Kommerzielles mTan Knacken braucht aber immer noch eine gewisse "Mithilfe" vom rechtmäßigen Kunden. Wer einigermaßen misstrauisch ist für den sollte mTan eigentlich immer noch sicher genug sein:
Zeus-Trojaner verstärkt Angriffe auf mTANs | heise online

Die recht sicheren und doch mit ca. 10 Euro nicht so teuren TAN Generatoren werden übrigens auch von vielen Online Banking Programmen unterstützt.

Königsklasse sind - klar- die von bankolyt favorisierten Chipleser.. leider recht teuer und leider bieten viele Banken dieses Verfahren gar nicht an.

Also ich mache onlinebanking über HBCI mit einem Programm daß mir dafür von meiner Bank zur Verfügung gestellt wurde. Das ganze läuft mit einem key auf einem USB Stick, und auf diesem Stick befindet sich auch NUR der key.

Ich habe jetzt bei einer Bank wegen eines Tagegeldkontos mit HBCI Zugang angefragt.

Die "anonymisierte" Antwort vom Kundendienst:

Zitat:

Sehr geehrter Herr XXX,

vielen Dank für Ihre Nachricht.

Die von vielen Softwareanbietern für Online-Banking in Deutschland genutzte HBCI Schnittstelle wird von UNSERERBANK derzeit nicht unterstützt, daher ist eine automatische Einbindung in die Softwarelösungen von Drittanbietern leider nicht möglich.

Daher muss der Softwareanbieter UNSERERBANK manuell in seine Software aufnehmen. UNSERERBANK hat bereits mit mehreren Anbietern gesprochen, um diesen Prozess zu beschleunigen. Bitte wenden Sie sich an Ihren Softwarehersteller.

Haben Sie noch Fragen? Für allgemeine Fragen besuchen Sie einfach die Rubrik 'Häufige Fragen' auf unserer Website. Bei speziellen Fragen senden Sie uns bitte eine E-Mail an ....

Mit freundlichen Grüßen,
Ihr UNSERERBANK Kundenservice

.. wenn genug Kunden den Banken schreiben dass sie keine Wiedereinführung proprietärer Insellösungen wünschen tut sich da vielleicht noch was...

<Edit / hat sich erledigt>Man vermeide horizontales Scrollen, wenn man was ordentlich lesen können soll. </edit>

Proprietäre Insellösungen könnten aber auch den Vorteil haben, dass die Inseln zu unrentabel für die Bösewichte sind.

Hallo zusammen,

ich beschäftige mich auch grad mit dem Thema. Wenn ich das richtig sehe, sollte mTan doch noch sehr sicher sein, wenn der Anwender aufmerksam ist. Wenn man nun statt Smartphone ein klassisches Handy ohne infizierbares Betriebssystem nutzt, sollte das doch absolut sicher sein. Was ist mit diesen Tangeneratoren , die man mit Karte nutzt (chipTan etc.)? Kein Betriebssystem, kein Virus und ich kann unabhängig vom Browser die Transaktionsdaten prüfen. Was soll da schiefgehen? Habe mal ein wenig gegoogelt, "chipTan" ist m.E. bis jetzt noch nicht geknackt worden.
Vermutlich wird der sicherste Weg sein immer das neueste Verfahren zu nutzen, da jedes Verfahren irgendwann mal von den "bösen Jungs" überlistet wird.

LG
Emander

Zitat:

Zitat von emander

wenn der Anwender aufmerksam ist.

Dann wäre vieles nicht nötig bzw. vieles sicher.
Das Forum wäre vermutlich vom Umfang nur im einstelligen Prozentbereich des jetzigen Stands.

Zitat:

Zitat von emander

Hallo zusammen,

ich beschäftige mich auch grad mit dem Thema. Wenn ich das richtig sehe, sollte mTan doch noch sehr sicher sein, wenn der Anwender aufmerksam ist. Wenn man nun statt Smartphone ein klassisches Handy ohne infizierbares Betriebssystem nutzt, sollte das doch absolut sicher sein. Was ist mit diesen Tangeneratoren , die man mit Karte nutzt (chipTan etc.)? Kein Betriebssystem, kein Virus und ich kann unabhängig vom Browser die Transaktionsdaten prüfen. Was soll da schiefgehen? Habe mal ein wenig gegoogelt, "chipTan" ist m.E. bis jetzt noch nicht geknackt worden.
Vermutlich wird der sicherste Weg sein immer das neueste Verfahren zu nutzen, da jedes Verfahren irgendwann mal von den "bösen Jungs" überlistet wird.

LG
Emander

Es wurde beides schon geknackt, trotzdem ist für halbwegs aufmerksame Kunden beides noch sicher genug.

Beim Chiptan wurde per "Man in the Browser" dem Kunden eine "Testüberweisung" untergejubelt die dann in den Umsätzen im Browser nicht angezeigt wurde.

Die Kunden die die "Testüberweisung" tätigten und mit ihrem ChipTan Gerät bestätigten überwiesen wirklich Geld an die Gauner. Wer bei solchen Sachen misstrauisch ist fällt nicht darauf herein.

Ein anderer Trick war: im Browser wird eine fehlerhafte Gutschrift angezeigt und der "Überweisende" bittet einen das Geld "zurückzuüberweisen". Da die Gutschrift nie erfolgt war etc....


Auch hier: bei einem gesunden Misstrauen würde das nicht funktionieren.


Mtan: da gab es in Australien mal einen sehr fiesen Fall in dem die Gauner die Telefongesellschaft überzeugen konnten dass die SMS bitte ganz dringend an eine andere Nummer geschickt werden müssten.. in dem Falle war die Telefongesellschaft so dämlich.

Das ist aber nicht der Normalfall, im Normalfall versuchen die Gauner dir den PC und das Smartphone zu infizieren. Meist indem der Browser beim internetbanking die Nachricht anzeigt man müsse "unbedingt Sicherheitssoftware für das Smartphone nachinstallieren".

Auch hier : ein misstrauischer Nutzer würde nicht drauf reinfallen.

Oder um das was Shadow schrieb mal mit einem alten Fabel-Spruch auszudrücken:

"Die Klugheit des Fuchses wird oft überschätzt weil man ihm die Dummheit der Hühner als Verdienst anrechnet".

Leider scheint der Kunde zu dusselig zu sein um das zu begreifen. Bei den meisten Banken für Tagegeldkonten bei denen ich nachgefragt hatte steht HBCI gar nicht zur Verfügung.

Eigentlich logisch: mit HBCI und Banking Software wird es für den Kunden viel leichter die Bank zu wechseln. Da eine Bank die HBCI anbietet zusätzlich eh noch ein Webportal anbieten muss ist die Motivation für ausländische Banken nicht sehr hoch, zumal anscheinend nur ein Bruchteil der Deutschen Bankensoftware einsetzt.

Zum horizontalen Scrollen:

Zitat:

Gibt es hier eigentlich auch eine "quote" Funktion ?

Ah.. offensichtlich gibt es die... kann evtl. ein Mod in meinem Beitrag das "code" durch "quote" ersetzen ?

Zitat:

Zitat von W_Dackel

kann evtl. ein Mod in meinem Beitrag das "code" durch "quote" ersetzen ?

kann und hat gekonnt

Vielen Dank!

Zu "proprietären Insellösungen" versuche ich mich kurz zu fassen: war bei einem Fachhändler und einer Autowerkstatt weil ich in mein 12 Jahre altes Auto ein neues Radio einbauen wollte. Leider sind die "Marken"hersteller jetzt bei Autos wieder endgültig da dass jeder sein eigenes Süppchen kocht. Statt dass das Auswechseln eines Radios- wie es bei Einhaltung der Standards wäre- so einfach ginge wie das Auswechseln einer Glühbirne habe ich es jetzt aufgegeben da sowohl Autoteile Unger wie auch meine Fachwerkstatt sich überfordert fühlten. (Ich habe keine Lust Stunden meines Urlaubs damit zu verbringen am Radio rumzufrickeln und hinterher evtl. nur mit Teillösungen leben zu müssen..)

Bleibt halt das alte Radio drin und der Ärger über die dummen Kunden die sich Insellösungen aufdrücken lassen .. und den Herstellern nicht klar machen dass die sich gefälligst an die Standards halten und Teile / Dienstleistungen austauschbar halten sollen so dass eine Marktwirtschaft in Gang kommt....


Auch der Erfolg von Apple zeigt dass man mit Insellösungen gut Geld verdienen kann...

Hallo!

Oder mache es unvorhersehbar wie ich: Ich habe einen extra abgestellten Pentium 500-II mit einer Windows 98 Partition, auf der die Bankingsoftware läuft, natürlich über HBCI. Der Rechner wird nur für diese eine Internetverbindung benutzt

Grüße, Sascha

Keine gute Idee.. Windows 98 wird nicht mehr gepatcht, viele Lücken die bereits in '98 vorhanden sind werden von anderer Software ausgenutzt, außerdem gibt es bestimmt noch viele "Opfer" die mit Win98 im Netz unterwegs sind.

=> Bad Idea, das einzige was deine Win98 Kiste schützt ist dass du außer Banken nichts anderes tust.. und dass du wahrscheinlich hinter dem Paketfilter eines Routers hängst.

=> Die Grundidee ist schon richtig, probiere doch mal Bankix auf diesem Rechner aus.. also Festplatte raus, Bankix auf USB Stick mit Schreibschutz, zweiten USB Stick rein für die Daten, dann bist du sehr sicher unterwegs... (falls die alte Kiste USB kann...)

=> Oder ein Xubuntu oder Lubuntu drauf. Außer Gnucash und HIBISCUS läuft dort auch das kommerzielle Programm Moneyplex ( verwende ich, dient meinen Zwecken sehr gut, vor allem der Mailsupport ist klasse...)

Deswegen sagte ich ja "ausschließlich für Onlinebanking" benutzt Sobald man damit den Browser oder Email benutzen will, ist die Idee schon hinfällig und unbedingt davon abzuraten. Für mich klappt das seit über 10 Jahren bombensicher...

.. ich nehme an dass er gegen das Internet durch einen Paketfilter geschützt ist.

Er sollte dann aber auch nicht von den anderen Rechnern im LAN aus erreichbar sein.. sei es durch spezielle Router in ein separates Subnetz getrennt.. oder dadurch dass er nie läuft wenn ein anderes Gerät im LAN / WLAN aktiv ist.

Sonst könnte er durch einen infizierten PC im LAN / WLAN kompromittiert werden.

Insgesamt habe ich den Verdacht dass eine Linux Variante doch besser wäre als ein altes ungepatchtest Betriebssystem... auch wenn ich zugebe dass die Wahrscheinlichkeit dass du mit deiner Methode auf die Nase fällst sehr gering ist...

ja, onlinebanking über den browser zu machen, ist, wie ich ja schon 1-2 mal ausgeführt hab, fahrlässig.
chipcard reader, der klasse 3, und banking software wie starmoney, und man ist gut dabei
natürlich ist es nötig, das das dazugehörene system immer auf dem aktuellen stand ist, auch dritt anbieter software.
und die banking software natürlich auch, und evtl. neue firmware updates des cardreaders eingespielt werden.
oder über ne linux cd, dort aber trotzdem, banking über spezielle software, da hier bessere verschlüsselungsmöglichkeiten gegeben sind, und über den cardreader.