Elektronischer Kontozugang

HANDBUCH

Autoren: Friedrich Levy Ing. Hubert Hofer

Version 3.5

Jänner 2013

Administrator-Handbuch

Seite 2

Inhalt

1 Benutzerverwaltung ...................................................................................... 3

1.1 Einstieg ............................................................................................................. 3 1.1.1 Einstieg mit Handy Signatur ................................................................................ 4 1.1.2 Einstieg mit A-Trust Zertifikat .............................................................................. 5 1.1.3 Einstieg mit RSA Token ...................................................................................... 8

1.2 Startseite ........................................................................................................... 9 1.3 Benutzer anlegen .............................................................................................. 9 1.4 Benutzer suchen ............................................................................................. 16

1.5 Benutzer bearbeiten ........................................................................................ 18 1.6 Benutzer Rollenmanagement .......................................................................... 21

1.7 Benutzer löschen............................................................................................. 24

2 Systemsicherheit ........................................................................................ 26

2.1 Überprüfung der sicheren Verbindung ............................................................ 26 2.1.1 Überprüfung der korrekten URL .........................................................................26 2.1.2 Überprüfung der Verschlüsselungsstärke ...........................................................27 2.1.3 Überprüfung des Zertifikats ................................................................................28

2.2 Hinweise zu Ihren Passwörtern ....................................................................... 30

3 Fragen und Antworten ................................................................................ 32

4 Abbildungsverzeichnis ............................................................................... 33

Seite 3

1 Benutzerverwaltung Die Verwaltung der User erfolgt dezentral in den Instituten. Jedes Institut nennt der OeNB mittels „Antrag und Anhang zu Onlineservices ZV“ max. 3 Administratoren. Diese Adminis-tratoren sind in ihrem Institut für die Verwaltung der User zuständig, wobei die Benut-zeradministration online über den Webbrowser erfolgt. Die Administratoren haben folgen-de Aufgaben:

Anlegen der Benutzer

Zuweisen von angelegten Benutzer1 zu einer Rolle (Test und/oder Produktion)

Löschen von Benutzer

1.1 Einstieg

Der Einstieg in die Benutzerverwaltung erfolgt über das Portal der OeNB unter der Adresse

https://www.myoenb.com – wobei es stets den speziellen Sicherheitsvorschriften Be-achtung zu schenken gilt.

Abbildung 1: Logn - Schirm für Portaleinstieg

Auf dieser Seite meldet sich der Administrator des Instituts mit jenem Benutzernamen und Passwort an, das ihm seitens der OeNB bekannt gegeben wurde.

1 Aus Gründen der Lesbarkeit des Textes wird ausschließlich die männliche Form verwen-

det. Die Aussagen gelten jedoch sowohl für Frauen als auch für Männer

Seite 4

Abbildung 2: Anwendungs - Bildschirm

Auf dieser Seite ist der Link „Internetdienste ZV Benutzerverwaltung“ anzuklicken, worauf-hin der Administrator zur Eingabe seines Usernamens sowie seines Passwortes aufgefordert wird.

1.1.1 Einstieg mit Handy Signatur

Verfügt der Benutzer über ein registriertes Handy, so kann er über dieses Handy die Applikation

öffnen. Um die Applikation mit einem registrierten Handy zu öffnen, sind keine zusätzliche

Software (a.sign Client) und auch keine zusätzliche Hardware (Kartenleser) notwendig.

Zuerst gibt der Benutzer die Nummer

seines registrierten Handys und sein Sig-

natur Passwort bekannt. Das Signatur

Passwort legt der Benutzer beim Regist-

rieren des Handys fest.

Nachdem der Benutzer seine Daten eingegeben hat und

den Button „Identifizieren“ betätigt/geklickt hat, erhält

er eine SMS worin ein Vergleichswert und ein TAN

enthalten sind.

Abbildung 3: Identifizierungs - Schirm für Handy Signatur

Abbildung 4: SMS für Anmeldung mit Han-

dy - Signatur

Seite 5

Im folgenden Bildschirm wird der Benutzer zur Eingabe des TANs aufgefordert.

Abbildung 5: Signierungs - Schirm für Anmeldung mit Handy - Signatur

Um die Korrektheit der Daten zu überprüfen stehen folgende Möglichkeiten zur Verfügung:

1. Der Vergleichswert: Sowohl in der SMS alsauch am Bildschirm ist ein Vergleichswert

angezeigt. Diese beiden Werte müssen übereinstimmen.

