Sicherheit
Bei der Erstellung des Sicherheitskonzepts wurde größter Wert auf höchstmöglichen Schutz gelegt. Um diesem Anspruch gerecht zu werden, haben wir eine Vielzahl von Maßnahmen ergriffen, die Ihrem und unserem Systemschutz dienen sollen.
Aktuelle Information über die Änderung des Zertifikats für den verschlüsselten Zugang zu FinanzOnline (Stand: Juni 2024)
Das derzeit in FinanzOnline verwendete Zertifikat ist bis zum 16. Mai 2025 gültig.
Das Zertifikat inklusive Intermediate und Root-Zertifikat kann hier heruntergeladen werden:
'FinanzOnline Zertifikat herunterladen'
Information über die Änderung der unterstützten TLS-Version in FinanzOnline (Stand: März 2020)
Aus Sicherheitsgründen und zum Schutz Ihrer Daten sind seit 4. März 2020 folgende Änderungen für die verschlüsselte Verbindung im Einsatz.
- Transport Layer Security (TLS)
TLS 1.0 und TLS 1.1 wird nicht mehr unterstützt - Kryptographische Verschlüsselung
Entfernen von schwachen und unsicheren Cipher Suites
Daraus ergeben sich folgende Änderungen:
- Auswirkungen auf den Webbrowser
Wenn Sie über den Webbrowser in FinanzOnline einsteigen und Ihren Webbrowser immer auf dem letzten Stand halten und die Updates der Hersteller installieren, sollte es nach der Umstellung keine Probleme beim Aufruf von FinanzOnline geben.
Die aktuell unterstützten Browser-Versionen finden Sie unter "Browsereinstellungen" - Auswirkungen auf das Betriebssystem
Mit älteren Betriebssystemen, die kein TLS 1.2 unterstützen, wird der Einstieg in FinanzOnline nicht mehr möglich sein.
Folgende Betriebssysteme werden unterstützt:- Android ab Version 4.4.2
- Windows 7 und 10
- Windows XP und Vista, ausgenommen mit Internet Explorer Version < 11
- Windows Phone ab Version 8.1 Update
- Java ab Version 8
- OpenSSL ab Version 1.0.1
- Apple OS X ab Version 10.11
- Apple iOS ab Version 9
- Auswirkungen für Softwarehersteller und jene, die Schnittstellen von FinanzOnline über Webservices aufrufen
Falls die Schnittstelle auf einem Gerät mit einem nicht unterstützten Betriebssystem läuft und ein Umstieg auf eine aktuellere Version nicht möglich ist, steht für diese Zwecke ein neuer Server zur Verfügung, der mit der bestehenden Konfiguration bis auf Weiteres weiterbetrieben wird.
Information über die Änderung des Zertifikates für den verschlüsselten Zugang zu FinanzOnline (Stand: Jänner 2016)
Aus Sicherheitsgründen und auf Grund der Tatsache, dass einzelne Browserhersteller jetzt schon SHA-1-Zertifiakte als unsicher kennzeichnen und später sogar ablehnen, wird das derzeit in FinanzOnline verwendete SHA-1-root-Zertifikat durch ein SHA-2-Zertifikat ersetzt. Dadurch muss auch das Intermediate-Zertifikat ersetzt werden. Zusätzlich werden zur Erhöhung der Sicherheit und zum Schutz Ihrer Daten schwache Diffie-Hellman-Keys beim Verschlüsselungsalgorithmus unterbunden. Die neue Schlüssellänge beträgt 2048 bit.
Eine Ausnahme stellt das Betriebssystem Windows XP dar. Hier ist es erforderlich, dass das ServicePack SP3 installiert ist. Frühere Windows XP-Versionen unterstützen das SHA-2-Zertifikat nicht.
Diese Information wurde auch in Kommunikationsforen der Softwarehersteller und Interessensvertretungen bekanntgegeben.
Information über Sicherheitsmaßnahmen (Stand: Oktober 2014)
Aufgrund der bekannt gewordenen Sicherheitslücken in Zusammenhang mit dem Verschlüsselungsstandard SSL Secure Socket Layer Protokoll mussten für FinanzOnline rasch Maßnahmen gesetzt werden, um die Sicherheit von Daten und Transaktionen zu gewährleisten.
Die IT der Finanzverwaltung ist nach den strengen Sicherheitsvorschriften ISO 27001 zertifiziert. Die Sicherheit von Daten und Transaktionen hat allerhöchste Priorität. Für die Übertragung von Daten während einer Sitzung wird daher eines der aktuell besten Verschlüsselungssysteme – das Transport Layer Security (TLS) – eingesetzt. Dieses hybride Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet garantiert, dass die Daten verschlüsselt werden, die Identität des Internet-Servers zweifelsfrei bestätigt wird und die Daten vollständig und unverändert übertragen werden.
Aufgrund der aufgetreten Sicherheitsmängel werden daher ältere Verschlüsselungsstandards wie das Secure Socket Layer Protokoll (SSL) ab sofort nicht mehr eingesetzt.
Zusätzlich werden auch ältere Verschlüsselungsalgorithmen (RC4/3DES) aus Sicherheitsgründen nicht mehr unterstützt, da sie nicht mehr den aktuellen Sicherheitsstandards entsprechen.
Dies hat zur Folge, dass der Einstieg in FinanzOnline bei Verwendung des Microsoft Betriebssystems Windows XP oder Windows Server 2003 und dem Webbrowser Internet Explorer Version 8 nicht mehr möglich ist.
Wird Windows XP jedoch mit einem anderen Browser eingesetzt, wie zB Mozilla Firefox, Opera, Google Chrome, ist der Einstieg in FinanzOnline nach wie vor möglich.
Wenn das Microsoft Betriebssystem VISTA (Nachfolger von XP) installiert ist, kann noch mit Internet Explorer der Versionen 7, 8 und höher in FinanzOnline eingestiegen werden.
Allgemeine Informationen zur Datensicherheit
Die Maßnahmen zur Sicherheit können in vier Bereiche zusammengefasst werden:
Für eine gesicherte Datenübertragung setzen wir das derzeit modernste Verschlüsselungsverfahren ein und verwenden zum Schutz Ihrer Daten die neuesten am Markt befindlichen Technologien.
Wir möchten darauf hinweisen, dass wir zu Ihrem Schutz Verfahren zur Rückverfolgung von Angriffen gegen das System FinanzOnline installiert haben. Allfällige Angreifer haben daher mit strafrechtlichen Konsequenzen zu rechnen.
Ergänzend wird bemerkt, dass unsere Sicherheitsmaßnahmen regelmäßig durch unabhängige Dritte überprüft werden.
Maßnahmen zur sicheren Datenübertragung
Ihre Daten werden über das Internet übertragen. Sie können somit von jedem Ort der Welt in FinanzOnline einsteigen.
Um eine missbräuchliche Verwendung weitestgehend auszuschließen, wurden Sicherheitsmechanismen zu dessen Verhinderung eingeführt.
Authentifikation
Wir setzen ein Verfahren auf Basis "Authentisierung durch Wissen" ein. Für einen Systemzugang benötigen Sie eine Teilnehmer-Identifikation (TID), die Sie bei der Anmeldung erhalten. Jeder Teilnehmer-Identifikation wird eine (z.B. bei Privatperson) Benutzer-Identifikation (BENID) oder mehrere (z.B. bei Unternehmen) Benutzer-Identifikationen (BENID) untergeordnet. Jeder Benutzer muss sich beim Systemeinstieg mit seinem persönlichen Passwort "ausweisen".
Als Passwort müssen Sie einen beliebigen alphanumerischen Begriff in der Länge von 8 bis 128 Stellen, der mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthält, verwenden.
Zu Ihrer Sicherheit sind nur drei Eingabeversuche möglich. Bei der vierten Fehleingabe des Passworts wird der Systemzugang gesperrt und Sie müssen ein "Rücksetzen auf Start-Passwort" (z.B. bei Privatperson) bzw. "Start-Supervisor" (z.B. bei Unternehmen) beantragen. Diesbezügliche Informationen erhalten Sie unter 'Anmeldung, Rücksetzen und Abmeldung‘ im Menü 'Für Bürger‘ oder 'Für Unternehmer und Gemeinden‘.
Änderung des Passworts
Achten Sie in Ihrem eigenen Interesse darauf, dass Sie Ihr Passwort aus Sicherheitsgründen regelmäßig ändern.
Das neue Passwort muss sich von den letzten drei vergebenen Passwörtern unterscheiden.
TLS-Verschlüsselung
Die Sicherheit Ihrer Daten und Transaktionen hat bei uns allerhöchste Priorität. Für die Übertragung von Daten während einer Sitzung setzen wir daher eines der besten Verschlüsselungssysteme – das Transport Layer Security (TLS) – ein. Dieses hybride Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet garantiert Ihnen, dass die Daten verschlüsselt werden, die Identität des Internet-Servers zweifelsfrei bestätigt wird und die Daten vollständig und unverändert übertragen werden.
Erkennungsmerkmal für den Einsatz von Verschlüsselungsstandards ist ein geschlossenes Schlosssymbol in der Adressleiste und das "s" bei "https" in der URL (Uniform Resource Locater).
Serverzertifikat
Die sichere Identifikation (Verbindung mit dem richtigen Server) des Kommunikationspartners wird durch ein Zertifikat garantiert. Das Zertifikat darf nur von autorisierten Zertifizierungscentern ausgestellt werden. Diese Institutionen garantieren durch das Zertifikat, dass der Server bzw. dessen Inhaber der ist, der er vorgibt zu sein. Durch die Ausstellung entsteht ein Zertifizierungspfad mit mehreren Zertifikaten. In den Zertifikaten ist auch vermerkt, wo das Zertifikat im Pfad steht. Diese Information wird durch den Webbrowser geprüft und bei Widersprüchen erhalten Sie auf Ihrem Bildschirm eine Meldung angezeigt.
Überprüfung des Zertifizierungspfades:
Zum Überprüfen des Zertifizierungspfades klicken Sie auf das Schlosssymbol in der Adressleiste.
Als weiteres Sicherheitskriterium verwendet FinanzOnline ein Extended-Validation-Zertifikat (EV-Zertifikat), dessen Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung der Antragstellerin/des Antragstellers durch die Zertifizierungsstelle. In der Adresszeile des Browsers wird zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile oder ein Teil davon grün eingefärbt. Internetnutzer sollen so noch schneller erkennen können, ob die besuchte Website echt ist und sich so besser vor Phishingversuchen schützen.
Timeout
Ein weiterer Schutzmechanismus bietet die automatische Abmeldung. Wenn wir bei Ihnen länger als 30 Minuten keine Online-Aktivitäten feststellen können, werden Sie aus Sicherheitsgründen automatisch vom System abgemeldet und Sie müssen wieder neu einsteigen.
Abbruch der Session
Wenn Sie sich anmelden, generiert der Server eine sogenannte Session. Diese Session kapselt alle Ihre Transaktionen in einen sicheren Rahmen. Dadurch wird gewährleistet, dass nur Sie Ihre Daten lesen können.
Um hier die Sicherheit zu erhöhen, haben wir Mechanismen eingefügt, die die Kontinuität der Session kontrollieren. Diese Mechanismen haben wir bewusst sehr sensibel eingestellt und es kann daher dazu kommen, dass eine Störung der Sessionkontinuität festgestellt wird, obwohl keine Beanstandungen aufgetreten sind. Der Server unterbricht dann sofort den Vorgang oder bricht die gesamte Session ab. In einem solchen Fall ist keine Sicherheitsverletzung aufgetreten. Vielmehr wurde sichergestellt, dass es zu keiner Sicherheitsbeeinträchtigung kommen konnte.
Vorkehrungen zum Schutz Ihrer Daten
Wir sind mit den modernsten Sicherheitsmechanismen ausgestattet. Da Ihre Daten bei uns gesammelt und verarbeitet werden, sind unsere Schutzeinrichtungen für die Datensicherheit von zentraler Bedeutung.
Folgende Systeme werden von uns zum Schutz Ihrer Daten eingesetzt:
Firewalls
Firewalls sind gegenwärtig die gängigsten Sicherheitskonzepte im Internet. Durch eine Firewall wird verhindert, dass "gefährliche" Datenpakete, die dem System Schaden zufügen können, Zutritt erhalten. Bei einer Firewall dürfen von den Datenpaketen nur die vorgegebenen Wege (Protokolle) benutzt werden. Wir verwenden nicht nur eine sondern mehrere Firewalls von verschiedenen Herstellern.
Unsere Internet-Server werden ständig auf ihren ordnungsgemäßen Betrieb überprüft. Jeder Versuch, die Firewall zu umgehen, wird von uns registriert und wir leiten sofort wirksame Gegenmaßnahmen ein.
Zugriffskontrollen
Welche Funktionen Sie durchführen dürfen, wird auf Grund Ihrer Zugangskennungen ermittelt. Dadurch können wir sicherstellen, dass nur Sie Ihre Daten entsprechend Ihrem Teilnehmer- und Benutzerprofil einsehen und bearbeiten können.
Scannerprogramme
Eine Attacke (Virus oder Ähnliches) verrät sich meistens dadurch, dass gewisse Aktionen ausgeführt werden sollen. Diese "verdächtigen" Aktionen kann man sofort erkennen. Zu diesem Zweck laufen auf unserem System modernste Scannerprogramme, die alle Aktionen kontrollieren und "auffällige" Aktionen sofort unterbinden, bevor sie Schaden anrichten können.
Sichere Software
Bei der Erstellung der Software für FinanzOnline haben wir Programme und Sprachen verwendet, die laut derzeitigem Stand als sicher gelten.
Ihr Beitrag zur Datensicherheit
Wie bereits einige Male beschrieben, gibt es ein paar Dinge, die Sie überprüfen und ein paar Maßnahmen, die Sie setzen sollten, um die Datensicherheit zu erhöhen. Das Wichtigste ist, dass Sie Augenmerk auf die Sicherheit legen und nicht darauf vertrauen, dass ohnehin alles sicher ist.
Unsere Ratschläge beziehen sich nicht nur auf das System FinanzOnline sondern sollten allgemein bei der Anwendung des Internets beachtet werden.
Sorgsamer Umgang mit den Zugangskennungen
Die besten Sicherheitssysteme sind wertlos, wenn Sie Ihre geheimen Zugangskennungen an Dritte weitergeben. Denn nur mit diesem Schlüssel kann auf Ihre Daten zugegriffen und Transaktionen durchgeführt werden. Achten Sie daher in Ihrem eigenen Interesse immer auf eine sichere Verwahrung der Zugangskennungen.
Sie sollten keinesfalls Ihre Zugangskennungen auf Ihrem Rechner speichern. Ein Unbefugter kann Zugriff auf Ihren Rechner bekommen und unbemerkt Ihre Zugangskennungen kopieren und für seine Zwecke missbrauchen.
Aktuelles Betriebssystem und Software-Updates
Verwenden Sie keine veralteten Betriebssysteme und führen Sie regelmäßig Software-Aktualisierungen durch
Aus sicherheitstechnischer Sicht besonders wichtig ist das regelmäßige Einspielen von Updates zu Betriebssystemkomponenten, wie sie von deren Herstellern regelmäßig angeboten werden. Verwenden Sie daher keine veralteten Betriebssysteme, die von den Herstellern nicht mehr gewartet werden!
Updates sind vor allem dann erforderlich, wenn Schwachstellen bekannt werden, die Auswirkungen auf die Sicherheit der Systeme haben oder wenn Fehlfunktionen wiederholt auftauchen.
Neueste Browserversion
Als Folge der rasanten Ausbreitung des Internets werden auch die Browser immer schneller weiterentwickelt. Dieser Fortschritt erfolgt bei den Browsern auch im Sicherheitsbereich. Es kann daher gesagt werden: "Je aktueller die von Ihnen eingesetzte Browserversion ist, desto mehr wurde auf Sicherheit Wert gelegt."
Sie sollten aber keine Beta-Version (Programm noch in Testphase) einsetzen und auch nicht sofort den allerneuesten Browser installieren. Erfahrungsgemäß dauert es einige Zeit und bedarf es kleiner Korrekturen bis die aktuellste Browserversion ausgereift ist.
Aktualisierung der neuesten Browserversion
Bei moderner Software schleichen sich immer wieder Fehler ein. Sie sollten daher darauf achten, dass bei dem von Ihnen verwendeten Browser zumindest die bekannten Probleme gelöst wurden.
Wir empfehlen, die regelmäßig erscheinenden Browser-Updates, die Sie auf den Websites der Browser-Hersteller erhalten, auf Ihren Rechner zu laden.
