Sicherheit und Diskretion -
zwei Themen, die wir ernst nehmen
Sicheres Banking im
Spängler Online
Der Einstieg in Spängler Online erfolgt auf einer gesicherten Seite. Sie erkennen das in der Adresszeile an der Angabe https://
- Datenübertragung mit SSL-Verschlüsselung
- Erhöhte Sicherheit durch modernste Zeichnungsverfahren: mobileTAN, cardTAN, digitale Signatur
- 2-Faktor-Authentifizierung für Login und Freigabe mittels Spängler ID, LoginTAN, cardTAN oder fido token
- Erfasser- und Freigabelimits
- Automatisches Logout
- Hotline
Die Datenübertragung in einer Onlinesitzung erfolgt verschlüsselt, das heißt unerwünschte Dritte können nicht mitlesen.
Sie können Aufträge einzeln oder gesammelt zeichnen. Für jede Freigabe benötigen Sie eine separate TAN (Transaktionsnummer). Diese TAN ist nur einmal gültig und direkt mit dem Auftrag verbunden. Die mobileTAN erhalten Sie direkt per SMS auf Ihr Mobiltelefon gesendet. Die SMS bzw. die App enthält sowohl Ihre TAN als auch alle wesentlichen Informationen zur Transaktion (IBAN und Betrag). Beim cardTAN-Verfahren wird eine TAN über einen cardTAN-Generator (= Kartenlesegerät) und eine cardTAN-fähige Karte (= Maestro-Karte) generiert. Jeder Zeichnungsberechtigte benötigt seine eigene cardTAN-fähige Karte, die für diese Verfahren bei dem jeweiligen Verfüger aktiviert wird.
Wenn Sie länger als 15 Minuten keine Online-Banking-Aktivitäten durchführen, werden Sie automatisch abgemeldet.
- Sichern Sie Ihre Geräte (Desktop-PC, Laptop, Smartphone, Tablet usw.) mittels Firewalls und Virenscanner und führen Sie die vom Hersteller empfohlenen Updates und Aktualisierungen durch.
- Schützen Sie Ihre Spängler Online-/E-Banking-Zugangsdaten (Verfügernummer, Verfügername, PIN). Halten Sie Ihre Passwörter, PINs, TANs usw. unbedingt geheim.
- Geben Sie Ihre Zugangsdaten nicht an andere Personen weiter, auch nicht über E-Mail oder Telefon.
- Unsere Mitarbeiter werden Sie zu keiner Zeit per E-Mail oder telefonisch dazu auffordern, Ihre Zugangsdaten, PIN und/oder TAN preiszugeben. Das Sicherheitsmerkmal TAN dient ausschließlich zur Zeichnung Ihrer Zahlungsaufträge und wird niemals für die Anmeldung benötigt.
- Verwenden Sie ausschließlich den Login auf der Homepage und beenden Sie Spängler Online stets über den Logout-Button. Spängler Online wird immer auf einer gesicherten Seite (https://www.banking.co.at/) gestartet. Achten Sie darauf, dass die Webseite immer mit https:// beginnt.
- Überprüfen Sie bei ausnahmslos jeder Transaktion (auch bei Verwendung von Vorlagen) vor der Eingabe der TANs im Spängler Online in der Zusammenfassung nochmals die IBAN des Empfängers und die Überweisungsbeträge.
- Bei Abweichungen vom gewohnten Erscheinungsbild von Spängler Online sowie vom gewohnten Ablauf der Arbeitsschritte sollten Sie misstrauisch sein. Nehmen Sie bitte im Zweifel Kontakt mit uns auf.
- Autorisierung von Aufträgen oder Änderungen im Spängler Online durch Transaktionsnummern: Transaktionsnummern dienen ausschließlich zur Freigabe von Zahlungsaufträgen oder zur Änderung Ihrer Daten oder Einstellungen.
- Führen Sie regelmäßige Aktualisierungen des Betriebssystems und der Sicherheitssoftware (Virenschutz, Firewall) durch und prüfen Sie die Nutzung und Aktivierung von Virenschutzprogrammen, wenn diese vom Gerätehersteller oder Mobilfunk-Provider angeboten werden.
- Verwenden Sie die Spängler Online App und die Spängler ID App nicht auf Geräten, bei denen Sicherheitsfunktionen des Betriebssystems deaktiviert sind.
- Sichern Sie Ihr Mobilgerät durch eine Bildschirm- oder Gerätesperre vor unbefugtem Gebrauch.
