Sicherheit beim Sparkassen Broker ist eine unverzichtbare Voraussetzung für die Abwicklung aller Geschäftsvorfälle. Das mehrstufige Sicherheitssystem gewährleistet daher besten Schutz Ihres Online-Depots und Ihrer Transaktionen.

Wichtige Hinweise, bevor Sie starten

Umgang mit PIN und TAN

Hinweise zum Thema "Phishing"

Sicherheit bei der Datenübertragung

So funktioniert die SSL-Verschlüsselung

Sicherheitsmaßnahmen beim Sparkassen Broker

Der korrekte Aufruf des Transaktionsbereichs

• Den Transaktionsbereich des Sparkassen Brokers erreichen Sie über unsere Homepage. Klicken Sie dort auf den Link "Zum Depot". Es öffnet sich ein Pop-up-Fenster, bei dem Sie aufgefordert werden, Ihre Kundennummer und Ihre PIN einzugeben. Alternativ können Sie unseren Transaktionsbereich auch direkt über die Adresse https://meindepot.sbroker.de aufrufen.
  
  
• Prüfen Sie vor der Anmeldung die angezeigte Adresse: Die Adresse des Sparkassen Broker-Transaktionsbereichs lautet: https://meindepot.sbroker.de. Die aufgerufene Adresse prüfen Sie anhand der URL-Zeile Ihres Browsers bzw. per Klick auf die rechte Maustaste - Link "Eigenschaften" bzw. "Seiten-Information".
  
  
• Zusätzlich sollten Sie überprüfen, ob die jeweiligen Sicherheitsmerkmale Ihres verwendeten Browsers eine verschlüsselte Verbindung zulassen. Sie erkennen dies an dem kleinen Symbol, das in der Regel durch ein verriegeltes Vorhängeschloss in der Fuß- oder Kopfzeile des Browsers angezeigt wird (siehe hierzu auch Unterpunkt "Sicherheit bei der Datenübertragung").
  
  
• Als letzten Punkt sollten Sie sicherstellen, dass das ausgestellte Sicherheitszertifikat auf die Adresse "meindepot.sbroker.de" und die S Broker AG & Co. KG ausgestellt ist. Die Zertifikatsinformationen können Sie sich anzeigen lassen, indem Sie mit einem Klick auf das beschriebene Symbol klicken.
  Zusätzlich sollten Sie den im Zertifikat angezeigten so genannten "Fingerabdruck (Fingerprint)" mit den hier abgebildeten vergleichen:

SHA1 Fingerprint=B3:1B:A8:53:0B:B8:C2:08:0D:75:AE:F1:39:65:A4:CA:24:FA:29:FF
MD5 Fingerprint=19:64:4D:6F:9C:43:4D:B1:2A:60:B1:D0:5C:0B:6E:D2

(Entscheidend sind nur die Buchstaben und Ziffern, nicht etwaige Trennzeichen, wie Doppelpunkte oder Leerzeichen.)

Sollte einer der vorstehenden Punkte nicht erfüllt sein, brechen Sie bitte die Verbindung ab und informieren Sie unverzüglich den Sparkassen Broker. Optimal wäre es, wenn Sie in diesen Fällen Screenshots (Bildschirmfotos) oder sonstige aussagekräftige Dokumentationen anfertigen und uns diese zur Verfügung stellen.

Nutzung des Transaktionsbereichs

Während Sie mit dem Transaktionsbereich arbeiten, sollten Sie es vermeiden, in einem parallelen Browserfenster Seiten aufzurufen, die keinen vertrauenswürdigen Inhalt aufweisen.

Wenn Sie keine weiteren Transaktionen vornehmen wollen, beenden Sie bitte Ihre Anmeldung immer über den Button "Abmelden", den Sie im Transaktionsbereich stets oben rechts finden. Auf diese Weise ist sichergestellt, dass Sie sich korrekt von den Systemen des Sparkassen Brokers abgemeldet haben. Zusätzlich wird jede Anmeldung im Transaktionsbereich automatisch nach 30 Minuten Inaktivität beendet.

Zugriff auf den Transaktionsbereich von fremden Rechnern aus

Möglicherweise kommt es vor, dass Sie den Transaktionsbereich auf einem fremden Rechner aufrufen möchten, der nicht oder nicht vollständig Ihrer Kontrolle unterliegt, z.B. im Internetcafé, am Arbeitsplatz, bei Freunden etc. Aus Sicherheitsgründen raten wir Ihnen hierbei zu großer Zurückhaltung und Sorgfalt, da Sie die installierte Software unter Umständen nicht kennen bzw. nicht einschätzen können.

In diesen Fällen sollten Sie einige Zusatzregeln beachten:

• Sollten Sie auch nur ansatzweise Zweifel an der Seriosität des PC-Eigentümers bzw. der Systembetreiber haben, raten wir von einer Eingabe Ihrer Zugangsdaten ab.
  
  
• Melden Sie sich nur dann im Transaktionsbereich an, wenn Sie den verwendeten Browser kennen und die oben beschriebenen Sicherheitsmerkmale nachprüfbar und vorhanden sind.
  
  
• Verlassen Sie während einer laufenden Anmeldung nicht Ihren Platz, so dass unter keinen Umständen Unbekannte Zugriff auf Ihr Depot bekommen könnten.
  
  
• Beenden Sie Ihre Anmeldung zwingend über den Menüpunkt "Abmelden" und löschen Sie anschließend den Browser-Cache. Nach erfolgter Löschung sollten Sie den Browser komplett schließen.

Zur Abwicklung Ihrer Online-Transaktionen bekommen Sie eine Kundennummer, ein persönliches Passwort (PIN) sowie eine Liste von Transaktionsnummern (TANs). Der Sparkassen Broker verwendet hierbei aus Sicherheitsgründen das so genannte indizierte TAN-Verfahren, d.h. die TAN-Nummer ist nicht frei wählbar, sondern Sie werden vom System aufge- fordert, eine bestimmte TAN einzugeben. Um Ihr Depot einsehen zu können, werden bei Anmeldung im Transaktions- bereich Ihre Kundennummer und Ihre PIN abgefragt. Die TANs dienen dazu, ausgeführte Transaktionen (z.B. Wertpapier- käufe etc.) zu bestätigen. Jede TAN ist nur einmal gültig, PIN und TANs sollten auch nur Ihnen bekannt sein. Auf diese Weise ist gewährleistet, dass nur Sie Zugriff auf Ihr Depot haben.

Sicherheitshinweise:

• Bei Ihrem ersten Online-Zugriff auf Ihr Depot sollten Sie zunächst die Ihnen postalisch zugesandte vorläufige PIN in eine nur Ihnen bekannte PIN ändern. Die PIN besteht kann beim Sparkassen Broker aus 5-10 frei wählbaren numerischen Zeichen bestehen.
  
  
• Das Menü im Depot führt Sie ganz einfach durch die notwendigen Schritte. Bei weiteren Fragen schauen Sie einfach unter dem Punkt "Depot benutzen" in dieser Hauptrubrik nach.
• Zusätzliche Sicherheit: Bei dreimaliger Falscheingabe der PIN bzw. der TAN wird Ihr Depot automatisch gesperrt.
  
  
• Sie haben Ihre PIN oder Ihre TANs verloren? Für die Entsperrung setzen Sie sich bitte mit uns telefonisch unter der Rufnummer 01803 - 208090 in Verbindung.
  
  
• Sie können Ihr Depot auch selbst sperren, um möglichen fremden Zugriff auszuschließen. Die entsprechende Funktion finden Sie online im Depot unter dem Punkt "Sicherheit & Service - Depot sperren".

Hinweis: Aus Sicherheitsgründen sollten Sie Ihre PIN in regelmäßigen Abständen ändern. Sie können dies im Transaktionsbereich unter der Rubrik "Sicherheit & Service - PIN ändern" vornehmen. Zusätzlich werden Sie im Transaktionsbereich alle drei Monate automatisch erinnert, Ihre PIN zu ändern.

Das Wort "Phishing" ist eine Kombination der englischen Begriffe "Password" und "Fishing". Hierbei handelt es sich um betrügerische Versuche, via E-Mail und gefälschter Internetseiten die Zugangsdaten von Online-Nutzern zu bekommen.

