Was wir für Sie tun – die Sicherheitsstandards der Commerzbank

Damit Sie beim Online Banking sicher sein können, haben wir für Sie viele verschiedene Maßnahmen ergriffen. Verschaffen Sie sich einfach einen Überblick über unsere Sicherheitsstandards.

  • Die Sicherheitsstandards der Commerzbank

    Ihr Online Banking im Internet – bei uns sind Sie gut geschützt.

Online Banking ist für viele Menschen heute zur Selbstverständlichkeit geworden. Jedoch nicht für uns. Sicherheit im Online Banking steht bei uns an erster Stelle. Was wir dafür tun, finden Sie im Folgenden kurz zusammengefasst:

Abschottung

Der geschlossene Bereich von commerzbank.de (zum Beispiel das Online Banking) ist vom allgemein zugänglichen Internet komplett getrennt. An der „Eingangstür“ steht ein Zugangsschutzsystem, die sogenannte Firewall.

Die Firewall

Die Firewall wirkt wie ein Filter. Sie überwacht den durch sie hindurchlaufenden Datenverkehr und lässt ausschließlich diejenigen Daten vom Internet zu commerzbank.de gelangen, die für die Anwendung bestimmt sind. Alle anderen Daten werden abgefangen. Ein direkter Zugriff auf den geschlossenen Bereich aus dem Internet durch Unberechtigte wird hierdurch wirkungsvoll unterbunden.

Authentifizierung

Der Vorgang

Bei einer Authentifizierung zwischen zwei Parteien authentisiert sich die eine, während die andere die erstere authentifiziert. Es geht darum, dass Sie uns nachweisen, dass tatsächlich Sie Zugang zu commerzbank.de haben wollen und wir Ihnen nachweisen, dass Sie mit commerzbank.de verbunden sind.

Ihre Anmeldedaten

Ihre „Echtheit“ beweisen Sie, indem Sie Ihre Teilnehmernummer oder Ihren Alias und Ihre PIN eingeben.

Durch diese Zugangsdaten werden Sie als Kunde identifiziert und somit der Zugriff auf Ihre Kundendaten geregelt. Ihr Zugang zu commerzbank.de wird automatisch gesperrt, wenn die PIN dreimal nacheinander falsch eingegeben wird. Dadurch wird verhindert, dass jemand durch Probieren Ihre PIN ermitteln kann.

Falls Ihr Zugang gesperrt ist, setzten Sie sich mit Ihrer kontoführenden Filiale oder unserem technischen Support in Verbindung.

Das Zertifikat

Wir identifizieren uns automatisch mit Hilfe eines Zertifikats.

Dieses Zertifikat wurde von einer unabhängigen Organisation, einer Zertifizierungsstelle, ausgestellt und enthält unter anderem die Internet-Adresse des Internet-Anschlusses, mit dem Sie verbunden sind. Das Zertifikat wird von Ihrem Computer automatisch überprüft, bevor er Daten an commerzbank.de schickt.

Das Zertifikat zeigt Ihnen, dass Sie tatsächlich mit commerzbank.de verbunden sind.

Links sehen Sie die Darstellung des Zertifikats im Microsoft Internet Explorer, rechts im Mozilla Firefox.

Autorisierung

Die Autorisierung findet nach der Authentifizierung statt und entscheidet über die Funktionen des Online Bankings, die Sie auf commerzbank.de nutzen können.

Der Zugang

Die Benutzung des geschlossenen Bereichs (zum Beispiel des Online Bankings) von commerzbank.de ist nur nach erfolgreich durchgeführter Anmeldung möglich. Dann können Sie die Funktionen des Online Bankings nutzen, für die Sie eine Berechtigung (Autorisierung) haben.

Eine Anmeldung erfolgt durch:

  • Eingabe der 10-stelligen Teilnehmernummer und Ihrer 5 bis 8-stellige PIN oder
  • Eingabe eines frei wählbaren Anmeldenamens und Ihrer 5 bis 8-stellige PIN

Durch diese Zugangsdaten werden Sie als Kunde identifiziert und somit der Zugriff auf Ihre Kundendaten geregelt. Ihr Zugang zu commerzbank.de wird automatisch gesperrt, wenn die PIN dreimal nacheinander falsch eingegeben wird. Dadurch wird verhindert, dass jemand durch Probieren Ihre PIN ermitteln kann.

