Kommerzielles mTan Knacken braucht aber immer noch eine gewisse "Mithilfe" vom rechtmäßigen Kunden. Wer einigermaßen misstrauisch ist für den sollte mTan eigentlich immer noch sicher genug sein:
Zeus-Trojaner verstärkt Angriffe auf mTANs | heise online

Die recht sicheren und doch mit ca. 10 Euro nicht so teuren TAN Generatoren werden übrigens auch von vielen Online Banking Programmen unterstützt.

Königsklasse sind - klar- die von bankolyt favorisierten Chipleser.. leider recht teuer und leider bieten viele Banken dieses Verfahren gar nicht an.

Also ich mache onlinebanking über HBCI mit einem Programm daß mir dafür von meiner Bank zur Verfügung gestellt wurde. Das ganze läuft mit einem key auf einem USB Stick, und auf diesem Stick befindet sich auch NUR der key.

Ich habe jetzt bei einer Bank wegen eines Tagegeldkontos mit HBCI Zugang angefragt.

Die "anonymisierte" Antwort vom Kundendienst:

Zitat:

Sehr geehrter Herr XXX,

vielen Dank für Ihre Nachricht.

Die von vielen Softwareanbietern für Online-Banking in Deutschland genutzte HBCI Schnittstelle wird von UNSERERBANK derzeit nicht unterstützt, daher ist eine automatische Einbindung in die Softwarelösungen von Drittanbietern leider nicht möglich.

Daher muss der Softwareanbieter UNSERERBANK manuell in seine Software aufnehmen. UNSERERBANK hat bereits mit mehreren Anbietern gesprochen, um diesen Prozess zu beschleunigen. Bitte wenden Sie sich an Ihren Softwarehersteller.

Haben Sie noch Fragen? Für allgemeine Fragen besuchen Sie einfach die Rubrik 'Häufige Fragen' auf unserer Website. Bei speziellen Fragen senden Sie uns bitte eine E-Mail an ....

Mit freundlichen Grüßen,
Ihr UNSERERBANK Kundenservice

.. wenn genug Kunden den Banken schreiben dass sie keine Wiedereinführung proprietärer Insellösungen wünschen tut sich da vielleicht noch was...

<Edit / hat sich erledigt>Man vermeide horizontales Scrollen, wenn man was ordentlich lesen können soll. </edit>

Proprietäre Insellösungen könnten aber auch den Vorteil haben, dass die Inseln zu unrentabel für die Bösewichte sind.

Hallo zusammen,

ich beschäftige mich auch grad mit dem Thema. Wenn ich das richtig sehe, sollte mTan doch noch sehr sicher sein, wenn der Anwender aufmerksam ist. Wenn man nun statt Smartphone ein klassisches Handy ohne infizierbares Betriebssystem nutzt, sollte das doch absolut sicher sein. Was ist mit diesen Tangeneratoren , die man mit Karte nutzt (chipTan etc.)? Kein Betriebssystem, kein Virus und ich kann unabhängig vom Browser die Transaktionsdaten prüfen. Was soll da schiefgehen? Habe mal ein wenig gegoogelt, "chipTan" ist m.E. bis jetzt noch nicht geknackt worden.
Vermutlich wird der sicherste Weg sein immer das neueste Verfahren zu nutzen, da jedes Verfahren irgendwann mal von den "bösen Jungs" überlistet wird.

LG
Emander

Zitat:

Zitat von emander

wenn der Anwender aufmerksam ist.

Dann wäre vieles nicht nötig bzw. vieles sicher.
Das Forum wäre vermutlich vom Umfang nur im einstelligen Prozentbereich des jetzigen Stands.

