen zu Online-Konten zu sammeln. In der Regel befindet sich in diesen Mails ein Link, der direkt zur Online-Filiale führen soll. Die Internet-Adresse hat dabei meist nur marginale Abweichungen von der echten Adresse der Online-Filiale und der optische Eindruck der echten Seiten wird vollständig nachgeahmt. Nutzen Sie daher niemals Links, die Ihnen in Mails angeboten werden. Die Absenderadresse solcher E-Mails ist fast immer gefälscht, so dass eine Rückverfolgung dieser E-Mails sinnlos ist. Nutzen Sie die Funktion „Logout“ zum Beenden einer Sitzung. Erst mit dem Aufruf dieser Funktion wird Ihre Verbindung ordnungsgemäß getrennt. Die automatische Abmeldung erfolgt erst, wenn für die Dauer von 15 Minuten keine Eingaben durch den Benutzer erfolgt sind. Sie werden in diesem Fall zur Neuanmeldung aufgefordert. Hinterfragen Sie immer kritisch, ob die auf einer Webseite geforderten Eingaben in Zusammenhang mit der von Ihnen gewünschten Aktion Sinn machen.
  • Nutzen Sie keine Funktionen zur SMS-Weiterleitung vom Mobiltelefon auf Ihren Computer oder Ihr Tablet in Verbindung mit mobileTAN.
    Apples Betriebsystem Mac OS X/macOS bietet Benutzern beispielsweise die Möglichkeit, auf einem gekoppelten iPhone empfangene Nachrichten direkt auf einen Mac oder ein iPad weiterzuleiten. Eine solche Weiterleitung von SMS-Nachrichten hebt die Kanaltrennung als Sicherheitsmerkmal des mobileTAN-Verfahrens auf. Der Computer oder das Tablet, auf dem das Online-Banking durchgeführt wird, ist effektiv auch das Gerät, auf dem die TAN empfangen wird.