Um an diese Daten zu gelangen, werden Ihnen E-Mails geschickt, die so aussehen, als würden Sie von Ihrer Bank oder Sparkasse stammen. In diesen E-Mails werden Sie dann gebeten, einen Link anzuklicken, der angeblich zur Internetseite des Instituts führt, in der Regel mit dem Hinweis, dass Sie Ihre Zugangsdaten zum Konto bzw. Depot prüfen oder aktualisieren sollen. In Wirklichkeit öffnet sich jedoch eine der Originalseite täuschend ähnliche Internetseite, die die Versender der E-Mail eingerichtet haben. Meistens werden Sie auf diesen Seiten neben der Kundennummer und PIN auch nach einer oder mehrerer TANs gefragt.

Der Sparkassen Broker wird von Ihnen niemals vertrauliche Daten wie Ihre Kontonummer, PIN oder TAN per E-Mail abfragen oder um Rücksendung dieser Daten via E-Mail bitten. Der Sparkassen Broker wird Ihnen außerdem keine E-Mails schicken, die einen direkten Link zu unserem Transaktionsbereich enthalten! Sollten Sie derartige E-Mails oder Anrufe erhalten, reagieren Sie auf derartige E-Mails nicht bzw. verweigern Sie am Telefon stets die Auskunft und wenden Sie sich umgehend direkt an den Sparkassen Broker. Aktuelle Informationen über im Umlauf befindliche Phishing-Mails und weitere Informationen zum Thema Phishing, Viren, Trojaner, etc. finden Sie auch unter Antiphishing.org (englisch), Heise Security (deutsch), bei der Arbeitsgruppe Identitätsschutz im Internet (deutsch) oder beim Bürger-CERT (deutsch).

Bei der Kommunikation zwischen Ihnen und den Banksystemen des Sparkassen Brokers werden alle Daten verschlüsselt. Dies wird durch ein komplexes Verfahren sichergestellt, das auf symmetrischen (IDEA mit Schlüssellänge 128 Bit) und asymmetrischen Verschlüsselungsprinzipien (RSA 1024) beruht. Der verwendete Schlüssel ist nur Ihrem Rechner und den Bankrechnern des Sparkassen Brokers bekannt. Für Unbefugte sind die verschlüsselten Nachrichten lediglich eine bedeutungslose, scheinbar zufällige Folge von Zeichen. Bis heute sind keine Möglichkeiten zur analytischen Entschlüsselung des IDEA-Standards bekannt.

Da aufgrund der Verschlüsselung niemand außer Ihnen und den Bankrechnern des Sparkassen Brokers die Daten entschlüsseln kann, kann auch niemand diese Nachrichten gezielt verändern. Wahllose, "blinde" Änderungen einer Nachricht werden durch Verwendung des Secure-Socket-Layer-Protokolls (SSL) im Sparkassen Broker-Banksystem ausgeschlossen. SSL garantiert die Integrität von Nachrichten durch eine Prüfsumme, den so genannten Message Authentication Code (MAC), die zusammen mit der Nachricht übertragen wird. Veränderte Nachrichten werden an einem fehlerhaften MAC erkannt und zurückgewiesen.

Sie erkennen die verschlüsselte Übertragung Ihrer Daten daran, dass in der Fußzeile Ihres Browsers ein "geschlossenes Vorhängeschloss" angezeigt wird.

Hinweis:

Bitte beachten Sie, dass wir einen Zugriff auf unseren Transaktionsbereich aus Sicherheitsgründen nur mit Browsern empfehlen, die eine 256-Bit-TLS/SSL-Verschlüsselung unterstützen, z.B. Internet Explorer ab Version 7.x, Netscape ab Version 8.x, Mozilla ab Version 3.x. Sollten Sie einen anderen Browser verwenden, so informieren Sie sich bitte beim Hersteller, ob dieses Sicherheitsmerkmal unterstützt wird. Weitere Informationen finden Sie auch im Bereich Hilfe - Fragen & Antworten.Sollten Sie einen anderen Browser verwenden, so informieren Sie sich bitte beim Hersteller, ob dieses Sicherheitsmerkmal unterstützt wird. Weitere Informationen finden Sie auch im Bereich Hilfe - Fragen & Antworten.

Die Kommunikation zwischen Ihrem Rechner (Client) und dem Sparkassen Broker-Banksystem (Server) basiert auf dem Secure-Socket-Layer-Protokoll (SSL).

Eine solche sichere Verbindung wird folgendermaßen hergestellt:

• Der Client teilt dem Server mit, dass er eine Verbindung aufbauen möchte.
  
  
• Der Server schickt dem Client seinen öffentlichen Schlüssel. Dieser Schlüssel wird im Folgenden zur Übertragung des Session Keys verwendet. Damit der Client sicher sein kann, dass der öffentliche Schlüssel tatsächlich vom Bankserver des Sparkassen Brokers stammt, schickt der Server den Schlüssel in Form eines Zertifikats. Das Zertifikat wurde von einer vertrauenswürdigen, unabhängigen Institution, einer Zertifizierungsstelle, ausgestellt (der Sparkassen Broker verwendet Zertifikate der Firma VeriSign nach ISO-X.509-Standard). Es enthält neben dem öffentlichen Schlüssel des Servers Informationen, die den Bankserver des Sparkassen Brokers eindeutig identifizieren. Um die Echtheit und Integrität des Schlüssels zu garantieren, ist das Zertifikat mit dem privaten Schlüssel der Zertifizierungsstelle signiert.
  
  
• Der öffentliche Schlüssel von VeriSign ist standardmäßig im Browser des Clients eingebaut. Der Browser verwendet diesen Schlüssel, um die Signatur des Zertifikats zu überprüfen. Gelingt diese Überprüfung, so ist die Echtheit des Zertifikats erwiesen.

Dabei arbeitet SSL auf zwei Arten: Mit symmetrischer und asymmetrischer Verschlüsselung.

Symmetrische Verschlüsselung: Sender und Empfänger besitzen den gleichen Schlüssel. Nachrichten werden mit demselben Schlüssel ver- und wieder entschlüsselt. Der Schlüssel darf nur dem Sender und dem Empfänger bekannt sein und muss daher über einen sicheren Kanal ausgetauscht werden.

Asymmetrische Verschlüsselung: Hierbei wird ein Schlüsselpaar verwendet, das aus einem öffentlichen und einem privaten Schlüssel besteht. Eine Nachricht, die mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem jeweils anderen Schlüssel entschlüsselt werden. Asymmetrische Verschlüsselung besitzt den Vorteil, dass einer der Schlüssel nicht geheim gehalten werden muss. SSL verwendet asymmetrische Verschlüsselung nach dem RSA-Verfahren. RSA steht für die Erfinder des Verfahrens, Rivest, Shamir und Adleman.

Die asymmetrische Verschlüsselung ist jedoch - im Vergleich zum symmetrischen Verfahren - deutlich langsamer. Sie wird deshalb nur zum sicheren Austausch eines symmetrischen Schlüssels, des Session Keys, verwendet. Alle Kunden- und Transaktionsdaten werden dann mithilfe des Session Keys verschlüsselt.

Das Banksystem des Sparkassen Brokers ist durch eine "Firewall" vom allgemein zugänglichen Internet getrennt. Die Firewall wirkt wie ein Filter: Sie erlaubt nur denjenigen Daten den Zugang, die für das Sparkassen Broker-Depot bestimmt sind. Alle anderen Daten werden abgefangen. Ein direkter unbefugter Zugriff auf die Bankrechner des Sparkassen Brokers aus dem Internet wird dadurch wirkungsvoll verhindert.

Wenn Sie eine Verbindung zum Depot herstellen, identifiziert sich das Sparkassen Broker-Depotsystem automatisch mithilfe eines Sicherheits-Zertifikats. Dieses Zertifikat wurde von einer unabhängigen, vertrauenswürdigen Organisation, der Zertifizierungsstelle (in unserem Fall VeriSign), ausgestellt und enthält unter anderem die Internet-Adresse des Sparkassen Broker-Depotanschlusses, mit dem Sie verbunden sind. Das Zertifikat wird von Ihrem Computer überprüft, bevor er Daten an das Banksystem des Sparkassen Brokers schickt. Dies garantiert Ihnen, dass Sie tatsächlich mit dem Sparkassen Broker verbunden sind.