2. Durch einen Klick auf „Signaturdaten anzeigen“ erhält man einen Informationsschirm der

Daten über den Zertifikats-/Handybesitzer anzeigt

1.1.2 Einstieg mit A-Trust Zertifikat

1.1.2.1 Einstieg mit einem a-Sign Premium Zertifikat

Verfügt der Benutzer über ein chipkartenba-siertes a.sign premium Zertifikat und läuft die Software a-sign Client im Hintergrund (ideal-erweise ist die besagte Software im Autostart- Ordner von Windows eingerichtet), so öffnet sich zunächst ein Fenster, in dem der Benut-zer jenes Zertifikat auswählen kann, mit dem er sich bei der Applikation anmelden möchte. Sind mehrere Zertifikate auf dem PC instal-

liert, so ist jenes auszuwählen, das vom Admi-nistrator für den im Portal angemeldeten User in der Benutzerverwaltung für den elektroni-schen Kontozugang eingetragen wurde.

Nach einer kurzen Initialisierung des ange-schlossenen Kartenlesers überprüft das Sys-tem, ob jene Chipkarte, auf der das zuvor aus-gewählte Zertifikat abgespeichert ist, im Kar-

Abbildung 7: Auswahl des Zertifikats

Abbildung 6: Aufforderung die A-Trust Karte in

den Kartenleser zu stecken

Seite 6

tenleser steckt. Sollte dies nicht der Fall sein, so wird der Benutzer aufgefordert, die entsprechende a.sign premium Karte in den Chipkartenleser zu stecken. Nachdem die Karte in den Chipkartenle-ser gesteckt wurde, ist im Dialogfenster auf den OK-Button zu klicken So die entsprechende Chipkarte im Kartenleser steckt, wird ein Dialogfenster angezeigt, das den Benutzer zur Eingabe des Verschlüsselungs-PINs (= Geheimhaltungs-PIN) der a.sign premium Karte auffordert. Der Ge-heimhaltungs-PIN ist in jenem Kuvert ersichtlich, das dem Karteninhaber von der a.trust auf dem Postweg ausgehändigt wurde.

Abbildung 10: Pin Eingabe

Hinweis: Die Eingabe des Geheimhaltungs-PINs muss mit Betätigung der Bestätigungstas-te auf dem Kartenleser abgeschlossen werden.

Nach korrekter Eingabe des Geheimhaltungs-PINs auf dem PIN-Pad des angeschlossenen Kartenlesers wird der elektronische Kontozugang geöffnet. Zur reibungslosen Nutzung der a.sign Zertifikate ist die BKU Software 1.4 oder höher er-forderlich.

Bestätigungstaste des Kartenlesers

Abbildung 8: Pin-Verifikation

Abbildung 9: Kartenleser

Seite 7

1.1.2.2 Einstieg mit einem a-Sign Light Zertifikat

Verfügt der Benutzer über ein soft-warebasiertes a.sign light Zertifikat und läuft die Software a.sign Client im Hintergrund (idealerweise ist die erforderliche Software im Autostart-Ordner von Windows eingerichtet), so öffnet sich zunächst ein Fenster, in dem der Benutzer zur Eingabe des PINs für das installierte a.sign light Zertifikat aufgefordert wird. Nach erfolgreicher PIN-Eingabe und Klick auf den OK-Button wird die Applikation geöffnet.

Abbildung 11: Anmeldungsschirm - a.sign light

Seite 8

1.1.3 Einstieg mit RSA Token

Abbildung 12: Anmeldungsschirm - RSA Token

Diese Einstiegsmethode wird nur noch kurze Zeit angeboten. Es werden keine neuen Token mehr ausgeliefert! Bei Benutzer ist die Benutzer-ID (bekommt jeder Administrator des Instituts per Ein-schreibbrief von der OeNB/ITO) einzutragen. Bei TOKEN ist die PIN (bekommt jeder Administrator des Instituts per Einschreibbrief von der OeNB/ITO) und gleich neben der PIN ohne Abstand die Ziffer lt. Token (die Person, die am Antrag Onlineservices ZV auf der linken Seite unterschrieben hat, bekommt per Ein-schreibbrief von der OeNB/ZV den/die Token und hat diese institutsintern an den Admi-nistrator/die Administratoren weiterzuleiten) einzutragen. Nachdem man den Button „Anmelden“ gedrückt hat, gelangt man zu einer Maske, auf der man erneut die Benutzer-ID und ein zusätzliches Passwort (bekommet jeder Administrator per Email von der OeNB/ITO) einzutragen hat.

Seite 9

1.2 Startseite

Abbildung 13: Startseite - Benutzerverwaltung

Die Startseite gilt als Ausgangspunkt für die in der Folge beschriebenen Funktionen „Benut-zer suchen“ und „Benutzer anlegen“, die auf der linken Seite unter dem Punkt „Aktion“ durch Klick auf den entsprechenden Link ausgewählt werden können.

