Informationen zum Thema Sicherheit

Das Internet hat sich zu einem selbstverständlichen Medium entwickelt, dessen Bedeutung stetig zunimmt. Neben den positiven Möglichkeiten des Internets ergeben sich jedoch auch eine Reihe von Sicherheitsrisiken, denen durch geeignete Maßnahmen entgegengewirkt werden muss. 

Für die Sicherheit des InitiativBanking-Portals ist neben der Vielzahl von Sicherheitsvorkehrungen, die durch die DZ BANK und die Fiducia & GAD IT AG als IT-Dienstleister umgesetzt wurden, die Sicherheit des Internetnutzer-PCs sowie die Sensibilisierung der InitiativBanking Anwender von hoher Bedeutung. 

Gerade aktuelle Angriffszenarien zielen immer öfter nicht nur auf die Ausnutzung von System- und Anwendungsschwachstellen und nutzen gezielt bestimmte Verhaltensmuster der Anwender. Durch den sensiblen Umgang mit den gegebenen technischen Möglichkeiten lassen sich jedoch die meisten Angriffe abwehren. 

 

Folgende Punkte sind von wesentlicher Bedeutung: 

  • Ihr Sicherheitspaket der DZ BANK
  • Sicherheit am Internet-PC 
  • Prüfung der Authentizität des InitiativBanking-Portals 
  • Kontrolle der Internet-Adresse (URL) des InitiativBanking-Portals 
  • Zertifikatsprüfung
  • Abgleich des Fingerprints (SSL-Server-Zertifikat)
  • Generelle Verhaltensregeln 

 

Das Sicherheitspaket der DZ BANK

Zu Ihrer Sicherheit hat die DZ BANK mit namhaften Partnern ein Komplettpaket für den sicheren Zugang zum InitiativBanking-Portal erstellt. Um die größtmögliche Sicherheit zu erreichen, sollten Sie für ihren Zugang zum InitiativBanking-Portal ausschließlich die Komponenten des Paketes verwenden:

- Signaturkarte „InitiativBanking“

Ihr persönliches Legitimationsmedium für den Zugang zum InitiativBanking-Portal und ihre elektronischen Unterschrift. Entspricht den Ansprüchen der Bundesnetzagentur an einer sicheren elektronischen Signatur.

- Chipkartenleser „Reiner cyberJack go plus“

Der Chipkartenleser entspricht dem sicheren SECODER Standard für Chipkartenleser der deutschen Kreditwirtschaft

- „Protect“ der sichere InitiativBanking Browser

Der „gehärtete“ Browser ausschließlich für Ihren sicheren Zugang zum InitiativBanking-Portal der DZ BANK

 

Sicherheit am Internet-PC 

Der vertrauenswürdige Zustand Ihres PCs ist die Voraussetzung für sicheres Banking und Brokerage. Um die Sicherheit Ihres PCs zu gewährleisten, sind folgende Maßnahmen von wesentlicher Bedeutung: 

Nutzen und installieren Sie nur Software aus vertrauenswürdigen Quellen. 

Überlegen Sie immer, ob Sie eine Software wirklich brauchen und ob Sie dem Anbieter (Hersteller und Download-Quelle) wirklich vertrauen. Generell sollten Sie keine Dateien von unbekannten Servern bzw. E-Mail-Anhänge unbekannten Ursprungs öffnen, herunterladen oder ausführen. Sollte dies jedoch erforderlich sein, so ist zumindest eine Überprüfung der Dateien mit einem aktuellen Virenscanner sinnvoll.

Schutz vor Viren, Würmern und "Trojanischen Pferden" 

Einmal auf Ihrem System befindliche Viren, Würmer oder "Trojanische Pferde" haben weitreichende Möglichkeiten. Sobald eine solche Schadsoftware auf Ihrem System vorhanden ist, kann der Schutz Ihrer Daten und die korrekte Funktion von Betriebssystem, Virenscanner und Anwendungen prinzipiell nicht mehr gewährleistet werden. 

Um eine optimale Abwehr von Schadsoftware zu erreichen, ist die Installation eines Virenscanners und einer Personal Firewall erforderlich bzw. sinnvoll. Wesentlich für die Wirksamkeit dieser Komponenten ist zudem eine regelmäßige, möglichst tägliche Aktualisierung. 

 

Sicherheitsaktualisierungen für Betriebssystem, Browser und Browser-Plugins 

Zum Teil nutzen Angreifer und Schadprogramme Sicherheitslücken im Betriebssystem und Programmen wie dem Browser, um sich unbemerkt in Ihrem PC einzunisten. Um das Angriffspotential über offene Schwachstellen zu minimieren, sollten Aktualisierungen für Betriebssysteme, Browser, Browser-Plugins und Sicherheitskomponenten (wie Personal Firewall oder Virenscanner) umgehend installiert werden. Die meisten Programme bieten für diesen Zweck automatische Update-Funktionen, die in regelmäßigen Abständen auf den Herstellerseiten nach Aktualisierungen der Produkte suchen und diese ggf. installieren. 

Auf folgenden Seiten finden Sie weiterführende Informationen zur Sicherheit im Internet: 

www.bsi-fuer-buerger.de 

www.buerger-cert.de 

 

Prüfung der Authentizität des Online-Angebots

Die Authentifizierung ist der Nachweis eines Kommunikationspartners, dass er tatsächlich derjenige ist, für den er sich ausgibt. Die Authentizität wird im InitiativBanking-Portal durch Einsatz des SSL-Protokolls gewährleistet. Hierbei wird über ein Zertifikat die Authentizität des Anbieters bestätigt. Eine erste und einfache Möglichkeit der Prüfung ist zudem anhand der angezeigten Internet-Adresse (URL) im Browser möglich. 

 

Prüfen der Internet-Adresse 

Als Anwender sollten Sie darauf achten, dass Sie die korrekte Adresse (URL) für das InitativBanking-Portal kennen. Bei jeder Sitzung sollten Sie die im Browser angezeigte URL auf Plausibilität prüfen. Jede unbekannte Internet-Adresse kann als nicht vertrauenswürdig eingestuft werden. Geben Sie bei fremden Adressen niemals persönliche Informationen und/oder Ihre Zugangsdaten des InitaitivBanking-Portals ein. 

Der Zugang zum InitiativBanking-Portal sollte immer durch die direkte Eingabe der bekannten Adresse (URL) oder über die offizielle Homepage der DZ BANK gestartet werden. Auf keinen Fall sollten Sie Links zum InitiativBanking-Portal verwenden, die über Web-Seiten oder E-Mails anderer Anbieter zur Verfügung gestellt werden. 

 

Bedeutung und Kontrolle der wesentlichen Bestandteile der Internet-Adresse (URL) des InitiativBanking-Portals 

Die Adresse des InitiativBanking-Portals beginnt immer mit: 

https:// - Kommunikation über das SSL-Protokoll (Verschlüsselte Kommunikation mit Authentizitätsnachweis des Anbieters). 

www.initiativbanking.de Adresse (URL) des InitiativBanking-Portals

 

Zertifikatsprüfung 

Die SSL-Verbindung garantiert Ihnen, dass eine verschlüsselte Kommunikation mit dem InitaitivBanking Portal der DZ BANK stattfindet. SSL-Zertifikate enthalten hierfür generell den öffentlichen Schlüssel des Anbieters, sowie Angaben zur eindeutigen Identifikation. 

 

Das SSL-Zertifikat des InitiativBanking Portals ist auf www.initiativbanking.de ausgestellt 

 

Niemals sollte ein Zertifikat eines anderen Anbieters im Rahmen einer Sitzung im InitaitivBanking-Portal akzeptiert werden. Manuelle Bestätigungen des Zertifikats sind zudem im InitiativBanking-Portal der DZ BANK nicht erforderlich, da hierbei ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zum Einsatz kommt.

Potentielle Angreifer nutzen i.d.R. eigenerstellte Zertifikate, welche vom Browser nur mit Bestätigung des Benutzers akzeptiert werden, da dieser die Authentizität nicht zweifelsfrei feststellen kann. 

Bei Zertifikatsfragen des Browsers ist daher Vorsicht geboten, bevor fremde Zertifikate akzeptiert bzw. als vertrauenswürdig eingestuft werden. 

Das Zertifikat des Anbieters sowie Angaben zur Stärke der Verschlüsselung Ihrer SSL-Sitzung können Sie überprüfen, indem Sie einen Doppelklick auf das Symbol "Vorhängeschloss" in der Statuszeile bzw. Symbol- oder Titelleiste des Browsers durchführen. 

 

Zertifizierungsstelle 

Die Zertifizierungsstelle ist eine international anerkannte, unabhängige und vertrauenswürdige Instanz, die Zertifikate ausstellt. Bei der Zertifikatsausstellung ist ein spezieller Authentizitätsnachweis erforderlich, so dass später über das ausgestellte Zertifikat eine Authentizitätsprüfung möglich ist. 

Das InitiativBanking-Portal der DZ BANK verwendet "VR Ident" als Zertifizierungsstelle. 

 

Als weitere Möglichkeit steht Ihnen ein Abgleich des Fingerprints des SSL-Zertifikats zur Verfügung. Beachten Sie hierzu bitte die Hinweise im folgenden Absatz. 

 

Abgleich des Fingerprints (SSL-Server-Zertifikat) 

Weitergehend können Sie die Korrektheit und Authentizität des verwendeten Zertifikats überprüfen, indem Sie den sogenannten Fingerprint (Fingerabdruck) aufrufen. 

Wenn Sie die Details des Zertifikats im Browser betrachten, wird Ihnen der unten aufgeführte Fingerprint angezeigt. Durch den Abgleich der angezeigten Daten mit den Informationen des Herausgebers können Sie sicher feststellen, dass es sich um das Originalzertifikat handelt, welches Sie nutzen möchten. Das SSL-Zertifikat sichert Ihnen zu, dass eine gesicherte Kommunikation mit dem gewünschten Gesprächspartner verschlüsselt erfolgt. 

 

Das gängigste und derzeit sicherste Verfahren zur eindeutigen Authentizitätsbestimmung ist SHA-1. 

Der Fingerprint nach SHA-1 für das InitiativBanking-Portal-Zertifikat (https://www.initiativBanking.de/) : 

 

F6:7C:3D:62:73:D8:B2:01:1B:AB:73:0C:70:61:18:5A:18:35:90:9D

 

Generelle Verhaltensregeln

Prüfung der SSL-Verbindung 

Die Stärke der Verschlüsselung Ihrer SSL-Sitzung sowie das Zertifikat des Anbieters können Sie überprüfen, indem Sie einen Doppelklick auf das Symbol "Vorhängeschloss" in der Statuszeile bzw. Symbol- oder Titelleiste des Browsers durchführen. 

 

Nutzen Sie das InitiativBanking-Portal nur über die gesicherten SSL-Verbindungen.

Achten Sie auf die korrekte Adresse des InitaitivBanking-Portals (URL). 

Rufen Sie das InitiativBanking Portal ausschließlich über die bekannte Adresse (URL) des Portals auf. 

 

Reagieren Sie in keiner Weise auf E-Mails bzgl. des InitiativBanking Portals die Ihnen unaufgefordert zugestellt werden 

Niemals wird die DZ BANK oder einer ihrer Dienstleister seine Kunden per E-Mail auffordern, vertrauliche Daten preiszugeben. E-Mails mit Inhalten wie: "Bitte prüfen Sie umgehend Ihren Zugang" weisen i.d.R. auf den Versuch einer so genannten Phishing Attacke hin. Hierbei versuchen Betrüger, OnlineBanking-Nutzer auf ihre Web-Seite zu locken, um Zugangsinformationen zu Online-Konten zu sammeln. I.d.R. befindet sich in diesen Mails ein Link, der direkt zum InitiativBanking*-Portal führen soll. Die Internet-Adresse hat dabei meist nur marginale Abweichungen von der echten Adresse des InitiativBanking-Portals und der optische Eindruck der echten Seiten wird vollständig nachgeahmt. Nutzen Sie daher niemals Links, die Ihnen in Mails angeboten werden.

Die Absenderadresse solcher E-Mails ist fast immer gefälscht, so dass eine Rückverfolgung dieser E-Mails sinnlos ist. 

 

Nutzen Sie die Funktion "Logout" zum Beenden einer Sitzung 

Erst mit dem Aufruf dieser Funktion wird Ihre Verbindung ordnungsgemäß getrennt. Die automatische Abmeldung erfolgt erst, wenn für die Dauer von fünf Minuten keine Eingaben durch den Benutzer erfolgt sind. Sie werden in diesem Fall zur Neuanmeldung aufgefordert. 

Hinterfragen Sie immer kritisch, ob die auf einer Webseite geforderten Eingaben in Zusammenhang mit der von Ihnen gewünschten Aktion Sinn machen.