Startseite Navigation Inhalt Kontakt Sitemap Suche
HomeAn-/AbmeldenZertifikatsprüfung

Zer­ti­fi­kats­prü­fung

Digi­tale Zer­ti­fi­kate werden genutzt, um Ver­bin­dungen zu ver­schlüs­seln und dem Anwender Sicher­heit zu geben, mit der kor­rekten Web­seite ver­bunden zu sein. Da sie auch von betrü­ge­ri­schen Web­seiten ver­wendet werden, gilt es ihre Echt­heit ins­be­son­dere beim E-Ban­king zu überprüfen.

Schützen Sie sich, indem Sie…

  • im Browser die Adresse des Finanz­in­sti­tuts immer von Hand eintippen.
  • auf­tre­tenden Warn­hin­weisen und Feh­ler­mel­dungen beim Aufbau von Ver­bin­dungen die nötige Beach­tung schenken und den Ver­bin­dungs­aufbau allen­falls abbrechen.
  • darauf achten, dass die Adress­zeile (URL) mit einem Schloss-Symbol gekenn­zeichnet ist.
  • kon­trol­lieren, ob das Zer­ti­fikat explizit auf den Namen des Finanz­in­sti­tuts aus­ge­stellt wurde (wird ent­weder neben dem Schloss oder nach einem Klick auf das Schloss unter «Aus­ge­stellt für:» angezeigt).
  • veri­fi­zieren, dass die Adresse den kor­rekten Domänen-Name des Finanz­in­sti­tuts beinhaltet.
  • Ihre per­sön­li­chen Zugangs­daten erst nach erfolg­rei­cher Zer­ti­fi­kats­prü­fung eingeben.

Schutz und Gefahr durch Zertifikate

Jeder Browser über­prüft SSL-Zer­ti­fi­kate beim Ver­bin­dungs­aufbau auto­ma­tisch auf Echt­heit und Gül­tig­keit und zeigt die Ziel-Web­seite nur bei erfolg­rei­cher Über­prü­fung kor­rekt und ohne Feh­ler­mel­dung an.

Da jedoch immer häu­figer auch gefälschte Web­seiten von Finanz­in­sti­tuten zu Phis­hing-Zwe­cken mit einem gül­tigen SSL-Zer­ti­fikat aus­ge­stattet werden, reicht die allei­nige Zer­ti­fi­kats­prü­fung durch den Browser nicht aus, um mit Sicher­heit auf der kor­rekten Web­seite zu sein.

Tippen Sie daher die Adresse des Finanz­in­sti­tuts immer von Hand ein und über­prüfen Sie vor jeder E-Ban­king-Sit­zung das Zertifikat!

Zer­ti­fi­kats­prü­fung im Browser

Grund­sätz­lich dürfen im Browser beim Wechsel zu einer geschützten Ver­bin­dung keine Feh­ler­mel­dungen auf­treten. Andern­falls stimmt mit dem Zer­ti­fikat oder der Ver­bin­dung etwas nicht und die Ver­bin­dung sollte unver­züg­lich beendet werden.

Setzen Sie des­halb den Ver­bin­dungs­aufbau bei Auf­treten von Warn­hin­weisen oder Feh­ler­mel­dungen nie­mals manuell fort!

Eine kor­rekt auf­ge­baute SSL-Ver­bin­dung – also eine sichere Ver­bin­dung – zur rich­tigen Web­seite, die auf einem echten und gül­tigen Zer­ti­fikat basiert, erkennen Sie anhand der fol­genden drei ein­deu­tigen Browser-Merk­male:

  1. Schloss-Symbol in der Adresszeile
    Die Ver­bin­dung wurde mit gül­tigem SSL-Zer­ti­fikat verschlüsselt.
  2. Rich­tiger Name des Finanz­in­sti­tuts (wird ent­weder neben dem Schloss oder nach einem Klick auf das Schloss unter «Aus­ge­stellt für:» angezeigt)
    Die Iden­tität des Zer­ti­fi­kats­be­sit­zers (Bank) wurde bestätigt.
  3. Kor­rekter Domänen-Name in der Adresse
    Sie befinden sich wirk­lich auf der Seite des Finanzinstituts.

Google Chrome:

Micro­soft Edge:

Mozilla Firefox:

Apple Safari:

Die kon­krete Dar­stel­lung dieser Merk­male unter­scheidet sich von Browser zu Browser gering­fügig und kann unter Anlei­tungen für die ver­brei­teten Browser nach­ge­lesen werden.

Zer­ti­fi­kats­prü­fung mit­tels Fingerabdruck

Die Echt­heit eines Zer­ti­fi­kats lässt sich etwas auf­wen­diger, dafür umso sicherer auch manuell über­prüfen. Der vom Browser ange­zeigte «Fin­ger­ab­druck» (Fin­ger­print) muss dabei mit dem vom Finanz­in­stitut publi­zierten Fin­ger­ab­druck übereinstimmen.

Beenden Sie bei nicht veri­fi­zier­baren Fin­ger­a­b­rü­cken die Ver­bin­dung sofort!

Auf der «eBanking – aber sicher!» Web­site finden Sie die Fin­ger­ab­drücke der E-Ban­king Login-Seiten unserer Partner-Banken sowie detail­lierte Anlei­tungen, wie Sie den Fin­ger­ab­druck mit­hilfe ver­schie­dener Browser über­prüfen können.

Beim E-Ban­king werden digi­tale Zer­ti­fi­kate ver­wendet, um die Echt­heit des ange­spro­chenen Web­ser­vers zu garan­tieren, und um die Kom­mu­ni­ka­ti­ons­ver­bin­dung zum Server zu ver­schlüs­seln. Dabei kommt das TLS/SSL-Pro­to­koll zur Anwen­dung. Man spricht daher auch kurz von SSL-Zer­ti­fi­katen und SSL-Ver­bin­dungen.

In wenigen Schritten können Sie über­prüfen, ob die Ver­bin­dung wie vor­ge­geben geschützt ist.

Wei­ter­füh­rende Infor­ma­tionen für Interessierte

Funk­ti­ons­weise einer SSL-Verbindung

Wenn zu einem Web­server eine sichere Ver­bin­dung auf­ge­baut wird, kommt meist das TLS/SSL-Pro­to­koll zum Ein­satz. Es han­delt sich dabei um eine Kom­mu­ni­ka­ti­ons­tech­no­logie, welche zu über­tra­gende Infor­ma­tionen abhör­si­cher ver­schlüs­selt und gleich­zeitig die Authen­ti­zität, also Echt­heit des Web­ser­vers, zu dem eine Ver­bin­dung her­ge­stellt wird, garantiert.

Basis für den imple­men­tierten Schutz ist ein so genanntes digi­tales Zer­ti­fikat, das von einer ver­trau­ens­wür­digen Instanz – auch Zer­ti­fi­zie­rungs­stelle genannt – für einen Web­server aus­ge­stellt wird.

Da die Abhör­si­cher­heit und die Echt­heit des Web­ser­vers nur garan­tiert sind, wenn das der SSL-Ver­bin­dung zugrun­de­lie­gende Zer­ti­fikat echt und gültig ist, kommt der Zer­ti­fi­kats­prü­fung eine zen­trale Rolle zu.

Zer­ti­fi­kats­prü­fung mit Browser-Unterstützung

Ein Browser veri­fi­ziert beim Aufbau einer SSL-Ver­bin­dung die fol­genden Zertifikatseigenschaften:

  • Ver­trau­ens­wür­dig­keit des Aus­stel­lers des Zer­ti­fi­kats: Das Zer­ti­fikat wurde von einer ver­trau­ens­wür­digen Zer­ti­fi­zie­rungs­stelle aus­ge­stellt (d.h. von dieser gültig digital signiert). Durch diese Über­prü­fung wird dem Zer­ti­fikat Echt­heit attestiert.
  • Gül­tig­keit des Zer­ti­fi­kats: Das Zer­ti­fikat ist nicht abge­laufen oder von der Zer­ti­fi­zie­rungs­stelle vor Ablauf der Gül­tig­keits­dauer für ungültig erklärt (revo­ziert) worden.
  • Adresse des Web­ser­vers: Die im Zer­ti­fikat ein­ge­tra­gene Adresse des Web­ser­vers stimmt mit der tat­säch­lich im Adress­feld des Brow­sers ver­wen­deten Adresse überein.

Nur wenn diese drei Über­prü­fungen erfolg­reich durch­ge­führt werden konnten, zeigt der Browser beim Aufbau der SSL-Ver­bin­dung keine Feh­ler­mel­dungen an.

Die Veri­fi­ka­tion der obigen Zer­ti­fi­kat­s­ei­gen­schaften durch den Browser bietet ein hohes Mass an Sicher­heit, kann aber in keinem Fall Zer­ti­fi­kate iden­ti­fi­zieren, welche eine Zer­ti­fi­zie­rungs­stelle nach man­gel­hafter Antrag­stel­ler­prü­fung für einen Betrüger aus­ge­stellt hat. Einige wenige Betrugs­fälle dieser Art sind bekannt geworden.

Da ein Betrüger für sein Zer­ti­fikat mit sehr hoher Wahr­schein­lich­keit eine Adresse wählt, welche sich von der­je­nigen des Angriffs­ziels (z. B. ein Finanz­in­stitut) unter­scheidet, lassen sich solche miss­bräuch­lich aus­ge­stellten Zer­ti­fi­kate durch eine Über­prü­fung der vom Browser ange­zeigten Adress­zeile identifizieren.

Dazu muss durch den Benutzer veri­fi­ziert werden, ob der so genannte Domä­nen­teil der Adresse zur kon­tak­tierten Orga­ni­sa­tion (z. B. ein Finanz­in­stitut) gehört. Heu­tige Browser heben diesen Teil der Adresse zur Ver­ein­fa­chung der Über­prü­fung gra­phisch (z.B. fett oder tief­schwarz) hervor.

Zer­ti­fi­kats­prü­fung durch Ver­gleich des Fingerabdrucks

Jeder Benutzer einer SSL-Ver­bin­dung kann die Echt­heit des der Ver­bin­dung zu Grunde lie­genden Zer­ti­fi­kats manuell über­prüfen. Dazu muss er den Fin­ger­ab­druck des Zer­ti­fi­kats verifizieren.

Der Fin­ger­ab­druck ist eine Zei­chen­folge bestehend aus den Buch­staben A-F (wobei nicht zwi­schen Gross- und Klein­buch­staben unter­schieden wird) und den Zif­fern 0-9.

Die Veri­fi­ka­tion des Fin­ger­ab­drucks erfolgt durch manu­ellen Ver­gleich dieser Zei­chen­folge mit einer Refe­renz­folge, die der Benutzer vom Finanz­in­stitut bekommen hat. Sind die aus dem Zer­ti­fikat her­aus­ge­le­sene Zei­chen­folge und die vom Finanz­in­stitut erhal­tene Zei­chen­folge iden­tisch, dann ist das Zer­ti­fikat garan­tiert echt.

Unter der Vor­aus­set­zung, dass die vom Finanz­in­stitut erhal­tene Zei­chen­folge echt ist, stellt die manu­elle Über­prü­fung des Fin­ger­ab­drucks damit die sicherste Art der Zer­ti­fi­kats­prü­fung dar.

Eine zusätz­liche Über­prü­fung der Adress­zeile, wie bei der Zer­ti­fi­kats­prü­fung mit Browser-Unter­stüt­zung beschrieben, erüb­rigt sich dabei.

Diese Beiträge könnten Sie auch interessieren:

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen