Sicheres Online Banking

Für den Zugriff auf Ihr online geführtes Konto benötigen Sie u. a. die so genannte PIN. Die Abkürzung "PIN" steht für Ihre Persönliche Identifikationsnummer. Da nur Sie Ihre PIN kennen, wird ein Kontozugriff für unbefugte Personen verhindert oder zumindest erschwert. Wird dreimal eine falsche PIN eingegeben, sperrt sich der Zugang. Dadurch wird verhindert, dass Unbefugte durch Probieren Ihre PIN ermitteln können.

Die zweite Abkürzung "TAN" steht für die Transaktionsnummer. Eine TAN kann immer nur einmal verwendet werden. Standardmäßig bestätigen Sie jede Transaktion ( z. B. eine Überweisung) durch die Eingabe einer TAN. Die TAN ist eine zusätzliche Sicherheitsbarriere. Eine dreimalige Falscheingabe einer TAN sperrt ebenfalls den Zugang zum Online Banking.

Für die Nutzung des Online Bankings benötigen Sie Ihre persönlichen Zugangsdaten sowie einen photoTAN-Token.

Nach der Initiierung des Online Bankings durch Ihren persönlichen Kundenbetreuer werden Ihnen Ihre Erstzugangsdaten zugesandt:

• Eine Online Banking-PIN bestehend aus 8 Ziffern
• Eine 8 stellige, (alpha-)numerische Benutzerkennung
• Die URL zum Online Banking

Außerdem erhalten Sie einen photoTAN-Token sowie den hierfür erforderlichen Aktivierungsbrief. Dieser enthält:

• Eine persönliche Aktivierungsgrafik für den photoTAN-Token
• Eine Aktivierungs-Nr. (Lizenz)

Nachdem Sie als Neukunde die Empfangsbestätigung an uns zurückgeschickt haben, aktivieren Sie Ihren Zugang zum Online Banking:

Nach erfolgreicher Aktivierung ändern Sie bitte die Ihnen mitgeteilte Online Banking-PIN in eine eigene, sichere PIN. Die neue Online Banking-PIN muss aus mindestens 6 Zeichen und kann aus maximal 16 alphanumerischen Stellen bestehen.

Die Online Banking-PIN ist der Schlüssel zu Ihrer Identität! Deswegen sollten Sie diese auf jeden Fall geheim halten und aus Sicherheitsgründen regelmäßig ändern.

Eine weitere PIN vergeben Sie im Rahmen des Aktivierungsprozesses Ihres PhotoTAN-Tokens. Dies ist ein Zugriffsschutz in Form einer 6-stelligen sicheren, numerischen PIN. Diese Token-PIN halten Sie bitte ebenfalls geheim. Nur so ist gewährleistet, dass nur Sie Ihre photoTAN-Lizenz nutzen können.

Bei jeder Anmeldung im Online Banking müssen Sie Ihre Benutzerkennung, die Online Banking-PIN und eine TAN eingeben. Erst nach erfolgreicher Benutzeranmeldung erhalten Sie Zugriff auf Ihre Daten.

• Hierzu geben Sie als erstes Ihre Benutzerkennung und Ihre Online Banking-PIN im Login-Fenster des Online Banking ein.
• Im nächsten Schritt werden Sie aufgefordert, eine auf dem Bildschirm angezeigte Grafik mit Ihrem photoTAN-Token zu scannen.
• Nach dem Scannen der Grafik werden Sie auf dem photoTAN-Token zur Eingabe Ihrer Token-PIN aufgefordert.
• Mit erfolgreicher Eingabe der Token-PIN werden Ihnen auf dem Token-Display die gerade ausgeübte Aktion (in diesem Fall die "Anmeldung zum Online Banking") sowie Ihre Benutzerkennung angezeigt.
• Abschließend generiert der photoTAN-Token eine TAN, die Sie in das entsprechende Feld auf dem Bildschirm eingeben.

Das photoTAN-Verfahren wird auch als Authentifizierungsverfahren bezeichnet. Es bietet die Möglichkeit die Anmeldung im Online Banking mittels starker Kundenauthentifizierung durchzuführen. Diese starke Kundenauthentifizierung wird aus Sicherheitsgründen mittlerweile sowohl für den Zugriff auf sensible Zahlungsdaten als auch für das Auslösen von Zahlungen regulatorisch gefordert.

Für die Erfüllung einer starken Kundenauthentifizierung bedarf es der Elemente Wissen (PIN) und Besitz (photoTAN-Token). Die Elemente müssen unabhängig voneinander sein und mindestens ein Element darf nicht über das Internet entwendet werden können (photoTAN-Token). Außerdem müssen die Authentifizierungsdaten bei der Übertragung durch Verschlüsselungsverfahren geschützt werden. All dies erfüllen wir mit dem heutigen PIN/photoTAN-Verfahren im Online Banking.

Hat ein Krimineller doch einmal, etwa durch das Aufzeichnen der Tastatureingaben, Ihre Online Banking-PIN erhalten, so hat er damit noch keinen Zugriff auf Ihre Konten. Zusätzlich benötigt er den photoTAN-Token mit der aktivierten Lizenz und die Token-PIN. Durch den Einsatz von zwei Geräten, die unabhängig voneinander sind ( PC o. ä. und photoTAN-Token), erschwert man einem Täter sein kriminelles Vorhaben.

Wenn ein Krimineller in den Besitz des photoTAN-Tokens und der Online Banking-PIN gelangt, so benötigt er für den Zugriff auf die Token-Lizenz auch die Token-PIN. Hierfür muss er probieren. Nach fünfmaliger Falscheingabe wird die Lizenz auf dem Gerät jedoch gelöscht.

Bei der Autorisierung von Zahlungsaufträgen werden mit dem neuen Verfahren Transaktionsdetails in die Generierung der TAN einbezogen. Mit dem photoTAN-Verfahren werden bei jeder neuen Transaktion immer aktuelle Informationen als eine eigene verschlüsselte Grafik dargestellt. Diese Grafik wird unverfälscht auf das Lesegerät übertragen und dort in eine TAN umgewandelt. Die TAN gilt also nur für die Transaktion, deren Daten in die Berechnung der TAN eingeflossen sind. Die so erzeugten TANs können nicht für abweichende (betrügerische) Zahlungen genutzt werden.

Da der TAN-Generator nicht an den PC o.ä. angeschlossen wird, ist eine Manipulation der Displayanzeige ausgeschlossen.

Alle bisherigen, technischen Angriffsarten können so wirkungsvoll verhindert werden.

Der sorglose Umgang mit den angezeigten Auftragsdaten im Display des TAN-Generators bleibt allerdings als Gefahrenquelle bestehen. Kontrollieren Sie die Daten daher genau!

Bei Zahlungen, die sicherungsbedürftiger sind, kann seitens der Bank im Rahmen der TAN-Generierung als zusätzlicher Schutz die Token-PIN abgefragt werden (z.B. bei Auslandszahlungen). Haben Sie beispielsweise vergessen sich abzumelden, Ihr photoTAN-Token ist griffbereit, dann kann immer noch niemand Unbefugtes diese Gelegenheit nutzen. Bei der Abfrage der Token-PIN endet der Betrugsversuch.

Beachten Sie bitte grundsätzlich die Sorgfaltspflichten aus den "Bedingungen zur elektronischen Kontoführung". Hiernach dürfen Sie Ihre Legitimations- und Sicherungsmedien bzw. Ihr personalisiertes Sicherheitsmerkmal und Authentifizierungsinstrument nicht an Dritte weitergeben. Sie sind zur Geheimhaltung und zum Schutz der Daten bzw. Geräte verpflichtet.

Merken Sie sich Ihre Online Banking-PIN und Ihre photoTAN-Token-PIN und schreiben Sie diese weder auf noch speichern Sie sie ab. Ändern Sie Ihre PINs regelmäßig in sichere PINs. Denken Sie daran: Jeder, der Ihren photoTAN-Token und Ihre Daten besitzt, arbeitet unter Ihrem Namen!

Zahlungsdetails werden vor der TAN-Generierung auf dem Display des photoTAN-Tokens angezeigt. Sofern Transaktionsdaten unberechtigterweise verändert wurden, gehen diese veränderten Werte ebenfalls in die Anzeige auf dem Display des TAN-Generators mit ein. Sollte das einmal der Fall sein, brechen Sie die Aktion ab. Gleichen Sie daher immer die auf dem Display angezeigten Daten mit den Daten ab, die Sie eingegeben haben.

Aufgrund der hohen Sicherheit des photoTAN- Verfahrens wird übrigens inzwischen versucht, den Nutzer mittels "Social Engineering" dazu zu bewegen von sich aus, also freiwillig, eine Überweisung zu Gunsten der Betrüger zu tätigen. Bleiben Sie immer wachsam und kritisch! Beachten Sie bitte grundsätzlich auch unsere Sicherheitshinweise für die sichere Nutzung des Electronic Banking.

Beim Online-Banking weisen Sie mit PIN und TAN Ihre Identität nach. Diese Daten versuchen Kriminelle im Internet zu "ergaunern". Bedrohungen sind u.a. Social Engineering, Phishing, Banking-Trojaner, einschließlich der Man-in-the Middle (MITM) bzw. Man in the Browser (MITB)-Attacken.

Detaillierte Erläuterungen hierzu stehen Ihnen ebenfalls auf unserer Website zur Verfügung:

Sicherheit im Internet

Grundsätzlich gilt: Die aktuellen Browser warnen Sie, wenn keine sichere Verbindung zur Website hergestellt werden kann.

Zunächst müssen Sie sich aber auf der korrekten Internetseite befinden. Um sicher zu gehen, dass Sie tatsächlich mit dem Online Banking verbunden sind, rufen Sie die Internet-Seite über www.sozialbank.de auf.

Von der Homepage aus klicken Sie auf "Online-Banking" und landen so sicher auf der verschlüsselten Login-Seite. Achten Sie darauf, dass dabei lediglich ein Browserfenster bzw. ein Tab geöffnet ist.

Sie erkennen die verschlüsselte Seite der Bank für Sozialwirtschaft daran, dass im Browser ein Schloss-Symbol in der Fußzeile oder in der Adresszeile erscheint und die Webadresse mit "https" beginnt. Das Schloss-Symbol muss während der gesamten Online-Banking-Sitzung zu sehen sein.

Wichtig hierbei: Nur ein geschlossenes Schloss-Symbol bedeutet, dass die Daten verschlüsselt übertragen werden. Sollte das "https" oder das Schloss-Symbol fehlen bzw. sollte das Schloss-Symbol geöffnet sein, brechen Sie die Sitzung ab. Melden Sie den Umstand umgehend Ihrer Kundenbetreuung bzw. unserem Electronic Banking Team unter der kostenfreien Servicerufnummer 0800 37020500.

Bei der Verwendung einer aktuellen Browsersoftware wird über einen Klick auf das Schloss-Symbol in der Adresszeile ein Zertifikat angezeigt. Die Darstellung ist abhängig von der von Ihnen eingesetzten Browser-Version.

Mit dem Zertifikat wird die Richtigkeit der Angaben des Servers, mit dem Sie verbunden sind, von einer unabhängigen Instanz, dem Zertifikatsaussteller, bestätigt.

Die Zertifizierungsstelle ist eine international anerkannte, unabhängige und vertrauenswürdige Instanz, die Zertifikate ausstellt. Bei der Zertifikatsausstellung ist ein spezieller Authentizitätsnachweis erforderlich. Über das dann ausgestellte Zertifikat ist wiederum eine Authentizitätsprüfung möglich.

Es ist weiterhin sichergestellt, dass die Verbindung verschlüsselt erfolgt, weshalb niemand die Verbindung abhören und Ihre Anmeldeinformationen stehlen kann.

Ein Bestandteil des Zertifikats ist der "elektronische Fingerabdruck" (bzw. „Fingerprint“), der überprüft werden kann. Dieser ist ein Code, der aus mehreren Ziffern und Buchstaben besteht und i.d.R. einmal im Jahr ausgetauscht wird. Das gängigste Verfahren zur eindeutigen Authentizitätsbestimmung ist dabei SHA-1.

Die Bank für Sozialwirtschaft nutzt ein TLS/SSL-Zertifikat mit erweiterter Validierung (Extended Validation = EV). An die Ausstellung solcher Zertifikate sind besonders strenge Authentifizierungsmethoden zur Überprüfung der Identitätsdaten der Antragsteller verbunden.

Die gängigen und aktuellen Browser erkennen diese EV TLS/SSL-Zertifikate und färben die Adressleiste oder einen Teil davon grün ein. So können Sie schneller sehen, ob die besuchte Website echt und vertrauenswürdig ist.