Inhalt

Maßnahmen zur sicheren Datenübertragung

Die Daten der Leistenden Stellen (=auszahlenden Stellen) werden über das Internet zur Transparenzdatenbank übertragen und eigene bezogene Leistungen können online abgefragt werden. Um eine missbräuchliche Verwendung auszuschließen, haben wir die fortschrittlichsten Sicherheitsmechanismen eingeführt, die dies wirksam verhindern sollen.

Der Zugang zum geschützten Bereich des Transparenzportals in dem personenbezogene Daten angezeigt werden ist nur nach sicherer Authentifikation möglich. Dafür bieten wir verschiedene Mechanismen an.

  • Authentifizierung mit Handy-Signatur und Bürgerkarte: Mit dem Mobiltelefon und dem Geheimwissen Ihres PINs wird eine sogenannte 2-Faktor-Authentisierung aus Wissen und Besitz eingesetzt, welche ein sehr hohes Sicherheitsniveau bietet.
    Um die Handy-Signatur nutzen zu können, benötigen Sie ein eigenes Mobiltelefon, welches aktiviert werden muss. Pro Mobiltelefonnummer kann nur eine Handy-Signatur ausgestellt werden. Die Aktivierung Ihres Mobiltelefons können Sie in FinanzOnline ohne weitere Voraussetzungen online durchführen. Umfassende, einfache und verständliche Informationen zu Handy-Signatur und Bürgerkarte finden Sie unter www.buergerkarte.at
  • Authentifizierung mit FinanzOnline Kennung: Wir setzen ein Verfahren auf Basis "Authentifizierung durch Wissen" ein. Für einen Systemzugang benötigen Sie eine Teilnehmer-Identifikation (TID), die Sie bei der Anmeldung erhalten. Jeder Teilnehmer-Identifikation wird eine (z.B. bei Privatperson) Benutzer-Identifikation (BENID) oder mehrere (z.B. bei Unternehmer) Benutzer-Identifikationen (BENID) untergeordnet. Jede Benutzerin, jeder Benutzer muss sich beim Systemeinstieg mit ihrer/seiner persönlichen Identifikationsnummer (PIN) "ausweisen".

    Damit Ihre PIN nicht durch einfaches Probieren herausgefunden werden kann, lassen wir nur drei Eingabeversuche zu. Bei der vierten Fehleingabe wird der Systemzugang gesperrt und Sie müssen ein "Rücksetzen auf Start-PIN (z.B. bei Privatperson) bzw. Start-Supervisor (z.B. bei Unternehmer)" beantragen. Diesbezügliche Informationen erhalten Sie im Kapitel "Informationen zur Anmeldung / Einstieg mit FinanzOnline Kennung".

Im Zusammenhang mit der Authentifizierung sind die folgenden Sicherheitsaspekte zu beachten:

  • Änderung der PIN: Der wirksamste Schutz vor Hackern wird durch regelmäßige Änderung der PIN gewährt. Wir empfehlen Ihnen daher eine regelmäßige Änderung Ihrer PIN vorzunehmen, da ein Hacker mit der "alten" PIN keinen Systemzugang erhält.

    Achten Sie in Ihrem eigenen Interesse darauf, dass Ihre PIN keiner unbefugten Person bekannt wird. Bei Verdacht ändern Sie bitte sofort Ihre PIN.

    Vermeiden Sie aus Sicherheitsgründen eine leicht zu knackende PIN, wie z.B. das eigene KFZ-Kennzeichen.

    Die "neue" PIN muss sich aus Sicherheitsgründen von den letzten drei vergebenen PIN unterscheiden.

  • TLS-Verschlüsselung: Die Abhör- und Manipulationssicherheit Ihrer Daten und Transaktionen hat bei uns allerhöchste Priorität. Für die Übertragung von Daten während einer Sitzung setzen wir daher als aktuelles Verschlüsselungssystem Transport Layer Security (TLS) ein. Dieses System garantiert Ihnen, dass die Daten verschlüsselt werden, die Identität des Internet-Servers zweifelsfrei bestätigt wird und die Daten vollständig und unverändert übertragen werden. Wir setzen gegenwärtig eine sehr hohe Verschlüsselungsstärke ein.
  • Funktionsweise der TLS-Verschlüsselung: Die Anzahl der verwendeten Bit gibt die Stärke (Schlüssellänge) eines Algorithmus an. Bei 168 Bit gibt es somit 2168 (rund 374 Oktillionen) mögliche Schlüssel. Dieser Schlüssel gilt nach heutigem Wissensstand als nicht knackbar. Sobald eine höhere Verschlüsselungsstärke am Markt zur Verfügung steht, werden wir diese Version für Ihre Sicherheit anbieten.
  • Erkennungsmerkmale für den Einsatz von TLS-Verschlüsselung: Beim Microsoft Internet Explorer weist vor dem Login in der Statusleiste (rechts unten) ein geschlossenes Schlosssymbol darauf hin, dass der Browser auf TLS-Verschlüsselung umgeschaltet hat. Ein weiteres Erkennungsmerkmal für die Verwendung des Verschlüsselungssystems ist bei der URL (Uniform Resource Locater) das "s" bei "https".
  • Serverzertifikat: Die sichere Identifikation (Verbindung mit dem richtigen Server) des Kommunikationspartners wird durch ein Zertifikat garantiert. Das Zertifikat darf nur von autorisierten Zertifizierungscentern ausgestellt werden. Diese Institutionen garantieren durch das Zertifikat, dass der Server bzw. dessen Inhaberin, dessen Inhaber die oder der ist, der sie/er vorgibt zu sein. Durch die Ausstellung entsteht ein Zertifizierungspfad mit mehreren Zertifikaten. In den Zertifikaten ist auch vermerkt, wo das Zertifikat im Pfad steht. Diese Information wird durch den Webbrowser geprüft und bei Widersprüchen erhalten Sie auf Ihrem Bildschirm eine Meldung angezeigt.
  • Überprüfung des Zertifizierungspfads: Beim Microsoft Internet Explorer ist vor dem Login in der Statusleiste (rechts unten) das geschlossene Schlosssymbol anzuklicken. Es öffnet sich automatisch ein Fenster und die Registerkarte 'Zertifizierungspfad' ist anzuklicken.
  • Aufbau einer sicheren Verbindung: Bevor eine Verbindung mit unserem Server hergestellt werden kann, erhalten Sie einen Sicherheitshinweis, dass eine sichere Verbindung aufgebaut wird. Sobald eine sichere Kommunikation gewährleistet ist, erscheint in der Statusleiste (rechts unten) des Browsers ein abgesperrtes Schlosssymbol (Microsoft Internet Explorer). Achtung: Wenn kein abgesperrtes bzw. kein markiertes abgesperrtes Schlosssymbol erscheint, werden Ihre Daten nicht verschlüsselt übertragen.
  • Timeout: Ein weiterer Schutzmechanismus bietet die automatische Abmeldung. Wenn wir bei Ihnen länger als 30 Minuten keine Online-Aktivitäten feststellen können, werden Sie aus Sicherheitsgründen automatisch vom System abgemeldet und Sie müssen wieder neu einsteigen.
  • Abbruch der Session: Wenn Sie sich anmelden, generiert der Server eine sogenannte Session. Diese Session kapselt alle Ihre Transaktionen in einen sicheren Rahmen. Dadurch wird gewährleistet, dass nur Sie Ihre Daten lesen können. Um hier die Sicherheit zu erhöhen, haben wir Mechanismen eingefügt, die die Kontinuität der Session kontrollieren. Diese Mechanismen haben wir bewusst sehr sensibel eingestellt und es kann daher dazu kommen, dass eine Störung der Sessionkontinuität festgestellt wird, obwohl keine Beanstandungen aufgetreten sind. Der Server unterbricht dann sofort den Vorgang oder bricht die gesamte Session ab. In einem solchen Fall ist keine Sicherheitsverletzung aufgetreten. Vielmehr wurde sichergestellt, dass es zu keiner Sicherheitsbeeinträchtigung kommen konnte.