die auf dem Rechner läuft?


Bei dieser Frage beziehen wir uns in beiden Fällen auf
das gleiche Homebanking Verfahren, also z.b. iTAN (da es am meisten verbreitet ist) und kein HBCI usw..


Mir geht es nur darum zu wissen, was leichter manipulierbar ist.
Eine spezielle Homebanking Software die auf dem Rechner des Benutzers läuft
oder eben die Homebanking Webseite der Bank die mit dem Browser angewählt und bedient wird.

Wo sind die Vor- und Nachteile beider Verfahren?

Frage: Wozu willst das wissen?

100% sicher ist keins von beiden.Man kann auch beides manipulieren.
Pauschal würde ich aber sagen das das "einbrechen" in den Bankrechner schwieriger ist als deinen Rechner(und damit die Software) zu kompromitieren.

mfg
Drunk

Das kommt immer darauf an, wer der Browserhersteller und der Banksoftwarehersteller ist. Wenn einer von denen die Arbeit schlampig gemacht hat ist das jeweilige Verfahren halt unsicherer. Wenn man verantwortungsvoll mit der Software umgeht, die man benutzt, dann sollten eigentlich beide Systeme gleich sicher sein. Installiert man allerdings ständig exe-Dateien und nennt sich selbst Poweruser, dürfte die Banksoftware sicherer sein, da Angreifer wohl eher auf den Browser abziehlen, da diesen mehr Leute benutzen.

Bei der Banksoftware fällt halt Phising schonmal weg!!

Aber ansonsten nehmen sich die beiden nicht viel möchte ich meinen.

Ich habe noch nie Banksoftware benutzt, sondern immer Online-Banking und bis jetzt wurde mein Girokonto noch nicht 'leergeräumt'.

einzig halbwegs sicher ist bankingsoftware über hcbi mit entsprechendem kartenleser.

Sehe ich ähnlich. PIN/TAN in allen seinen Variationen ist einfach ein Verfahren aus dem letzten Jahrtausend, die ganze Sicherheit ist arg dürftig.
Bei Webseiten kommt es darauf an, was du sonst noch am Rechner machst und welchen Browser du benutzt, Stichwort XSS--Homebankingsoftware ist zwar grundsätzlich auch anfällig, das dürfte aber von Antivirenprogrammen noch besser erkannt werden als Versuche, Sicherheitslücken im Browser auszunutzen.

-huha

die auf dem Rechner läuft?


Bei dieser Frage beziehen wir uns in beiden Fällen auf
das gleiche Homebanking Verfahren, also z.b. iTAN (da es am meisten verbreitet ist) und kein HBCI usw..


Mir geht es nur darum zu wissen, was leichter manipulierbar ist.
Eine spezielle Homebanking Software die auf dem Rechner des Benutzers läuft
oder eben die Homebanking Webseite der Bank die mit dem Browser angewählt und bedient wird.

Wo sind die Vor- und Nachteile beider Verfahren?

software ist um längen komfortabler und zumindest einen tick sicherer (phishing). (btw: chipkarte geht nciht ohne software)
spätestens bei der nutzung von mehr als einer bank und dem immer wiederkehrenden logins würde ich auf software setzen.
dazu kommt die vorhaltungszeit auf den webservern der banken (maximal 180 Tage), ältere Umsätze sind nicht mehr einsehbar. ohne Kontoauszüge sieht man da schnell alt aus.

wichtig: die software sollte über vernünftige exportfunktionen verfügen, sonst ist eventuell eines tages der datenbestand futsch. bekannt sind mir lexware quicken, Starfinanz StarMoney, SFirm32, Omicron MultiCash + ZVLight.
für den haus+hofgebrauch reicht starmoney vollkommen aus, wenn man eine echte finanzverwaltung mit bracuhbaren auswertungsfunktionen will würde ich eher Quicken oder gar Quicken Deluxe empfehlen. Funktionell und preislich absoluter Overkill und eher für Mittelständische Unternehmen gedacht wäre dann SFirm (in der Grundausstattung NULL Auswertungsfunktionen, vernünftig ausgestattet liegt das teil schnell bei mehreren hundert euranten.

Fazit:
ohne software (alle Banken bei mir mit PIN/TAN) kontrollier ich nur kontostände im notfall (Urlaub und mein Rechner nicht erreichbar ..
nach 8 Jahren Softwarenutzung (11 jahre internetbanking) möchte ich den Komfort und die beobachtungsfunktionen nicht mehr missen.

einzig halbwegs sicher ist bankingsoftware über hcbi mit entsprechendem kartenleser.
Sehe ich ähnlich. PIN/TAN in allen seinen Variationen ist einfach ein Verfahren aus dem letzten Jahrtausend, die ganze Sicherheit ist arg dürftig.

das ist so defintiv nicht richtig.
1. mir ist kein fall bekannt, wo irgendeine homebankingsoftware gehackt/manipuliert wurde, so das auch nur einsichtnahme geschweige denn kontobewegungen mißbräuchlich nutzbar gewesen wäre.
2. das TAN-Verfahren wurde ja weiterentwickelt, iTAN (Hauptsächlich als Antiphishing und sogar relativ erfolgreich) und inzwischen noch mTAN (mobil-TAN, TAN wird per SMS aufs Handy geschickt) und SmartTAN (Tangenerator, zur Bedienung wird die EC-Karte benötigt)

egal wie man es dreht, mit Software ist sicherer als übers Web ;)

Was gibt es eigentlich an guter Software für Linux?

das ist so defintiv nicht richtig.

Doch, ist es. PIN/TAN ist "defective by design" und aufgrund der verwendeten extrem dürftigen Authentifizierung und/oder Verschlüsselung definitiv nicht mehr zeitgemäß.

1. mir ist kein fall bekannt, wo irgendeine homebankingsoftware gehackt/manipuliert wurde, so das auch nur einsichtnahme geschweige denn kontobewegungen mißbräuchlich nutzbar gewesen wäre.
Mag zwar sein, ändert aber nichts daran, daß PIN/TAN unsicher ist.

2. das TAN-Verfahren wurde ja weiterentwickelt, iTAN (Hauptsächlich als Antiphishing und sogar relativ erfolgreich) und inzwischen noch mTAN (mobil-TAN, TAN wird per SMS aufs Handy geschickt) und SmartTAN (Tangenerator, zur Bedienung wird die EC-Karte benötigt)

Es gab vorher schon ein wesentlich besseres Verfahren, nämlich HBCI. Der Spaß wird hardwareverschlüsselt und -signiert, mit einem Klasse3-Leser sieht man sogar nochmal die auszuführende Aktion auf dem Display.
Über einen Keylogger (Soft- oder Hardware) kann (ab einem Klasse1-Leser) auch nichts mehr ausgelesen werden. Fast alle Aktionen laufen gekapselt im Lesegerät ab, das seinerseits nur sehr eingeschränkte Schnittstellen nach außen hat.
HBCI ist definitv besser und sicherer, leider kostet es die Banken mehr Geld (Infrastruktur, Serverpower wg. Verschlüsselung etc.) als das Ausstellen einfacher Zahlenkolonnen, weshalb es immer noch recht gering verbreitet ist.

-huha

Was gibt es eigentlich an guter Software für Linux?
gut ist relativ :redface:

ich weiss von einem java-applet, ist umsonst ...
nie selbst probiert mangels linux unzo :rolleyes:

edit: hibiscus wars (http://www.golem.de/0610/48284.html)

Doch, ist es. PIN/TAN ist "defective by design" und aufgrund der verwendeten extrem dürftigen Authentifizierung und/oder Verschlüsselung definitiv nicht mehr zeitgemäß.

das ist unsinn. es ist nämlich nur eine frage der handhabung.
genauso könntest du behaupten das heutige sicherheitsschlösser unsicher sind. wenn ich nur genug schlüsselkopien in aller welt verteile nutzt mir das dickste schloß nix mehr.

eine wirklich nur mir bekannte pin in verbindung mit einer an einem sicheren ort aufbewahrte, unkopierte oder per jpg auf den rechner gebannte itan-liste ist erstmal nicht angreifbar.
selbst WENN jemand auf meinen rechner eindringt und den datentransfer abgreift hat er danach eine für nichts mehr verwendbare tan.

Mag zwar sein, ändert aber nichts daran, daß PIN/TAN unsicher ist.

durch gebütsmühlenartiger wiederholung von "pintan ist nicht sicher" wird deine aussage nicht wahrer ...

Es gab vorher schon ein wesentlich besseres Verfahren, nämlich HBCI. Der Spaß wird hardwareverschlüsselt und -signiert, mit einem Klasse3-Leser sieht man sogar nochmal die auszuführende Aktion auf dem Display.
Über einen Keylogger (Soft- oder Hardware) kann (ab einem Klasse1-Leser) auch nichts mehr ausgelesen werden. Fast alle Aktionen laufen gekapselt im Lesegerät ab, das seinerseits nur sehr eingeschränkte Schnittstellen nach außen hat.
HBCI ist definitv besser und sicherer, leider kostet es die Banken mehr Geld (Infrastruktur, Serverpower wg. Verschlüsselung etc.) als das Ausstellen einfacher Zahlenkolonnen, weshalb es immer noch recht gering verbreitet ist.

-huha
auch das ist (erstmal völlig ot, da hbci explizit vom ts ausgeklammert wurde) nicht korrekt. klasse1-leser bringt nix, minimum ist klasse2 (eigenes tastenfeld).
die kosten einer hbci-chipkarte haben sich nach spätestens der zweiten oder dritten tanliste amortisiert (druck, versand, so ne karte kostete 2004 etwa 1,80€).
der knackpunkt ist das lesegerät. erstmal kostet der richtig geld (klasse2 billigteile ab 30€, ein brauchbarer reinert sct 60 aufwärts) und zum zweiten wird das ganze praktisch unbeweglich. im urlaub aktien ordern? kontostände abfragen? auf geschäftsreise transaktionen vornehmen? entweder den leser dabei UND die chipkarte oder ausgeschissen.

dazu kommt, das eine defekte chipkarte ausgetauscht werden muss. dauert eine woche, manchmal zwei. neue tanliste ist innerhalb von 2-3 werktagen beim kunden. defekt ist die übrigens auch, wenn man 3 mal die falsche pin eingegeben hat, die karte ist dann tot.

ansonsten läuft der kram auf dem selben server.


ps: vielleicht sollte ich erwähnen, das ich bis vor 4 jahren für die electronic banking abteilung eines nicht gerade winzigem örtlichen kreditinstituts gearbeitet habe. ich weiss also in etwa wovon ich spreche.

Ein Klasse2 Leser sollte es min. sein für HBCI.
Die Karte kostet (bei mir) übrigens nichts. Software und Leser hatte ich auch schon, also kostenloser Einstieg. ;)
Wer selbst einen Leser kauft bekommt auch ein deutlich umfangreicheres Softwarepaket dazu. Selbst erstellen von Chipkarten für den Rechner als Zugang. Auslesen von Handx Karten, Krankenversicherungskarten z.B.
Und sind meist auch noch deutlich billiger wie über die Bank.

eine wirklich nur mir bekannte pin in verbindung mit einer an einem sicheren ort aufbewahrte, unkopierte oder per jpg auf den rechner gebannte itan-liste ist erstmal nicht angreifbar.
selbst WENN jemand auf meinen rechner eindringt und den datentransfer abgreift hat er danach eine für nichts mehr verwendbare tan.

Aber ist bei PIN/TAN nicht auch folgendes möglich:
Du gelangst auf eine Seite, die für dich so aussieht, wie deine Bank. Du loggst dich mit deiner PIN ein und dein Konto erscheint, der Dieb nimmt einfach deine Logindaten und tunnelt die durch seinen Server. Jetzt möchtest du deine Stromrechnung von 100€ Überweisen. Da du immer noch auf dem Server des Diebs argierst, kann er deine Anfragen manipulieren. Anstatt also eine Überweisung von 100€ an den Stromanbieter an den echten Bankserver zu übermitteln, verändert der Dieb deinen Request und sendet dem Bankserver Überweisung von 100000€ an den Dieb. Du merkst davon natürlich nichts. Der Dieb tunnelt dann die (i)TAN-Abfrage Deiner Bank wieder für dich auf den Bildschirm. Bei bestem Gewissen gibst du deine TAN ein und Zack, 100000€ ärmer.

das ist unsinn. es ist nämlich nur eine frage der handhabung.
genauso könntest du behaupten das heutige sicherheitsschlösser unsicher sind. wenn ich nur genug schlüsselkopien in aller welt verteile nutzt mir das dickste schloß nix mehr.

Hier mal ein Vergleich: Ich halte es für geschickter, gleich ein modernes Schloß einzusetzen als einfach nochmal ein altes Schloß an das bisherige zu ketten und dessen Schlüssel in einem Schlüsselschrank aufzubewahren. PIN/TAN ist ein altes Verfahren und auch durch Aufsätze wird's nicht besser.

eine wirklich nur mir bekannte pin in verbindung mit einer an einem sicheren ort aufbewahrte, unkopierte oder per jpg auf den rechner gebannte itan-liste ist erstmal nicht angreifbar.
selbst WENN jemand auf meinen rechner eindringt und den datentransfer abgreift hat er danach eine für nichts mehr verwendbare tan.

Dem kann man nicht zustimmen, da man beispielsweise über MITM-Angriffe und/oder mit gefälschten Zertifikaten die Daten abgreifen und beliebig ändern kann. Bei HBCI wird per Hardware verschlüsselt und vom Bankserver mit einem lokalen Zertifikat wieder entschlüsselt, über die Internetverbindung muß nichts ausgetauscht werden, das "kritisch" ist.

durch gebütsmühlenartiger wiederholung von "pintan ist nicht sicher" wird deine aussage nicht wahrer ...
Wir haben eine unterschiedliche Definition von "sicher." Mir geht's um die Technik dahinter, dir um die Anwendung. Die Technik stammt aus dem letzten Jahrtausend und ist für heutige Sicherheitsanforderungen eigentlich veraltet.

auch das ist (erstmal völlig ot, da hbci explizit vom ts ausgeklammert wurde) nicht korrekt. klasse1-leser bringt nix, minimum ist klasse2 (eigenes tastenfeld).
Mein Fehler--ich schrieb zwar Klasse1, meinte aber Klasse2. Klasse1 bringt wirklich nichts, da hast du recht.

der knackpunkt ist das lesegerät. erstmal kostet der richtig geld (klasse2 billigteile ab 30€, ein brauchbarer reinert sct 60 aufwärts) und zum zweiten wird das ganze praktisch unbeweglich. im urlaub aktien ordern? kontostände abfragen? auf geschäftsreise transaktionen vornehmen? entweder den leser dabei UND die chipkarte oder ausgeschissen.

Leser und Karte sind doch hinreichend kompakt, außerdem gibt die Bank auch gern mehrere Karten raus. Der unendliche Vorteil von HBCI gegenüber PIN/TAN ist--und das ist gerade im Urlaub wichtig!--daß die Leitung die am Heftigsten von böswilligen, kriminellen Betrügern überwachte Verbindung der Welt sein kann und man dennoch nichts anrichten kann.

dazu kommt, das eine defekte chipkarte ausgetauscht werden muss. dauert eine woche, manchmal zwei. neue tanliste ist innerhalb von 2-3 werktagen beim kunden. defekt ist die übrigens auch, wenn man 3 mal die falsche pin eingegeben hat, die karte ist dann tot.

Man kann sich auch mehrere Karten besorgen, aber ja, bei Defekten hat man ein Problem. Allerdings hat man weniger ein Problem, wenn die Karte abhandenkommt, da sie sich ja nach zu häufiger falscher Eingabe selbst vernichtet ;)

ansonsten läuft der kram auf dem selben server.
Dazu kann ich leider nichts sagen, aber HBCI ist rechentechnisch wesentlich aufwendiger, weshalb es wohl auch seitens der Banken immer noch nicht genug vorgeschlagen wird oder dessen Vebreitung anderweitig gefördert.

-huha

Auch wenn ich mir in diesem Forum sehr zurückgezogen habe, eine Anmerkung:

Einige Argumente von Kurgan kann ich unterstreichen. PIN/TAN zu verteufeln und als "broken by design" hinzustellen ist auch meiner Meinung nach nicht wirklich glücklich, ABER, das große aber:

Das PIN/TAN System funktioniert nur in einer Welt, in der sowohl das Personal als auch der Endanwender weiß was es/er macht.
Wenn selbst die großen Banken XSS Probleme haben/hatten (SEB, Sparkassen, Deutsche bank um mal die einige zu nennen) und Leute auf alles klicken, was nicht bei 3 auf dem Baum ist, dann geht PIN/TAN auf jeden Fall deutlich öfter in die Hose, als wenn ich eine Karte und das HBCI verwende. Eine PIN und TAN habe ich hinreichend trickreich per XSS und Überredungskunst erphisht. Eine Karte muss ich klauen und die PIN erfoltern.

Ich

-habe kein Vertrauen in Webentwickler. Die wenigsten können sichere Anwendungen schreiben, wobei das aktuell deutlich besser wird.
-habe kein Vertrauen in die Zurechnungsfähigkeit von Endanwendern. Das sind keine IT-Sec Experten, die wollen lediglich ihre Stromrechnung bezahlen.

Man sollte keine 120€ in irgendwelchen Tastur Firlefanz von Logitech oder MS ausgeben, es gibt schon für ~50-60€ Produkte, die einen Klasse 2 Leser eingebaut haben und Secure Pin Entry unterstützen.
Sicher oder bequem ... jeder sollte die Frage MÜNDIG beantworten.

Gruß,
TC

Aber ist bei PIN/TAN nicht auch folgendes möglich:
Du gelangst auf eine Seite, die für dich so aussieht, wie deine Bank. Du loggst dich mit deiner PIN ein und dein Konto erscheint, der Dieb nimmt einfach deine Logindaten und tunnelt die durch seinen Server. Jetzt möchtest du deine Stromrechnung von 100€ Überweisen. Da du immer noch auf dem Server des Diebs argierst, kann er deine Anfragen manipulieren. Anstatt also eine Überweisung von 100€ an den Stromanbieter an den echten Bankserver zu übermitteln, verändert der Dieb deinen Request und sendet dem Bankserver Überweisung von 100000€ an den Dieb. Du merkst davon natürlich nichts. Der Dieb tunnelt dann die (i)TAN-Abfrage Deiner Bank wieder für dich auf den Bildschirm. Bei bestem Gewissen gibst du deine TAN ein und Zack, 100000€ ärmer.

Wenn das glückt, sind aber ein paar Dinge sehr schiefgelaufen.
-https?
-Zertifikatsfehlermeldung?
-ist das eigentlich der URL meiner Bank?

Sicherlich, bei XSS Problemen der Bankseite wirds extrem unschön, da hilft leider wirklich nur genau hinschauen, aber ansonsten muss man schon massiv unbedarft sein.

Aber ist bei PIN/TAN nicht auch folgendes möglich:
Du gelangst auf eine Seite, die für dich so aussieht, wie deine Bank. Du loggst dich mit deiner PIN ein und dein Konto erscheint, der Dieb nimmt einfach deine Logindaten und tunnelt die durch seinen Server. Jetzt möchtest du deine Stromrechnung von 100€ Überweisen. Da du immer noch auf dem Server des Diebs argierst, kann er deine Anfragen manipulieren. Anstatt also eine Überweisung von 100€ an den Stromanbieter an den echten Bankserver zu übermitteln, verändert der Dieb deinen Request und sendet dem Bankserver Überweisung von 100000€ an den Dieb. Du merkst davon natürlich nichts. Der Dieb tunnelt dann die (i)TAN-Abfrage Deiner Bank wieder für dich auf den Bildschirm. Bei bestem Gewissen gibst du deine TAN ein und Zack, 100000€ ärmer.
ziemlicher mumpitz ;)
1. dafür muss ein ganzer haufen schieflaufen, angefangen vom dns umbiegen bis hin die richtige bankseite anzeigen und ein konto was eine solche summe hergibt (das Tageslimit und den dispo beachten)
und, womit wir wieder beim thema wären: wegen dieser winzig kleinen möglichkeit software nutzen ;)
Hier mal ein Vergleich: Ich halte es für geschickter, gleich ein modernes Schloß einzusetzen als einfach nochmal ein altes Schloß an das bisherige zu ketten und dessen Schlüssel in einem Schlüsselschrank aufzubewahren. PIN/TAN ist ein altes Verfahren und auch durch Aufsätze wird's nicht besser.

ach ja? itan hat phishing im grunde gekillt (zumindest hat es keine wirkung mehr)

Dem kann man nicht zustimmen, da man beispielsweise über MITM-Angriffe und/oder mit gefälschten Zertifikaten die Daten abgreifen und beliebig ändern kann. Bei HBCI wird per Hardware verschlüsselt und vom Bankserver mit einem lokalen Zertifikat wieder entschlüsselt, über die Internetverbindung muß nichts ausgetauscht werden, das "kritisch" ist.

siehe oben

Wir haben eine unterschiedliche Definition von "sicher." Mir geht's um die Technik dahinter, dir um die Anwendung. Die Technik stammt aus dem letzten Jahrtausend und ist für heutige Sicherheitsanforderungen eigentlich veraltet.

genau, lasst uns airbags abschaffen, die gibts schon seit den 80ern.

Leser und Karte sind doch hinreichend kompakt, außerdem gibt die Bank auch gern mehrere Karten raus. Der unendliche Vorteil von HBCI gegenüber PIN/TAN ist--und das ist gerade im Urlaub wichtig!--daß die Leitung die am Heftigsten von böswilligen, kriminellen Betrügern überwachte Verbindung der Welt sein kann und man dennoch nichts anrichten kann.

mehrere karten zu einem konto: ja
mehrere karten für einen benutzer: nein

Man kann sich auch mehrere Karten besorgen, aber ja, bei Defekten hat man ein Problem. Allerdings hat man weniger ein Problem, wenn die Karte abhandenkommt, da sie sich ja nach zu häufiger falscher Eingabe selbst vernichtet ;)

nein, kann man nicht. mir jedenfalls ist keine bank bekannt, die einem benutzer zu einem konto mehr als eine chipkarte aushändigt.
eine verlorene tanliste ist außerdem kein größeres problem.

Dazu kann ich leider nichts sagen, aber HBCI ist rechentechnisch wesentlich aufwendiger, weshalb es wohl auch seitens der Banken immer noch nicht genug vorgeschlagen wird oder dessen Vebreitung anderweitig gefördert.

hbci ist für server der letzten 5 generationen peanuts, deswegen können die ja noch locker nebenbei https auswerfen ;)
und das auch in der zeit vom 28.12. bis zum 05.01.

der grund warum chipkarte (aus erfahrung übrigens in etwa 5% der ausgegeben karten nicht sicherer, da die pin mit filzer AUF die karte geschrieben wurde ....) nicht massiv von den banken vertrieben/beworben wird:
1. kosten, software und leser ~100€, einem privatkunden der schon bei 1€ kontoführungsgebühren mault kaum zu vermitteln.
2. aufwand, da sich die karten im gegensatz zu pin/tan-zugängen nicht entsperren lassen. statt (zu meiner zeit) zwischen 150 und 250 entsperrungen pro tag ebensoviele chipkarten verschicken ist nicht lustig.

und zum zweiten wird das ganze praktisch unbeweglich. im urlaub aktien ordern?


Wer ist so naiv und ordert auf fremden Rechnern Aktien?

Ich würde niemals in einem Internet Cafe im Urlaub irgendwelche Bankgeschäfte machen,
da ich ja nichtmal sicher sein kann, wie sicher überhaupt die Rechner sind.

Aktien bei denen man sich nicht sicher ist, ob man sie über den Urlaub hinweg behalten soll, verkauft man.
Und neue Aktien kauft man im Urlaub schon gar nicht, da Spontananlageideen noch nie sinnvoll waren.





kontostände abfragen?

In diesem Fall rufe ich die Bank an und frage nach.
Manchmal geht es auch bei einem Bankautomat.





ps: vielleicht sollte ich erwähnen, das ich bis vor 4 jahren für die electronic banking abteilung eines nicht gerade winzigem örtlichen kreditinstituts gearbeitet habe. ich weiss also in etwa wovon ich spreche.

Das sehe ich an der naivität Aktienorder in einem beliebigen Internet Cafe aufzugeben.

Und falls du ernsthaft dein Notebook in den Urlaub mitschleppst, dann dürfte das Lesegerät auch kein Problem mehr darstellen.

Was gibt es eigentlich an guter Software für Linux?

Für Linux gibt es:

- Moneyplex (kommerziell)
http://www.matrica.de/produkte/produktmpx.html


und

- GnuCash (Open Source)
http://www.gnucash.org/

Wobei ich nicht weiß, inwiefern man hier Open Source Software vertrauen kann.
GnuCash kann zumindest HBCI über OpenHBCI.

Ich verstehe einige Argumente hier nicht so wirklich.

Im Prinzip ist es doch egal ob ich eine Software oder die Website der Bank nutze, wenn HBCI jetzt mal ausgenommen ist.
Die Sicherheitsmängel bleiben doch genau die Selben. Die Software muss doch ebenfalls eine Internetverbindung zur Bank aufbauen, dies wird wohl ebenso über DNS-Auflösung geschehen. Den Traffic kann man damit ebenfalls umbasteln nach gut dünken.

Damit würde auf der Software fishing ebenfalls möglich sein. Bei der Software hast du durch diverse Trojaner/Keylogger aber genauso verloren, wie bei der Website. Das Einzige was wegfällt sind XSS-Attacken.

Bitte korrigiert mich wenn ich falsch liege aber ich sehe da jetzt nicht so den großen Nutzen.

Ich verstehe einige Argumente hier nicht so wirklich.

Im Prinzip ist es doch egal ob ich eine Software oder die Website der Bank nutze, wenn HBCI jetzt mal ausgenommen ist.
Die Sicherheitsmängel bleiben doch genau die Selben. Die Software muss doch ebenfalls eine Internetverbindung zur Bank aufbauen, dies wird wohl ebenso über DNS-Auflösung geschehen. Den Traffic kann man damit ebenfalls umbasteln nach gut dünken.

Damit würde auf der Software fishing ebenfalls möglich sein. Bei der Software hast du durch diverse Trojaner/Keylogger aber genauso verloren, wie bei der Website. Das Einzige was wegfällt sind XSS-Attacken.

