Sicherheitstipps beim hausbanking für Privatkunden

Allgemein

  • Das hausbanking, das Internetbanking der Volksbank, ist gesichert durch

    • mehrstufiges Sicherheitskonzept (Rechenzentrum) u.a. mit Firewalls
    • Zwei-Faktor-Authentifizierung (Strong Customer Authentication - SCA) 1)
    • null ID-App für den sicheren Einstieg ins hausbanking (Login)
    • progressiver zeitabhängiger SoftLockout 2)
    • mindestens 128Bit Verschlüsselung in Verbindung mit Transport Layer Security (TLS)
    Durch ständige Weiterentwicklung tragen wir Sorge, Sie und Ihr hausbanking bestmöglich durch verschiedene zeitgemäße Schutzmechanismen optimal abzusichern.

Goldene Regeln zur Sicherheit beim hausbanking

  • Schützen Sie sich und Ihren PC, Ihr Smartphone oder Ihr Tablet zusätzlich vor betrügerischen Angriffen, indem Sie folgende Sicherheitsregeln beachten! Wir haben für Sie die wichtigsten Empfehlungen zur Sicherheit im hausbanking zusammengefasst. Mit der Berücksichtigung dieser können Sie zur Steigerung Ihrer eigenen Sicherheit im Internet beitragen.

  • 1. Verwenden Sie sichere Zugangsdaten

    Definition sicherer Zugangsdaten (Benutzername und Passwort)

      • Die Wahl sicherer Zugangsdaten wie Benutzername und Passwort tragen erheblich zum Schutz gegen Missbrauch bei. Idealerweise kann auch der Benutzername nicht einfach mit Ihrer Person in Verbindung gebracht werden. Passwörter müssen über eine Mindestlänge verfügen und entsprechend der Passwort-Richtlinie konzipiert werden.

      • Generell gilt: Je länger und zufälliger ein Passwort ist, umso sicherer ist es. Nutzen Sie generell bei jeder Plattform eine Zwei-Faktor-Authentifizierung sofern diese angeboten wird.

      • Verwenden Sie niemals Ihre Authentifizierungsdaten für das hausbanking für andere Internet-Dienste. Bei der Verwendung von denselben Benutzername- und Passwort-Kombinationen für mehrere Dienste ist die Wahrscheinlichkeit sehr hoch, dass durch den Datendiebstahl bei einem unsicheren Dienstanbieter Ihre Zugangsdaten zu einer missbräuchlichen Anwendung gelangen.

    Schutz von Zugangsdaten

      • Wie erkennen Sie, ob Sie sich auf einer gesicherten Seite befinden?
        Alle gesicherten Seiten beginnen mit der Adresse https:// - alle anderen Webseiten weisen nur http:// auf. Überprüfen Sie daher immer diesen Adress-Bestandteil, bevor Sie eine Transaktion beginnen.

      • Geben Sie Ihre persönlichen Zugriffs- und Autorisierungsdaten (Benutzername, Passwort, PIN, TAN, usw.) niemals an Dritte weiter. Dritte Personen, denen Sie derartige Informationen preisgeben, können in Ihrem Namen gültige Aufträge erteilen.

      • Nicht vertrauenswürdige Systeme (z.B. Computer in einem Internet-Kaffee) sind für die Nutzung des hausbankings nicht zu empfehlen.

      • Vergewissern Sie sich auch, dass Sie z.B. im öffentlichen Raum nicht von anderen Personen bei der Eingabe von vertraulichen Informationen beobachtet werden („Shoulder Surfing“).

    Speicherung von Zugangsdaten

      • Verwahren Sie Ihre vertraulichen Bankinformationen an einem sicheren Ort. Da die Daten auf einem Computer, Smartphone aber auch externen Systemen („Cloud“) ausgespäht werden können, raten wir von einer Speicherung auf derartigen Endgeräten/Systemen dringend ab.

      • Empfehlung: Ändern Sie Ihr Passwort (aber auch sonstige Zugangscodes) in regelmäßigen Zeitabständen!

    • Alle gesicherten Seiten beginnen mit der Adresse https:// - alle anderen Webseiten weisen nur http:// auf. Überprüfen Sie daher immer diese Adress-Bestandteil, bevor Sie eine Transaktion beginnen.

  • 2. Installieren Sie die Volksbank Apps nur aus den offiziellen App Stores

    • Der Download von null Apps darf nur aus den offiziellen Stores (Apple Store und Google Play Store) erfolgen. Bitte achten Sie darauf, dass in den Android-Smartphone-Einstellungen unter „Sicherheit“ immer „Apps verifizieren“ aktiviert und „Unbekannte Herkunft/Quellen“ NICHT aktiviert ist.

  • 3. Nutzen Sie vertrauenswürdige Endgeräte (Computer, Smartphone, Tablet etc.)

    • Vergewissern Sie sich, dass nur Personen Ihres Vertrauens das Endgerät nutzen oder administrieren. Wickeln Sie niemals Bankgeschäfte über nicht vertrauenswürdige Endgeräte ab, z.B. über „gerootete“ und „jailgebreakte“ Smartphones.

    Was versteht man unter „Jailbreak“ / „Rooten“?

    • Jailbreak (englisch für „Gefängnisausbruch“) bezeichnet das nicht-autorisierte Entfernen von Nutzungsbeschränkungen bei Apple Geräten, wo bestimmte Funktionen serienmäßig gesperrt sind. Dadurch bekommt der User mehr Rechte, was zu Datendiebstahl und zu verringerter Systemstabilität führen kann. Bei dem verwandten Betriebssystem Android ist der Begriff "rooten" gebräuchlich.

    • Vorsicht bei der Nutzung von unverschlüsselten bzw. unbekannten WLAN („Wifi“) Netzwerken, da hier Dritte gegebenenfalls Zugriff auf den Datenverkehr Ihres Endgerätes erhalten könnten.

  • 4. Nutzen Sie aktuelle Programmversionen

    • Von der Verwendung älterer

      • Browser und/oder
      • Betriebssystemen und/oder
      • Mobilen Banking Applikationen und/oder
      • Multi Banking Applikationen und/oder
      • Sicherheitsprogrammen
      ist dringend abzuraten! Diese weisen mittlerweile Sicherheitslücken auf, die von Herstellerseite nicht mehr geschlossen werden, weil die jeweilige Software von den Herstellern bereits aus der Wartung genommen wurde. Es wird empfohlen, Betriebssystem und Browser immer auf dem aktuellst verfügbaren Stand zu halten. Aktivieren Sie hierzu die automatische Update-Funktion Ihrer Geräte und verwendeten Software.

    hausbanking: Unterstützte Browser

    • Das hausbanking unterstützt die jeweils aktuellen Versionen der folgenden Browser: Microsoft Edge, Google Chrome, Mozilla Firefox, Safari

  • 5. Verwenden Sie Sicherheitsprogramme

    • Verwenden Sie ein aktuelles Sicherheitsprogramm mit regelmäßigen automatischen Updates gegen Spyware, Viren und Trojaner bzw. aktivieren Sie eine Personal Firewall zum Schutz Ihres Computersystems und Android-Smartphones. Sofern für die von Ihnen genutzten Smartphones und Tablets Programme zum Schutz von Schadsoftware zur Verfügung stehen, sollte Sie diese auch auf diesen Geräten nutzen.

  • 6. Erkennen Sie betrügerische Angriffe

    Erkennen von Phishing

    • Mittels „Phishing“ versuchen Dritte missbräuchlich in den Besitz fremder Zugangsdaten zu gelangen. Über diverse Kanäle (E-Mail, Telefonanruf, SMS, soziale Netzwerke, usw.) versucht man den jeweiligen Empfänger mit unterschiedlichsten Vorwänden (z. B. „Ihr Konto wurde gesperrt.“, „Installation einer Sicherheitssoftware-/APP erforderlich.“, …) zur Bekanntgabe vertraulicher Daten zu bewegen. Die null fordert ihre Kunden grundsätzlich nicht dazu auf, vertrauliche Zugangs- und Transaktionsinformationen preiszugeben. Dazu zählen insbesondere Benutzername und Passwort. Bei dieser Art von Nachrichten – auch bekannt als „Phishing“ - handelt es sich immer um Betrugsversuche! Bei Zusendung derartiger Aufforderungen/Nachrichten via E-Mail oder anderen elektronischen Informationssystemen empfehlen wir weiters:

      • Folgen Sie niemals darin enthaltenen Links bzw. öffnen Sie keine Anhänge!
      • Antworten Sie keinesfalls auf solche Mails und leiten sie diese auch nicht weiter!
      • Löschen Sie die Mails aus Ihrem Postfach und auch aus ihrem Papierkorb!
      • Aktivieren Sie ihren Spam-Filter und schließen Sie die Absender-Mail-Adresse bzw. den Betreff von den vertrauenswürdigen Absendern aus.
      Kontaktieren Sie im Zweifelsfall zuerst die Hotline der null.

    Erkennen von Trojanern

    • Von Betrügern verbreitete Schadprogramme, sog. „Trojaner“, tarnen sich im Internet als gutartige und nützliche Programme und regen so den Benutzer dazu an, sie auszuführen. Oftmals gelangen sie auch über E-Mail Dateianhang auf die PC´s ihrer Opfer. Diese Angreifer verfolgen immer das Ziel, ihre Opfer auf irgendeine Weise zu schädigen. In Österreich wurde ein Schadprogramm verbreitet, das darauf abzielt, unzureichend geschützte PC´s von Kunden österreichischer Banken zu befallen und deren User nach dem Login ins Internet Banking auszutricksen.
      Laden Sie von nicht vertrauenswürdigen Seiten/Mails keine Programme auf Ihren PC, Ihr Tablet und Ihr Smartphone.

    • Warnhinweise

      Hier finden Sie aktuelle Warnhinweise zu Trojanern und Phishing-Mails.

      zu den Warnhinweisen

    Erkennen von sozialer Manipulation (Social Engineering)

    • Internetbetrüger geben sich in Telefonanrufen auch als vermeintliche Mitarbeiter bekannter IT-Unternehmen aus. Unter dem Vorwand, der Computer sei infiziert bzw. gehackt, fordern sie zur Installation einer Fernwartungssoftware zur Lösung dieses Problems auf. Die Betrüger haben dann Zugriff auf Ihren Computer und können Daten und Tastatureingaben ausspähen bzw. manipulieren (z. B: Internet-/Mobilbanking Zugangsdaten). In manchen Fällen versuchen die Betrüger sogar Internetbanking Transaktionen auszuführen und von Betroffenen die Transaktion autorisieren zu lassen. Für die neuesten Betrugsversuche beachten Sie dazu die Sicherheitshinweise und aktuellen Informationen der null. Sobald der Verdacht auf Betrug entsteht, geben Sie keinerlei Daten preis, brechen das derartige Telefonat sofort ab und melden Ihren Verdacht umgehend der null-Hotline. Sie sollten auch die Nummer der null-Hotline in Ihrem Smartphone speichern.

  • 7. Überprüfen Sie regelmäßig Ihre Kontoauszüge

    • Überprüfen Sie in regelmäßigen Abständen Ihre Kontoauszüge auf Unregelmäßigkeiten. Nutzen Sie die Mitteilungsfunktion in Ihrem hausbanking z.B. bei Kontoausgängen.

Alle öffnen Alle schließen Seitenanfang

  • 1) Zwei-Faktor-Authentifizierung
    Für eine erfolgreiche Anmeldung am Online-Banking sind neben dem Benutzernamen und dem Passwort (Faktor "Wissen") ein zugeordnetes Smartphone (Faktor „Besitz“) sowie die pro Anmeldevorgang neu errechnete Kontrollzahl (Faktor "Wissen") erforderlich.

    2) Soft-Lockout
    Je öfter eine Fehlanmeldung am Online-Banking durch die Verwendung durch die Eingabe eines falschen Passworts durchgeführt wird, umso länger (progressiv) kann keine erfolgreiche Anmeldung durchgeführt werden. Dieser Mechanismus verhindert, dass Attacken auf Benutzerkennwörter durch Brute-Force (automatisiertes Durchprobieren von Passwort generierten Passwörtern oder auf Basis von Wörterbüchern) zum Erfolg führen ohne dass der legitime Benutzer ausgesperrt wird.