Zitat:

Zitat von emander

Hallo zusammen,

ich beschäftige mich auch grad mit dem Thema. Wenn ich das richtig sehe, sollte mTan doch noch sehr sicher sein, wenn der Anwender aufmerksam ist. Wenn man nun statt Smartphone ein klassisches Handy ohne infizierbares Betriebssystem nutzt, sollte das doch absolut sicher sein. Was ist mit diesen Tangeneratoren , die man mit Karte nutzt (chipTan etc.)? Kein Betriebssystem, kein Virus und ich kann unabhängig vom Browser die Transaktionsdaten prüfen. Was soll da schiefgehen? Habe mal ein wenig gegoogelt, "chipTan" ist m.E. bis jetzt noch nicht geknackt worden.
Vermutlich wird der sicherste Weg sein immer das neueste Verfahren zu nutzen, da jedes Verfahren irgendwann mal von den "bösen Jungs" überlistet wird.

LG
Emander

Es wurde beides schon geknackt, trotzdem ist für halbwegs aufmerksame Kunden beides noch sicher genug.

Beim Chiptan wurde per "Man in the Browser" dem Kunden eine "Testüberweisung" untergejubelt die dann in den Umsätzen im Browser nicht angezeigt wurde.

Die Kunden die die "Testüberweisung" tätigten und mit ihrem ChipTan Gerät bestätigten überwiesen wirklich Geld an die Gauner. Wer bei solchen Sachen misstrauisch ist fällt nicht darauf herein.

Ein anderer Trick war: im Browser wird eine fehlerhafte Gutschrift angezeigt und der "Überweisende" bittet einen das Geld "zurückzuüberweisen". Da die Gutschrift nie erfolgt war etc....


Auch hier: bei einem gesunden Misstrauen würde das nicht funktionieren.


Mtan: da gab es in Australien mal einen sehr fiesen Fall in dem die Gauner die Telefongesellschaft überzeugen konnten dass die SMS bitte ganz dringend an eine andere Nummer geschickt werden müssten.. in dem Falle war die Telefongesellschaft so dämlich.

Das ist aber nicht der Normalfall, im Normalfall versuchen die Gauner dir den PC und das Smartphone zu infizieren. Meist indem der Browser beim internetbanking die Nachricht anzeigt man müsse "unbedingt Sicherheitssoftware für das Smartphone nachinstallieren".

Auch hier : ein misstrauischer Nutzer würde nicht drauf reinfallen.

Oder um das was Shadow schrieb mal mit einem alten Fabel-Spruch auszudrücken:

"Die Klugheit des Fuchses wird oft überschätzt weil man ihm die Dummheit der Hühner als Verdienst anrechnet".

Äußerst wichtiges Thema hier in der "Security" Community, dem Trojaner Board, das ich sehr interessiert und aufmerksam verfolge,
um dadurch mein Online Banking zu optimieren bzw. sicherer zu machen.

Musste vor vier Jahren bitterböse Erfahrungen mit Online Banking machen und viel Lehrgeld zahlen, weil ich leichtsinnig mit meiner Kreditkarte
(Kreditkartennummer wurde abgefischt) im Internet zahlte. Seitdem ist für mich: Kauf mit Kreditkarte im Internet absolut out - also, no Way!

Meine Installation für Online Banking wie folgt:

1. Immer die aktuelle Kaspersky Internet Security 2013 mit den Tools: "Sicherer Zahlungsverkehr, sichere Tastatur" etc. installiert!
2. Zusätzlich Browserschutz Tools (immer aktualisiert): WOT, No Script und Spyware Blaster
3. Programmkontrolle: Win Patrol und Secunia PSI
4. Windows Firewall, Windows Defender, Kaspersky Firewall und automatische Sicherheits-updates.
   
5. Installation eines völlig vom System separaten Browser - auf USB-Stick: Mozilla Fire Fox Portable 15.0.1
   (der aktuelle Ff 16.0.2 ist leider zurzeit noch nicht kompatibel mit KIS 2013 - Vers. 13.0.1.4190)

Hier die Snapshots zum Ff-Portable 16.0.2- da nicht kompatibel - 15.0.1

-->-->

.
Wie ist eure Meinung zu diesem Sicherheitskonzept für das Online Banking?

Für eine sachdienlich-kritische Meinung/Info. wäre ich der Community sehr dankbar.

Mit meinen besten Grüßen

Simplex

Ps.: In den Anhängen (Add-on Manager) sind die Security-Tools erkennbar: