Frage zur Online Banking Sicherheit
 

Hallo Community,

ich habe mal eine Frage zur Sicherheit beim Online Banking.

Und zwar nutze ich seit geraumer Zeit das "Mobil TAN" Verfahren meiner Bank. Jetzt wollte ich mal nachfragen ob dass sicher genug ist oder ob ich mir lieber für einen TAN-Generator entscheiden soll?

Wäre auch sehr froh hier von jemandem die Vorteile und Nachteile der oben genannten Online- Banking Methoden geschildert zu bekommen.

Mir ist natürlich bewusst das alles unsicher ist wenn man einen verseuchten PC hat, dennoch möchte ich mich natürlich so gut wie Möglich absichern und bin auf Fachkundigen Rat hier aus dem Forum interessiert:dummguck:


Gruß

Dragon

Hi,
ich würde Onlinebanking mit spezieller Software wie Starmoney machen, außerdem mit einem Cardreader, wo man Pin etc extern eingibt, kein Generator.
Vorteile sind, dass du die eingaben und ausgaben extern machst, bzw prüfen kannst, so kann niemand den Empfänger während des Bankings fälschen, bzw deinen Pin etc mit loggen.
Banking Software + Cardreader bieten bessere Verschlüsselungsmöglichkeiten.

Ich danke dir für die schnelle Antwort.


Welchen Cardreader könntest du denn empfehlen?

Ist so eine Software wie StarMoney nicht auch anfällig gegenüber Viren usw.?

Habe absolut keine Ahnung.

Vielleicht hilft das ja:

Online-Banking Verfahren

Zumindest in dieser Quelle ist das smartTAN comfort sicher.

Jetzt verwirrt es mich aber ganz, scheinbar gehen hier die Meinungen auseinander:confused:

Das steht zB. das dass:

Mobile TAN
(mTAN, SMS-TAN)
trojaner
-sicher auf dem PC.
Unsicher
auf dem Smartphone

Also müsste dieses Verfahren ja ausreichen


Bei TAN-Generator steht:

TAN-Generator
(eTAN-Plus, Bankey)
trojaner
-sicher


Jetzt frage ich mich zu was ich am besten greifen sollte, oder soll ich mich am besten mal von meiner Bank beraten lassen?

Du müsstest erstmal erfragen bzw. dich erkundigen was deine Bank überhaupt anbietet...

Mobile TAN: Ich sage nur Zitmo.

hxxp://www.computerwoche.de/a/taeter-erbeuten-mit-zitmo-trojaner-ueber-36-millionen-euro,2529075

Sogar recht aktuell. Am besten nur mit einem Phone Ohne Smart nutzen.

Haste da etwas gegen einzuwenden: Bankix oder beliebige andere Distro (gern auch fest installiert) in Kombination mit Smart-TAN-plus oder Smart-TAN-optic

Steht doch schon im Wortsalat von Dragon79

Die Kombination Windows PC/Android Smartphone macht das unsicher.

Mit Bankix und nem alten Nokia Wurfknochen sollte das Verfahren mangels Marktmasse "unknackbar" sein.

Allerdings ist das erste Szenario wohl der Normalfall heutzutage.

Was hat Smart-TAN+ bzw. -optic mit einem Handy oder Smartphone zu tun?! :confused:
Ich nutz diese Verfahren von meiner Volksbank, da ist nix mit Phone :D

Sorry, ich meinte Mobile TAN. Klar, das andere Verfahren ist fonlos.

Hallo cosinius,

ich bin auch bei der Volksbank könntest du mir bitte sagen was für ein Gerät du nutzt.

Einen Cardreader von der VVB oder diesen TAN- Generator?

Wenn du einen Cardreader benutzt würde mich interessieren ob du den von der VVB nutz oder einen anderen, eventuell kannst du mir ja auch einen empfehlen.

Ich glaub ich hab auch so ein "RainerSCT"-Gerät im Prinzip genau wie das hier:

http://www-ti.informatik.uni-tuebing...TANcomfort.jpg




Die BremischeVB hat übrigens ein Info-Video zu SmartTAN optic rausgebracht:

Wird das mit der ganz normalen EC-Karte benutzt, wird ja auch im Video so erklärt?