Bitte korrigiert mich wenn ich falsch liege aber ich sehe da jetzt nicht so den großen Nutzen.
das funktioniert bei software nur beim sogenannten webinterface (software spielt den browser, weil die bank keinen hbci-zugang anbietet, norisbank GMK zum beispiel).

also spezieller bankingsoftware würde ich schon ein höheres sicherheitsniveau zugestehen.
über den browser gibt es sehr viele fallstricke.
wie sich regelmäßig zeigt gibt es sowohl probleme auf der userseite als auch bei dem webauftritt der banken selber.

wer homebanking machen will aber zu geizig oder zu bequem ist sich einen hcbi-kartenleser zuzulegen und trotzdem schadensbegrenzung für einen möglichen betrugsfall haben möchte sollte sich ein girokonto mit geringem guthaben und geringen dispokreditrahmen zulegen.
außerdem ist regelmmäßige kontrolle der kontenbewegungen pflicht damit man bei ungereimtheiten innerhalb der wiederspruchsfristen aktiv werden kann.

Solange auf meinem Konto nichts drauf ist vertraue ich weiterhin dem eBanking meiner Bank ;)

Ne Spaß - generell bevorzuge ich eBanking über das Portal meiner Bank. Ich kann nicht genau sagen warum, aber ich stehe jeglicher Art von Software, die auf meine Kontodaten zugreift, etwas skeptisch gegenüber. Ich wechsle monatlich meine Zugangsdaten, ich habe keinerlei Bankdaten auf meinem Rechner gespeichert und ich trage auch keine Pins, Tans oder sontiges Gedöns mit mir herum... und ich fühl mich sicher.

Dazu kann ich leider nichts sagen, aber HBCI ist rechentechnisch wesentlich aufwendiger, weshalb es wohl auch seitens der Banken immer noch nicht genug vorgeschlagen wird oder dessen Vebreitung anderweitig gefördert.Was waren das damals noch für Zeiten ... Mitte der 90er habe ich von der Dresdner Bank sogar ein kostenloses Kartenlesegerät bekommen: da wurde meines Wissens nur HBCI und Telebanking angeboten. Letzteres müsste ja eigentlich auch recht sicher sein, gibt es wohl nur heute bestimmt nirgendwo mehr.

Damals gab es aber auch noch ein Internetportal für HBCI Transaktionen - aber wozu... Eine Homebankingsofware ist einfach in vielerlei Hinsicht komfortabler und umfangreicher, als so ein bisschen Webportal geklicke. Und für wenig Geld bekommt man beispielsweise ältere Versionen von WISO Mein Geld - meines Erachtens ein spitzen Produkt.

Was gibt es eigentlich an guter Software für Linux?

Moneyplex. Benutze ich seit Jahren auf wechselnden Linuxsystemen und es ist ebenfalls fuer Windows erhaeltlich. Ich nehms mit HBCI, es beherrscht aber auch alle anderen Verfahren.

Uli

[QUOTE=Frankyboy;6650702]Was waren das damals noch für Zeiten ... Mitte der 90er habe ich von der Dresdner Bank sogar ein kostenloses Kartenlesegerät bekommen: da wurde meines Wissens nur HBCI und Telebanking angeboten. Letzteres müsste ja eigentlich auch recht sicher sein, gibt es wohl nur heute bestimmt nirgendwo mehr.

HBCI ist bis heute das sicherste Verfahren (Klasse 2 oder 3 Lesegeraet). Es wird nach wie vor von allen Banken angeboten, aber man muss immer (!) nachfragen. Sogar viele Bankmitarbeiter kennen es nicht.

Im Gegensatz zu PIN/TAN Verfahren geniesst HBCI aber aufgrund der gesicherten Uebertragung einen anderen rechtlichen Status, bei Fehlern muss die Bank mir nachweisen, dass sie bei mir passiert sind, nicht ich der Bank.

Uli

zum thema beweislast bei phising ist auch dieses urteil interessant:

http://www.heise.de/newsticker/Bank-haftet-fuer-Schaeden-durch-Phishing-Attacke--/meldung/110456

ps.:
ich nutze seit jahren das itan verfahren, ohne das es je probleme gab. dazu muß man aber auch sagen, dass ich idr. weiß, was ich tue.

Im Gegensatz zu PIN/TAN Verfahren geniesst HBCI aber aufgrund der gesicherten Uebertragung einen anderen rechtlichen Status, bei Fehlern muss die Bank mir nachweisen, dass sie bei mir passiert sind, nicht ich der Bank.
Kann das jemand bestätigen?

