Sicherheit in der ING App und dem Online-Banking

Für den Ausweisscan sind nur Dokumente mit hoher Fälschungssicherheit zugelassen.

Die ausgelesenen Daten werden nur für die App-Aktivierung verwendet.
Und sie werden nach 24 Stunden gelöscht.

Wenn Sie Ihre mobilePIN vergessen haben, können Sie die App zurücksetzen.
Und anschließend neu registrieren.

Gut zu wissen:
Aus Sicherheitsgründen setzt sich die App nach dreimaliger Falscheingabe der mobilePIN komplett zurück.
Dann muss sie anschließend neu registriert werden.

Die ING App verfügt über mehrere Sicherheitsverfahren.
Vom Sperrmechanismus bis zur aktuellen Verschlüsselungstechnologie.

Die fünfstellige mobilePIN ist Ihr persönlicher Sicherheitsschlüssel zur App.
Ähnlich wie die PIN bei Ihrer girocard.
Das heißt, Ihre mobilePIN ist nur für Ihr Gerät gültig und sonst auf keinem anderen.
Der Sperrmechanismus schützt die mobilePIN vor Missbrauch.
Und sorgt für Sicherheit im mobilen Banking.
Nach drei falschen Eingaben wird die App automatisch gesperrt.

Alternativ zur mobilePIN können Sie Fingerprint oder Face ID nutzen.
Damit bestätigen Sie Ihren Log-in und geben Aufträge frei.

Aktuelle Verschlüsselungstechnik sorgt für Extra-Sicherheit.
Der Datentransfer zwischen App und Bank ist doppelt verschlüsselt.
Dabei werden folgende Techniken benutzt:

• TLS 1.3 ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.
  Das ist das Protokoll, das Sie auf https//-Seiten in Ihrem Browser sehen.
• Das SRP ist ein Verschlüsselungsprotokoll zum Austausch von Passwörtern.
  Das Passwort ist Ihre mobilePIN oder Ihre Biometrie (Face ID/ Touch ID).
  Es wird benutzt, um den Datentransfer zwischen App und Bank zu verschlüsseln.
  Das Besondere am SRP-Protokoll ist, dass das Passwort nie übertragen wird.
  Im Alltag bedeutet das:
  Sie sind auch im öffentlichen W-LAN beim Banking mit der App geschützt.
  Sogar falls die TLS-Verschlüsselung einmal aufgebrochen wird.
  Denn dann schützt Sie immer noch die Verschlüsselung des SRP-Protokolls.
• Die App ist an Ihr Gerät gebunden.
  Bei der Aktivierung der App durch Ihre Zugangsdaten wird ein digitaler Fingerabdruck Ihres Gerätes erzeugt.
  Transaktionsfreigaben sind daher nur mit registrierten Geräten möglich.
• Wenn Sie Ihr Gerät einmal verlieren sollten, keine Sorge.
  Sie können die App jederzeit im Online-Banking oder per Telefon deaktivieren.
• Experten nehmen die Software regelmäßig unter die Lupe.
  Und testen sie auf Sicherheitslücken.
• Die App ist gegen Veränderungen wie Veränderung an Dateien oder am Code geschützt.
  Und wird bei Manipulation für digitales Banking unbrauchbar.

Sie haben unser Wort:

Falls Dritte Ihre Zugangsdaten zum Online-Banking oder der ING App missbrauchen, ersetzen wir Ihren finanziellen Schaden.
Schnell und unbürokratisch.

So funktionierts:

• Informieren Sie uns sofort, wenn Sie den Schaden oder verdächtige Kontobewegungen bemerken.
• Erstatten Sie Strafanzeige bei der Polizei wegen missbräuchlicher Verwendung Ihrer Zugangsdaten und/oder TANs.

Ja, denn die App ist nicht nur durch die mobilePIN, sondern durch mehrere Sicherheitsfaktoren gut geschützt.

1. Ihr erster Sicherheits-Faktor ist der Besitz des Geräts:
   Ihr Smartphone oder Tablet.
   Nur mit dem Gerät, das Sie bei uns registriert haben, lassen sich Ihre Bankgeschäfte autorisieren.
   Und z.B. eine Überweisung freigeben.
2. Ihr zweiter Sicherheits-Faktor ist Wissen oder Biometrie.
   Entweder Ihre mobilePIN.
   Oder Ihr biometrisches Merkmal:
   Fingerprint oder Face ID.

