Sicherheit

Bei der Erstellung des Sicherheitskonzepts wurde vom Kompetenzzentrum Dienstleistungsscheck (CC DLS), eingerichtet bei der Versicherungsanstalt für Eisenbahnen und Bergbau, Geschäftsstelle Graz, Lessingstraße 20, 8010 Graz; größter Wert auf höchstmöglichen Schutz gelegt. Um diesem Anspruch gerecht zu werden, haben wir eine Vielzahl von Maßnahmen ergriffen, die Ihrem und unserem Schutz dienen sollen.

Unter anderem setzen wir für eine gesicherte Datenübertragung das derzeit modernste Verschlüsselungsverfahren ein und verwenden zum Schutz Ihrer Daten die neuesten am Markt befindlichen Technologien.

Mit diesen Ausführungen wollen wir für Sie unsere Sicherheitsmaßnahmen dokumentieren. Grundsätzlich können unsere Aktivitäten in zwei Bereiche zusammengefasst werden:

Für ein sicheres Gesamtsystem müssen aber auch von Ihnen Sicherheitsvorkehrungen getroffen werden. Detaillierte Informationen finden Sie in den folgenden Kapiteln:

Wir möchten darauf hinweisen, dass wir zu Ihrem Schutz Verfahren zur Rückverfolgung von Angriffen gegen das System DLS-Online installiert haben. Allfällige Angreifer haben daher mit strafrechtlichen Konsequenzen zu rechnen.

Ergänzend wird bemerkt, dass unsere Sicherheitsmaßnahmen regelmäßig durch unabhängige Dritte überprüft werden.

Maßnahmen zur sicheren Datenübertragung

Ihre Daten werden über das Internet zu uns übertragen. Sie können somit von jedem Ort der Welt in unser System einsteigen. Um eine missbräuchliche Verwendung weitestgehend auszuschließen, haben wir die fortschrittlichsten Sicherheitsmechanismen eingeführt, die dies wirksam verhindern sollen.

Authentifikation

Für einen Systemzugang benötigen Sie eine in Österreich gültige Sozialversicherungsnummer, diese fungiert als Teilnehmer-Identifikation (Benutzername) und ein Passwort, welches Sie im Zuge der Registrierung bei DLS-Online vom Kompetenzzentrum Dienstleistungsscheck mittels RSa-Brief übermittelt bekommen.

Sie müssen sich beim Systemeinstieg mit Ihrer Sozialversicherungsnummer und dem persönlichen Passwort anmelden.

Als Passwort können Sie einen beliebigen alphanumerischen Begriff in der Länge von mindestens 8 Stellen, der mindestens einen Buchstaben, eine Ziffer und ein Sonderzeichen enthalten muss, verwenden.

Wenn Sie Ihr Passwort vergessen haben, kontaktieren Sie für die Erstellung von neuen Zugangsdaten, das Kompetenzzentrum Dienstleistungsscheck unter 0810 / 555 666.

Änderung des Passworts

Der wirksamste Schutz vor Hackern wird durch regelmäßige Änderung des Passworts gewährt. Wir empfehlen Ihnen daher eine regelmäßige Änderung Ihres Passworts, da ein Hacker mit dem "alten" Passwort keinen Systemzugang erhält.

Achten Sie in Ihrem eigenen Interesse darauf, dass Ihr Passwort keinem Unbefugten bekannt wird. Bei Verdacht ändern Sie bitte sofort Ihr Passwort.

Vermeiden Sie aus Sicherheitsgründen ein leicht zu knackendes Passwort, wie z.B. das eigene KFZ-Kennzeichen.

Serverzertifikat

Die sichere Identifikation (Verbindung mit dem richtigen Server) des Kommunikationspartners wird durch ein Zertifikat garantiert. Das Zertifikat darf nur von autorisierten Zertifizierungscentern ausgestellt werden. Diese Institutionen garantieren durch das Zertifikat, dass der Server bzw. dessen Inhaber der ist, der er vorgibt zu sein. Durch die Ausstellung entsteht ein Zertifizierungspfad mit mehreren Zertifikaten. In den Zertifikaten ist auch vermerkt, wo das Zertifikat im Pfad steht. Diese Information wird durch den Webbrowser geprüft und bei Widersprüchen erhalten Sie auf Ihrem Bildschirm eine Meldung angezeigt.