1.3 Benutzer anlegen

Klickt man auf „Benutzer anlegen“, so gelangt man auf folgende Seite, wo die angezeigten Felder entsprechend zu befüllen sind:

Seite 10

Abbildung 14: Neuen Benutzer anlegen

Alle folgenden Felder sind Pflichtfelder, - wenngleich auch der Standardwert des Feldes „Signaturinfo“ lediglich für User geändert werden muss, die sowohl über eine a.sign premi-um Karte verfügen als auch zur Signatur von Zahlungsaufträgen berechtigt werden sollen.

Seite 11

Familienname: Familienname des anzulegenden Benutzers

Vorname: Vorname des anzulegenden Benutzers

Passwort: Passwort, welches der Benutzer zur Anmeldung beim Portal https://www.myoenb.com benötigt. Bei der Vergabe des Passworts gilt es die Sicherheitskriterien für Passwörter (siehe Abschnitt 2.2) zu beach-ten.

Telefon: Telefonnummer des anzulegenden Benutzers

Email-Adresse: E-Mail-Adresse des anzulegenden Benutzers

Zertifikatsinfo: Das Feld „Zertifikatsinfo“ ist in jedem Fall zu befüllen – unabhängig da-von, ob der anzulegende Benutzer über ein a.sign light Zertifikat oder über ein a.sign premium Zertifikat verfügt. Die benötigte Information kann auf der Website der a-trust http://www.a-trust.at in Erfahrung ge-bracht werden, indem im Menü „SERVICES“ der Menüpunkt „Verzeich-nisdienst“ ausgewählt wird. Es wird eine Suchmaske mit verschiedenen Suchfeldern geöffnet, die es erlaubt, im Verzeichnisdienst der a.trust nach dem Zertifikat des anzulegenden Users zu suchen.

Signaturinfo: Das Feld „Signaturinfo“ ist ausschließlich für User zu befüllen, die zur Signatur von Zahlungsaufträgen berechtigt werden sollen. Voraussetzung dafür sind entweder ein chipkartenbasiertes a.sign premium Zertifikat oder ein für Handy-Signatur registriertes Handy. Für User, die lediglich über ein a.sign light Zertifikat verfügen, bzw. trotz a.sign premium Zer-tifikat nicht zur Signatur von Zahlungsaufträgen ermächtigt werden sol-len, ist der Standardeintrag im Feld „Signaturinfo“ nicht abzuändern.

Alternativ zur Suche der Signaturinfo im Verzeichnisdienst der a.trust http://www.a-trust.at kann die entsprechende Information auch im Portal der OeNB unter https://www.myoenb.com ausgelesen werden. Hierfür muss sich ein angelegter User, auf dessen Arbeitsplatz ein Kartenleser sowie der a.sign client installiert sind, am Portal anmelden, woraufhin folgender Bildschirm angezeigt wird:

Abbildung 15: Signaturinfo anzeigen

Seite 12

Auf dieser Seite ist auf den Link „Signaturinfo auslesen“ zu klicken, wo-raufhin sich folgendes Pop Up-Fenster öffnet.

Signatur Info einer Bürgerkarte auslesen Durch Klick auf den Button „Signaturinfo anzeigen“ wird im Hintergrund der Secure Viewer der A-Trust Bürgerkartenumgebung aufgerufen und folgendes Fenster angezeigt:

Abbildung 17: A-Trust Bürgerkartenumgebung - Secure Viewer

Abbildung 16: Auswahl der Signaturinfo

Seite 13

Zu beachten ist, dass die Karte des anzulegenden Users im Kartenleser steckt, bevor auf den Button „Unterschreiben“ geklickt wird. Die Appli-kation fordert daraufhin zur Eingabe des Signatur-PINs auf:

Nach korrekter Eingabe des Signatur-PINs am Kartenleser wird die in der Userverwaltung im Feld Signaturinfo einzutragende Information in einem

Browserfenster beispielhaft wie folgt angezeigt:

Der angezeigte Wert kann nunmehr in die Zwischenablage kopiert und anschließend in das Feld „Signaturinfo“ in der Useranlage eingefügt wer-den. Signatur Info eines registrierten Handys auslesen Durch Klick auf den Button „Handysignaturinfo anzeigen“ wird im Hin-tergrund die Handy Signatur - Identification aufgerufen und folgendes Fenster angezeigt:

Abbildung 18: Anzeige Signaturinfo - Bürgerkarte

Seite 14

Nach Eingabe der Mobiltelefonnummer und des Signatur Passworts, wird

eine SMS an das Handy mit oben eingegebenr Nummer, gesendet, worin

folgendes enthalten ist:

- Ein Vergleichswert - Ein TAN (mit 5 Min. Gültigkeit)

Fast gleichzeitig wird der Folgeschirm angezeigt worin der Vergleichs-wert enthalten ist und ein Eingabefeld für den TAN

Seite 15

Abbildung 19: Signaturinfo eines registrierten Handys

Nach vollständiger Befüllung aller angezeigten Felder ist der Button „OK“ zu klicken, womit der neue Benutzer angelegt ist und selbiges in folgendem Fenster bestätigt wird:

Nach der Anlage eines Benutzers muss diesem eine Rolle zugewiesen werden (Näheres im Kapitel: Rollen zuweisen)!

Abbildung 20: Neuer Benutzer angelegt

Seite 16

1.4 Benutzer suchen

Auf dieser Seite kann nach bereits angelegten Usern gesucht werden (im Feld „Familienna-me“ mit dem Familienname des Benutzers bzw. im Feld „Benutzer-ID“ mit der automatisch vergebenen Benutzer-ID). Nach dem Klicken auf den Button „Suchen“ gelangt man zu fol-gender Ausgabeseite:

Abbildung 22: Benutzer suchen Abbildung 21: Benutzer suchen

Seite 17

In dieser Liste werden jene Benutzer angezeigt, die den zuvor eingegebenen Suchkriterien entsprechen. Diese Maske ist in Listenform gestaltet und kann dementsprechend mehrere Datensätze (z.B. wenn es nicht nur einen User „Mayer“ gibt) enthalten – der entsprechende Benutzer ist durch die Aktion „bearbeiten“ auszuwählen.

Abbildung 23: Ergebnis Benutzer suchen

Seite 18

1.5 Benutzer bearbeiten

Seite 19

Im Bearbeitungsmenü sind alle Daten des Benutzers ersichtlich. Hier besteht sowohl die Möglichkeit, Änderungen zu den einzelnen Eingaben vorzunehmen als auch dem User durch einen Klick auf „Gruppen bearbeiten“ (im oberen Teil der Maske) eine Rolle zuzuordnen. Erklärung des Feldes „disabled“: Der Administrator kann den Benutzer auf inaktiv setzen, weil z.B. der Benutzer das Service für längere Zeit wegen Karenz nicht benutzt, jedoch nicht gelöscht werden soll. Erklärung des Feldes „locked“: Gibt ein Benutzer beim Einstieg in das Portal der OeNB zum 6. Mal ein falsches Passwort ein, wird sein Account automatisch gesperrt, d.h. er kann nicht mehr in das Portal und in weiterer Folge nicht mehr in den elektronischen Kontozugang einsteigen. Diese Sperre kann ausschließlich vom Administrator in der Benutzerverwaltung durch die Funktion „Intruder Lockout aufheben“ aufgehoben werden. Um die Sperre des Users aufzuheben, ist der betreffende Benutzer zunächst wie oben darge-stellt zu suchen. Die Sperre des Accounts wird anhand des Eintrages „ja“ in der Spalte „ge-sperrt“ beim betreffenden Benutzer ersichtlich.

Abbildung 24: Anzeige, ob Benutzer gesperrt ist

Um die aktivierte Sperre aufzuheben, muss zunächst die Überarbeitungsmaske für den ent-sprechenden User durch Auswahl der Aktion „bearbeiten“ geöffnet werden und in der da-

Seite 20

raufhin angezeigten Maske das Kontrollkästchen „locked“ durch Klick deaktiviert werden (= kein Häkchen).

Abbildung 25: Benutzersperre entfernen

Sollte der User sein bestehendes Passwort vergessen haben, so kann selbiges im Feld „Pass-wort“ neu vergeben werden, wobei stets die Sicherheitskriterien für Passwörter Beachtung finden müssen. Durch Klick auf den Button „OK“ werden alle vorgenommenen Änderungen übernommen. Der Button „Änderungen rückgängig“ ermöglicht es, die aktuell vorgenommenen Änderun-gen zu verwerfen.

Häkchen entfernen

Seite 21

1.6 Benutzer Rollenmanagement

Um angelegten Benutzern die Arbeit mit der Applikation zu ermöglichen, ist es zunächst erforderlich, ihnen eine entsprechende Rolle für die Applikation zuzuweisen. Hierfür gilt es zunächst, sich anhand der Rollenmatrix für eine – den spezifischen Erfordernissen des Be-nutzers genügenden – Rolle zu entscheiden:

Rolle Readonly Liquidity Payment Supervisor

Administration

Zahlungsaufträge

Kontosaldo

Kontoübersicht

Gebührenabfrage

Warteschlange abfragen

Umreihung

Rücknahme

Sicherheitendepot

Nachrichten

Informationen lesen

DO-Antrag

Abbildung 26: Benutzer-Rollen

Um dem User die aus der Rollenmatrix ausgewählte Rolle zuzuweisen, muss zunächst der entsprechende User wie unter Abschnitt 1.4 gesucht und im Bearbeiten-Modus geöffnet werden. Am oberen Rand der Tabelle findet man den Link mit der Beschriftung „Gruppen bearbeiten“, der die Zuordnung einer Rolle für den Benutzer erlaubt.

