|
Sicheres Onlinebanking? Hi, Ich wollte mir Onlinebanking zulegen. Doch in letzter Zeit habe ich vermehrt von neuen Banktrojanern gelesen (ZeuS 3, SpyEye etc.), welche zB. den Browser abstürzen lassen, nachdem man die TAN eingegeben hat, oder ein Textfeld unbemerkbar über das TAN-Eingabefeld legen oder einfach keyloggen/formgrabben. Ziemlich fies... Was kann man also unternehmen um sicher Onlinebanking zu betreiben? Meine Idee: Eine VM installieren, welche man ausschließlich zu diesem Zweck nutzt (und mittels Rückgängigdatenträger oder Snapshots keine weiteren Systemveränderungen zulässt.) Zusätzlich evtl. noch Keyscrambler installieren. Was haltet ihr davon? |
naja, erst mal solltest du dir überlegen, ist mein system wirklich abgesichert? welches windows setzt du denn ein? zur absicherung gehören auch updates, aktuelles windows, aktuelle programme. dann muss man ja nicht pin /tan verfahren nutzen. man kann auch mit chipcard online banking betreiben, was zwar etwas kostet (hardware) aber sicherer ist als pin/tan. folgende verfahren stehen zur verfügung: kombination aus FINTS/HBCI FINTS als einzellösung HBCI als einzellösung. verfahren habe ich nach sicherheit sortiert. da solltest du dich von deiner bank beraten lassen. du könntest natürlich auch über ne linux cd, ubuntu z.b., online banking betreiben. aber wie gesagt, wenn man win richtig "pflegt" und absichert ist das eigendlich auch sehr gut möglich sicher online banking zu machen |
Eine Linux-CD wäre also bei TAN-Nutzung am sichersten? |
ist ne möglichkeit, obwohl das verfahren mit der tan schon an sich das unsicherste ist. also sollte man dort ansetzen und aufrüsten. |
|
Da ich mich auch mit der Frage "Sicheres Onlinebanking?" beschäftige, grab ich diesen Thread noch mal aus. Habe bisher Online-Banking über den Browser mit mTan-Verfahren betrieben. Da aber in jüngster Vergangenheit mal mein Email-Passwort geknackt wurde (ich vermute BruteForce - s. http://www.trojaner-board.de/121089-...achstelle.html), mache ich mir doch noch mal ein bisschen mehr Gedanken um die PC-Sicherheit. Hier im Forum wird, wenn ich das richtig verstanden hab, immer StarMoney + Chipkarte fürs Online-Banking empfohlen. Ich bin da leider noch nicht ganz schlau draus geworden, ob das bei meiner Bank auch funktioniert. Bin bei ner großen gelben Bank, die auch ne Menge Briefe und Pakete verschickt :pfeiff:... Die bieten das chipTAN-Verfahren an. Ist das jetzt das gleiche wie die von euch empfohlene Variante oder ist das wieder ne andere Kiste? (chipTAN kenne ich generell - benutzen Bekannte). Gibt es irgendwo so ne Art FAQ, wo sich solche generellen Sachen klären lassen? Klar, ich will jetzt nicht ne Anleitung für StarMoney, denke, das werd ich schon hinkriegen, wenn ichs mir zugelegt hab. |
hi, für dich wäre hbci banking geeignet. nicht mit tan generator, sondern mit einem eingabegerät, wo du deine karte einführst, und das du dann über ne banking software wie starmoney nutzen kannst. keylogger hätten dann zb keine chance, da du viele eingaben am cardreader vor nimmst. starmoney ist dabei nur eine von mehreren möglichen programmen. deine bank sollte dieses verfahren (hbci banking) anbieten, aber dass sollte dir dein berater dort sagen können. das ist im moment das sicherste verfahren was man nutzen kann. |
Ok - vielen Dank schon mal für die Info. Dann werd ich mich da mal versuchen, drüber schlau zu machen und muss tatsächlich ggf. mal gucken, wen man bei der Postbank denn da fragen könnte (bestimmt nicht die Leute am Schalter ;-) Falls du zufällig noch Internet-Literatur zu dem Thema parat hast, kannst du mir ja gerne noch mal nen Link hier reinstellen. Was Chipkartenleser und Banking-Software angeht, bin totaler Neuling. Das Stichwort "HBCI" werd ich dann in den nächsten Tagen auch mal im Netz suchen. :dankeschoen: |
hi normalerweise sollten die leute am schalter dir weiter helfen können, oder mal die service hotline anrufen. hier mal was über die verfahren: netplanet - Sicherheit im Internet - Sicherheit im Online-Banking |
Ich würde dir da Kaspersky Internet Security empfehlen. Da gibt es einen "Sicheren Browser" und eine Tastatur die auf dem Bildschirm erscheint. 30 Tage Test-Version >> www.computerbild.de/download/Kaspersky-Internet-Security-2012-1051597.html 1. Jahr 39,90 Euro, weiteres Jahr 29,90 Euro. Bis jetzt, meiner Erfahrung nach, die performanteste Internet Security. Gruß, Sawell. |
ist immernoch banking über den browser, und damit unsicherer, da die im browser verfügbaren protokolle normalerweise nicht für onlinebanking gedacht sind. |
Vielen Dank für den Tipp mit Kaspersky! Ich benutzte allerdings ein anderes Antiviren-Programm, mit dem ich recht zufrieden bin. Ein zweites zu installieren geht ja bekannter Maßen schief. Werde mich daher mal in die Variante mit Kartenleser und ner Banking-Software einlesen. Auf diesem Wege hab ich auch wieder ne Spielerei mehr, die außerdem auch noch Sinn macht :singsing: Ich findes zudem auch eine sehr interessante Materie. Und mit mehr Wissen, soll ja die "brain.exe" angeblich auch besser arbeiten :applaus: Edit: Wie ich grade in einem FAQ meiner Bank gelesen habe, wird Online-Banking mit einer HBCI-Karte nicht angeboten - fällt also für mich leider raus :-/ Frage: Welches Verfahren bietet sich denn dann am ehesten für mich an ? |
hi bist du dir sicher? hatte da was anderes gelesen, evtl. wurde die faq nicht aktualisiert, wie gesagt, frage erst mal deine bank direkt was sie anbieten |
Das FAQ war angeblich von 2012. Es ist aber online auch irgendwie nicht so ganz ersichtlich. Im Geschäftskundenbereich steht was von StarMoney professional, da ist dann HBCI mit Chipkarte aufgeführt. Auswählen kann ich als Privatkunde aber nur mTAN, irgendein Verfahren mit nem speziellen USB-Stick und ChipTAN. Ich hab aber grad mal ein Ticket an den Support geschickt, wo ich speziell nach HBCI mit Chipkarte gefragt hab. Werde euch dann hier auf dem laufenden halten. |
meinst du bestSign? |
Jo, das meinte ich. Wie wäre das Ding denn sicherheitstechnisch zu beurteilen? Käme das als Alternative in Frage? Antwort vom Support habe ich natürlich noch nicht erhalten - war wahrscheinlich schon ein bisschen spät, als ich da angefragt hab. |
Ich bin auch bei der Postbank, benutze HBCI mit mTan über Moneyplex (unter Linux). Fühle mich da relativ sicher, zumal ich Moneyplex auf einem Truecrypt Container installiert habe. Als ich mich damals erkundigt hatte wurden weder TAN Generatoren noch Chipkarten von der Postbank unterstützt, laut dem Vergleich hier ist das wohl immer noch so: http://www.optimal-banking.de/info/hbci-banken.php Edit: es gibt ja doch was Neues: die Postbank unterstützt seit Neuestem ChipTAN: https://www.postbank.de/privatkunden...pt_online.html .. viele HBCI Programme unterstützen das auch .. sie können das entstehende Flackermuster am Bildschirm erzeugen so dass du den ChipTan Generator -wie beim Browser- einfach an den Bildschirm halten kannst um die TAN zu erzeugen. Edit: ärgerlich dass die Postbank das "ChipTAN" nennt.. vielleicht auch Absicht, damit könnte es mit den Verfahren mit Chipkartenlesern verwechselt werden, obwohl es nach der Beschreibung nur ein "optisches TAN Verfahren" ist. Da die Postbank hier in Deutschland sehr viele Kunden hat dürfte jedes kommerzielle HBCI Programm das bei dieser Bank unterstützen.. vor Kauf von Software würde ich aber direkt beim Hersteller nachfragen... Mail kostet ja nichts.. Hier die Liste von Moneyplex, das Programm kann es wohl, ausprobiert habe ich das noch nicht da es auf absehbare Zeit keine Schadsoftware geben dürfte die unter Linux mTan bei HBCI Software abgreift... http://www.matrica.de/produkte/mpfea...ml#featurelist Bitte nimm die Vergleiche auf "optimal banking" nur als Hinweis... viele Daten auf der Seite sind veraltet, und einen "Testsieger" bei HBCI Programmen auszuloben wenn auf der eigenen Seite Anzeigen von diesem