Überprüfung des Zertifizierungspfads:
Beim Microsoft Internet Explorer ist vor dem Login in der Statusleiste (rechts unten) das geschlossene Schlosssysmbol anzuklicken. Es öffnet sich ein Fenster und durch nochmaligem Klick auf die Registerkarte 'Zertifizierungspfad' kann dieser abgelesen werden. Beim Netscape Communicator ist vor dem Login in der Statussymbolleiste (rechts unten) das geschlossene Schlosssymbol anzuklicken. Es öffnet sich ein Fenster und die Schaltfläche 'Zertifikat anzeigen' ist anzuklicken.

Aufbau einer sicheren Verbindung:
Bevor eine Verbindung mit unserem Server hergestellt werden kann, erhalten Sie einen Sicherheitshinweis, dass eine sichere Verbindung aufgebaut wird. Sobald eine sichere Kommunikation gewährleistet ist, erscheint in der Statusleiste (rechts unten) des Browsers ein abgesperrtes Schlosssymbol (Microsoft Internet Explorer) bzw. in der Statussymbolleiste (rechts unten) ein markiertes abgesperrtes Schlosssymbol (Netscape Communicator). Achtung: Wenn kein abgesperrtes bzw. kein markiertes abgesperrtes Schlosssymbol erscheint, werden Ihre Daten nicht verschlüsselt übertragen.

Timeout

Ein weiterer Schutzmechanismus bietet die automatische Abmeldung. Wenn wir bei Ihnen länger als 30 Minuten keine Online-Aktivitäten feststellen können, werden Sie aus Sicherheitsgründen automatisch vom System abgemeldet und Sie müssen wieder neu einsteigen.

Vorkehrungen zum Schutz Ihrer Daten

Diese Applikation ist mit den modernsten Sicherheitsmechanismen ausgestattet. Da Ihre Daten bei uns gesammelt und verarbeitet werden, sind diese Schutzeinrichtungen für die Datensicherheit von zentraler Bedeutung.

Insbesondere werden von uns dabei folgende Systeme zum Schutz Ihrer Daten eingesetzt:

Firewalls

Firewalls sind gegenwärtig die gängigsten Sicherheitskonzepte im Internet. Durch eine Firewall wird verhindert, dass "gefährliche" Datenpakete, die dem System Schaden zufügen können, Zutritt erhalten.

Bei einer Firewall dürfen von den Datenpaketen nur die vorgegebenen Wege (Protokolle) benutzt werden.

Wir verwenden nicht nur eine sondern mehrere Firewalls von verschiedenen Herstellern.

Unsere Internet-Server werden ständig auf ihren ordnungsgemäßen Betrieb überprüft. Jeder Versuch, die Firewall zu umgehen, wird von uns registriert und wir leiten sofort wirksame Gegenmaßnahmen ein.

Zugriffskontrollen

Welche Funktionen Sie durchführen dürfen, wird auf Grund Ihrer Zugangskennungen ermittelt. Dadurch können wir sicherstellen, dass nur Sie Ihre Daten entsprechend Ihrem Teilnehmer- und Benutzerprofil einsehen und bearbeiten können.

Scannerprogramme

Eine Attacke (Virus oder Ähnliches) verrät sich meistens dadurch, dass gewisse Aktionen ausgeführt werden sollen. Diese "verdächtigen" Aktionen kann man sofort erkennen.

Zu diesem Zweck laufen auf unserem System modernste Scannerprogramme, die alle Aktionen kontrollieren und "auffällige" Aktionen sofort unterbinden, bevor sie Schaden anrichten können.

Sichere Software

Bei der Erstellung der Software für DLS-Online haben wir Programme und Sprachen verwendet, die laut derzeitigem Stand als sicher gelten.

Ihr Beitrag zur Datensicherheit

Wie bereits einige Male beschrieben, gibt es ein paar Dinge, die Sie überprüfen und ein paar Maßnahmen, die Sie setzen sollten, um die Datensicherheit zu erhöhen.

Unsere Ratschläge beziehen sich nicht nur auf das System DLS-Online sondern sollten allgemein bei der Anwendung des Internets beachtet werden.