Gestern habe ich nämlich irgendwo von einem Gerät etwas gelesen wo man die vorhanden EC-Karte nicht benutzen kann, sondern man braucht eine spezielle Karte die erst bestellt werden muss.

Kann aber sein das das etwas anderes ist.

Leider verstehe ich auch den Sinn bzw. den Vorteile zwischen deinem geposteten Gerät und einem Cardreader.

Ja genau :)
Du musst beim Onlinebanking IMMER deine EC-Karte von dem Konto mit dem du auch die Überweisung machen willst griffbereit haben und ins Gerät schieben :Boogie:

....nicht? :dummguck:
Oder wie? :confused:

Das optic-Verfahren soll den User etwas Komfort bieten, denn er muss nicht KTO, BLZ usw manuell eintippen...das macht im Grunde der Flickercode, der User muss nach der Übertragung nur noch bestätigen, dass die Angaben die über den Flickercode gekommen sind auch RICHTIG sein :kloppen:

Bevor ich mehr schreibe bitte präzisieren oder frag einfach mal in deiner Bankfiliale, meine gibt mir immer einen :kaffee: wenn ich da bin ;)

(nur mein Tagesgeld hab ich bei den Affen nicht mehr :lmaa: bei den Volksbanken, zumindest bei meiner BremischenVB gibbet nur noch 0.25 % :mad: :koch: )

Danke werde nächste Woche mal zu meiner Bank gehen und nachfragen:party:.

War mir hat am überlegen ob ich mir einen Cardreader hole oder diesen TAN-Generator, deswegen wollte ich mir ja hier im Forum einige Infos holen.

Hi,
du musst bei deiner Bank fragen, die Bank ist eine Gruppe von Genossenschaftsbanken, und da können verwendete Verfahren varieren.
hier noch mal Infos über HBCI Banking, und die Vorteile
netplanet - Sicherheit im Internet - Sicherheit im Online-Banking
Vorteile von Cardreadern hab ich ja schon ausgeführt.
- eingabe extern, somit keine Chance für Keylogger
- Ausgabe extern, somit kannst du prüfen, ob das Geld zum richtigem Empfänger kommen, denn Banking Malware ist in der lage, Anzeigen im Browser zu manipulieren.

Das HBCI (fints) lässt sich nur mit entsprechener Banking software nutzen.
Wegen deiner Frage nach den Karten, müsste man den Bericht dazu mal sehen, falls vorhanden, mal Link posten.

Seh ich schonmal als Nachteil eher...weil mit der Bankingsoftware ist man idR ja auf ein Betriebssystem festgenagelt oder nicht? Mag vllt auch auf die Software selbst ankommen...ich fände es aber shice wenn ich zB nur unter Windows das machen könnte was ich will weil die Bank mir das vorschreibt :balla:

Nö, gibt doch Banking Software für Linux, und da das HBCI ja ein bekannter Standard is, lehne ich mich aus dem Fenster, und sage, dass unterstützen alle vernünftigen Programme unter allen Systemen (linux mac, Windows)...

Wo wir gerade beim Browser manipulieren sind, ich habe dieses TOOL hier im TB gefunden bringt das was oder eher nicht?

http://www.trojaner-board.de/109844-...ren-seite.html

Habe es übrigens installiert:rolleyes:

Welches Tool meinst du? Secure Banking?

Wenn ja:
Ich halte nichts von Banking im Browser, da kann man zu viel rumpfuschen.
Secure Banking kann zwar einiges an Malware erkennen, aber wie jede Software lösung natürlich auch versagen.
Man kann es sich natürlich trotzdem instalieren, denn vor Problemen warnt es dich ja trotzdem.
Nur finde ich, man sollte schon das Verfahren wählen, welches am sichersten ist, bzw das Sicherste was die Bank anbietet.

Nein, SmartTAN+ bzw. Optic im Browser. Muss man ja nicht unter Windows machen, sondern zB in einer VM mit OracleVirtual Box und darin Linux installiert. Oder eben gleich über ein installiertes oder Live-CD Linux.

Und Software die nur unter Windows läuft ist über jede Manipulation erhaben?! :confused:

Dann dürfte man Windows nach dieser Argumentation schonmal garnicht mehr für Onlinebanking verwenden zumindest zum jetzigen Zeitpunkt :kloppen:

Es ging eher um beitrag 21.
ich habe auch niergens behauptet, das ein System sicherer ist als das andere. Es gibt keine 100 %ige Sicherheit. Das gilt natürlich auch für die Onlinebanking verfahren, trotzdem ist, meiner Meinung nach und dem was man so lesen kann, das von mir genannte momentan am sichersten.
Aber, ja, ich bin der Meinung, das man mit einem vernünftig gepatchtem Windows + Drittanbieter Software + vernünftigem av etc sicher arbeiten kann :-)

Argh :balla: das hab ich ja übersehen die Konversationen mit dem TO noch :stirn:

Wenn unter dem vorausgesetztem Windows eh nichts ist, kann ich auch überm Browser Banking machen...
Die zusätzliche Bankingsoftware seh ich da eher als zusätzliche Angriffsfläche

Na, ne zusätzliche Fläche gibts ja nicht, der Browser fällt ja raus :-)
Aber da du hier ja wie gesagt alle Vorteile der Verschlüsselung nutzen kannst, und malware zb keine phishing Versuche einblenden kann, da sie häufig eher auf Browser angelegt ist, ist das schon mal sicherer.
Umleiten der Verbindung sollte dann auch nicht funktionieren.
zumindest das momentan sicherste Verfahren was angeboten wird
Das von dir "übersehene" Zitat sollte eigendlich eine antwort auf deinen letzten Post sein...

Dafür die Banking-Software, die nur unter Windows wohl laufen mag??!

Wenn mal jmd ein möglichst sicheres System verkaufen will, dann über Live-CD, die 1x im Monat wegen der Updates neu gebrannt wird. Dann wird auch immer ein sauberes OS gestartet und nicht ein möglichweise verseuchtes Windows, weil die Bankingsoftware mal wieder nur unter Windows läuft da die Bank keine anderen OS unterstützt :lmaa:

Sollte?! Ist die Bankingsoftware auf ein kompromittiertes Windows vorbereitet? Wenn ja wie sicher soll das sein?
Wenn ein sauberes OS die Voraussetzung sein soll für die Bankingsoftware, nun ja, das ist immer eine Voraussetzung auch für browserbasiertem Banking...

Ja ;) das hab ich ja auch schon gemerkt :D

Hi
wieso sollte die denn unter Windows allein laufen, es gibt doch, wie bereits gesagt, auch welche für linux und andere.

Moneyplex: Linux, Mac, Windows

Ok, gut - es gibt Bankingsoftware für Linux, genau in der gleichen Aussattung wie unter Windows?
Hatte da mal ein sehr negatives Erlebnis, meine Fast-Schwägerin wollte mal Onlinebanking und rief mich an:
"Du der Firefox geht nicht, das geht nur mit dem InternetExplorer und ActiveX!" :balla: :stirn: :pukeface:

Hi,
nutze das selbst nicht unter Linux, da Windows Nutzer, hatte aber schon von einigen gehört, dass es dort genauso gut läuft
Bei einigen Cardreadern ist es nötig, ein Firmware Update zu instalieren, aber das is ja im allgemeinen keine schlechte Idee.

Naja dann ist okay. Ich bleibe bei meinem SmartTAN+ bzw. Optic.
Ist browserbasiert und bietet mir deswegen größmöglichste Flexibilität.

Diese SmartTAN-optic/SmartTAN plus/chipTAN comfort/wie auch immer genannten Flickering-Geräte sind nicht browserbasierend oder nicht, sondern sie funktionieren mit diversen Grundlagen, dies kann eine eigene Bankingsoftware sein (auf Windows-, Mac- oder Linux-Grundlage oder eine browsergestützte Software/Onlinebanking im Browser. Die Software muss nur ganz einfach Flickering unterstützen.

