Sicherheit für Ihr Online Banking

Sicherheit
Bei Betrugsverdacht oder Diebstahl bzw. Verlust von Karten

Sperren von Online Banking, Konten und Karten

Zugang zum Firmenkundenportal (Digital Banking) sperren

Im Digital Banking

Melden Sie sich an und klicken Sie auf den Reiter „Meine Daten“ und dort auf „Zugang sperren“.

Am Telefon

Rufen Sie unsere Sperrhotline Firmenkundenportal an unter +49 69 5050 2786. Sie erreichen uns rund um die Uhr: 24 Stunden – 7 Tage – weltweit. Ihre Sperrung wird durch einen Mitarbeiter ausgeführt.

Corporate Card sperren

Girocard sperren

photoTAN sperren

Sie können Ihre photoTAN in unserem Digital Banking eigenständig sperren. Die Sperrung ist umgehend wirksam. Wir empfehlen Ihnen aus Sicherheitsgründen Ihr photoTAN-Verfahren in folgenden Fällen zu sperren: Wenn Sie Ihr Smartphone verloren oder verkauft haben oder Verdacht auf missbräuchliche Nutzung besteht.

Im Digital Banking

  1. Melden Sie sich an, um zu Ihren TAN-Einstellungen zu gelangen.
  2. Klicken Sie in der Zeile „photoTAN“ auf „Verwalten“.
  3. Klicken Sie dann zwei Mal auf den Button „photoTAN sperren“, um die Sperrung des photoTAN-Verfahrens zu bestätigen.

Hinweis: Sollten Sie mehrere Teilnehmernummern nutzen, führen Sie den Prozess separat für jede Teilnehmernummer wie oben beschrieben durch.

Am Telefon

  1. Nehmen Sie Kontakt mit uns auf. Sie erreichen uns rund um die Uhr: 24 Stunden - 7 Tage - weltweit.
  2. Die Sperrung Ihrer photoTAN wird durch einen Mitarbeiter ausgeführt.

Was wir für Sie tun

Sicherheitsstandards & Cybercrime

Von Authentifizierung bis Verschlüsselung: Die Sicherheitsstandards der Commerzbank, sowie Wissenswertes zu Cyberkriminalität und Social Engieneering

Authentifizierung der Online-Anwendungen

Wenn Sie eine Verbindung zu einer Online-Anwendung der Commerzbank herstellen, identifiziert sich das Commerzbank-System automatisch durch ein von einer unabhängigen Instanz ausgestelltes Zertifikat. Ihr Computer sendet erst nach Überprüfung der Echtheit dieses Zertifikats Daten an das Commerzbank-System. Das Zertifikat bildet die Garantie, dass Sie tatsächlich mit dem Online-System der Commerzbank verbunden sind.

Zugangsberechtigung

Für die Nutzung der Online-Anwendungen ist es erforderlich, sich anzumelden – das bedeutet, Sie müssen Ihre Benutzerkennung oder Ihren Benutzernamen mitsamt PIN-Code oder Passwort eingeben. Damit ist Ihre Identität als Anwender sichergestellt; niemand sonst kann Zugang zu Ihren Daten erlangen. Werden drei Mal hintereinander falsche Zugangsdaten eingegeben, wird der Zugang zum Online-Konto automatisch gesperrt.

Vertraulichkeit des Datentransfers - Datenintegrität

Der Datenaustausch zwischen Ihrem Computer und den Commerzbank Online-Anwendungen ist vollständig verschlüsselt. Die eingesetzten Schlüssel sind nur Ihrem Computer und dem System der Commerzbank bekannt. Für Datenspione stellt sich eine verschlüsselte Nachricht als sinnlose Zeichenkette dar.

Durch die Verschlüsselung wird verhindert, dass Dritte Änderungen an den übermittelten Nachrichten vornehmen können. Und dank des TLS-Protokoll (Transport Layer Security) im Online-Banking-System wird das Risiko einer Manipulation durch willkürliche („blinde“) Veränderung von Zeichen wirksam ausgeschaltet.

Sämtliche Transaktionen müssen autorisiert sein

Jede einzelne Transaktion muss von Ihnen autorisiert, also genehmigt werden. Bei den Online-Anwendungen der Commerzbank autorisieren Sie Transaktionen mit Hilfe der photoTAN App über das Smartphone und/oder dem photoTAN-Lesegerät.

Nur eine Sitzung

Durch das Sicherheitskonzept ist gewährleistet, dass immer nur eine Sitzung mit Ihrer Benutzerkennung eröffnet werden kann. Erfolgt während Ihrer Sitzung über einen längeren Zeitraum kein Eingriff, wird sie automatisch beendet. Dasselbe gilt, wenn bei der Verbindung zwischen Ihrem Computer und der Anwendung aus irgendeinem Grund ein Fehler auftritt: Die Sitzung wird in diesem Fall automatisch beendet.

Datenverkehr mit 128-Bit-Verschlüsselung

Der Datenaustausch zwischen Ihrem Computer und dem Commerzbank-Server beruht auf dem TLS-Protokoll (Transport Layer Security). Das Ausmaß der Verschlüsselung beruht dabei in hohem Maße auf der Länge der Schlüssel. Zur Gewährleistung einer maximalen Sicherheit verschlüsselt die Commerzbank den gesamten Datenaustausch mit mindestens 128 Bit.

Absicherung des E-Mails-Versands: Commerzbank Secure Mail

E-Mails sind heute die meistgenutzte Form der geschäftlichen Kommunikation. Allerdings bergen sie auch ein hohes Sicherheitsrisiko. Daher muss der E-Mail-Verkehr effektiv verschlüsselt werden.

Die Absicherung des E-Mail-Versands durch leistungsfähige Verschlüsselungsverfahren ist heute unerlässlich. Diese drei Verfahren haben sich dafür etabliert.

E-Mail-Verschlüsselungen im Überblick

SicherheitsstandardSehr hoch VerfahrenSecure/Multipurpose Internet
Mail Extensions (S/MIME)
SicherheitsstandardHoch VerfahrenPretty Good Privacy (PGP)
SicherheitsstandardNormal VerfahrenTransport Layer Security (TLS)

TLS: Mindeststandard in Deutschland

TLS ist der Mindeststandard in Deutschland, der vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt wurde. Zur Kommunikation mittels TLS müssen die Server von Absender und Empfänger TLS-fähig sein. Die Commerzbank setzt dieses Verfahren bereits seit mehreren Jahren ein.

PGP und S/MIME: Zertifikate und Schlüssel sorgen für Ihre Sicherheit

Falls der Empfänger einer Commerzbank-E-Mail aktuell keines dieser Verfahren zur Verfügung hat, bietet Secure Mail eine weitere sichere Alternative für Einzelfälle an: Den Versand als verschlüsselte PDF-Datei, die Sie mit einem Einmalpasswort öffnen. Das Passwort bekommen Sie per SMS auf Ihr Mobiltelefon.

Aktuelle Warnhinweise

Wer seine Daten nicht schützt, macht es Kriminellen leicht.
Aktuell warnen wir vor:

Gefälschte Management-E-Mail (CEO-Fraud)

Wie erfolgt der Betrug:

Eine gefälschte, scheinbar interne E-Mail weist einen Mitarbeiter an, eine Transaktion durchzuführen. Die Weisung kommt in diesen Fällen meist vom Management und avisiert z.B. einen Anruf von einem betrauten Anwalt. Eine von vielen uns bekannten Szenarien, mit denen der Mitarbeiter getäuscht werden soll, ist eine anstehende Fusion, die aufgrund der Börsennotierung des eigenen Unternehmens streng vertraulich ist. Der Anrufer kommt meist mehrfach mit Aufträgen auf den Mitarbeiter zu. Auch vorgetäuschte Telefon- und Videokonferenzen sind uns bekannt. Zahlungsempfänger sitzen häufig im europäischen Ausland, Russland, in Südostasien oder China.

Wie können Sie sich in diesem Fall schützen:

  • Erhalten Sie eine verdächtige E-Mail, nehmen Sie sofort telefonischen Kontakt mit Ihrem Management auf.
  • Achten Sie darauf, welche Informationen Sie und Ihre Mitarbeiter über Ihr Unternehmen veröffentlichen.
  • Führen Sie klare Abwesenheitsregelungen sowie eindeutige Regeln ein, wie z.B. für Vertretungen.
  • Informieren Sie Ihre Mitarbeiter über Betrugsszenarien.

Was tun, wenn Sie betroffen sind:

Veranlassen Sie über die kontoführende Filiale einen sofortigen Überweisungsrückruf mit Avis bei der Empfängerbank. Einmal gutgeschriebene Beträge sind in aller Regel nur sehr schwer zu retournieren. Bringen Sie den Fall bei der Polizei zur Anzeige.

Geänderte Bankverbindung nach Rechnungsstellung

Wie erfolgt der Betrug:

Die potenziellen Opfer erhalten per E-Mail den Hinweis „Wir haben unsere Bankverbindung geändert.“ verbunden mit der Aufforderung, den Rechnungsbetrag auf das Konto der Betrüger zu überweisen. Im Vorfeld wurden die Server des Zahlungsempfängers kompromittiert und somit Daten, über z. B. den E-Mail-Verlauf, ausgespäht. Mit diesen Informationen können die Betrüger im Namen des Zahlungsempfängers E-Mails versenden und falsche Bankverbindungen durchgeben.

Wie können Sie sich in diesem Fall schützen:

  • Erhalten Sie eine verdächtige E-Mail, nehmen Sie sofort telefonischen Kontakt mit dem Ihnen bekannten Ansprechpartner auf. Verwenden Sie hierfür keinesfalls die in der Mail genannten Rufnummern, sondern die Ihnen bereits vorliegenden Kontaktdaten.
  • Vergleichen Sie mit Ihrer Kontaktperson am Telefon erneut die Bankverbindungsdaten. Protokollieren Sie dieses Gespräch für Ihre eigenen Unterlagen.

Was tun, wenn Sie betroffen sind:
Im Falle einer fehlerhaften Überweisung, veranlassen Sie bei Ihrer kontoführenden Filiale einen sofortigen Überweisungsrückruf mit Avis bei der Empfängerbank. Einmal gutgeschriebene Beträge sind in der Regel nur sehr schwer zu retournieren. Bringen Sie den Fall bei der Polizei zur Anzeige.

Betrug mit Fernwartungssoftware

Wie erfolgt der Betrug:

Der Betrug mit Fernwartungssoftware (Remote Access Tool) ist effektiv und sehr gefährlich. Internetbetrüger geben sich am Telefon z. B. als IT-Techniker von Microsoft aus. Die Betrüger verunsichern die Opfer mit einer vermeintlichen Virusinfektion und drängen darauf, eine Fernwartungssoftware – natürlich gegen Bezahlung – zu installieren und den Virus zu entfernen.

Oder ein vermeintlicher Mitarbeiter der Commerzbank ruft unter dem Vorwand an, technische Unterstützung bei einem notwendigen Update leisten zu müssen. Das angekündigte Software-Paket installiert tatsächlich ein Remote Access Tool. Während der Installation wird der Betroffene zur Ablenkung an verschiedene Rechner geschickt.

Wie können Sie sich in diesem Fall schützen:

  • Geben Sie Unbekannten keinen Zugriff auf Ihren PC und installieren Sie keine Fernwartungssoftware.
  • Vorsicht bei kostenpflichtigen Diensten am Telefon!
  • Verraten Sie Unbekannten keine vertraulichen Finanzinformationen.
  • Aktualisieren Sie Ihre Virenschutzsoftware regelmäßig, möglichst in Verbindung mit der Firewall. Und installieren Sie immer alle Sicherheitsupdates für Ihren Virenscanner.

Social Engineering der Mitarbeiter mittels sozialer Netzwerke

Wie erfolgt der Betrug:

Unter dem Begriff „Social Engineering“ wird die Vorgehensweise verstanden, bei der Betrüger die Nutzer sozialer Medien durch psychologische Tricks gezielt manipulieren. Ziel ist es, den Mitarbeitern vertrauliche Informationen zu entlocken.

