Sicherheit im Internet

Computer und das Internet sind längst zu einem unverzichtbaren Bestandteil Ihres Alltags geworden, besonders wenn Sie Ihre Bankgeschäfte "online" erledigen. Wir möchten Sie hier über die wichtigsten Gefahren informieren und Ihnen die Möglichkeiten aufzeigen, wie Sie sich vor diesen Gefahren schützen können.

Sicherer Umgang mit PIN/TAN-Verfahren

Für die Sicherheit der Online-Filiale ist neben der Vielzahl von Sicherheitsvorkehrungen, die durch Kreditinstitute und die Fiducia & GAD IT AG als IT-Dienstleister der Kreditinstitute umgesetzt wurden, die Sicherheit des Internetnutzer-PCs sowie die Sensibilisierung der Online-Banking-Nutzer von hoher Bedeutung.

Was macht das PIN/TAN Verfahren (Mobile TAN und Sm@rt TAN) sicher?

Mobile TAN

Im Gegensatz zu den mittlerweile eingestellten Ein-Schritt-Verfahren mittels TAN-Bogen oder einfachem TAN-Chipkartenleser (ohne Tastatur), ist es bei dem Zwei-Schritt-Verfahren Mobile TAN möglich, direkt während der Transaktion erzeugte Transaktionsnummern (TANs) zu verwenden. Die TAN ist damit an die jeweilige Transaktion gebunden und kann deshalb nicht mehr missbräuchlich verwendet werden.

Geben Sie niemals eine TAN für eine angebliche Sicherheitsabfrage, "Rücküberweisung" oder Ähnliches ein.

Sollte eine TAN abgefangen werden, könnte ein Betrüger zwar versuchen, damit eine missbräuchliche Überweisung zu Lasten des Kundenkontos freizugeben. Dazu müsste er innerhalb von 5 Minuten (in denen die TAN gültig ist) die Empfänger-IBAN und den Betrag ändern. Damit würde die TAN aber nicht mehr zur ursprünglichen Überweisung passen, und die missbräuchliche Transaktion ließe sich nicht autorisieren.

Um zu vermeiden, dass eine auf dem Weg zum Rechenzentrum mittels Trojaner/Viren widerrechtlich abgeänderte Überweisung vom Kunden autorisiert wird, bietet der Text der SMS, in der die TAN übermittelt wird, die entscheidende Kontrollmöglichkeit durch den an dieser Stelle notwendigen Abgleich der Daten. Stimmen diese nicht überein, muss  die Transaktion durch den Kunden abgebrochen werden, denn die Sicherheit des Verfahrens liegt im Sicherheitsbewusstsein und in der Kontrollverantwortung des Kunden! Es werden immer die Transaktionen ausgeführt, deren Daten in der SMS erscheinen, und nicht die möglicherweise veränderte Transaktion auf Ihrem Bildschirm! Kontrollieren Sie deshalb immer die Daten der SMS mit den Originaldaten (z.B. auf der Rechnung).

Für die detaillierte Beschreibung des Ablaufs einer Einzelüberweisung klicken Sie bitte auf "Ablauf einer Einzelüberweisung im Mobile-TAN-Verfahren".

Sm@rt-TAN

Im Gegensatz zu den mittlerweile eingestellten Ein-Schritt-Verfahren mittels TAN-Bogen oder einfachem TAN-Chipkartenleser (ohne Tastatur), ist es bei dem Zwei-Schritt-Verfahren Sm@rt-TAN möglich, direkt während der Transaktion erzeugte Transaktionsnummern (TANs) zu verwenden. Die TAN ist damit an die jeweilige Transaktion gebunden und kann deshalb nicht mehr missbräuchlich verwendet werden.

Geben Sie niemals eine TAN für eine angebliche Sicherheitsabfrage oder "Rücküberweisung" oder "ähnliches" ein.

Sollte eine TAN abgefangen werden, könnte ein Betrüger zwar versuchen, damit eine missbräuchliche Überweisung zu Lasten des Kundenkontos freizugeben. Dazu müsste er innerhalb von 5 Minuten (in denen die TAN gültig ist) die Empfänger-IBAN und den Betrag ändern. Damit würde die TAN aber nicht mehr zur ursprünglichen Überweisung passen, und die missbräuchliche Transaktion ließe sich nicht autorisieren.

