Für die sichere Nutzung des Online-Bankings der Renault Bank direkt wurde eine Vielzahl an Sicherheitsvorkehrungen implementiert. Neben den Vorkehrungen, die durch Kreditinstitute und ihren IT-Dienstleistern getroffen werden, ist die Sicherheit des verwendeten Endgerätes sowie die Sensibilisierung der Online-Banking-Nutzer von hoher Bedeutung.
Gerade aktuelle Angriffsszenarien zielen immer öfter nicht nur auf die Ausnutzung von System- und Anwendungsschwachstellen, sondern nutzen gezielt bestimmte Verhaltensmuster der Anwender. Durch den sensiblen Umgang mit den gegebenen technischen Möglichkeiten lassen sich jedoch die meisten Angriffe abwehren.
Folgende Punkte sind für die sichere Nutzung grundlegend:
- Sicherheit am PC und bei der Nutzung eines mobilen Endgeräts
- Prüfung der Authentizität der Online-Banking-Seite
- Bedeutung und Kontrolle der wesentlichen Bestandteile der Internet-Adresse (URL) der Online-Banking-Seite
- Zertifikatsprüfung
- Abgleich des Fingerprints (SSL-Server-Zertifikat)
- Generelle Verhaltensregeln
Sicherheit am PC und bei der Nutzung eines mobilen Endgeräts
Der vertrauenswürdige Zustand Ihres PCs oder Ihres mobilen Endgeräts ist die Voraussetzung für sicheres Online-Banking. Um die Sicherheit Ihres PCs, Tablets oder Smartphones zu gewährleisten, sind folgende Maßnahmen von wesentlicher Bedeutung:
- Nutzen und installieren Sie nur Software aus vertrauenswürdigen Quellen. Achten Sie bei der Installation von Apps auf die Vertrauenswürdigkeit der Quelle und laden Sie diese nur aus autorisierten Stores herunter.
- Überlegen Sie immer, ob Sie eine Software wirklich benötigen und ob Sie dem Anbieter (Hersteller und Download-Quelle) vertrauen. Generell sollten Sie keine Dateien von unbekannten Servern bzw. E-Mail-Anhänge und SMS unbekannten Ursprungs öffnen, herunterladen oder ausführen. Sollte dies jedoch erforderlich sein, so ist zumindest eine Überprüfung der Dateien mit einem aktuellen Virenscanner sinnvoll.
- Schützen Sie sich vor Viren, Würmern und "Trojanischen Pferden". Sobald eine solche Schadsoftware auf Ihrem System vorhanden ist, kann der Schutz Ihrer Daten und die korrekte Funktion von Betriebssystem, Virenscanner und Anwendungen prinzipiell nicht mehr gewährleistet werden. Um eine optimale Abwehr von Schadsoftware zu erreichen, ist die Nutzung eines Virenscanners und einer Personal Firewall erforderlich bzw. sinnvoll. Wesentlich für die Wirksamkeit dieser Komponenten ist zudem eine regelmäßige, möglichst tägliche Aktualisierung.
- Führen Sie regelmäßig Sicherheitsaktualisierungen für Betriebssysteme, Browser und Apps durch. Angreifer und Schadprogramme nutzen oft Sicherheitslücken im Betriebssystem und Programmen wie dem Browser, um sich unbemerkt in Ihrem Gerät einzunisten. Um das Angriffspotential über offene Schwachstellen zu minimieren, sollten Aktualisierungen für Betriebssysteme, Browser, Apps und Sicherheitskomponenten (wie Personal Firewall oder Virenscanner) umgehend installiert werden. Die meisten Programme bieten für diesen Zweck automatische Update-Funktionen, die in regelmäßigen Abständen auf den Herstellerseiten nach Aktualisierungen der Produkte suchen und diese ggf. installieren.
- Führen Sie kein „Jailbreak“ oder „Rooting“ an Ihrem mobilen Endgerät durch. Die durch den Gerätehersteller vorgegebenen Schutzfunktionen werden sonst außer Kraft gesetzt. Deaktivieren Sie die Sicherheitsfunktionen zu keiner Zeit.
- Im Falle eines Verlusts Ihres Mobilgeräts sollten Sie umgehend Ihren Mobilfunkanbieter informieren und die Sperrung veranlassen.
Auf folgenden Seiten finden Sie weiterführende Informationen zur Sicherheit im Internet:
www.bsi-fuer-buerger.de
wid.cert-bund.de
Prüfung der Authentizität des Online-Angebots
Die Authentifizierung ist der Nachweis eines Kommunikationspartners, dass er tatsächlich derjenige ist, für den er sich ausgibt. Im Online-Banking wird die Authentizität durch den Einsatz des SSL-Protokolls gewährleistet. Hierbei wird über ein Zertifikat die Authentizität des Anbieters bestätigt. Eine erste und einfache Möglichkeit der Prüfung ist zudem anhand der angezeigten Internet-Adresse (URL) im Browser möglich.