Testsieger geschaltet sind ist.... nennen wir es mal nicht so vertrauenserweckend... Du kannst zum Start übrigens mit OpenSource experimentieren: Gnucash und Hibiscus sind frei und vielleicht können sie ja schon alles was du brauchst. Wegen des Supports habe ich mich an der Stelle für Kaufsoftware entschieden... bei kostenloser Software hat man (logischer weise) keinen Anspruch auf Support.. Edit: da war ja noch eine Frage offen... nach meinem Informationsstand ist mTAN ohne "Benutzerdummheit" extrem schwer zu knacken. Bei dem einen Fall den ich kenne in dem es ohne "aktive Mithilfe" des Benutzers ging hatten die Gauner bei der Telefongesellschaft angerufen und sich die Handynummer auf die eigene Sim Karte umgeleitet. (Vor Jahren in Australien.. ich schätze mal heutzutage werden die Telefongesellschaften da vorsichtiger sein..) Alle anderen Fälle erfordern die Installation von Schadsoftware auf dem Smartphone die dann mit Schadsoftware auf dem PC kooperieren muss... wenn man als Benutzer aufpasst dürfte das für die Gauner sehr schwierig werden... Nach meinem Informationsstand wurden die optischen TANs (was die Postbank "ChipTan" zu nennen scheint) noch nie geknackt, die "echten" Chips mit separatem Chipleser der eine eigene Anzeige hat.. gelten gegenwärtig als komplett unknackbar.. |
So, hab grad Antwort von der Bank erhalten: Wie erwartet, wird das HBCI-Verfahren mit Chipkartenleser nicht angeboten. Gründe dafür seien die verminderte Flexibilität der Bankkunden - man könne ja auf diesem Wege nicht mal einfach im Büro über sein Konto verfügen. Außerdem sei der Anschaffungspreis von ca. 70€ dem meisten Kunden viel zu hoch. Das HBCI-Verfahren könne ich aber gerne mit einer Banking-Software nutzen - natürlich ohne Chipkarte. Tja, bleibt die Frage, welches Verfahren kommt dann am ehesten in Frage? Hier auch schönen Dank an W_Dackel für die Infos. |
hi dann würde ich bestsign + hbci nutzen das scheint mir immernoch das sicherste zu sein, da die daten hier noch digital signiert sind. um die zahlung zu überprüfen, dazu immer auf das usb gerät gucken, nicht auf den bildschirm, da man dort die anzeige prinzipiell fälschen kann. banking im browser ist wie gesagt ebenfalls nicht sicher, da der browser nicht das passene protokoll anbietet etc. und malware ist eher auf browser angelegt, nicht auf spezielle banking software. (updates muss man da natürlich trotzdem einspielen) wegen dem "im büro aufs banking zugreifen" ich würde weder im büro, und schon gar nicht im internet kafee oder auf sonst irgend nem fremden rechner online banking machen, das ist viel zu risiko voll. |
Okay. Dann würd ich mir erstmal testweise ne FreeWare Banking-Software zum Testen besorgen und dann mal n paar Euros für diesen USB-Stick ausgeben. Wenn ich damit nicht zurecht komme, müsst ihr wieder her halten :taenzer: Ansonsten schon mal ein dickes Dankeschön an alle, die mir hier mit Rat und Tat zur Seite gestanden haben. Edit: Grad gesehen, dass man StarMoney 8.0 erstmal kostenlos testen kann. Laut Postbank soll BestSign mit StarMoney 8.0 funktionieren. Ich bin gespannt... |
hi zu dem stick gibts auch ne detailierte beschreibung auf der postbank seite hatte da gestern zumindest was gesehen und kanns bei bedarf noch mal suchen |
Diese Bestsign Sache ist schon ne tolle Angelegenheit dürfte genau so sicher sein wie der TAN Generator... Moneyplex kannst du übrigens auch kostenlos in der Privatversion testen.. wenn du nach nem Monat nicht bezahlst schränkt sich der Funktionsumfang dann eben auf denjenigen der Free Version ein. (Vorteil: mit Moneyplex kannst du ggf. später auf Linux umsteigen da es die SW auch dafür gibt.) |
hi, das mit den generatoren die man vor den bildschirm hält ist halt so ne sache: Online-Banking-Trojaner hat es auf chipTAN-Nutzer abgesehen | heise Security also zumindest bestätigt sich hier wieder, banking im browser ist halt nichts :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board