- Verwenden Sie die Spängler Online App und die Spängler ID App niemals auf Mobilgeräten von Personen, die Ihnen nicht bekannt sind.
- Beziehen Sie Apps und App-Updates ausschließlich über die offiziellen App-Stores (Apple Store, Google Play Store) und niemals aus Quellen, die Sie nicht kennen.
- Speichern Sie niemals sensible Daten, z.B. Ihre Zugangsdaten zum Online Banking, TANs etc. am PC oder auf Ihren mobilen Endgeräten.
- Ändern Sie Ihre geheimen Zugangsdaten, z.B. die PIN zum Online Banking und zur Spängler ID App regelmäßig und verwenden Sie ausschließlich ein sicheres Passwort.
- Ändern Sie beim ersten Einstieg das vorgegebene Standardpasswort.
- Verwenden Sie keine Eigennamen, Geburtsdaten oder einfache Zeichenketten (wie 123456).
- Verwenden Sie wenn möglich lange Passwörter (mehr als 8 Zeichen) und nutzen Sie den gesamten Zeichenumfang aus (Groß-, Kleinbuchstaben, Ziffern, Sonderzeichen).
- Verwenden Sie für jede Anwendung (wenn möglich) ein eigenes Passwort.
- Ändern Sie (wenn möglich) Passwörter regelmäßig – zumindest in sensiblen Anwendungen.
- Notieren Sie Passwörter nicht an leicht für Dritte zugänglichen Stellen (Kalender, Schreibtischunterlage, Notizbuch) und verwenden Sie stattdessen Passwort-Tools wie KeePass.
Zum Erstellen und Verwalten ovn Zugangsdaten helfen auch nützliche Passwort-Tools.
Allgemeine Sicherheitshinweise
Phishing ist eine Betrugsform, mit der versucht wird, persönliche Daten oder Zugänge zu Onlinediensten (Banking, Bestelldiensten etc.) auszuspähen oder zu stehlen, um damit potenzielle Opfer zu schädigen. Phishing kann über Social Engineering (wie Ausfragen am Telefon), über E-Mails mit Anhängen und gefälschten Links oder über infizierte Webseiten erfolgen. Ziel ist es, dem Opfer einen finanziellen Schaden zuzufügen, z.B. indem Transaktionen im Online Banking durchgeführt werden oder Lösegeld („ransom") durch Verschlüsselung der Daten auf PCs gefordert wird.
Die am weitesten verbreitete Methode ist das massenhafte Versenden von betrügerischen E-Mails. Diese E-Mails oder Teile davon sehen den E-Mails bekannter Unternehmen täuschend ähnlich und enthalten entweder ein Dokument im Anhang oder einen gefälschten Internet-Link. Ziel der Betrüger ist es, den Empfänger dazu zu bringen, ein Dokument zu öffnen oder auf den Link zu klicken.
In den angehängten Dokumenten ist ein Schadcode (sogenannte „Malware" wie Viren, Würmer, Trojaner oder Spyware) enthalten, der beim Öffnen des Anhangs eine Aktion ausführt, wie z.B.
- Verschlüsseln der Daten am PC zur Erpressung einer Zahlung.
- Abfragen und Versenden von Einstellungen und/oder Daten des Computers für weitere gezielte Angriffe (Spearphishing).
- Speichern von weiteren Schadprogrammen am Computer zur späteren Ausführung.
- Aufnahme des Computers in ein sogenanntes Botnetz zur späteren Nutzung für Angriffe auf andere Computersysteme.
Beim Klicken auf Links wird das Opfer auf eine betrügerische Webseite weitergeleitet, die bekannten Webseiten (z.B. die Ihrer Bank) täuschend ähnlich nachgebaut ist. Oft werden beim Link nur wenige Zeichen ausgetauscht, sodass die Manipulation nicht auf den ersten Blick zu erkennen ist (z.B. www.speangler.at anstatt www.spaengler.at). Es kann auch sein, dass der Link korrekt ist, sich dahinter aber eine völlig andere Seite verbirgt.
Auf der gefälschten Seite wird man zumeist zur Eingabe von persönlichen Daten (Kontonummern, Online-Zugangsdaten, Passwörtern usw.) aufgefordert, mit dem Hinweis, dass das Unternehmen diese Daten überprüfen oder bestätigen müsse oder Sicherheitsvorgaben sowie Änderungen von Sicherheitseinstellungen des Unternehmens dies verlangen würde. Stattdessen werden die Eingaben von Betrügern verwendet, um sich Zugänge zu Onlineportalen (Bestelldienste, Online Banking usw.) zu verschaffen und Bestellungen durchzuführen oder Konten leerzuräumen.