Sorgsamer Umgang mit den Zugangskennungen

Die besten Sicherheitssysteme sind wertlos, wenn Sie Ihre geheimen Zugangskennungen an Dritte weitergeben. Denn nur mit diesem Schlüssel kann auf Ihre Daten zugegriffen und Transaktionen durchgeführt werden. Achten Sie daher in Ihrem eigenen Interesse immer auf eine sichere Verwahrung der Zugangskennungen.

Sie sollten keinesfalls Ihre Zugangskennungen auf Ihrem Rechner speichern. Ein Unbefugter kann Zugriff auf Ihren Rechner bekommen und unbemerkt Ihre Zugangskennungen kopieren und für seine Zwecke missbrauchen.

Sichere Passwörter

Passwörter stellen für Hacker beliebte Angriffsziele dar. Zum Knacken der Passwörter gibt es von den Hackern verschiedene Vorgehensweisen.

Die einfachste und schnellste Variante ist eine Liste der "Hot-Passwörter" (häufig verwendete Passwörter) auszuprobieren.

Eine andere Möglichkeit ist die sogenannte "soziale Attacke". Sehr oft beziehen sich nämlich Passwörter auf das soziale Umfeld des Benutzers (z.B. Geburtsdatum eines Kindes). Ein Hacker beschafft sich nun Informationen aus Ihrem sozialen Umfeld und versucht mit diesen Daten Ihre Passwörter zu entschlüsseln.

Wir geben Ihnen daher den Tipp, dass Sie Ihre Passwörter mit Bedachtnahme auswählen sollten. Auch schwer zu knackende Passwörter (z.B. jeder dritte Buchstabe des Geburtsorts) kann man sich mit Hilfe einer "Eselsbrücke" leicht merken.

Neueste Browserversion

Als Folge der rasanten Ausbreitung des Internets werden auch die Browser immer schneller weiterentwickelt. Dieser Fortschritt erfolgt bei den Browsern auch im Sicherheitsbereich. Es kann daher gesagt werden: "Je aktueller die von Ihnen eingesetzte Browserversion ist, desto mehr wurde auf Sicherheit Wert gelegt."

Sie sollten aber keine Beta-Version (Programm noch in Testphase) einsetzen und auch nicht sofort den allerneuesten Browser installieren. Erfahrungsgemäß dauert es einige Zeit und bedarf es kleiner Korrekturen bis die aktuellste Browserversion ausgereift ist.

Aktualisierung der neuesten Browserversion

Bei moderner Software schleichen sich immer wieder Fehler ein. Sie sollten daher darauf achten, dass bei dem von Ihnen verwendeten Browser zumindest die bekannten Probleme gelöst wurden.

Wir empfehlen, die regelmäßig erscheinenden Browser-Updates, die Sie auf den Websites der Browser-Hersteller erhalten, auf Ihren Rechner zu laden.

Aktuelle Virenscanner

Eine grundsätzliche Gefahr besteht bei allen Programmen, die Sie aus dem Internet herunterladen. Sie können Viren enthalten, die sich beim Start des Programms selbstständig und unbemerkt installieren. Laden Sie daher Software (und Spiele) immer nur von der Website des Herstellers auf Ihren Rechner.

Ihr Browser sollte so eingestellt sein, dass keine Software ohne Ihre ausdrückliche Zustimmung installiert werden kann.

Besonders Systeme von Heimanwendern sind anfällig für Virenattacken.

Zu Ihrer eigenen Sicherheit (und nicht nur für die Anwendung von DLS-Online) sollten Sie daher auf Ihrem Rechner einen Virenschutz installieren.

Die Palette der Virenscanner reicht von ganz einfachen Tools bis zu ausgeklügelten Virenscannern. Von den meisten bekannten Virenscannern sind im Internet Testversionen erhältlich. Einige Hersteller bieten für den Privatgebrauch auch Gratisvirenscanner mit brauchbarer Qualität an.

Personal Firewall

Verbindungen zum Internet mit Standleitungen (z.B. ADSL, Kabel-Modem) erhöhen die Gefahr, dass Ihr Computer von Hackern über sogenannte Backdoors oder Trojaner missbraucht wird.

Die Verwendung einer Personal Firewall verhindert, dass einerseits über das Internet von Ihnen unbemerkt mit Ihrem Rechner Kontakt aufgenommen werden kann und andererseits Ihr Rechner mit versteckten Programmen von Ihnen unbemerkt über das Internet Verbindung mit anderen Computern aufnehmen kann.

Wirksamer Schutz gegen Phishing-Attacken

Unter Phishing (engl. fishing = abfischen) versteht man eine Form der Tricktäuschung im Internet. Dabei wird per E-Mail versucht, den Empfänger irrezuführen und zur Herausgabe von Zugangskennungen und Passwörtern zu bewegen.

Die meisten Angriffe beziehen sich auf Online-Banking-Systeme. Da in DLS-Online keine direkten Geldtransaktionen durchgeführt werden, ist eine Phishing-Attacke unwahrscheinlich. Sollten dennoch Phishing-Mails betreffend DLS-Online auftauchen, die Sie zur Herausgabe Ihrer Zugangskennungen auffordern, ignorieren Sie diese Mails und löschen Sie sie sofort.

Überblick

Der Urheber einer Phishing-Attacke schickt seinem Opfer offiziell wirkende Schreiben als E-Mail, die es verleiten sollen, vertrauliche Informationen, vor allem Zugangskennungen und Passwörter (bzw. PIN und TAN von Online-Banking-Zugängen), im guten Glauben dem Täter preiszugeben. Werden korrekte Daten übergeben, kann der Betrüger mit der abgefangenen PIN und TAN eine Geldüberweisung zulasten des Opfers tätigen.

Methoden der Datenbeschaffung

Im Allgemeinen beginnt eine Phishing-Attacke mit einer persönlich gehaltenen, offiziell anmutenden E-Mail oder einem Massenversand von E-Mails. Der Empfänger soll eine betrügerische Website besuchen, die täuschend echt aussieht und unter einem Vorwand zur Eingabe seiner Zugangskennungen auffordert. Folgt er dieser Aufforderung, gelangen seine Zugangskennungen in die Hände der Urheber der Phishing-Attacke. Dann folgt eine kurze Bestätigung oder eine falsche Fehlermeldung um nachträglich das Misstrauen des Opfers zu zerstreuen.

Eine andere Variante bindet ein Formular direkt innerhalb einer HTML-E-Mail ein, das zur Eingabe der vertraulichen Daten auffordert und diese an die Urheber sendet. Auf eine Phishing-Website wird hierbei verzichtet.

Schutz vor Phishing-Attacken

Nur aktuelle Versionen des von Ihnen verwendeten Webbrowsers und des Betriebssystems Ihres Computers können gewährleisten, dass die bis dahin bekannten Sicherheitslücken in diesen Programmen geschlossen sind.

Mit Programmen können Viren oder Trojanische Pferde übertragen werden. Laden Sie daher keine Programme auf Ihren Computer, und öffnen Sie keine E-Mail-Anhänge, deren Anbieter und Inhalt Ihnen unbekannt sind.

Für noch mehr Sicherheit sollten Sie die Zulassung von ActiveX-Controls ausschließen und die Ausführungen von Java-Applets nur nach Rückfrage und Prüfung gestatten.

Virenscanner und Firewall sind wichtige Zusatzwerkzeuge zum Schutz gegen Phishing-Attacken.

Die E-Mail-Filter einiger Antivirus-Programme können gefälschte Phishing-E-Mails erkennen und eliminieren. Allerdings müssen Sie das Antivirus-Programm stets auf aktuellem Stand halten.

Auch E-Mail-Programme und Webbrowser warnen vor Phishingseiten. Der Phishingschutz basiert dabei entweder auf einer Blacklist, welche über das Internet aktualisiert wird, oder es werden typische Merkmale von Phishing-E-Mails wie z.B. Links auf IP-Adressen oder Links mit einem anderem Hostnamen als im Linktext überprüft.

E-Mail-Filter, die auf Blacklisten beruhen, sind prinzipbedingt auf die Aktualität der Blacklist angewiesen. Dies schränkt ihre Wirksamkeit bei neuen Phishing-Attacken deutlich ein.