Darüber hinaus ist Ihre mobilePIN oder Ihr biometrisches Merkmal durch eine Gerätebindung geschützt:
Die App bindet sich bei der Registrierung fest an das Gerät.
Und zwar mit der mobilePIN oder dem hinterlegten biometrischen Merkmal.
Sowohl Ihre PIN, als auch Ihr biometrisches Merkmal kann somit auf keinem anderen Gerät verwendet werden.

Auch die Verbindung der App mit unseren Bankservern ist mehrfach abgesichert:
Sämtliche Daten werden zweifach verschlüsselt.
Und die App wird automatisch auf Manipulationen durch Dritte geprüft.

In puncto Datenschutz sind Sie auf der sicheren Seite:
Wir speichern keine personenbezogenen Daten in der App.

Sie können schädlichen Apps mit wenigen Klicks die Berechtigung entziehen.

Mehr Informationen finden Sie hier.

In den Systemeinstellungen Ihres Gerätes gibt es einen Bereich namens „Bedienungshilfe“ oder „Eingabehilfe“ – je nachdem welches Gerät oder Betriebssystem Sie benutzen. Dort können Sie allen Apps, denen Sie nicht vertrauen, mit ein paar Klicks die Berechtigung entziehen. Dadurch wird die Schadsoftware inaktiv und es können keine Daten abgegriffen werden. Um ganz sicher zu gehen, ist es am besten, die potentielle Schadsoftware durch Löschen der entsprechenden App zu entfernen. 

1. Öffnen Sie die „Einstellungen“ Ihres Gerätes.
2. Öffnen Sie die „Eingabehilfe“ – je nach Betriebssystem auch „Bedienungshilfe“.
3. Öffnen Sie „Installierte Apps“. Dort entziehen Sie allen Apps, denen Sie nicht vertrauen, die Berechtigung. 

Nein, keine Sorge. Die meisten Apps, die sich über Ihren Bildschirm legen, sind unbedenklich – zum Beispiel Screenreader. Aber es kann passieren, dass Sie aus Versehen eine schädliche App installiert haben, die es auf Ihre Daten abgesehen hat.

Meistens haben Sie einen unverständlichen und dadurch bereits verdächtigen Namen. Hören Sie auf Ihr Bauchgefühl und vertrauen Sie keinen Apps, die Sie nicht kennen.

Sicherheit im Internet fängt beim PC an:

• Wählen Sie sichere Passwörter, am besten solche mit 6 bis 8 Stellen und einer Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
• Installieren Sie auf Ihrem PC nur Programme aus seriösen Quellen.
• Verwenden Sie immer eine aktuelle Version Ihres Internet-Browsers und Betriebssystems. Die aktuelle Version Ihres Internet-Browsers finden Sie auf der jeweiligen Browser-Seite:
  Firefox
  Chrome
  Safari
  Microsoft Edge
  Sie suchen den Internet Explorer? Dieser wird von Microsoft nicht mehr unterstützt. Stattdessen wird empfohlen, die neue Version von Microsoft Edge zu installieren.
• Nutzen Sie die Sicherheitsoptionen Ihres Browsers und deaktivieren Sie vor allem die automatische Verwendung von ActiveX-Controls und Java-Applets.
• Benutzen Sie ein Virenschutzprogramm, das Sie ständig aktualisieren, und eine Firewall, mit der Sie unerwünschte Verbindungen zu Ihrem PC unterbinden können (z.B. Kaspersky Internet Security, G-Data, Norton Internet Security).

Weitere Tipps rund um Virenschutzprogramme und Firewalls finden Sie beim Bundesamt für Sicherheit in der Informationstechnik.

Woran Sie Phishing-Mails erkennen, erfahren Sie hier. 

Haben Sie eine Phishing-Mail erhalten und die in der Mail angefragten Daten nicht eingegeben?

Gut gemacht! Reagieren Sie bitte auch weiterhin nicht auf die E-Mail und klicken Sie keine Links darin an.

Leiten Sie uns die E-Mail bitte als Anhang weiter an info@ing.de. Zur Sicherheit prüfen wir den Inhalt. Wie Sie sich und Ihr Banking schützen können und was aktuelle Betrugsmaschen sind? Schauen Sie gleich nochmal nach unter https://www.ing.de/hilfe/notfall/.

Haben Sie eine Phishing-Mail erhalten und bereits Daten eingegeben?

Keine Sorge. Auch wenn Dritte Ihre Daten in die Hände bekommen sollten, sind Sie weiter auf der sicheren Seite – darauf geben wir Ihnen unser Sicherheitsversprechen. 

Ist Ihnen bereits ein Schaden entstanden, wurde z.B. Geld von Ihrem Konto an Fremde überwiesen?

Dann benachrichtigen Sie bitte unsere Mitarbeitenden. Hier wird Ihnen kompetent und unbürokratisch geholfen. Während der Geschäftszeiten sind wir unter der 069 / 34 22 24 für Sie da (montags bis samstags von 8 bis 19 Uhr).

Ihnen ist bisher kein Schaden entstanden?

Dann können Sie alle nötigen Schritte selber einleiten, um den Schutz Ihres Kontos wiederherzustellen

1. Ändern Sie bitte Ihre Zugangsdaten.
   Wie das geht, erfahren Sie hier. Wenn das nicht möglich ist, sperren Sie Ihren Zugang direkt im Internetbanking oder über das Telebanking. Am einfachsten erreichen Sie uns im Telebanking mit einem Anruf über unsere ING App – so brauchen Sie keine Zugangsdaten. Oder Sie rufen uns wie gewohnt an unter 069 / 34 22 24. Halten Sie dafür bitte Ihre Zugangsnummer bereit – Ihre Depotnummer oder die letzten 10 Stellen Ihrer IBAN. Anschließend schicken wir Ihnen ein Einmalpasswort zur Bestätigung. Haben Sie Ihre Telebanking PIN in die Phishing-Mail eingegeben? Dann sperren Sie diese direkt im Telebanking – geben Sie dazu Ihre PIN dreimal falsch ein. Die Telebanking PIN ist dadurch gesperrt. Sie brauchen keine neue und keine Ersatz-PIN mehr. Sobald die Zugangsdaten geändert sind, ist Ihr Konto wieder vor dem Zugriff Dritter geschützt.
2. Bitte sperren Sie Ihre VISA Karte.
   Am schnellsten gehts im Internetbanking unter Einstellungen > Sperren > Karten. Sie können Ihre Karte auch telefonisch sperren unter der 116 116. Durch die Sperre verhindern Sie, dass es zu unberechtigten Abbuchungen kommen kann. Wir schicken Ihnen innerhalb weniger Tage eine neue Karte.
3. Erstatten Sie Strafanzeige bei der Polizei wegen missbräuchlicher Verwendung Ihrer Zugangsdaten bzw. TANs und halten Sie uns darüber per E-Mail auf dem Laufenden.

Bei einem TAN-Verfahren, wie z.B. der Freigabe mit dem ING photoTAN-Generator, müssen Sie bei jeder Transaktion eine Transaktionsnummer (TAN) eingeben, welche die von Ihnen durchgeführte Transaktion absichert.

Bitte beachten Sie folgende Hinweise zu Ihrer Sicherheit:

• Geben Sie eine TAN nur für Ihre eigenen Aufträge ein (z.B. Ihre Überweisung oder Adressänderung). Die ING wird nie eine TAN für die Bestätigung einer Fehlermeldung oder für eine Sicherheitsüberprüfung verlangen.
• Möchten Sie im Internetbanking einen Auftrag bestätigen, dann fragt das System – je nach dem von Ihnen verwendeten Freigabeverfahren, einer photoTAN, die von Ihrem photoTAN-Generator generiert wird, oder einer mTAN, die per SMS an die von Ihnen hinterlegte Mobilnummer zugesandt wird. Nur diese TAN ist für Ihren aktuellen Auftrag gültig. Jede TAN kann nur einmal verwendet werden und verliert danach ihre Gültigkeit. Die ING wird Sie nie auffordern, mehrere TANs gleichzeitig einzugeben, sondern jeweils nur eine TAN pro Auftrag.
• Wenn Sie ein Girokonto bei uns haben und photoTAN oder mTAN als Freigabeverfahren verwenden, können Sie sich per E-Mail benachrichtigen lassen, wenn eine TAN für eine Zahlung falsch eingegeben wurde. Voraussetzung dafür ist, dass Sie in Ihrem Internetbanking in Ihren persönlichen Daten eine E-Mail-Adresse hinterlegt haben. Und so gehts:
• TAN Sicherheitswarnung aktivieren: Schreiben Sie eine E-Mail an info@ing.de mit dem Betreff „TAN Sicherheitswarnung aktivieren“. Kopieren Sie dafür einfach den folgenden Text in die E-Mail und ergänzen Sie Ihre Zugangsnummer(n), für die Sie die Sicherheitswarnung aktivieren möchten: 
  • Ich möchte die TAN Sicherheitswarnung per E-Mail an die von mir hinterlegte E-Mail-Adresse aktivieren.
  • Diese gilt für folgende Zugangsnummer(n) - letzte 10 Stellen Ihrer IBAN
• TAN Sicherheitswarnung deaktivieren: Schreiben Sie eine E-Mail an info@ing.de mit dem Betreff „TAN Sicherheitswarnung deaktivieren“. Kopieren Sie dafür einfach den folgenden Text in die E-Mail und ergänzen Sie Ihre Zugangsnummer(n), für die Sie die Sicherheitswarnung aktivieren möchten: 
  • Ich möchte die TAN Sicherheitswarnung per E-Mail an die von mir hinterlegte E-Mail-Adresse deaktivieren.
  • Diese gilt für folgende Zugangsnummer(n): - letzte 10 Stellen Ihrer IBAN

Wenn es um Ihre Zugangsdaten, die PIN, Passwort und TAN geht, ist folgendes wichtig:

• Speichern Sie Ihre Zugangsdaten niemals auf Ihrem PC ab.
• Die Daten könnten dort von Unbefugten ausgespäht werden.
• Bewahren Sie Ihre Zugangsdaten bei sich zu Hause an einem sicheren Ort auf.
   

Sie haben Ihre Zugangsdaten vergessen?

• Dann klicken Sie direkt auf der Log-in-Seite zum Onlline-Banking auf „Zugangsdaten vergessen“
• Folgen Sie dann der Anleitung.
• Gehen Sie dafür immer direkt auf ing.de
• Gehen Sie niemals über Links in E-Mails.

Allgemein gilt:

• Die ING wird Ihre Zugangsdaten nur innerhalb des Online-Bankings und der ING App abfragen.
• Oder bei Zahlungen mit der VISA Card im Internet (VISA Secure).
• Die ING fragt Ihre Zugangsdaten niemals per E-Mail ab.

Die ING Gruppe überwacht das Internet, um Nachahmungen der eigenen Webseiten aufzuspüren, da diese meist die Vorstufe des Phishings sind.
Beim Verdacht auf eine solche Fälschung arbeitet die ING Gruppe mit den dafür zuständigen internationalen Instanzen zusammen, um so rasch wie möglich die Schließung dieser Webseite zu erwirken.

Sämtliche Daten, die Sie an die ING übertragen, werden durch ein sicheres Verschlüsselungsverfahren geschützt. Unsere Server sind ebenfalls gegen unbefugte Nutzung abgesichert. Sie können selbst zu Ihrer Sicherheit beitragen, indem Sie wichtige Merkmale überprüfen:

Kontrollieren Sie die Internetadresse beim Log-in in Ihr Online-Banking.
Die Adresse (URL) muss mit https://banking.ing.de/... oder https://produkte.banking.ing.de/... oder https://access.ing.de/... beginnen!

Die aktuellen Fingerprints der SSL-Zertifikate für das Internetbanking + Brokerage lauten:

Fingerprint SHA256:
0C:24:53:D2:29:64:BF:A8:DD:65:78:DC:3C:53:C1:FE:DF:DD:F4:3A:BD:7F:13:B2:46:E6:04:E4:DF:99:6F:3E
(https://banking.ing.de/...)

oder
1C:2A:D4:DE:B7:5D:97:EC:88:2E:9E:1D:30:B1:AA:22:92:B9:03:FA:F8:5C:82:8C:DE:0F:5C:E8:13:2F:3A:87
(https://produkte.banking.ing.de/pub/...)

oder

56:F3:6A:A4:E1:DE:96:64:D3:AD:8B:AD:DF:08:14:76:4B:D4:DF:17:11:88:09:6E:5D:4C:C4:EC:E2:2F:FA:42
(https://fints.ing.de/fints/...)

oder

69:C4:7B:7E:B9:6B:B8:75:F7:AB:D8:9C:74:91:27:D1:CD:63:BD:1D:4A:F3:57:24:3D:3F:BD:E4:AF:15:45:93
(https://access.ing.de/...)

oder
3B:54:48:6A:7E:6D:33:A8:E6:FB:37:FD:CF:53:2C:A3:10:29:57:D3:C8:BA:48:8F:65:82:47:FE:32:DB:89:B7
(https://apps.ing.de/...)
 

Zum Schutz Ihrer Daten kann unsere Website bei veralteten Browser-Versionen (Internet Explorer 10.0 oder älter) nicht mehr geladen werden. Unser Tipp: Verwenden Sie immer eine aktuelle Version Ihres Browsers.

Alle Abweichungen vom gewohnten Ablauf bei Internetbanking + Brokerage sollten Sie als verdächtig einstufen. Wenn Sie Zweifel haben, rufen Sie unsere Kundenbetreuer unter der Telefonnummer 069 / 34 22 24  an.

Drittanbieter sind Unternehmen, die Dienste rund ums Konto und das Bezahlen anbieten. Dazu benötigen sie Ihre Ermächtigung, auf Ihr Girokonto zuzugreifen.

Man unterscheidet dabei zwei Typen: Kontoinformationsdienste rufen Umsatzdaten von Ihrem onlinefähigen Girokonto ab. Zahlungsauslösedienste führen in Ihrem Auftrag eine ganz bestimmte Transaktion für Sie aus. Dafür wählen Sie sich über den entsprechenden Dienst in Ihr Onlinebanking ein. Nach Ausführung der Transaktion wird diese dem Händler direkt bestätigt. Mit der PSD2 wurde für Drittanbieter eine einheitliche Regelung geschaffen. Davon profitieren Sie als Verbraucher, weil Sie sich auf einen sicheren und einheitlichen Standard verlassen können

Bitte überprüfen Sie bei der Erteilung Ihrer Ermächtigung, ob die Adresse in Ihrem Browser mit https://myaccount.ing.com beginnt.

Häufig versuchen Trickbetrüger durch E-Mails mit gefälschtem Absender an Kundendaten zu gelangen. Dies geschieht unter Vorwänden, wie z.B.

• gesetzlichen Anforderungen
• einer angeblichen unregelmäßigen Aktivität beim Kundenkonto oder
• aufgrund einer angeblichen Aktualisierung der persönlichen Angaben in unserem System.

Entweder werden ganz direkt per E-Mail Zugangsdaten abgefragt oder ein Link in der E-Mail führt nicht auf die Internetseite des vermeintlichen Absenders, sondern auf eine täuschend ähnliche Seite – aufgesetzt von den Betrügern. Dort werden persönliche Informationen oder Zugangsdaten abgefragt und an unberechtigte Personen weitergeleitet.

Bitte beachten Sie folgende Hinweise:

• Melden Sie sich nur über die Ihnen bekannte Homepage der ING an. Verwenden Sie keine Links aus E-Mails zur Anmeldung zum Internetbanking + Brokerage.
  
  Verwenden Sie nur Links auf www.ing.de
  
  Sollten Sie dennoch eine solche E-Mail erhalten, reagieren Sie bitte nicht darauf und klicken Sie keine Links in dieser E-Mail an. Benachrichtigen Sie stattdessen unsere Kundenbetreuer unter der Telefonnummer 069 / 34 22 24.
• Die ING wird von Ihnen unter keinen Umständen vertrauliche Informationen wie z.B. IBAN oder Zugangsdaten per E-Mail abfragen.
• Die ING wird Sie nie per E-Mail auffordern, Ihre Zugangsdaten auf derselben Seite einzugeben. 

• Wenn Sie bei der ING eine Versicherung unseres Partners AXA abgeschlossen haben, kann es sein, dass Sie von der AXA E-Mails erhalten. Die echten AXA-Mail-Adressen lauten ing-serviceteam@axa.de und schaden@axa.de. Diesen Absendern können Sie vertrauen.

