Vollversion anzeigen
 
 
 
 
 
 

Sicherheit

Bei der Erstellung des Sicherheitskonzepts wurde größter Wert auf höchstmöglichen Schutz gelegt. Um diesem Anspruch gerecht zu werden, haben wir eine Vielzahl von Maßnahmen ergriffen, die Ihrem und unserem Systemschutz dienen sollen.

Aktuelle Information über die Änderung des Zertifikates für den verschlüsselten Zugang zu FinanzOnline (Stand: Februar 2015)

Aus Sicherheitsgründen und auf Grund der Tatsache, dass einzelne Browserhersteller jetzt schon SHA-1-Zertifiakte als unsicher kennzeichnen und später sogar ablehnen, ist es erforderlich, das in FinanzOnline verwendete SHA-1-Zertifikat durch ein SHA-2-Zertifikat zu ersetzen.

  • Auswirkungen auf den Webbrowser
    Wenn Sie über den Webbrowser in FinanzOnline einsteigen und Ihren Webbrowser immer auf dem letzten Stand halten und die Updates der Hersteller installieren, sollte das neue Zertifikat vorhanden sein und es sollte nach der Umstellung keine Probleme beim Aufruf von FinanzOnline geben.
     
  • Auswirkungen auf das Betriebssystem
    Die gängigsten Betriebssysteme unterstützen SHA-2-Zertifikate, sodass es ab der Umstellung zu keinen Problemen kommen sollte.

Eine Ausnahme stellt das Betriebssystem Windows XP dar. Hier ist es erforderlich, dass das ServicePack SP3 installiert ist. Frühere Windows XP-Versionen unterstützen das SHA-2-Zertifikat nicht.

  • Auswirkungen für Softwarehersteller und jene, die Schnittstellen von FinanzOnline über Webservices aufrufen
    Wenn Sie Webservices von FinanzOnline nutzen (z.B. UID-Abfrage, Databox-Download, Fileupload), ist es erforderlich, das neue Zertifikat in den truststore Ihrer Anwendung zu importieren.

Diese Information wurde auch in Kommunikationsforen der Softwarehersteller und Interessensvertretungen bekanntgegeben.

Das Zertifikat thawte EV SSL CA - G3 kann hier heruntergeladen werden:
'thawte EV SSL CA - G3 Zertifikat herunterladen'

  • Zeitpunkt der Umstellung
    Der Zertifikatswechsel in FinanzOnline wurde am 21. April 2015 durchgeführt.

Information über Sicherheitsmaßnahmen (Stand: Oktober 2014)

Aufgrund der bekannt gewordenen Sicherheitslücken in Zusammenhang mit dem Verschlüsselungsstandard SSL Secure Socket Layer Protokoll mussten für FinanzOnline rasch Maßnahmen gesetzt werden, um die Sicherheit von Daten und Transaktionen zu gewährleisten.

Die IT der Finanzverwaltung ist nach den strengen Sicherheitsvorschriften ISO 27001 zertifiziert. Die Sicherheit von Daten und Transaktionen hat allerhöchste Priorität. Für die Übertragung von Daten während einer Sitzung wird daher eines der aktuell besten Verschlüsselungssysteme – das Transport Layer Security (TLS) – eingesetzt. Dieses hybride Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet garantiert, dass die Daten verschlüsselt werden, die Identität des Internet-Servers zweifelsfrei bestätigt wird und die Daten vollständig und unverändert übertragen werden.

Aufgrund der aufgetreten Sicherheitsmängel werden daher ältere Verschlüsselungsstandards wie das Secure Socket Layer Protokoll (SSL) ab sofort nicht mehr eingesetzt.

Zusätzlich werden auch ältere Verschlüsselungsalgorithmen (RC4/3DES) aus Sicherheitsgründen nicht mehr unterstützt, da sie nicht mehr den aktuellen Sicherheitsstandards entsprechen.

Dies hat zur Folge, dass der Einstieg in FinanzOnline bei Verwendung des Microsoft Betriebssystems Windows XP oder Windows Server 2003 und dem Webbrowser Internet Explorer Version 8 nicht mehr möglich ist.

Wird Windows XP jedoch mit einem anderen Browser eingesetzt, wie zB Mozilla Firefox, Opera, Google Chrome, ist der Einstieg in FinanzOnline nach wie vor möglich.

Wenn das Microsoft Betriebssystem VISTA (Nachfolger von XP) installiert ist, kann noch mit Internet Explorer der Versionen 7, 8 und höher in FinanzOnline eingestiegen werden.