Mitarbeiter nutzen nicht nur privat, sondern auch beruflich soziale Netzwerke mit Profilen für vertraute Geschäftspartner, Kollegen, aber auch für Consultants und Headhunter. Betrüger senden Kontaktanfragen. Durch die Verlinkung der Profile per Kontaktbestätigung werden die eigenen Daten und die vernetzter Personen bekannt gegeben. Vermeintliche Headhunter können so Namen, berufliche Positionen Dritter und ihre Geschäftsbeziehungen sehr leicht ausspionieren. Handynummern und E-Mail-Accounts (privat und geschäftlich) können missbräuchlich zwecks Kontaktaufnahme verwendet werden. Sie können so mit einer vorgegebenen Identität kontaktiert werden, die Sie vielleicht aus dem beruflichen Netzwerk kennen. Für Sie ist nicht nachvollziehbar, dass sich hinter den vielen Profilen Täter verbergen könnten.

Wie können Sie sich in diesem Fall schützen:

  • Erhalten Sie eine Kontaktanfrage, prüfen Sie sorgfältig, ob Sie die Person kennen bzw. wer sie empfohlen hat.
  • Stellen Sie Ihren Social-Media-Account so ein, dass berufliche Kontakte nicht für jedermann sichtbar sind.
  • Prüfen Sie Profile von Kontaktanfragen vorab auf qualifizierte Inhalte und Unstimmigkeiten.
  • Werden Sie von Headhuntern kontaktiert, überprüfen Sie, ob das dahinterstehende Unternehmen tatsächlich existiert.

Was tun, wenn Sie betroffen sind:

Öffnen Sie das Social-Media-Profil (z. B. bei Xing oder LindedIn), welches Ihnen verdächtig erscheint. Klicken Sie anschließend rechts oben auf „Mehr“ und dann auf „Profil melden“.

Phishing

Wie erfolgt der Betrug:

Dabei erhalten Nutzer eine E-Mail, die vermeintlich von ihrer Bank stammt. Darin werden sie unter einem Vorwand aufgefordert, sich über einen in der Mail bereitgestellten Link auf der Online Banking-Site anzumelden.

Dieser Link führt jedoch auf eine gefälschte Website, die der echten zum Verwechseln ähnlichsieht. Die Nutzer werden gebeten, ihre Anmelde- und Autorisierungsdaten einzugeben. Diese Eingaben werden anschließend von den Tätern zu illegalen Zwecken missbraucht.

Wie können Sie sich in diesem Fall schützen:

  • Zunächst können Sie mit Sicherheit davon ausgehen, dass die Commerzbank Sie niemals per E-Mail auffordern würde, sich zur Aktualisierung Ihrer persönlichen Daten oder zu sonstigen Zwecken online anzumelden.
  • Schon aus diesem Grund können Sie solche Nachrichten getrost ignorieren. Verwenden Sie niemals die Links in derartigen E-Mails. Setzen Sie sich im Zweifelsfall mit unserem Kundendienst in Verbindung.

Ferner empfehlen wir für die Anmeldung die folgende Vorgehensweise:

  • Tippen Sie die Adresse manuell in die betreffende Zeile der Browser-Software ein, oder verwenden Sie ein zuvor im „Favoriten“-Menü gespeichertes „Lesezeichen“.
  • Verwenden Sie keine in E-Mails zugeschickten Links, selbst dann nicht, wenn die Nachricht vorgeblich von einem vertrauenswürdigen Absender stammt.
  • Füllen Sie keine elektronischen Formulare in E-Mails aus, die eine Aufforderung enthalten, Anmeldedaten bekannt zu geben.
  • Verwenden Sie einen aktuellen Browser. Besorgen Sie sich regelmäßig Sicherheitsupdates vom Hersteller des Computerbetriebssystems – für Windows z. B. auf https://windowsupdate.microsoft.com.

Was tun, wenn Sie betroffen sind:

Wenn Sie vermuten, Opfer einer „Phishing“-Nachricht geworden zu sein und Betrüger an Ihre Kenndaten herangekommen sind, unternehmen Sie bitte Folgendes:

  • Für den Fall, dass Sie Ihre Anmeldedaten preisgegeben haben, deaktivieren Sie unverzüglich den Zugang im Menü Onlinebanking/Verwaltung und setzen Sie sich mit uns Verbindung.