Ok, sie sind nicht browserbasiert, über welche Software der Flickercode erzeugt weiß ja das "doofe" Gerät nicht :D aber dafür muss man halt eben noch am PC und am Geräte die Daten gegenchecken und verifizieren

Ich wollte damit nur ausdrücken, dass mein Onlinebankingverfahren bisher browserbasiert ist.

Ich sehe schon hier sind jetzt die Fachleute unter sich, sollte ich noch Fragen haben melde ich mich:cool:

Hoffe das ich die dann auch beantwortet bekomme, jetzt wollte ich aber erst mal:dankeschoen:sagen für die vielen Informationen.

Deshalb funktioniert es eben auch mit jeder Bankingsoftware, die diesen Flickercode erzeugt.

Also "Gegenchecken" tu ich nicht mit dem PC, denn da steht ja sowieso nur was ich (trotz schon getätigter Kontrolle möglicherweise falsch) eingetippt habe, sondern ich vergleiche die Anzeige von SmartTAN-optic/SmartTAN plus/chipTAN comfort/wie auch immer genannten Flickering-Geräte mit dem, was auf der Rechnung steht, die ich begleichen will. :blabla:

Nö. Wie Markusg schreibt gibt es einige Banking Programme unter Linux.

Die meisten Open Source Internet Banking Programme gibt es auch in Linux Versionen.

Da viele Programme den HBCI Standard in Form einer externen Lib benötigen (HBCI ist leider nur ein rein deutscher Standard, in anderen Ländern scheint sich das Verfahren dass sich das Banking Programm direkt mit der Bank verbindet (bisher?) nicht durchgesetzt zu haben) verwende ich Moneyplex (hat mir Stefan Becker vor langer Zeit mal empfohlen, bin sehr zufrieden. Das Programm gibt es natürlich auch für Windows.)

Ich habe die Kaufversion erworben da ich einige Funktionen die über die "Free & Easy" Version hinausgehen benötige.

Bankix kommt direkt mit korrekt konfigurierter Open Source Banking Software. Kann man direkt einsetzen oder als "Spickzettel" zur Konfiguration eines eigenen Open Source Programmes unter der eigenen Lieblings- Linux Distribution nutzen.

Bei Bezahlsoftware hat man dann natürlich den Support des Herstellers, auch das war ein Grund warum ich beim Banking ausnahmsweise keine Open Source Software einsetze.

Ja, hatte ich gestern nicht auf dem Schirm, irgendwie bin ich mal wieder von einer Bank ausgegangen, die nur Windows-Software anbietet... :stirn:

Die Software die dir kostenlos von deiner Bank angeboten wird ist natürlich Windows basiert.... Aber du kannst ja den Kaffee der Bank annehmen ohne die Software der Bank zu verwenden. :D.

Bei Banking Software würde ich wegen den Updates ein verbreitetes Programm oder eines das vom Hersteller unterstützt wird verwenden.

Im Übrigen bin ich (anscheinend im Gegensatz zu vielen hier) der Meinung dass selbst mTan sicher genug ist wenn man ein wenig Grips einsetzt... wenn im Browser die Aufforderung erscheint auf dem Handy "Sicherheitssoftware" zu installieren sollte einem eigentlich klar sein wohin der Hase läuft...

Ein Verfahren mit Kartenleser ist natürlich in Bezug auf Sicherheit das Nonplusultra, jedenfalls wenn der Kartenleser die Daten der Transaktion auf einem eigenen Display anzeigt.

Warts mal ab. Irgendwann kommt beim MTAN eine "vollautomatische" Lösung, die dir die notwendigen Zertifikate unterschiebt. Wie gesagt: Halbwegs sicher wird sowas nur bei Phone ohne SMART, spricht Steinzeithandy ohne Internet-Zugang.

Na ja, und zur aktuell "manuellen" Lösung: Was Grips angeht, sieht man die Realität ja bei den ganzen "habe aus Versehen geöffnet"-Threads hier im Forum.

Dein Szenario verstehe ich nicht.

Das einzige realistische Angriffszenario auf mTan das ich kenne besteht darin, dem Smartphone einen Trojaner unterzuschieben und dem PC einen Trojaner unterzuschieben. Beide müssen mit derselben Zentrale kommunizieren um das System auszuhebeln.

Wie sähe dein automatisches System aus ? Da müsste doch immer noch das Handy irgendwie "gekapert" werden ? Wie soll das "automatisch" passieren?

Selbst wenn Handy und PC unabhängig voneinander gekapert würden: wie sollen die beiden Trojaner herausfinden welches Handy zu welchem PC gehört ?

Klar: Steinzeithandy ist sicher.


Das Angriffsszenario das in Australien mal angewandt wurde ist hoffentlich unrealistisch: dort haben die Angreifer einfach beim Handyprovider angerufen und behauptet das Handy sei verloren gegangen, somit die SMS auf ein Handy der Angreifer umgeleitet. Ich hoffe dass die Provider mittlerweile so schlau sind das nicht mehr zu tun.

Mit "automatisch" meine ich den Wegfall der Sicherheitsabfrage "Wollen Sie den Trojaner wirklich installieren?". So was wie "drive by download" unter Nutzung von Sicherheitslücken.

Was bei Windows geht, wird auch bei Android gehen.

Das australische Szenario halte ich für echt unwahrscheinlich (statistisch gemeint). Da kann es ja nur um Einzelfälle gehen, wo man die Person kennt bzw. beraubt hat.

.. das geht bestimmt. Bleibt für den Kriminellen aber noch das Problem welcher Handytrojaner zu welchem PC Trojaner passt. Das dürfte nichttrivial sein sobald die Schadsoftware sich einigermaßen verbreitet hat.

Eine Seite (im Web) - per Mail, Fakenachricht in 'sozialen' Netzwerken etc. zugestellt - leitet den Nutzer an auf beiden Systemen jeweils den einen Teil der dazu nötigen Malware zu installieren.
So einfach ist das. :kaffee:


Mal abgesehen davon, dass ich mich Frage was an einem reinem Mobiltelefon "Steinzeit" sein soll, wenn man einfach nur ein Telefon haben will (und nicht täglich zum Ladegerät laufen will). Auch ganz abgesehen davon, dass ein simples Gerät (eben ein Mobiltelefon) + Prepaidkarte eigentlich immer im Budget eines Smartphonekiddies drin sein sollte. Kostet einmalige weniger als die Grundkosten im Monat eines 'Smartphones' und hält deutlich länger. :rolleyes:

Dann müsste ich die Nachricht aber sowohl im Handy als auch auf dem PC lesen... ich lese meine Mails aber meist nur einmal... und nur sehr selten auf dem Handy.

Leider bietet mein Pre Paid Anbieter nicht an, zwei Sim Karten unter der gleichen Nummer erreichbar zu halten, sonst hätte ich schon längst wieder mein "Steinzeithandy" parallel zum "Smartphone" im Betrieb. Es gibt eine Menge Gelegenheiten bei denen ein kleines "Steinzeithandy" viel praktischer ist als ein Smart-Prügel... und das jetzt unabhängig vom Internetbanking.

Wenn das von dir geschilderte Szenario in die Praxis kommt (und sogar Linux angegriffen wird) werde ich halt auf einen TAN Generator umsteigen...

:rofl:

EINE Seite, die die nötige Malware auf deinem PC installiert (mit deiner aktiven Hilfe oder auch ohne) und dich anweist was du tun musst, die dich auffordert auch "zur Sicherheit beim Onlinebanking" (oder anders "gut" begründet) auch noch deine Handynummer und Handymodell anzugeben und ein "notwendiges Sicherheits-App" zu installieren


gibt es schon (IIRC für Windows-PCs + diverse Smartphone-Betriebsysteme/-Modelle), musst googlen.

Aber du musst halt aktiv mitarbeiten. Tausende (Millionen?) erfolgreiche Phishing-Aktionen zeigen, dass dies gut geht.

Ohne deine Mithilfe (Eingabe der Handynummer + Modell, Information über die "richtige Bank") dürfte noch der Streuverlust doch etwas hoch sein.