Falls Ihr Zugang gesperrt ist, setzten Sie sich mit Ihrer kontoführenden Filiale oder unserem technischen Support in Verbindung.

Transaktion

Nachdem Sie identifiziert und autorisiert wurden, können Sie umfangreiche Transaktionen durchführen. „Genehmigt“ werden diese durch die jeweilige Eingabe einer photoTAN, mobileTAN oder iTAN.

Datenintegrität

Was ist SSL

SSL steht für „Secure Socket Layer“ und bildet quasi eine abschirmende Schicht zwischen Rechner und TCP/IP-Protokoll, dem normalen Übertragungsmodus im Internet.

Auf diese Weise werden sämtliche Daten, die zwischen Ihrem PC und der Bank ausgetauscht werden, verschlüsselt. Dadurch kann niemand diese Nachrichten gezielt verändern. SSL garantiert die Integrität von Nachrichten durch einen Message Authentication Code (MAC), eine Art Prüfsumme, die zusammen mit der Nachricht übertragen wird. Veränderte Nachrichten werden an einem fehlerhaften MAC erkannt und zurückgewiesen.

Wie arbeitet SSL?

SSL arbeitet mit dem Hybridverfahren, also mit einer Kombination aus symmetrischem und asymmetrischem Verschlüsselungsverfahren. Wichtig ist, dass zumindest einer der beiden zu verbindenden Rechner über ein Zertifikat mit der Möglichkeit einer Nachrichtenverschlüsselung verfügt. Dieser Rechner gibt das weitere Vorgehen vor.

Eine Kommunikation zwischen Ihrem PC und unserem Bankserver kann man sich folgendermaßen vorstellen:

  • Sie rufen im Internet eine Seite auf unserem Webserver auf, bei der es um die Übertragung von vertraulichen Daten geht
  • Sie erhalten eine Meldung, dass eine gesicherte Verbindung aufgebaut wird. Beim Verbindungsaufbau und anschließend (über das Schloss in der Statuszeile Ihres Browsers) können Sie das Zertifikat unseres Servers einsehen
  • Ihr Browser erkennt in unserem Zertifikat den öffentlichen Schlüssel. Dieser wird durch die digitale Signatur bestätigt, die der Browser prüft
  • Er erzeugt eine Zufallszahl, verschlüsselt sie mit unserem öffentlichen Schlüssel und schickt sie an unseren Server
  • Nur unser Server, niemand sonst, kann die Zufallszahl durch Entschlüsselung wieder lesbar machen. Beide Seiten, Ihr Browser und unser Server, erzeugen mit Hilfe dieser Zufallszahl symmetrische Schlüssel für die gerade begonnene Sitzung, jeweils für die beiden Transportrichtungen vom Browser zum Server und umgekehrt
  • Solange die Verbindung besteht, werden Ihre Nachrichten an uns und umgekehrt auch unsere an Sie vor dem Transport mit dem jeweils passenden dieser Schlüssel verschlüsselt

Ihre letzte Anmeldung

Nach Ihrer Anmeldung sehen Sie im linken oberen Bereich Ihre letzte uns bekannte Anmeldung mit Ihrer Teilnehmernummer bzw. Ihrem Anmeldenamen sowie Datum und Uhrzeit.

Was wird genau angezeigt?

Es werden Datum und Uhrzeit der letzten Online-Aktivität in folgender Ansicht dargestellt:

TT.MM.JJJJ, HH:MM Uhr

Was ist zu tun, wenn die Meldung nicht stimmt?

Wenn Sie sich sicher sind, dass Sie zu der angegebenen Zeit nicht angemeldet waren, setzen Sie sich bitte umgehend mit uns in Verbindung. Melden Sie diesen Fehler der Online Banking Hotline. Beenden Sie bitte sofort die Anwendung über den Button „Abmelden“ (im oberen rechten Bereich).

Sitzungskontrolle

Das commerzbank.de-System stellt sicher, dass zu jedem Zeitpunkt nicht mehr als eine Online-Sitzung unter Ihrer Teilnehmernummer aktiv sein kann. Damit werden Konflikte zwischen mehreren gleichzeitigen Sitzungen ausgeschlossen.

Erfolgt in einer Sitzung längere Zeit keine Eingabe, so wird die Sitzung vom System automatisch geschlossen. Auch wenn die Verbindung zwischen Ihrem Computer und commerzbank.de aus irgendeinem Grund abbricht, wird die Sitzung vom System automatisch geschlossen. Sie können sich sofort erneut anmelden. Das System beendet automatisch noch aktive Online-Sitzungen.

Verschlüsselung

Im Internet sind verschiedene Verschlüsselungsverfahren in Gebrauch. Sie basieren auf einer Vielzahl von kryptographischen Rechenvorschriften, also Verfahren, um „geheim zu schreiben“. Wichtig dabei sind zwei grundsätzliche Prinzipien: die symmetrische Verschlüsselung und die asymmetrische Verschlüsselung.

Die symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird nur ein Schlüssel gebraucht. Der Sender einer Nachricht benutzt diesen Schlüssel zum Verschlüsseln, der Empfänger zum Entschlüsseln. Diese Art der Ver- und Entschlüsselung funktioniert sehr schnell. Das ist ein entscheidender Vorteil. Es gibt allerdings auch einen Nachteil: Der Schlüssel muss dem Empfänger auf einem sicheren Weg übermittelt werden, und gerade das ist im Internet ein Problem.

Die asymmetrische Verschlüsselung

Diese Methode nutzt Paare aus jeweils zwei Schlüsseln, die sich in ihrer Funktion ergänzen. Mit dem einen Schlüssel wird eine Nachricht verschlüsselt. Der Trick: Diese Nachricht lässt sich mit demselben Schlüssel nicht wieder öffnen. Dazu wird der andere Schlüssel benötigt. Man spricht auch vom „Public-Key-Verfahren“, weil es ausreicht, einen der beiden Schlüssel geheim zu halten (privater Schlüssel), während der andere veröffentlicht werden kann (öffentlicher Schlüssel).

In der Praxis werden die öffentlichen Schlüssel zwischen den Kommunikationspartnern ausgetauscht oder sogar in öffentlichen Verzeichnissen zugänglich gemacht. Der Sender einer Nachricht benutzt den öffentlichen Schlüssel des Empfängers zum Verschlüsseln, und der Empfänger hat als Einziger den richtigen (privaten) Schlüssel, um die Nachricht wieder zu öffnen. Dieses Verfahren ist zwar komfortabler, weil es kein Problem mit der Schlüsselweitergabe hat, es ist aber leider auch deutlich langsamer als symmetrische Verschlüsselungsverfahren. Für große Datenmengen eignet es sich deshalb nicht.

Ein gängiges asymmetrisches Verfahren ist RSA, benannt nach seinen Entwicklern Rivest, Shamir und Adleman.

Die starke Kombination - das Hybridverfahren

Die optimale Variante ist meist eine Kombination aus symmetrischem und asymmetrischem Verfahren, auch „Hybridverfahren“ genannt. Dabei wird eine Nachricht nach dem symmetrischen Verfahren unkenntlich gemacht und nur der zugehörige, jeweils neu und zufällig erzeugte symmetrische Schlüssel wird nach dem asymmetrischen Prinzip mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Beides zusammen wird an den Empfänger gesandt. Der entschlüsselt mit seinem privaten Schlüssel den Schlüssel für die Nachricht und mit diesem Schlüssel wiederum die Nachricht selbst.

Der entscheidende Vorteil bei dieser Vorgehensweise: Die gesamte Nachricht kann mit dem schnellen Verfahren verschlüsselt werden, nur die relativ kurze Zahlenfolge des Schlüssels wird mit dem langsameren Verfahren bearbeitet. Das Problem der sicheren Schlüsselübergabe wird hier also mit dem asymmetrischen Verfahren gelöst, während die eigentliche Nachrichtenverschlüsselung dem symmetrischen Prinzip folgt.

Die Zacken im Bart

Je aufwendiger ein Schlüssel gearbeitet ist, umso schwieriger ist es, einen passenden Ersatzschlüssel zu finden bzw. einen Nachschlüssel zu machen. Dies gilt genauso für einen digitalen Schlüssel, auch wenn dieser keine Zacken besitzt, sondern nur aus einer Folge von Nullen und Einsen besteht.

Innerhalb eines Verschlüsselungsverfahrens gilt: Je länger die Zahlenfolge eines digitalen Schlüssels ist, umso unwahrscheinlicher ist es, dass jemand durch Probieren den richtigen Schlüssel findet. Ein Schlüssel mit einer Zahlenfolge aus 128 Stellen (Bits) ist also schwieriger zu ermitteln als einer mit 40 Bits.

Wir geben Ihnen Sicherheit

Um Ihnen und uns maximale Sicherheit zu garantieren, werden beim Online Banking mit commerzbank.de alle Nachrichten zwischen Ihnen und dem Online Banking-System mit mindestens 128 Bit verschlüsselt. Selbst wenn man alle Computer der Welt gleichzeitig einsetzen würde, wäre zum Entschlüsseln eines 128-Bit-Schlüssels ein Zeitaufwand erforderlich, der jedes menschliche Ermessen übersteigt. Die Länge der asymmetrischen Schlüssel, die im SSL-Protokoll zur Übertragung des Session-Keys verwendet werden, beträgt 1024 Bit.

Perfect Forward Secrecy

Alle Internetportale der Commerzbank bieten den Benutzern von Browsern, welche die aktuelle SSL-Version unterstützen (TSL 1.2 von 2008) hochsichere Verschlüsselungsverfahren an. In der kryptographischen Gemeinschaft gibt es keine ernsthaften Zweifel an der Widerstandsfähigkeit dieser Verfahren auch gegen Angreifer mit großen Ressourcen.

Alle Banking-Server der Commerzbank bieten Perfect Forward Secrecy (PFS) an.

Vertraulichkeit

Die gesamte Kommunikation zwischen Ihnen und commerzbank.de findet in verschlüsselter Form statt. Dabei werden Schlüssel verwendet, die nur Ihrem und dem commerzbank.de-Rechner bekannt sind. Für mögliche Mithörer sind die verschlüsselten Nachrichten lediglich eine bedeutungslose, scheinbar zufällige Folge von Zeichen.

Die beim Online Banking mit commerzbank.de verwendeten Schlüssel haben eine Länge von mindestens 128 Bit. Sie können die verschlüsselte Kommunikation daran erkennen, dass die Adressleiste Ihres Browsers mit https:// beginnt.

Das EV-Zertifikat

Extended-Validation-SSL-Zertifikate (EV-SSL, englisch etwa „Zertifikate mit erweiterter Überprüfung“) sind X.509 SSL-Zertifikate, deren Ausgabe an strengere Vergabekriterien gebunden ist. Dies bezieht sich vor allem auf eine detaillierte Überprüfung des Antragstellers durch die Zertifizierungsstelle.

Die Darstellung des Zertifikats

In der Adresszeile des Browsers wird zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle (beispielsweise VeriSign oder TC TrustCenter) eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile oder ein Teil davon grün eingefärbt. So können Sie noch schneller erkennen, ob die besuchte Webseite echt ist, und sich so besser vor Phishingversuchen schützen.

Welche Browser werden unterstützt?

  • Firefox 2: Die erweiterte Anzeigemöglichkeit ist nur über die Erweiterung VeriSign EV Green Bar Extension möglich.
  • Ab Firefox 3: Standardmäßige Unterstützung. Der linke Teil der Adressleiste wird grün eingefärbt.
  • Ab Internet Explorer 7: Standardmäßige Unterstützung. Die gesamte Adressleiste wird grün eingefärbt.
  • Google Chrome: Standardmäßige Unterstützung. Der linke Teil der Adressleiste wird grün eingefärbt und der Organisationsname wird in grün neben einem Schloss-Symbol dargestellt.
  • Ab Opera 9.5: Standardmäßige Unterstützung. Der rechte Teil der Adressleiste wird grün eingefärbt und das Schloss-Symbol hat zusätzlich ein Häkchen.
  • Ab Safari 3.2: Standardmäßige Unterstützung. Der Organisationsname wird grün neben dem Schloss-Symbol angezeigt.

Wer kann das Zertifikat erhalten?

  • Behörden
  • Kapitalgesellschaften
  • Personengesellschaften
  • Eingetragene Vereine
  • Einzelunternehmen