Aktuelle Virenscanner
Eine grundsätzliche Gefahr besteht bei allen Programmen, die Sie aus dem Internet herunterladen. Sie können Viren enthalten, die sich beim Start des Programms selbstständig und unbemerkt installieren. Laden Sie daher Software (und Spiele) immer nur von der Website des Herstellers auf Ihren Rechner.
Ihr Browser sollte so eingestellt sein, dass keine Software ohne Ihre ausdrückliche Zustimmung installiert werden kann. Besonders Systeme von Heimanwendern sind anfällig für Virenattacken.
Zu Ihrer eigenen Sicherheit (und nicht nur für die Anwendung von FinanzOnline) sollten Sie daher auf Ihrem Rechner einen Virenschutz installieren.
Die Palette der Virenscanner reicht von ganz einfachen Tools bis zu ausgeklügelten Virenscannern. Von den meisten bekannten Virenscannern sind im Internet Testversionen erhältlich. Einige Hersteller bieten für den Privatgebrauch auch Gratisvirenscanner mit brauchbarer Qualität an.
Personal Firewall
Verbindungen zum Internet mit Standleitungen (z.B. ADSL, Kabel-Modem) erhöhen die Gefahr, dass Ihr Computer von Hackern über sogenannte Backdoors oder Trojaner missbraucht wird.
Die Verwendung einer Personal Firewall verhindert, dass einerseits über das Internet von Ihnen unbemerkt mit Ihrem Rechner Kontakt aufgenommen werden kann und andererseits Ihr Rechner mit versteckten Programmen von Ihnen unbemerkt über das Internet Verbindung mit anderen Computern aufnehmen kann.
Wirksamer Schutz gegen Phishing-Attacken
Unter Phishing (engl. fishing = abfischen) versteht man eine Form der Tricktäuschung im Internet. Dabei wird per E-Mail versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangskennungen und Passwörtern zu bewegen.
Die meisten Angriffe beziehen sich auf Online-Banking-Systeme. Da in FinanzOnline keine direkten Geldtransaktionen durchgeführt werden, ist eine Phishing-Attacke unwahrscheinlich. Sollten dennoch Phishing-Mails betreffend FinanzOnline auftauchen, die Sie zur Herausgabe Ihrer Zugangskennungen auffordern, ignorieren Sie diese Mails und löschen Sie sie sofort.
Überblick
Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als E-Mail, die verleiten sollen, vertrauliche Informationen, vor allem Zugangskennungen und Passwörter (bzw. PINs und TANs von Online-Banking-Zugängen), im guten Glauben dem Täter preiszugeben. Werden korrekte Daten übergeben, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen.
Methoden der Datenbeschaffung
Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine betrügerische Website besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangskennungen auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangskennungen in die Hände der Urheber der Phishing-Attacke. Dann folgt eine kurze Bestätigung oder eine falsche Fehlermeldung, um nachträglich das Misstrauen des Opfers zu zerstreuen.
Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.
Schutz vor Phishing-Attacken
Nur aktuelle Versionen des von Ihnen verwendeten Webbrowsers und des Betriebssystems Ihres Computers können gewährleisten, dass die bis dahin bekannten Sicherheitslücken in diesen Programmen geschlossen sind.
Mit Programmen können Viren oder Trojanische Pferde übertragen werden. Laden Sie daher keine Programme auf Ihren Computer, und öffnen Sie keine E-Mail-Anhänge, deren Anbieter und Inhalt Ihnen unbekannt sind.
Für noch mehr Sicherheit sollten Sie die Zulassung von ActiveX-Controls ausschließen und die Ausführungen von Java-Applets nur nach Rückfrage und Prüfung gestatten.
Virenscanner und Firewall sind wichtige Zusatzwerkzeuge zum Schutz gegen Phishing-Attacken. Die E-Mail-Filter einiger Antivirus-Programme können gefälschte Phishing-E-Mails erkennen und eliminieren. Allerdings müssen Sie das Antivirus-Programm stets auf aktuellem Stand halten.
Auch E-Mail-Programme und Webbrowser warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z.B. Links auf IP-Adressen oder Links mit einem anderem Hostnamen als im Linktext überprüft. E-Mail-Filter, die auf Blacklisten beruhen, sind prinzipbedingt auf die Aktualität der Blacklist angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishing-Attacken deutlich ein.