Prüfen der Internet-Adresse
Als Anwender sollten Sie sicherstellen, dass Sie die korrekte Adresse (URL) für die Online-Banking-Umgebung kennen. Bei jeder Sitzung sollten Sie die im Browser angezeigte URL auf Plausibilität prüfen. Jede unbekannte Internet-Adresse kann als nicht vertrauenswürdig eingestuft werden. Geben Sie bei fremden Adressen niemals persönliche Informationen und/oder Ihre Online-Banking-Zugangsdaten ein.
Der Zugang zum Online-Banking sollte immer über die offizielle Website der Renault Bank direkt gestartet werden. Auf keinen Fall sollten Sie Links zum Online-Banking verwenden, die über Webseiten oder E-Mails anderer Anbieter zur Verfügung gestellt werden.
Bedeutung und Kontrolle der wesentlichen Bestandteile der Internet-Adresse (URL) des Online-Bankings
Die Adresse des Online-Bankings beginnt immer mit:
https://banking.renault-bank-direkt.de
Zertifikatsprüfung
Die SSL-Verbindung garantiert Ihnen, dass eine verschlüsselte Kommunikation mit dem IT-Dienstleister Ihres Kreditinstitutes stattfindet. SSL-Zertifikate enthalten hierfür generell den öffentlichen Schlüssel des Anbieters, sowie Angaben zur eindeutigen Identifikation.
Das SSL-Zertifikat des Online-Bankings ist von D-TRUST SSL Class 3 CA 1 EV 2009 / ATRUVIA AG (Aussteller) auf BANKING.RENAULT-BANK-DIREKT.DE / RCI BANQUE S.A. NIEDERLASSUNG DEUTSCHLAND (Besitzer/Antragsteller) ausgestellt.
Niemals sollte ein Zertifikat eines anderen Anbieters im Rahmen einer Sitzung im Online-Banking akzeptiert werden. Manuelle Bestätigungen des Zertifikats sind zudem nicht erforderlich, da hierbei ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle zum Einsatz kommt.
Potenzielle Angreifer nutzen i.d.R. eigen erstellte Zertifikate, welche vom Browser nur mit Bestätigung des Benutzers akzeptiert werden, da dieser die Authentizität nicht zweifelsfrei feststellen kann.
Bei Zertifikatsfragen des Browsers ist daher Vorsicht geboten, bevor fremde Zertifikate akzeptiert bzw. als vertrauenswürdig eingestuft werden.
Das Zertifikat des Anbieters sowie Angaben zur Stärke der Verschlüsselung Ihrer SSL-Sitzung können Sie anhand des "Vorhängeschloss"-Symbols in der Statuszeile Ihres Browsers erkennen. Dieses sollte während der gesamten Sitzung angezeigt werden.
Zertifizierungsstelle
Die Zertifizierungsstelle ist eine international anerkannte, unabhängige und vertrauenswürdige Instanz, die Zertifikate ausstellt. Bei der Zertifikatsausstellung ist ein spezieller Authentizitätsnachweis erforderlich, so dass später über das ausgestellte Zertifikat eine Authentizitätsprüfung möglich ist.
Die Renault Bank direkt verwendet "D-TRUST" als Zertifizierungsstelle.
Abgleich des Fingerprints (SSL-Server-Zertifikat)
Weitergehend können Sie die Korrektheit und Authentizität des verwendeten Zertifikats überprüfen, indem Sie den so genannten Fingerprint (Fingerabdruck) aufrufen.
Wenn Sie die Details des Zertifikats im Browser betrachten, wird Ihnen der unten aufgeführte Fingerprint angezeigt. Durch den Abgleich der angezeigten Daten mit den Informationen des Herausgebers können Sie sicher feststellen, dass es sich um das Originalzertifikat handelt, welches Sie nutzen möchten. Das SSL-Zertifikat sichert Ihnen zu, dass eine gesicherte Kommunikation mit dem gewünschten Gesprächspartner verschlüsselt erfolgt.
Die Fingerprints für das Online-Banking-Zertifikat (https://banking.renault-bank-direkt.de/) :
SHA-256:
EC A3 D5 99 56 BA 7E 67 F6 18 B1 39 58 5A 02 D5 15 B8 EA 4A 7D 1D 9F 09 F8 E3 0A 0E 47 56 69 49
Die Fingerprints für das Website-Zertifikat (https://www.renault-bank-direkt.de/) :
SHA-256:
6F 76 62 22 B6 53 56 21 CB 1E 5A 45 C2 35 75 BA 5D 29 04 00 3A 0C 4A 8C 3C 84 96 A6 80 EE AC 62
Generelle Verhaltensregeln
Geheimhaltung von PIN und TAN
PIN und TANs dürfen nur im gesicherten Online-Banking-Bereich verwendet werden. Niemals dürfen PIN und TAN per E-Mail übertragen oder auf anderem Wege Dritten anvertraut werden.
Schützen Sie Ihr Endgerät vor Missbrauch durch Unbefugte, indem Sie eine Code-Sperre oder biometrische Identifikation und einen PIN-Code einrichten.
Achten Sie darauf, dass Ihnen bei der Eingabe von PIN und TAN niemand "über die Schulter sieht" und speichern Sie Ihre PIN und TAN nie auf dem genutzten Gerät oder anderen Speichermedien Ihres Endgerätes. Deaktivieren Sie hierzu auch die automatische Passwort-Speicherung. Sollten Sie Ihr Endgerät verkaufen oder weitergeben, setzen Sie den Zustand auf die Werkseinstellungen zurück.
Änderung der PIN bei Verdacht der Kompromittierung
Sollten Sie versehentlich eine zweifelhafte Internet-Seite besucht und Ihre Daten preisgegeben haben, empfehlen wir Ihnen, unverzüglich die PIN für das Online-Banking zu ändern. Dies können Sie direkt in Ihrem Online-Banking durchführen. Wenden Sie sich bei Problemen umgehend an Ihr Kreditinstitut.
Prüfung der SSL-Verbindung
Die Stärke der Verschlüsselung Ihrer SSL-Sitzung sowie das Zertifikat des Anbieters können Sie überprüfen, indem Sie einen Doppelklick auf das Symbol "Vorhängeschloss" in der Statuszeile bzw. Symbol- oder Titelleiste des Browsers durchführen.
Nutzen Sie das Online-Banking nur über die gesicherten SSL-Verbindungen zu Ihrer Bank.
Achten Sie auf die korrekte Adresse der Online-Banking-URL.
Rufen Sie das Online-Banking ausschließlich über die Website der Renault Bank direkt auf.
Loggen Sie sich nach Möglichkeit nur über Ihr eigenes Endgerät in das Online-Banking ein und vermeiden Sie öffentliche, unverschlüsselte WLAN-Hotspots.
Umgang mit Phishing E-Mails
Reagieren Sie in keiner Weise auf E-Mails bzgl. Ihres Online-Bankings, die Ihnen unaufgefordert zugestellt werden.
Niemals wird ein Kreditinstitut seine Kunden per E-Mail auffordern, vertrauliche Daten preiszugeben. E-Mails mit Inhalten wie: "Bitte prüfen Sie umgehend Ihren Online-Banking-Zugang" weisen i.d.R. auf den Versuch einer so genannten Phishing Attacke hin. Hierbei versuchen Betrüger, Online-Banking-Nutzer auf ihre Website zu locken, um Zugangsinformationen zu Online-Konten zu sammeln. I.d.R. befindet sich in diesen Mails ein Link, der direkt zum Online-Banking führen soll. Die Internet-Adresse hat dabei meist nur marginale Abweichungen von der echten Online-Banking-Adresse und der optische Eindruck der echten Seiten wird vollständig nachgeahmt. Nutzen Sie daher niemals Links, die Ihnen in Mails angeboten werden. Die Absenderadresse solcher E-Mails ist fast immer gefälscht, so dass eine Rückverfolgung dieser E-Mails erfolgslos ist.
Nutzen Sie stets die Funktion "Logout" zum Beenden einer Sitzung. Erst mit dem Aufruf dieser Funktion wird Ihre Verbindung ordnungsgemäß getrennt. Die automatische Abmeldung erfolgt erst, wenn für die Dauer von fünf Minuten keine Eingaben durch den Benutzer erfolgt sind. Sie werden in diesem Fall zur Neuanmeldung aufgefordert.
Hinterfragen Sie immer kritisch, ob die auf einer Webseite geforderten Eingaben in Zusammenhang mit der von Ihnen gewünschten Aktion sinnvoll erscheinen.
Vorstehende Hinweise sind nach bestem Wissen und den zum Zeitpunkt der Veröffentlichung allgemein verfügbaren Informationen erstellt worden. Trotzdem können diese Hinweise lediglich einen Überblick über die aus unserer Sicht besonders erheblichen Gefahrenumstände der Nutzung von Online-Angeboten im Allgemeinen geben und sind nicht abschließend. Sie sollen dazu dienen, das Bewusstsein des Webseitennutzers für die vorstehend beschriebenen Gefahrumstände zu sensibilisieren oder aktuell zu halten. Die Nutzung des gesamten Online-Angebots als solches verbleibt immer im Risiko des jeweiligen Webseiten-Benutzers. Bitte betrachten Sie daher die beschriebenen Sicherheitsmaßnahmen als Mindeststandard, dessen Einhaltung wir jedem Nutzer des Webseiten-Angebots zu jederzeit empfehlen und welche an den jeweiligen Stand der Technik oder an neue Sicherheitserkenntnisse anzupassen sind.