Allgemeine Informationen zur Datensicherheit

Die Maßnahmen zur Sicherheit können in vier Bereiche zusammengefasst werden:

  • Maßnahmen zur sicheren Datenübertragung
  • Vorkehrungen zum Schutz Ihrer Daten
  • Ihr Beitrag zur Datensicherheit
  • Wirksamer Schutz gegen Phishing-Attacken

Für eine gesicherte Datenübertragung setzen wir das derzeit modernste Verschlüsselungsverfahren ein und verwenden zum Schutz Ihrer Daten die neuesten am Markt befindlichen Technologien.

Wir möchten darauf hinweisen, dass wir zu Ihrem Schutz Verfahren zur Rückverfolgung von Angriffen gegen das System FinanzOnline installiert haben. Allfällige Angreifer haben daher mit strafrechtlichen Konsequenzen zu rechnen.

Ergänzend wird bemerkt, dass unsere Sicherheitsmaßnahmen regelmäßig durch unabhängige Dritte überprüft werden.

Maßnahmen zur sicheren Datenübertragung

Ihre Daten werden über das Internet übertragen. Sie können somit von jedem Ort der Welt in FinanzOnline einsteigen.

Um eine missbräuchliche Verwendung weitestgehend auszuschließen, wurden Sicherheitsmechanismen zu dessen Verhinderung eingeführt.

Authentifikation

Wir setzen ein Verfahren auf Basis "Authentisierung durch Wissen" ein. Für einen Systemzugang benötigen Sie eine Teilnehmer-Identifikation (TID), die Sie bei der Anmeldung erhalten. Jeder Teilnehmer-Identifikation wird eine (z.B. bei Privatperson) Benutzer-Identifikation (BENID) oder mehrere (z.B. bei Unternehmen) Benutzer-Identifikationen (BENID) untergeordnet. Jeder Benutzer muss sich beim Systemeinstieg mit seiner persönlichen Identifikationsnummer (PIN) "ausweisen".

Als PIN können Sie einen beliebigen alphanumerischen Begriff in der Länge von acht bis zwölf Stellen, der mindestens einen Buchstaben und eine Ziffer enthalten muss, verwenden. Umlaute und Sonderzeichen dürfen nicht verwendet werden.

Damit Ihre PIN nicht durch einfaches Probieren herausgefunden werden kann, lassen wir nur drei Eingabeversuche zu. Bei der vierten Fehleingabe wird der Systemzugang gesperrt und Sie müssen ein "Rücksetzen auf Start-PIN" (z.B. bei Privatperson) bzw. "Start-Supervisor" (z.B. bei Unternehmen) beantragen. Diesbezügliche Informationen erhalten Sie unter 'Anmeldung, Rücksetzen und Abmeldung‘ im Menü 'Für Bürger‘ oder 'Für Unternehmer und Gemeinden‘.

Änderung der PIN

Der wirksamste Schutz vor Hackern wird durch regelmäßige Änderung der PIN gewährt, das wir empfehlen, da ein Hacker mit der "alten" PIN keinen Systemzugang erhält. Achten Sie in Ihrem eigenen Interesse darauf, dass Ihre PIN keinem Unbefugten bekannt wird. Bei Verdacht ändern Sie bitte sofort Ihre PIN.

Vermeiden Sie aus Sicherheitsgründen eine leicht zu knackende PIN, wie z.B. das eigene KFZ-Kennzeichen. Die "neue" PIN muss sich aus Sicherheitsgründen von den letzten drei vergebenen PINs unterscheiden.

TLS-Verschlüsselung

Die Sicherheit Ihrer Daten und Transaktionen hat bei uns allerhöchste Priorität. Für die Übertragung von Daten während einer Sitzung setzen wir daher eines der besten Verschlüsselungssysteme – das Transport Layer Security (TLS) – ein. Dieses hybride Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet garantiert Ihnen, dass die Daten verschlüsselt werden, die Identität des Internet-Servers zweifelsfrei bestätigt wird und die Daten vollständig und unverändert übertragen werden.

Erkennungsmerkmal für den Einsatz von Verschlüsselungsstandards ist ein geschlossenes Schlosssymbol in der Adressleiste und das "s" bei "https" in der URL (Uniform Resource Locater).

Serverzertifikat

Die sichere Identifikation (Verbindung mit dem richtigen Server) des Kommunikationspartners wird durch ein Zertifikat garantiert. Das Zertifikat darf nur von autorisierten Zertifizierungscentern ausgestellt werden. Diese Institutionen garantieren durch das Zertifikat, dass der Server bzw. dessen Inhaber der ist, der er vorgibt zu sein. Durch die Ausstellung entsteht ein Zertifizierungspfad mit mehreren Zertifikaten. In den Zertifikaten ist auch vermerkt, wo das Zertifikat im Pfad steht. Diese Information wird durch den Webbrowser geprüft und bei Widersprüchen erhalten Sie auf Ihrem Bildschirm eine Meldung angezeigt.

Überprüfung des Zertifizierungspfades:
Zum Überprüfen des Zertifizierungspfades klicken Sie auf das Schlosssymbol in der Adressleiste.

Als weiteres Sicherheitskriterium verwendet FinanzOnline ein Extended-Validation-Zertifikat (EV-Zertifikat), dessen Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung der Antragstellerin/des Antragstellers durch die Zertifizierungsstelle. In der Adresszeile des Browsers wird zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile oder ein Teil davon grün eingefärbt. Internetnutzer sollen so noch schneller erkennen können, ob die besuchte Website echt ist und sich so besser vor Phishingversuchen schützen.

Timeout

Ein weiterer Schutzmechanismus bietet die automatische Abmeldung. Wenn wir bei Ihnen länger als 30 Minuten keine Online-Aktivitäten feststellen können, werden Sie aus Sicherheitsgründen automatisch vom System abgemeldet und Sie müssen wieder neu einsteigen.

Abbruch der Session

Wenn Sie sich anmelden, generiert der Server eine sogenannte Session. Diese Session kapselt alle Ihre Transaktionen in einen sicheren Rahmen. Dadurch wird gewährleistet, dass nur Sie Ihre Daten lesen können.

Um hier die Sicherheit zu erhöhen, haben wir Mechanismen eingefügt, die die Kontinuität der Session kontrollieren. Diese Mechanismen haben wir bewusst sehr sensibel eingestellt und es kann daher dazu kommen, dass eine Störung der Sessionkontinuität festgestellt wird, obwohl keine Beanstandungen aufgetreten sind. Der Server unterbricht dann sofort den Vorgang oder bricht die gesamte Session ab. In einem solchen Fall ist keine Sicherheitsverletzung aufgetreten. Vielmehr wurde sichergestellt, dass es zu keiner Sicherheitsbeeinträchtigung kommen konnte.

Vorkehrungen zum Schutz Ihrer Daten

Wir sind mit den modernsten Sicherheitsmechanismen ausgestattet. Da Ihre Daten bei uns gesammelt und verarbeitet werden, sind unsere Schutzeinrichtungen für die Datensicherheit von zentraler Bedeutung.

Folgende Systeme werden von uns zum Schutz Ihrer Daten eingesetzt:

Firewalls

Firewalls sind gegenwärtig die gängigsten Sicherheitskonzepte im Internet. Durch eine Firewall wird verhindert, dass "gefährliche" Datenpakete, die dem System Schaden zufügen können, Zutritt erhalten. Bei einer Firewall dürfen von den Datenpaketen nur die vorgegebenen Wege (Protokolle) benutzt werden. Wir verwenden nicht nur eine sondern mehrere Firewalls von verschiedenen Herstellern.

Unsere Internet-Server werden ständig auf ihren ordnungsgemäßen Betrieb überprüft. Jeder Versuch, die Firewall zu umgehen, wird von uns registriert und wir leiten sofort wirksame Gegenmaßnahmen ein.

Zugriffskontrollen

Welche Funktionen Sie durchführen dürfen, wird auf Grund Ihrer Zugangskennungen ermittelt. Dadurch können wir sicherstellen, dass nur Sie Ihre Daten entsprechend Ihrem Teilnehmer- und Benutzerprofil einsehen und bearbeiten können.

Scannerprogramme

Eine Attacke (Virus oder Ähnliches) verrät sich meistens dadurch, dass gewisse Aktionen ausgeführt werden sollen. Diese "verdächtigen" Aktionen kann man sofort erkennen. Zu diesem Zweck laufen auf unserem System modernste Scannerprogramme, die alle Aktionen kontrollieren und "auffällige" Aktionen sofort unterbinden, bevor sie Schaden anrichten können.

Sichere Software

Bei der Erstellung der Software für FinanzOnline haben wir Programme und Sprachen verwendet, die laut derzeitigem Stand als sicher gelten.

Ihr Beitrag zur Datensicherheit

Wie bereits einige Male beschrieben, gibt es ein paar Dinge, die Sie überprüfen und ein paar Maßnahmen, die Sie setzen sollten, um die Datensicherheit zu erhöhen. Das Wichtigste ist, dass Sie Augenmerk auf die Sicherheit legen und nicht darauf vertrauen, dass ohnehin alles sicher ist.

Unsere Ratschläge beziehen sich nicht nur auf das System FinanzOnline sondern sollten allgemein bei der Anwendung des Internets beachtet werden.

Sorgsamer Umgang mit den Zugangskennungen

Die besten Sicherheitssysteme sind wertlos, wenn Sie Ihre geheimen Zugangskennungen an Dritte weitergeben. Denn nur mit diesem Schlüssel kann auf Ihre Daten zugegriffen und Transaktionen durchgeführt werden. Achten Sie daher in Ihrem eigenen Interesse immer auf eine sichere Verwahrung der Zugangskennungen.

Sie sollten keinesfalls Ihre Zugangskennungen auf Ihrem Rechner speichern. Ein Unbefugter kann Zugriff auf Ihren Rechner bekommen und unbemerkt Ihre Zugangskennungen kopieren und für seine Zwecke missbrauchen.

Sichere Passwörter

Passwörter (insbesondere die PIN) stellen für Hacker beliebte Angriffsziele dar. Zum Knacken der Passwörter gibt es von den Hackern verschiedene Vorgehensweisen.

Die einfachste und schnellste Variante ist eine Liste der "Hot-Passwörter" (häufig verwendete Passwörter) auszuprobieren.

Eine andere Möglichkeit ist die sogenannte "soziale Attacke". Sehr oft beziehen sich nämlich Passwörter auf das soziale Umfeld der Benutzerin/des Benutzers (z.B. Geburtsdatum eines Kindes). Hacker beschaffen sich Informationen aus dem sozialen Umfeld und versuchen mit diesen Daten, die Passwörter zu entschlüsseln.

Wir geben Ihnen daher den Tipp, dass Sie Ihre Passwörter mit Bedachtnahme auswählen sollten. Auch schwer zu knackende Passwörter (z.B. jeder dritte Buchstabe des Geburtsorts) kann man sich mit Hilfe einer "Eselsbrücke" leicht merken.

Aktuelles Betriebssystem und Software-Updates

Verwenden Sie keine veralteten Betriebssysteme und führen Sie regelmäßig Software-Aktualisierungen durch

Aus sicherheitstechnischer Sicht besonders wichtig ist das regelmäßige Einspielen von Updates zu Betriebssystemkomponenten, wie sie von deren Herstellern regelmäßig angeboten werden. Verwenden Sie daher keine veralteten Betriebssysteme, die von den Herstellern nicht mehr gewartet werden!

Updates sind vor allem dann erforderlich, wenn Schwachstellen bekannt werden, die Auswirkungen auf die Sicherheit der Systeme haben oder wenn Fehlfunktionen wiederholt auftauchen.

  • Solche Aktualisierungen dienen fast immer der Behebung von aktuellen Sicherheitslücken.
  • Werden sie nicht durchgeführt, ist kein Schutz gegen neuere Bedrohungen gegeben.
  • Meistens werden dazu auch Mechanismen angeboten („automatische Updates“), die für die automatische Durchführung sicherheitskritischer Updates sorgen und gleichzeitig sicherstellen, dass dabei ausschließlich vertrauenswürdige Quellen verwendet werden.
  • Diese Einrichtungen ermöglichen es, bei geringem Administrationsaufwand die IT-Systeme auf dem aktuellen Sicherheitsstand zu halten und sollten unbedingt genutzt werden.

Neueste Browserversion

Als Folge der rasanten Ausbreitung des Internets werden auch die Browser immer schneller weiterentwickelt. Dieser Fortschritt erfolgt bei den Browsern auch im Sicherheitsbereich. Es kann daher gesagt werden: "Je aktueller die von Ihnen eingesetzte Browserversion ist, desto mehr wurde auf Sicherheit Wert gelegt."

Sie sollten aber keine Beta-Version (Programm noch in Testphase) einsetzen und auch nicht sofort den allerneuesten Browser installieren. Erfahrungsgemäß dauert es einige Zeit und bedarf es kleiner Korrekturen bis die aktuellste Browserversion ausgereift ist.

Aktualisierung der neuesten Browserversion

Bei moderner Software schleichen sich immer wieder Fehler ein. Sie sollten daher darauf achten, dass bei dem von Ihnen verwendeten Browser zumindest die bekannten Probleme gelöst wurden.

Wir empfehlen, die regelmäßig erscheinenden Browser-Updates, die Sie auf den Websites der Browser-Hersteller erhalten, auf Ihren Rechner zu laden.

Aktuelle Virenscanner

Eine grundsätzliche Gefahr besteht bei allen Programmen, die Sie aus dem Internet herunterladen. Sie können Viren enthalten, die sich beim Start des Programms selbstständig und unbemerkt installieren. Laden Sie daher Software (und Spiele) immer nur von der Website des Herstellers auf Ihren Rechner.

Ihr Browser sollte so eingestellt sein, dass keine Software ohne Ihre ausdrückliche Zustimmung installiert werden kann. Besonders Systeme von Heimanwendern sind anfällig für Virenattacken.

Zu Ihrer eigenen Sicherheit (und nicht nur für die Anwendung von FinanzOnline) sollten Sie daher auf Ihrem Rechner einen Virenschutz installieren.

Die Palette der Virenscanner reicht von ganz einfachen Tools bis zu ausgeklügelten Virenscannern. Von den meisten bekannten Virenscannern sind im Internet Testversionen erhältlich. Einige Hersteller bieten für den Privatgebrauch auch Gratisvirenscanner mit brauchbarer Qualität an.

Personal Firewall

Verbindungen zum Internet mit Standleitungen (z.B. ADSL, Kabel-Modem) erhöhen die Gefahr, dass Ihr Computer von Hackern über sogenannte Backdoors oder Trojaner missbraucht wird.

Die Verwendung einer Personal Firewall verhindert, dass einerseits über das Internet von Ihnen unbemerkt mit Ihrem Rechner Kontakt aufgenommen werden kann und andererseits Ihr Rechner mit versteckten Programmen von Ihnen unbemerkt über das Internet Verbindung mit anderen Computern aufnehmen kann.

Wirksamer Schutz gegen Phishing-Attacken

Unter Phishing (engl. fishing = abfischen) versteht man eine Form der Tricktäuschung im Internet. Dabei wird per E-Mail versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangskennungen und Passwörtern zu bewegen.

Die meisten Angriffe beziehen sich auf Online-Banking-Systeme. Da in FinanzOnline keine direkten Geldtransaktionen durchgeführt werden, ist eine Phishing-Attacke unwahrscheinlich. Sollten dennoch Phishing-Mails betreffend FinanzOnline auftauchen, die Sie zur Herausgabe Ihrer Zugangskennungen auffordern, ignorieren Sie diese Mails und löschen Sie sie sofort.

Überblick

Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als E-Mail, die verleiten sollen, vertrauliche Informationen, vor allem Zugangskennungen und Passwörter (bzw. PIN und TAN von Online-Banking-Zugängen), im guten Glauben dem Täter preiszugeben. Werden korrekte Daten übergeben, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine betrügerische Website besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangskennungen auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangskennungen in die Hände der Urheber der Phishing-Attacke. Dann folgt eine kurze Bestätigung oder eine falsche Fehlermeldung, um nachträglich das Misstrauen des Opfers zu zerstreuen.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.

Schutz vor Phishing-Attacken

Nur aktuelle Versionen des von Ihnen verwendeten Webbrowsers und des Betriebssystems Ihres Computers können gewährleisten, dass die bis dahin bekannten Sicherheitslücken in diesen Programmen geschlossen sind.

Mit Programmen können Viren oder Trojanische Pferde übertragen werden. Laden Sie daher keine Programme auf Ihren Computer, und öffnen Sie keine E-Mail-Anhänge, deren Anbieter und Inhalt Ihnen unbekannt sind.

Für noch mehr Sicherheit sollten Sie die Zulassung von ActiveX-Controls ausschließen und die Ausführungen von Java-Applets nur nach Rückfrage und Prüfung gestatten.

Virenscanner und Firewall sind wichtige Zusatzwerkzeuge zum Schutz gegen Phishing-Attacken. Die E-Mail-Filter einiger Antivirus-Programme können gefälschte Phishing-E-Mails erkennen und eliminieren. Allerdings müssen Sie das Antivirus-Programm stets auf aktuellem Stand halten.

Auch E-Mail-Programme und Webbrowser warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z.B. Links auf IP-Adressen oder Links mit einem anderem Hostnamen als im Linktext überprüft. E-Mail-Filter, die auf Blacklisten beruhen, sind prinzipbedingt auf die Aktualität der Blacklist angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishing-Attacken deutlich ein.