Pishing-Mail bei Volksbank

Weiterer Vorschlag von IR: Mail an alle möglichen Onlinekunden, sofern eine Mailadresse vorliegt (werden bisher nicht gesondert verwaltet und gepflegt) - Gefahr der Veralterung und Nichtbeachtung, da ja angeblich von den Banken hierzu keine Massenmail kommen!!!

Unserer IR geht es um die Haftung.

4. Sicherheitskomponente "Zertifikatsprüfung"

Um sicherzustellen, dass Sie mit dem richtigen Online-Banking-Server verbunden sind, müssen Sie bei jeder Anmeldung zum Online-Banking, das Ihnen übermittelte Zertifikat der Anmelde-Seite prüfen, indem Sie es mit dem elektronischen Fingerabdruck (Fingerprint) vergleichen, den wir Ihnen zur Verfügung stellen. Dieses klingt zunächst komplizierter als es ist. Sie erhalten von uns den aktuellen elektronischen Fingerabdruck - dies ist ein Code, der aus mehreren Ziffern und Buchstaben besteht. Der Fingerprint ist für maximal ein Jahr gültig und wird regelmäßig ausgetauscht. Um den elektronischen Fingerabdruck zu überprüfen, gehen Sie wie folgt vor:

Microsoft Internet Explorer. Sie klicken mit der rechten Maustaste auf die Anmelde-Seite und wählen dann die Option "Eigenschaften". Falls Sie lieber mit der Menüleiste arbeiten, wählen Sie "Datei" in der Menüleiste aus und klicken dann auf "Eigenschaften". Wenn Sie nun den Button "Zertifikate" auswählen, finden Sie alle Angaben zum Zertifikat und können diese mit Ihrem elektronischen Fingerabdruck vergleichen. Unter der Auswahlmöglichkeit "Verschlüsselungstyp" finden Sie auch die Verschlüsselungsstärke.
Mozilla / Netscape Navigator. Mit der rechten Maustaste klicken Sie auf die Anmelde-Seite und wählen dann "Seiteninformationen anzeigen". Sie können aber auch in der Menüleiste den Button "Ansicht" und dann die Option "Seiteninformationen" auswählen. In dem Fenster "Seiteninformationen" klicken Sie auf "Sicherheit" und anschließend auf den Button "Anzeigen". Das übermittelte Zertifikat wird angezeigt und Sie können es mit dem aktuellen Fingerprint vergleichen.

Der Nutzer ist verpflichtet, die technische Verbindung zum Online-Banking-Angebot des Kreditinstituts nur über die vom Kreditinstitut gesondert mitgeteilten Online-Banking-Zugangskanäle herzustellen.

Geheimhaltung der PIN und der TAN

Der Nutzer hat dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und der TAN erlangt. Jede Person, die die PIN und - falls erforderlich - eine TAN kennt, hat die Möglichkeit, das Online-Banking-Leistungsangebot zu nutzen. Sie kann z.B. Aufträge zu Lasten des Kontos/Depots erteilen. Insbesondere Folgendes ist zur Geheimhaltung der PIN und TAN zu beachten:

1. PIN und TAN dürfen nicht elektronisch gespeichert oder in anderer Form notiert werden;
2. die dem Nutzer zur Verfügung gestellte TAN-Liste ist sicher zu verwahren;
3. bei Eingabe der PIN und TAN ist sicherzustellen, dass Dritte diese nicht ausspähen können.

Stellt der Nutzer fest, dass eine andere Person von seiner PIN oder von seiner TAN oder von beidem Kenntnis erhalten hat oder besteht der Verdacht ihrer missbräuchlichen Nutzung, so ist der Nutzer verpflichtet, unverzüglich seine PIN zu ändern bzw. die noch nicht verbrauchten TAN zu sperren. Sofern ihm dies nicht möglich ist, hat er das Kreditinstitut unverzüglich zu unterrichten. In diesem Fall wird das Kreditinstitut den Online-Banking-Zugang zum Konto/Depot sperren. Das Kreditinstitut haftet ab dem Zugang der Sperrnachricht für alle Schäden, die aus ihrer Nichtbeachtung entstehen.

Hallo,
Aber wie stellt Ihr die Zertifikatsdaten euren Kunden zur Verfügung?
- Als Anlage zum HomeBanking-Vertrag ?
- Jedes Jahr neu per Brief ?
- Auf der HomePage (die aber wiederum kopiert werden kann) ?
- Und welcher Kd. überprüft bei jeder InternetBanking-Nutzung die Zertifikate (ich nicht!) ?
Es geht darum den Kd. richtig zu informieren, aber nicht über die HomePage, da er bei Erhalt der Phising-Mail sich nicht mehr auf der richtigen Seite bewegt sondern über die kopierte !

Gruß Winnetou