Internetbetrüger haben es besonders auf Überweisungen ins Ausland abgesehen, da sie dabei ihre Spuren besser verwischen können als bei Inlandsüberweisungen. Darum ist die Überweisung ins Ausland (Auslandsüberweisung und SEPA-Überweisung ins europäische Ausland) im Internetbanking nur möglich, wenn Sie Ihre Aufträge mit Banking to go oder photoTAN freigeben.

Fragen und Antworten zu Freigabe- und TAN-Verfahren

In jüngster Zeit versuchen Betrüger, PCs mit sogenannter "Spyware" zu infizieren, die ein Mitlesen aller Eingaben ermöglicht.

Bitte beachten Sie folgende Hinweise:

• Sie können sich durch Download und Aktualisierung von entsprechender Sicherheitssoftware schützen. Nähere Informationen erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik. Das Bundesamt stellt auf seinen Seiten einfach und ausführlich vor, was "Spyware" ist und wie Sie sich schützen können.

Betrüger geben sich mittlerweile sogar als Mitarbeiter von Softwareunternehmen wie z.B. Microsoft aus, um Sie um Ihr Geld zu bringen.

• Die Betrüger rufen Sie an und machen Sie auf einen Virus, ein zu erneuerndes Zertifikat oder eine gefährliche Sicherheitslücke auf Ihrem Computer aufmerksam.
• Im Gespräch werden Sie überzeugt, dem Anrufer Fernzugang zu gestatten, um den Computer von der angeblichen Schadsoftware zu bereinigen oder die angeblichen Fehler zu beheben.
• Anschließend wird nachdrücklich empfohlen, eine bestimmte Software herunterzuladen, um den Computer zu säubern – mitunter wird sogar verlangt, für diese Software zu bezahlen. Der Täter nennt eine bestimmte Zielkontonummer oder verändert im Hintergrund Ihre Eingaben.
• Natürlich ist es aber genau die Installation dieser Software, über die sich die Betrüger anschließend Zugriff auf Ihren Computer verschaffen – und damit schlimmstenfalls eben auch auf Ihre Konten.

Wenn Sie einen verdächtigen Anruf erhalten oder unsicher sind, legen Sie einfach auf.

Wir nutzen sichere E-Mail-Verschlüsselungsmethoden, um mit unseren Kundinnen und Kunden zu kommunizieren – unter anderem die TLS-Verschlüsselung. TLS steht für „Transport Layer Security“, auch bekannt unter der Vorgängerbezeichnung „Secure Sockets Layer“ (SSL), und ist ein Protokoll zur Verschlüsselung von Datenübertragungen im Internet. Es verhindert, dass unbefugte Dritte den Datenaustausch zwischen Absender/-in und Empfänger/-in lesen oder manipulieren können. Der Prozess läuft automatisiert ab und verlangt in der Regel keine Aktion der Nutzer/-innen.

Die Verschlüsselung funktioniert jedoch nur, wenn beide Seiten sie nutzen. Als Nutzer/-in können Sie selbst die Verschlüsselung über TLS nicht aktiv auswählen oder aktivieren. Das kann immer nur der E-Mail-Provider. Um einen sicheren E-Mail-Verkehr mit uns zu gewährleisten, achten Sie also bitte darauf, dass Ihr E-Mail-Provider ebenfalls die TLS-Verschlüsselung einsetzt.

Die meisten großen E-Mail-Provider übertragen E-Mails ausschließlich TLS-verschlüsselt, z.B. Freenet, Gmail, GMX, mailbox.org, Mail.de, Outlook, Posteo, T-Online, Web.de, Yahoo. Über 95% des E-Mail-Verkehrs in Deutschland ist schon TLS-verschlüsselt.

Im Zweifelsfall fragen Sie bitte bei Ihrem E-Mail-Provider nach, ob auch er TLS nutzt.

Falls Sie keine Übertragungsverschlüsselung nutzen möchten oder können, aber dennoch eine E-Mail-Antwort von uns wünschen, stimmen Sie somit einer unsicheren Übertragung zu.

Alternativ bitten wir Sie, uns über andere Wege zu kontaktieren, z.B. per Post.