Erpressungstrojaner (Ransomware)

Wie erfolgt der Betrug:

Der Trojaner (abgeleitet von dem Begriff „Trojanisches Pferd“) tarnt sich als nützliches Programm, führt aber im Hintergrund schädliche Programme aus, die sogenannte Malware. Praxisbeispiel: Ein renommiertes Unternehmen versendet angebliche Rechnungs-E-Mails an die potenziell Geschädigten. In dieser E-Mail wird typischerweise ein Angstszenario aufgebaut. Über einen Link im Anhang soll der Leser angeblich Details über den Grund der hohen Rechnung finden. Damit soll der Empfänger dazu verleitet werden, den Link anzuklicken oder den Anhang zu öffnen. Sobald er dies tut, wird die Schadsoftware auf dem Rechner installiert, breitet sich im Firmennetzwerk aus und führt letztendlich zu Datendiebstahl oder Verschlüsselung, um ein hohes Lösegeld für die Entschlüsselung zu erpressen.

Wie können Sie sich in diesem Fall schützen:

  • Lassen Sie sich nicht überrumpeln und öffnen Sie keine Anhänge oder Links in E-Mails von zweifelhafter Herkunft.
  • Seien Sie vorsichtig mit Add-ins/Plug-ins unbekannter Hersteller.
  • Aktualisieren Sie Ihre Software und Betriebssysteme regelmäßig.
  • Stellen Sie Ihre Betriebssysteme so ein, dass Ihre E-Mails immer geprüft werden.
  • Scannen Sie regelmäßig alle Laufwerke Ihres Rechners auf Schadsoftware.
  • Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht.
  • Benutzen Sie eine Virenschutzsoftware und halten Sie diese aktuell. Stellen Sie sie so ein, dass Ihre E-Mails immer geprüft werden.

Wie Sie sich selbst schützen

Was Sie selbst für Ihre Sicherheit im Internet tun können und sollten.

Halten Sie PIN und photoTAN-Grafik geheim

Jede Person, die Ihre Benutzerkennung und Ihren PIN-Code kennt, kann sich unter Ihrem Namen anmelden. Verfügt diese Person auch noch über Ihre photoTAN-Grafik, hat sie die Möglichkeit, Ihr Konto oder Ihre Portfolios zu belasten. Beachten Sie deshalb bitte ein paar einfache Regeln:

  • Geben Sie den PIN-Code für Ihre Online-Anwendungen niemandem preis. Kein Mitarbeiter der Commerzbank wird Sie jemals nach Ihrem PIN-Code fragen oder Sie auffordern, diese Nummer oder sonstige persönliche Daten wie Name, Adresse und Kontonummer per E-Mail mitzuteilen. Fotografieren Sie Ihre photoTAN-Grafik nicht bzw. geben Sie diese an niemanden weiter.
  • In jüngster Vergangenheit ist eine große Anzahl von Betrugsfällen aufgetreten, bei denen vertrauenswürdige Unternehmen als vermeintliche Absender von E-Mails erscheinen und die Empfänger aufgefordert werden, einen in der Mail angegebenen Link zu einer speziellen Website anzuklicken und sich dort anzumelden. Im Allgemeinen erscheinen diese E-Mails höchst plausibel, und die betreffenden Websites sehen den echten zum Verwechseln ähnlich. Damit erschleichen sich Betrüger Ihre Zugangsdaten („Phishing“ oder „Passwort-Fishing“ genannt). Klicken Sie daher niemals auf Links in E-Mails, die angeblich direkt zu Anmeldeseiten der Commerzbank führen. Melden Sie sich immer über die Startseite der Commerzbank an oder geben Sie die Website-Adresse manuell ein.
  • Ändern Sie Ihren PIN-Code in regelmäßigen Abständen.
  • Speichern Sie weder Ihren PIN-Code noch Ihre photoTAN-Grafik auf dem Computer (auch nicht in einer Finanz- oder Buchhaltungssoftware) oder auf Ihrem Smartphone.
  • Sollten Sie Grund zur Annahme haben, dass Ihre Zugangsdaten nicht mehr vertraulich sind, deaktivieren Sie bitte unverzüglich Ihren Zugang und informieren Sie Ihre Commerzbank-Filiale oder den Kundendienst.
  • Wenn Sie beabsichtigen, die Commerzbank-Anwendungen über einen bestimmten Zeitraum nicht zu beanspruchen, können Sie als zusätzliche Schutzmaßnahme vor unbefugter Nutzung den Online-Zugang deaktivieren lassen.

Kontrollieren Sie die Internet-Adresse

Kontrollieren Sie beim Starten Ihrer Online-Anwendung immer, ob Sie mit der richtigen Internet-Adresse verbunden sind.

Die Adresse muss mit dem Protokoll https – und nicht http – beginnen, und in der Statusleiste unten am Browser erscheint das verschlossene „Schloss-Symbol“. Geben Sie vertrauliche Daten (insbesondere Ihren PIN-Code und das Passwort) niemals ein, ohne zuvor die Adresse und das Protokoll zu kontrollieren!

Kontrollieren Sie das Zertifikat

Um sicherzugehen, dass Sie tatsächlich mit einem Server der Commerzbank verbunden sind, haben Sie die Möglichkeit, das Serverzertifikat zu überprüfen. Klicken Sie dazu doppelt auf das „Schloss-Symbol“ in der Browser-Statusleiste.

Achten Sie ganz besonders auf die folgenden Sicherheitskriterien:

  • Die im Browser angezeigte Internet-Adresse der Anwendung muss mit der im Zertifikat genannten übereinstimmen.
  • Das Server-Zertifikat darf nicht abgelaufen sein.
  • Das Zertifikat muss für die Commerzbank AG ausgestellt sein. Es ist von einer unabhängigen Zertifizierungsstelle signiert.
  • Falls eines oder mehrere dieser Kriterien nicht zutreffen, schließen Sie die Anwendung bitte unverzüglich und melden Sie den Fehler beim Kundendienst.

Immer abmelden

Machen Sie es sich zur Angewohnheit, sich am Ende Ihrer Sitzung abzumelden. Durch Anklicken der entsprechenden Schaltfläche wird das Browser-Fenster geschlossen.

Browser-Einstellungen

Verwenden Sie stets die neueste Version der Browser-Software. Die Verwendung einer laufend aktualisierten Software gewährleistet zumeist verbesserte Sicherheitsmechanismen. Schließen Sie nach dem Abmelden den Browser vollständig. Wenn Sie in einer fremden Umgebung arbeiten, sollten Sie zur Sicherheit nach der Nutzung der Online-Anwendungen den Browser-Cache vollständig leeren. Folgen Sie dazu der Anleitung in der Browser-Software.

Schutz vor Viren und Trojanischen Pferden

Sämtliche Daten auf Ihrem Computer sind der Gefahrder Verschlüsselung, Zerstörung, Diebstahl etc. durch Viren und Trojanern (Schadsoftware) ausgesetzt. Infizierung Ihres Gerätes durch diese Programme Schadsoftware erfolgt in den meisten Fällen durch E-Mails mit Dateianhängen, oder bei Datei-Downloads oder bei Klicks auf maliziöse Websites.

  • Installieren Sie nur Programme, deren Herkunft Sie vertrauen. Installieren Sie keine Programme, die Ihnen unaufgefordert zugeschickt werden.
  • Halten Sie sich über die Verfügbarkeit von Sicherheits-Updates für Ihr Betriebssystem und Ihre Browser-Software auf dem Laufenden.
  • Nutzen Sie das Internet nur auf einem Benutzerkonto, das nicht mit Administratorrechten ausgestattet ist. Erklärungen zur Einrichtung eines solchen Kontos finden Sie in den Informationsunterlagen zu Ihrem Betriebssystem.
  • Installieren Sie eine Virenschutzsoftware (Virenscanner) und stellen Sie die notwendigen Updates sicher.
  • Eine persönliche Firewall bietet zusätzlichen Schutz.

Zugang aus fremden Umgebungen

Bei Nutzung der Online-Anwendungen der Commerzbank in Umgebungen, in denen Ihre Privatsphäre nicht 100%-ig geschützt ist, gilt es, ein paar zusätzliche Grundregeln einzuhalten:

  • Lassen Sie den Computer während einer laufenden Online-Sitzung niemals unbeaufsichtigt. Müssen Sie den PC verlassen, schließen Sie die Anwendung oder aktivieren Sie einen passwortgeschützten Bildschirmschoner.
  • Stellen Sie vor der Eingabe von Anmeldedaten sicher, dass die Tastatureingabe nicht aufgezeichnet oder von anderen Personen in irgendeiner Weise mitgelesen wird.