Abbildung 27: Benutzerverwaltung - Gruppen bearbeiten Auswahl

Seite 22

In der sich daraufhin öffnenden Maske befindet sich zumindest ein Pull Down-Menü mit der Bezeichnung „zu Gruppe“, aus dem jene Rolle auszuwählen ist, die dem Benutzer zugewie-sen werden soll. Allen zur Auswahl stehenden Rollen ist gemein, dass sie stets mit HO-AMWEB beginnen und von einem „T“ bzw. „P“ gefolgt werden, wobei „T“ für Testumge-bung bzw. „P“ für Produktionsumgebung steht. Sollte dem Benutzer bereits zumindest eine Rolle zugewiesen worden sein, so findet man ein zweites Pull Down-Menü mit der Bezeichnung „aus Gruppe“, das all jene Rollen beinhaltet, die dem User bereits zugeordnet wurden.

Abbildung 28: Benutzerverwaltung - Gruppen bearbeiten

Seite 23

Um dem Benutzer eine Rolle zuzuweisen, ist zunächst die entsprechende Rolle aus dem Pull Down-Menü „zu Gruppe“ auszuwählen und anschließend auf den Button „Hinzufügen“ zu klicken, woraufhin jene Rolle, die dem Benutzer soeben zugewiesen wurde, im Pull Down-Menü „aus Gruppe“ aufgelistet wird.

Abbildung 29: Benutzerverwaltung - Gruppen bearbeiten

Soll die zugewiesene Rolle gelöscht werden, so ist die zu löschende Rolle aus dem Pull Down-Menü „aus Gruppe“ auszuwählen und daraufhin auf den Button „Entfernen“ zu kli-cken. Soll dem Benutzer eine andere als die aktuelle Rolle zugewiesen werden, so ist die aktuelle Rolle zunächst zu löschen, um ihm daraufhin die neue Rolle zuzuweisen. Hinweis: In der Regel wird jedem Benutzer eine Test- und eine Produktionsrolle zugewie-sen. Werden einem User mehrere Test-Rollen bzw. mehrere Produktions-Rollen zugewie-sen, so wird keine Prüfung vorgenommen. Es wird daher dringend geraten, nur jeweils eine Produktions-Rolle UND/ODER nur eine Test-Rolle je User zu vergeben! Wechselt der Administrator nunmehr in den Modus „bearbeiten“ (durch Klick auf den Link „bearbeiten“), werden am unteren Ende der Überarbeitungsmaske jene Rollen aufgelistet, die dem ausgewählten Benutzer bislang zugeordnet wurden.

Seite 24

Abbildung 30: Benutzerverwaltung - zugewiesene Gruppen

1.7 Benutzer löschen

Soll ein bereits angelegter User als solcher gelöscht werden, so ist zunächst der entsprechen-de Benutzer zu suchen und auf den Link „bearbeiten“ zu klicken. Oberhalb der Überarbei-tungsmaske befindet sich ein Link mit der Aufschrift „löschen“, der anzuklicken ist, um den Löschvorgang zu initiieren.

Abbildung 31: Benutzerverwaltung - Benutzer löschen - Anwahl

Um das versehentliche Löschen eines Benutzers zu vermeiden, wird der Administrator im daraufhin angezeigten Fenster nochmals zur Bestätigung des Löschvorgangs aufgefordert. Nach Klick auf den Button „OK“ wird der Benutzer endgültig gelöscht.

Seite 25

Abbildung 32: Benutzerverwaltung - Benutzer löschen - Bestätignung

Seite 26

2 Systemsicherheit Im Sinne der Gewährleistung größtmöglicher Systemsicherheit wurde – neben der Berück-sichtigung neuester Sicherheitstechnologien bei der Realisierung – das sicherheitstechnische Setup einer eingehenden Untersuchung durch das Zentrum für sichere Informationstechno-logie - Austria (A-SIT) unterzogen. Für die Gewährleistung hinreichender Systemsicherheit sind alle Beteiligten – neben dem Systembetreiber selbstverständlich auch die Administratoren und Anwender – verantwort-lich. So gilt es neben der Bereitstellung eines hochsicheren Systems durch den Systembetrei-ber auch seitens der Administratoren und Benutzer in den Instituten bestimmte sicherheits-relevante Aspekte zu beachten, die im Folgenden detailliert dargestellt werden.

2.1 Überprüfung der sicheren Verbindung

Um sicherzustellen, dass der Login beim Portal https://www.myoenb.com hinreichend si-cher erfolgt, empfiehlt sich eine Überprüfung der korrekten URL in der Adressleiste des Browserfensters, eine Überprüfung der verwendeten Schlüssellänge sowie eine Überprüfung des Zertifikats vor der Eingabe des Benutzernamens bzw. des Passworts zur Anmeldung am Portal.

2.1.1 Überprüfung der korrekten URL

Die Überprüfung der korrekten URL in der Adressleiste des Browsers ermöglicht auf ein-fachste Weise zu überprüfen, ob man tatsäch-lich auf dem Portal der OeNB und nicht auf einer „gefälschten“ Internetseite gelandet ist. Hierzu genügt ein Blick auf den aktuellen Ein-trag in der Adressleiste Ihres Browserfensters:

Abbildung 33: Korrekte URL

In der Adressleiste muss sich notwendigerweise der Eintrag https://www.myoenb.com fin-den. Widrigenfalls ist davon auszugehen, dass man – auf welchem Weg auch immer – auf eine gefälschte Internetseite gelockt wurde. Sollte in der Adressleiste ein anderer Eintrag als https://www.myoenb.com eingetragen sein, so darf KEINESFALLS BENUTZERNAMEN und PASSWORT eingegeben werden! Es ist umgehend mit dem Helpdesk der OeNB unter der Rufnummer +43 (0)1 404 20-2788 - Kontakt aufzunehmen.

Seite 27

Sollten im Browserfenster keine Adressleiste zu finden sein, so ist in der Menüleiste des Browsers auf den Punkt „Ansicht“ zu klicken und aus dem angezeigten Menü der Punkt „Symbolleisten“ auszuwählen. Im darauf folgenden Menü ist Punkt „Adressleiste“ anzuwäh-len. Alternativ kann mit der rechten Maustaste in die angezeigten Symbolleisten klicken und aus dem angezeigten Kontextmenü den Punkt „Adressleiste“ auswählen. Beide Varianten sind in den folgenden Schaubildern dargestellt:

Klick auf „Ansicht“ in Menüleiste

Rechter Mausklick in Symbolleisten

2.1.2 Überprüfung der Verschlüsselungsstärke

Die Anwendungsserver der OeNB verlangen im Sinne einer hinreichenden Vertraulichkeit der Kommunikation mit den von den Anwendern eingesetzten Browsern eine Verschlüsse-lung von mindestens 128 Bit (effektiv 112 Bit). Die der Kommunikation zugrunde liegende Verschlüsselungsstärke lässt sich auf zwei verschiedene Arten überprüfen.

2.1.2.1 Überprüfung über Dateieigenschaften

Alternativ zur Überprüfung der Verschlüsselungsstärke in der Statusleiste kann eine entspre-chende Überprüfung auch über die Dateieigenschaften erfolgen. Hierzu ist in der Menüleiste des Browserfensters auf „Datei“ oder mit der rechten Maustaste in das Browserfenster zu klicken. Es wird ein Kontextmenü angezeigt aus dem der Punkt „Eigenschaften“ auszuwäh-len ist.

Klick auf „Datei“ in Menüleiste

Rechter Mausklick in Browserfenster

Nach Auswahl des Punktes „Eigenschaften“ öffnet sich ein Fenster, das unter anderem Auf-schluss über die verwendete Verschlüsselung gibt.

Seite 28

2.1.2.2 Vorgehen bei unzureichender Verschlüsselung

Unabhängig auf welche der beiden Arten die Verschlüsselungsart überprüft wurde, sollte immer eine verwendete 128 Bit-Verschlüsselung angezeigt werden. Wird eine niedrigere oder gar keine Verschlüsselung angezeigt, so darf KEINESFALLS BENUTZERNAME und PASSWORT eingegeben werden. Es ist umgehend mit dem Helpdesk der OeNB unter der Rufnummer +43 (0)1 404 20-2788 Kontakt aufzunehmen.

2.1.3 Überprüfung des Zertifikats

Die Überprüfung des Zertifikats gibt letztendlich Aufschluss darüber, ob es sich bei der im Browserfenster angezeigten Seite tatsächlich um das Portal der OeNB handelt. Das Zertifikat kann auf zweierlei Arten angezeigt werden, die im Folgenden beschrieben werden.

2.1.3.1 Anzeige des Zertifikats über Statusleiste

Um das Zertifikat angezeigt zu bekommen, ist einen einfacher Klick auf dem in der Status-leiste angezeigten Schloss erforderlich.

Seite 29

Abbildung 34: Zertifikatsanzeige

2.1.3.2 Anzeige des Zertifikats über Dateieigenschaften

Alternativ zum Doppelklick auf das in der Statusleiste angezeigte Schloss kann das Zertifikat auch über die Dateieigenschaften angezeigt werden. Hierzu, ist der Punkt „Datei“ aus der Menüleiste des Browserfensters und im sich daraufhin öffnenden Menü des Punktes „Eigen-schaften“ anzuklicken.

Klick auf „Datei“ in Menüleiste

Rechter Mausklick im Browserfenster

Seite 30

Nach Auswahl des Punktes „Eigenschaften“ öffnet sich ein Fenster, in der ein Button mit der Aufschrift „Zertifikate“ zu finden ist, der durch Klick das Zertifikat anzeigt.

2.1.3.3 Überprüfung des angezeigten Server-Zertifikats

Nachdem einer der beiden zuvor beschriebenen Wege zur Anzeige des Zertifikats beschrit-ten wurde, wird das Fenster mit den Zertifikatsinformationen wie folgt angezeigt:

Abbildung 35: Anzeige Server-Zertifikat

2.2 Hinweise zu Ihren Passwörtern

Da die Sicherheit eines Systems – so auch jene des elektronischen Kontozugangs – maßgeb-lich von der Qualität jener Instrumente, mittels derer Benutzer auf selbiges zugreifen abhän-gig ist, gilt es für die User des elektronischen Kontozugangs im Zusammenhang mit der Ein-richtung und Verwendung ihrer Passwörter bestimmten Sicherheitskriterien Rechnung zu tragen, die im Folgenden kompakt aufgelistet werden: Es gilt der Grundsatz: Je länger das gewählte Passwort, desto schwieriger ist es zu kna-

cken.

Auf Button „Zertifikate“ klicken

Ausgestellt für: www.myoenb.com

Ausgestellt von: OeNB-Server-Zertifizierungsstelle

Seite 31

Ein "gutes" Passwort besteht aus mindestens acht Zeichen. Ab zehn Zeichen erfüllt man ein Kriterium für ein „starkes“ Passwort.

Der Einbau von Ziffern z.B.: "pass4word" oder bewusste Schreibfehler im Passwort, etwa "archidecdur" statt "Architektur" ist ratsam. Dieses Vorgehen erschwert es Crack-Programmen, durch bloßes Ausprobieren vieler Passwörter (Wörterbuch-Attacke) ans Ziel zu kommen. Baut man zusätzlich zu Groß-, Kleinbuchstaben und Ziffern auch noch Sonderzeichen in das Passwort ein, erfüllt man ein Kriterium für ein „starkes“ Passwort.

Keinesfalls sollten Passwörter benutzt werden, die sich leicht erraten lassen, wie Benutzer-ID, der eigene Name oder den von nahen Verwandten (Partner, Kinder,...), das Geburts-datum...

Passwörter lassen sich leichter einprägen, wenn sie sich über eine Eselsbrücke rekonstruie-

ren lassen - zum Beispiel: "IvmPldmi1Ev" für "Ich vergesse meine Passwörter leicht, des-halb muss ich eine Eselsbrücke verwenden". Um ein starkes Passwort zu erhalten, müsste noch mindestens ein Sonderzeichen enthalten sein. Dies könnte durch die Hinzunahme des Beistrichs erreicht werden: "IvmPl,dmi1Ev".

Schreiben Sie Ihre Passwörter niemals auf. Halten Sie Ihr Passwort absolut geheim. Wer

Ihr Passwort kennt, kann in dem betreffenden IT-System Ihre "Identität" annehmen. Ändern Sie Ihr Passwort, wenn Sie glauben, dass es jemand anderer kennt (z. B. weil er

neben Ihnen gestanden ist, als Sie das Passwort eingegeben haben).

Was nützen das beste Schloss und der beste Schlüssel, wenn Sie die Tür geöffnet lassen? Für den elektronischen Kontozugang bedeutet dies: Lassen Sie den elektronischen Kontozugang nicht geöffnet, wenn Sie Ihren Arbeitsplatz verlassen. Beenden Sie die Anwendung, indem Sie sich sowohl von der Seite https://www.myoenb.com durch Klick auf „Abmelden“ als auch im Fenster des elektronischen Kontozugangs durch Auswahl des Buttons „Beenden“ abmelden.

Seite 32

3 Fragen und Antworten Frage: Benötigt ein Administrator neben dem von der OeNB bereitgestellten Token

ein Zertifikat der a.trust?

Antwort: (Nein,) für den Zugriff des Administrators auf die Benutzerverwaltung (siehe Abschnitt 1.1) wird kein Zertifikat benötigt. Es gilt jedoch zu beachten, dass der Zugang zur Benutzerverwaltung mit einem Token, seitens der OeNB nicht weiter unterstützt wird, d.h. für neue Administratoren des elektrischen Konto-zugangs wird kein neuer Token mehr vergeben, sowie auch Token, deren Gül-tigkeit abgelaufen ist, nicht mehr verlängert werden. Deshalb heißt die Antwort eigentlich – Ja, dabei ist es einerlei, ob Sie mit einem registriertem Handy, einem a.sign Premium Zertifikat oder einem a.Sign Light Zertifikat einsteigen.

Frage: Können bestehende Zertifikate, die für andere OeNB- oder sonstige Applikati-

onen bereits vorhanden sind, auch für den elektronischen Kontozugang genutzt werden oder muss für den elektronischen Kontozugang ein eigenes Zertifikat, das nur für diese Applikation genutzt wird, angeschafft werden?

Antwort: Bereits vorhandene a.sign premium Karten bzw. a.sign light Zertifikate oder trust|mark|vsc Zertifikate können für den elektronischen Kontozugang einge-setzt werden und müssen nicht – so selbige bereits vorhanden sind – neu ange-schafft werden.

Frage: Muss für jeden Benutzer ein eigenes Zertifikat angeschafft werden oder können

Zertifikate auch durch mehrere Benutzer genutzt werden?

Antwort: Da Zertifikate stets personenbezogen sind, ist es leider nicht möglich, dass ein Zertifikat durch mehrere Benutzer für den elektronischen Kontozugang genutzt wird. Demzufolge muss für jeden anzulegenden Benutzer ein Zertifikat ange-schafft werden.

Frage: Mit welchem Wert ist das Feld Zertifikatsinfo der Benutzerverwaltung (siehe

Abschnitt 1.3) zu befüllen, wenn der anzulegende Benutzer über ein trust|mark|vsc Zertifikat verfügt?

Antwort: Im Falle von trust|mark|vsc Zertifikaten ist das Feld Zertifikatsinfo mit der eMail-Adresse, auf welches das Zertifikat ausgestellt wurde, zu befüllen.

Seite 33

4 Abbildungsverzeichnis Abbildung 1: Logn - Schirm für Portaleinstieg ............................................................................... 3 Abbildung 2: Anwendungs - Bildschirm ........................................................................................ 4

Abbildung 3: Identifizierungs - Schirm für Handy Signatur ........................................................... 4 Abbildung 4: SMS für Anmeldung mit Handy - Signatur .............................................................. 4 Abbildung 5: Signierungs - Schirm für Anmeldung mit Handy - Signatur .................................... 5 Abbildung 6: Aufforderung die A-Trust Karte in den Kartenleser zu stecken ............................... 5 Abbildung 7: Auswahl des Zertifikats ............................................................................................ 5

Abbildung 8: Pin-Verifikation ........................................................................................................ 6 Abbildung 9: Kartenleser ................................................................................................................ 6 Abbildung 10: Pin Eingabe ............................................................................................................. 6 Abbildung 11: Anmeldungsschirm - a.sign light ............................................................................ 7 Abbildung 12: Anmeldungsschirm - RSA Token ........................................................................... 8

Abbildung 13: Startseite - Benutzerverwaltung .............................................................................. 9 Abbildung 14: Neuen Benutzer anlegen ....................................................................................... 10 Abbildung 15: Signaturinfo anzeigen ........................................................................................... 11

Abbildung 16: Auswahl der Signaturinfo ..................................................................................... 12 Abbildung 17: A-Trust Bürgerkartenumgebung - Secure Viewer ................................................ 12 Abbildung 18: Anzeige Signaturinfo - Bürgerkarte ...................................................................... 13 Abbildung 19: Signaturinfo eines registrierten Handys ................................................................ 15

Abbildung 20: Neuer Benutzer angelegt ....................................................................................... 15 Abbildung 21: Benutzer suchen .................................................................................................... 16

Abbildung 22: Benutzer suchen .................................................................................................... 16 Abbildung 23: Ergebnis Benutzer suchen ..................................................................................... 17 Abbildung 24: Anzeige, ob Benutzer gesperrt ist ......................................................................... 19

Abbildung 25: Benutzersperre entfernen ...................................................................................... 20

Abbildung 26: Benutzer-Rollen ................................................................................................... 21 Abbildung 27: Benutzerverwaltung - Gruppen bearbeiten Auswahl ............................................ 21 Abbildung 28: Benutzerverwaltung - Gruppen bearbeiten ........................................................... 22

Abbildung 29: Benutzerverwaltung - Gruppen bearbeiten ........................................................... 23 Abbildung 30: Benutzerverwaltung - zugewiesene Gruppen ....................................................... 24

Abbildung 31: Benutzerverwaltung - Benutzer löschen - Anwahl ............................................... 24 Abbildung 32: Benutzerverwaltung - Benutzer löschen - Bestätignung ....................................... 25

Abbildung 33: Korrekte URL ....................................................................................................... 26 Abbildung 34: Zertifikatsanzeige .................................................................................................. 29 Abbildung 35: Anzeige Server-Zertifikat ..................................................................................... 30