Um zu vermeiden, dass eine auf dem Weg zum Rechenzentrum mittels Trojaner/Viren widerrechtlich abgeänderte Überweisung vom Kunden autorisiert wird, bieten beim optischen Verfahren die im Display des Generators angezeigten Werte (Auftragsart, Empfänger-IBAN und Betrag) die entscheidende Kontrollmöglichkeit. Stimmen diese nicht überein, muss die Transaktion durch den Kunden abgebrochen werden, denn die Sicherheit des Verfahrens liegt im Sicherheitsbewusstsein und in der Kontrollverantwortung des Kunden! Es werden immer die Transaktionen ausgeführt, deren Daten im Display des Generators erscheinen, und nicht die möglicherweise veränderte Transaktion auf Ihrem Bildschirm! Kontrollieren Sie deshalb immer die Daten im Display des Generators mit den Originaldaten (z.B. auf der Rechnung).


Für die detaillierte Beschreibung des Ablaufs einer Einzelüberweisung klicken Sie bitte auf "Ablauf einer Einzelüberweisung im Sm@rtTAN -Verfahren".

Sicherheits-Tipps

Informationen zum Thema Sicherheit

Das Internet hat sich zu einem selbstverständlichen Medium entwickelt, dessen Bedeutung stetig zunimmt. Neben den positiven Möglichkeiten des Internets ergeben sich jedoch auch eine Reihe von Sicherheitsrisiken, denen durch geeignete Maßnahmen entgegengewirkt werden muss.

Für die Sicherheit der Online-Filiale ist neben der Vielzahl von Sicherheitsvorkehrungen, die durch Kreditinstitute und die Fiducia & GAD IT AG als IT-Dienstleister der Kreditinstitute umgesetzt wurden, die Sicherheit des Internetnutzer-PCs sowie die Sensibilisierung der Online-Banking-Nutzer von hoher Bedeutung.

Gerade aktuelle Angriffszenarien zielen immer öfter auf die Ausnutzung von System- und Anwendungsschwachstellen und nutzen gezielt bestimmte Verhaltensmuster der Anwender. Durch den sensiblen Umgang mit den gegebenen technischen Möglichkeiten lassen sich jedoch die meisten Angriffe abwehren.

Geheimhaltung von PIN und TAN

PIN und TANs dürfen nur im gesicherten Angebot der Online-Filiale verwendet werden. Niemals dürfen PIN und TAN per E-Mail übertragen oder auf anderem Wege Dritten anvertraut werden.
Achten Sie darauf, dass Ihnen bei der Eingabe von PIN und TAN niemand "über die Schulter sieht" und speichern Sie nie Ihre PIN und TAN auf der Festplatte oder anderen Speichermedien Ihres Endgerätes. Deaktivieren Sie hierzu auch die automatische Passwort-Speicherung Ihres Browsers.

Änderung der PIN bei Verdacht der Kompromittierung

Sollten Sie versehentlich eine zweifelhafte Internet-Seite besucht und Ihre Daten preisgegeben haben, empfehlen wir Ihnen, die PIN über ein anderes Endgerät zu ändern. Dies können Sie direkt in Ihrer Online-Filiale durchführen. Führen Sie am infizierten Rechner kein Online-Banking mehr durch, bis dieser bereinigt wurde. Wenden Sie sich bei Problemen umgehend an Ihr Kreditinstitut.

Funktion Logout

Nutzen Sie die Funktion "Logout" zum Beenden einer Online-Banking Sitzung. Erst mit dem Aufruf dieser Funktion wird Ihre Verbindung ordnungsgemäß getrennt. Die automatische Abmeldung erfolgt erst, wenn für die Dauer von 15 Minuten keine Eingaben durch den Benutzer erfolgt sind. Sie werden in diesem Fall zur Neuanmeldung aufgefordert

Sicherheitsaktualisierungen für Betriebssystem und Browser

Zum Teil nutzen Angreifer und Schadprogramme Sicherheitslücken im Betriebssystem und Programmen wie dem Browser, um sich unbemerkt in Ihrem PC einzunisten. Um das Angriffspotential über offene Schwachstellen zu minimieren, sollten Aktualisierungen für Betriebssysteme, Browser und Sicherheitskomponenten (wie Personal Firewall oder Virenscanner) umgehend installiert werden. Die meisten Programme bieten für diesen Zweck automatische Update-Funktionen, die in regelmäßigen Abständen auf den Herstellerseiten nach Aktualisierungen der Produkte suchen und diese ggf. installieren.

Richtiger Umgang mit E-Mails

Reagieren Sie auf keine noch so überzeugend formulierte E-Mail, die Sie zur Preisgabe von persönlichen Daten auffordert, auch nicht, wenn Ihnen die Absender vertraut vorkommen. Seriöse Anbieter fragen nie per E-Mail nach Ihren Bankzugangsdaten oder Kreditkartendaten, die z.B. aufgrund eines angeblichen Datenabgleichs oder neuen Sicherheitsverfahrens benötigt werden.
Löschen Sie solche Phishing-Mails direkt und endgültig! Sollten Sie Zweifel haben, ob eine E-Mail tatsächlich von einem Ihnen vertrauten Anbieter stammt, rufen Sie seine Internetseite manuell über Ihren Browser auf und schauen Sie hier nach entsprechenden Informationen.

Die Volksbank Euskirchen eG (und auch andere Kreditinstitute) werden niemals von ihren Kunden persönliche Daten, wie Passwörter, PIN, TANs usw. per E-Mail erfragen!

Auf der Internetseite der a-i3 (Arbeitsgruppe Identitätsschutz im Internet e.V.) werden immer wieder aktuelle Betrugsversuche durch Phishing-Mails vorgestellt. Sie können die Seite über den folgenden Link öffnen: https://www.a-i3.org/

Sicherheit am Internet-Rechner

Nutzen und installieren Sie nur Software aus vertrauenswürdigen Quellen. Überlegen Sie immer, ob Sie eine Software wirklich brauchen und ob Sie dem Anbieter (Hersteller und Download-Quelle) wirklich vertrauen. Generell sollten Sie keine Dateien von unbekannten Servern bzw. E-Mail-Anhänge unbekannten Ursprungs öffnen, herunterladen oder ausführen. Sollte dies jedoch erforderlich sein, so ist zumindest eine Überprüfung der Dateien mit einem aktuellen Virenscanner sinnvoll.

Schutz vor Viren, Würmern und "Trojanischen Pferden".

Einmal auf Ihrem System installierte Viren, Würmer oder "Trojanische Pferde" haben auf Ihrem System weitreichende Möglichkeiten. Sobald eine solche Schadsoftware auf Ihrem System installiert wurde, kann der Schutz Ihrer Daten und die korrekte Funktion von Betriebssystem und Anwendungen prinzipiell nicht mehr gewährleistet werden. Um eine optimale Abwehr von Schadsoftware zu erreichen, ist die Installation eines Virenscanners und einer Personal Firewall erforderlich bzw. sinnvoll. Wesentlich für die Wirksamkeit dieser Komponenten ist zudem eine regelmäßige Aktualisierung. Wir empfehlen Ihnen Produkte, die am besten mehrmals täglich per Online-Update auf dem neuesten Stand gehalten werden.

Prüfung der Authentizität des Online-Angebots

Die Authentifizierung ist der Nachweis eines Kommunikationspartners, dass er tatsächlich derjenige ist, für den er sich ausgibt. Die Authentizität wird in der Online-Filiale durch Einsatz des SSL-Protokolls gewährleistet. Hierbei wird über ein Zertifikat die Authentizität des Anbieters bestätigt. Eine erste und einfache Möglichkeit der Prüfung ist zudem anhand der angezeigten Internet-Adresse (URL) im Browser möglich.

Prüfen der Internet-Adresse

Als Anwender sollten Sie darauf achten, dass Sie die korrekte Adresse (URL) für die Online-Filiale kennen. Bei jeder Sitzung sollten Sie die im Browser angezeigte URL auf Plausibilität prüfen. Jede unbekannte Internet-Adresse kann als nicht vertrauenswürdig eingestuft werden. Geben Sie bei fremden Adressen niemals persönliche Informationen und/oder Ihre Zugangsdaten der Online-Filiale ein.
Der Zugang zur Online-Filiale sollte immer über die offizielle Homepage Ihrer Bank gestartet werden. Auf keinen Fall sollten Sie Links zur Online-Filiale verwenden, die über Web-Seiten oder E-Mails anderer Anbieter zur Verfügung gestellt werden.

Prüfung der SSL-Verbindung

Die Stärke der Verschlüsselung Ihrer SSL-Sitzung sowie das Zertifikat des Anbieters können Sie überprüfen, indem Sie einen Doppelklick auf dem Symbol "Vorhängeschloss" in der Statuszeile des Browsers durchführen. Nutzen Sie die Online-Filiale nur über die gesicherten SSL-Verbindungen zum Rechenzentrum der Fiducia & GAD IT AG. Achten Sie auf die korrekte Adresse der Online-Filiale (URL). Rufen Sie die Online-Filiale ausschließlich über die Homepage Ihres Kreditinstitutes auf.

Gefahren aus dem Internet

Computer und das Internet sind längst zu einem unverzichtbaren Bestandteil Ihres Alltags geworden, besonders wenn Sie Ihre Bankgeschäfte "online" erledigen. Wir möchten Sie hier über die wichtigsten Gefahren informieren und Ihnen die Möglichkeiten aufzeigen, wie Sie sich vor diesen Gefahren schützen können.

Diese Gefahren sollten Sie kennen!

Phishing

Der Ausdruck "Phishing" entstammt aus einem englischen Wortspiel. Dem Begriff „Fishing" (Fischen) wird das "P" von Password vorangestellt und somit zutreffend beschrieben, worum es sich handelt:

Beim Phishing wird versucht, widerrechtlich an persönliche Daten von Internetnutzern zu gelangen, vorzugsweise an die beim Online-Banking benutzte Persönliche Identifikationsnummer (PIN) sowie an Transaktionsnummern (TAN).

Dies geschah anfänglich mit plumpen E-Mails, oft in gebrochenem Deutsch, in denen versucht wurde, den Empfänger der Mail mit vorgetäuschter Dringlichkeit unter Druck zu setzen, das Konto würde gesperrt, wenn er nicht wie beschrieben verfährt oder das angebliche Sicherheitsteam hätte einen Betrugsversuch festgestellt usw. Immer wurde dazu aufgefordert, auf einen entsprechenden Link zu klicken, der das Angedrohte verhindern soll. In Wahrheit öffnete sich dann jedoch eine Internetseite, in der man freundlich gebeten wurde, die angeblich so dringend benötigten Daten in einem scheinbar dafür nötigen Feld einzugeben. Und meist wird beim Klick direkt ein Trojaner-Virus mit installiert, das das widerrechtliche Abfischen der Daten dann automatisch erledigt.

Die E-Mails in schlechtem Deutsch sind zwar viel seltener geworden, dafür sind virenverseuchte E-Mails heute wesentlich schlechter zu erkennen.


Unser Rat:
Reagieren Sie auf keine noch so überzeugend formulierte E-Mail, die Sie zur Preisgabe von persönlichen Daten auffordert, auch nicht, wenn Ihnen die Absender vertraut vorkommen. Seriöse Anbieter fragen nie per E-Mail nach Ihren Bankzugangsdaten oder Kreditkartendaten, die z.B. aufgrund eines angeblichen Datenabgleichs oder neuen Sicherheitsverfahrens benötigt werden.
Löschen Sie solche Phishing-Mails direkt und endgültig! Sollten Sie Zweifel haben, ob eine E-Mail tatsächlich von einem Ihnen vertrauten Anbieter stammt, rufen Sie seine Internetseite manuell über Ihren Browser auf. Sollte die E-Mail wahrheitsgemäß sein, werden Sie hier entsprechende Informationen finden.

Die Volksbank Euskirchen eG (und auch andere Kreditinstitute) werden niemals von ihren Kunden persönliche Daten, wie Passwörter, PIN, TANs usw. per E-Mail erfragen!

Nicht nur in diesem Zusammenhang legen wir Ihnen den Einsatz einer Antiviren-Software nahe, die am besten mehrmals täglich per Online-Update auf dem neuesten Stand gehalten wird und mit einer Firewall-Software kombiniert ist. So sind Sie bestmöglich geschützt. Beachten Sie aber, dass auch die besten Antivirenprogramme und Firewalls den Betrügern hinterherhinken. Hundertprozentige Sicherheit kann es nicht geben.
Halten Sie Ihr Betriebssystem und Ihren Browser auf dem neuesten Stand, da Sie es den Angreifern erschweren, wenn die immer wieder neu angebotenen Sicherheitsupdates geladen werden!

Pharming

Der Ausdruck "Pharming" entstammt ebenfalls einem Wortspiel. Dem Begriff "Farm" wird das "P" von Password voranstellt. Pharming-Betrüger unterhalten eigene große Server-Farmen, auf denen gefälschte Webseiten abgelegt sind:
Pharming ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (beispielsweise durch DNS-Spoofing), um den Benutzer auf gefälschte Webseiten umzuleiten, und auf diesem Weg zu versuchen, an persönliche Daten von Internetnutzern zu gelangen, vorzugsweise an die beim Online-Banking benutzte Persönliche Identifikationsnummer (PIN) sowie an Transaktionsnummern (TAN).

In der Praxis geschieht dies durch die Installation eines Trojaner/Virus, der/das den ahnungslosen Internetnutzer später auf die gefälschte Seite umleitet. Die dort eingegeben Daten werden dann umgehend zum Schaden des Bankkunden verwendet. Häufig schleichen sich die „Schädlinge“ über „verseuchte“ E-Mails ein.

Unser Rat:
Achten Sie beim Einloggen darauf, dass Sie auf die richtige Seite geroutet werden, die mit https:// beginnt und die als Verschlüsselungssymbol mit einem kleinen Vorhängeschloss gekennzeichnet ist!

Für die Volksbank Euskirchen ist in diesem Fall die korrekte URL-Adresse:
https://www.eu-banking.de/ptlweb/WebPortal?bankid=8082

Nicht nur in diesem Zusammenhang legen wir Ihnen den Einsatz einer Antiviren-Software nahe, die am besten mehrmals täglich per Online-Update auf dem neuesten Stand gehalten wird und mit einer Firewall-Software kombiniert ist. So sind Sie zuverlässig gegen Angriffe von außen geschützt!

Halten Sie Ihr Betriebssystem auf dem neuesten Stand. Durch die immer wieder neu geladenen Sicherheitsupdates erschweren Sie es den Angreifern.

Schadensfall?

Was tun, wenn Ihre Antiviren- und Firewall-Software einmal versagt haben sollte, weil ihr beispielsweise der allerneuste Trojaner/Virus noch nicht bekannt war?

Rufen Sie uns umgehend an, damit wir Ihren Kontozugang sowie Ihre PIN vorsorglich sperren können! Sollten Sie Ihre Kreditkartendaten weitergegeben haben, können wir diese ebenfalls sperren.

Kontrollieren Sie z.B. über den Kontoauszugsdrucker oder ein anderes Endgerät (PC, Tablet, Smartphone, …), ob bereits eine unberechtigte Verfügung stattgefunden hat, und informieren Sie uns auch darüber schnellstmöglich!

Sie erreichen uns Montag bis Freitag 08.00 Uhr - 18.30 Uhr unter 02251 701-0. Außerhalb dieser Zeiten können Sie Ihre Karten, Online-Konten und sonstigen Benutzerkennungen (z.B. HBCI, EBICS, VR-Kennung, …) über den Sperr-Notruf 116 116 sperren lassen

Links

Die u.a. Links haben wir für Sie zusammengestellt. Rufen Sie die Seiten einmal auf, und Sie werden unter der Vielzahl der angebotenen Informationen sicherlich die eine oder andere Neuigkeit entdecken:

1. Link zum Bundesamt für Sicherheit und Informationstechnik
Hier erhalten Sie nützliche Informationen, Hinweise und Tipps zum Umgang mit dem Thema Internet  und Sicherheit.

2. Link zum Bürger-CERT (CERT steht für Computer Emergency Response Team)
Hier erhalten Sie weitere Sicherheitsinformationen. Außerdem können Sie sich auf dieser Seite registieren lassen, um per E-Mail technische Warnungen oder den allgemeinen Newsletter vom Bürger-CERT zu erhalten.

3. Link zur a-i3 (Arbeitsgruppe Identitätsschutz im Internet e.V.)
Der eingetragene Verein ist eine unabhängige, interdisziplinäre Organisation, die sich den Identitätsschutz im Internet zur Aufgabe gemacht hat. a-i3 wurde im Mai 2005 von Forschern der Ruhr-Universität Bochum sowie Praktikern aus dem Bereich der IT-Sicherheit gegründet.

Anmerkung:
Wenn Sie im Internet unter "kostenlose Antivirensoftware" oder "kostenlose Firewall" suchen lassen, werden Sie auf jeden Fall einen Anbieter finden. Wir haben jedoch die Erfahrung gemacht, dass kostenlose Produkte zwar funktionieren, dass aber die allerneuesten Updates erst etwas später zur Verfügung gestellt werden.