Eine Sonderform des Phishings ist das „Spearphishing". Dabei werden gezielt einzelne Personen angegriffen. Die Kontaktdaten stammen zumeist aus anderen Ausspähversuchen (Social Engineering, Phishing mit Massen-E-Mails usw.). Oft erwecken diese E-Mails den Eindruck, dass sie von Mitarbeitern des Unternehmens oder von bekannten Personen kämen. Es wird ganz gezielt mit der Vertrautheit und Vertraulichkeit operiert, um an weitere Informationen heranzukommen oder kriminell erwünschte Handlungen durchzuführen.
Mitarbeiter des Bankhaus Spängler werden Sie niemals über E-Mail oder Telefon nach Kontonummern, Verfügerdaten, PIN-Codes oder Passwörtern fragen oder Sie dazu auffordern, diese über Online-Formulare im Internet einzugeben oder zu ändern.
Wenn Sie Zweifel an der Echtheit eines E-Mails oder ein "ungutes Gefühl" haben, prüfen Sie das E-Mail anhand folgender Fragen:
- Ist der Absender bekannt? Achtung: Der angezeigte Name kann leicht manipuliert werden.
- Ist das E-Mail noch an weitere Adressaten gerichtet (namentlich angeführt oder Verteilerliste/undisclosed recipients)?
- Was steht im Betreff? Ist der Betreff leer?
- Ist eine persönliche Anrede/Begrüßung vorhanden? Ist diese eher allgemein gehalten (Sehr geehrter Kunde …) oder persönlich an Sie gerichtet?
- Text des E-Mails: Rechtschreibfehler, schlechte bzw. holprige Formulierungen deuten auf eine schlechte Übersetzung aus dem Englischen hin.
- Werden persönliche Daten (Benutzerkennungen, Passwörter, Kontonummern, Kreditkartennummern etc.) abgefragt?
- Werden Gewinne / Erbschaften / tolle Jobs versprochen? Sollen Sie einem „Bekannten" mit einer Überweisung „aushelfen"? Werden Sie aufgefordert, Ihr Konto für Geldtransfers zur Verfügung zu stellen?
- Sind Links auf Internetseiten (URLs) enthalten?
- Bei Newslettern: Gibt es die Möglichkeit, sich abzumelden (meist über eine URL)? Kontrollieren Sie die URL und klicken Sie die URL im Zweifelsfall nicht an.
- Sind Anhänge (insbesondere mit den Endungen .bat, .exe, .com) vorhanden? Öffnen Sie diese im Zweifelsfall nicht.
- Ist eine Grußformel (mit Signatur) vorhanden? Passt das zum Stil des E-Mails (geschäftlich/privat)?
- Wird Dringlichkeit vorgetäuscht? Meist ist dies im Zusammenhang mit Zugangs- oder Kontodaten, bei Gewinnspielen etc. der Fall.
Wenn mehrere Kriterien zutreffen oder Sie weiterhin ein "ungutes Gefühl" haben, treffen Sie folgende Sicherheitsvorkehrungen:
- Öffnen Sie keine Anhänge, klicken Sie keine Links an.
- Antworten Sie nicht auf das E-Mail.
- Klicken Sie bei vermeintlichen „Newslettern" nicht auf Abbestellen bzw. Unsubscribe.
- Schicken Sie das E-Mail nicht an andere weiter.
- Löschen Sie das E-Mail.
Betrügern gelingt es immer wieder, mit geschickt gefälschten Mails, Informationen oder ganzen Websites, Internet-Nutzer dazu zu verleiten, persönliche Daten preis zu geben oder gar Transaktionen zu veranlassen.
Mit der Awareness-Kampagne von Europol und dem Europäischen Bankenverband soll das Bewusstsein für mögliche Internet-Betrügereien, wie z.B.
- CEO-Betrug
- Anlage- und Onlineshopping-Betrug
- Rechnungsbetrug
- Phishing/Phishing SMS/Vishing (Telefonbetrug)
- Romantik/Kennenlern-Betrug
- gefälschte Bankseiten
geschärft werden.
Kurze, gut aufbereitete Informationen finden Sie hier: Informationen von Europol