Kann das jemand bestätigen?
Ich lese gerade einen Beitrag der Kanzlei Kessler & Walter (http://www.kessler-walter.de/urteile-beitraege/beitraege-it-recht/haftung-und-beweislast-beim-online-banking/).

Seite 7
Dies ist bei dem PIN/TAN-Verfahren schon nicht der Fall, da hier keine verkörperte Daten erforderlich sind. Die TANs sind lediglich auf dem von der Bank übersendeten Zettel niedergelegt, der zwar abhanden kommen kann, der aber nicht notwendige Voraussetzung ist.[73] Das HBCI-Verfahren ist zwar eher vergleichbar, da die Karte nicht kopierbar ist und somit der Besitz der Karte wie bei der EC-Karte grundsätzlich notwendig ist. Allerdings hat der CCC-Angriff auch hier gezeigt, dass das Erfordernis des Besitzes ersetzbar ist. Folglich ist bei beiden Verfahren im Gegensatz zur EC-Karte ein Missbrauch möglich, ohne dass ein Abhandenkommen der Codes zwingend erforderlich ist.

Dann kann vom Kunden nicht erwartet werden, dass er einen Vorgang beweist, der sich gerade nicht manifestiert hat. Der prima-facie-Beweis zu Gunsten der Bank fällt dann aus, soweit die Situation nicht vergleichbar ist. Man wird aber zumindest fordern müssen, dass sich der Kunde zu der Möglichkeit des Missbrauchs erklärt, ohne dass er in soweit den vollen Beweis führen muss. Er muss also vortragen, dass er nicht selbst tätig geworden ist und auch keinem Dritten die Codes zugänglich gemacht hat, da ihm dies andernfalls zugerechnet werden würde (s.o.).

Er müsste sich weiter darüber erklären, ob ihm die Codes abhanden gekommen sind, was für die HBCI-Karte wiederum zur Situation der EC-Karte führt, und dies dann entsprechend beweisen. Oder er müsste vortragen, dass die Codes durch einen Cracker-Angriff missbraucht wurden. Dies setzt kein sich manifestierendes Abhandenkommen voraus, so dass ihm die Beweislast nicht auferlegt werden kann.[74]
Es muss dann durch die Bank bewiesen werden, dass ein solcher Angriff auszuschließen ist. Ein substantiiertes Bestreiten des Kunden hinsichtlich der Berechtigung der Verwendung der Zugangsdaten führt dann im Ergebnis dazu, dass die Bank das Bestehen des Rechtsgrundes unter dem Gesichtspunkt des § 670 BGB nicht beweisen kann.
4.) Ergebnis

Im Ergebnis trägt die Bank das volle Beweisrisiko für das Bestehen des Rechtsgrundes, wenn der Kunde sich auf einen Crackerangriff beruft; ihr kommt kein Anscheinsbeweis zu Gute. Eine Haftung des Kunden kommt somit nur in Betracht, wenn die Bank ihm tatsächlich eine eigene Sorgfaltspflichtverletzung nachweist.

Wenn ich das richtig sehe, werden keine rechtlichen Unterschiede aufgeführt. Somit dürfte HBCI keine juristischen Vorteile gegenüber PIN/TAN für den Kunden mit sich bringen. Hätte mich auch gewundert...

Ist ja irre mit der Karte. Also ist das am sichersten.

Gibt es auch sowas für den Express Slot? Sodass man gleichzeitig den auch per USB an den Desktop anschließen kann.

Sowohl Pin/(i)TAN als auch HBCI sind Technik von Gestern.


Zukünftig wird das neue Secoder Verfahren beide ersetzen.
Der Vorteil ist folgender:


Im Prinzip hat man eine Karte und ein Lesegerät wie bei HBCI,
nur wird man bei diesem Secoder Lesegerät auf dem Display
nicht nur den Betrag, sondern auch die Kontonummer und BLZ ablesen können.
Von daher kann man beim Secoder Verfahren keine falschen Tansaktionen unterschieben, wie es bei HBCI trotz Lesegerät Klasse 2 möglich wäre.

Dann kommen auch noch ein paar weitere praktische Vorteile hinzu.
Mit dem Secoder Verfahren wird man endlich mit z.b. der EC oder Geldkarte
im Internet Bezahldienste nutzen können und das ganze soll EU weit funktionieren, dadurch hat ein Lesegerät einen echten Mehrwert,
der dazu führen dürfte, daß sich die Verbraucher so ein Gerät auch zulegen.

Wenn hat es z.b. noch nie gestört, daß man bei einem Artikel, den man unbedingt lesen möchte, 50 Cent per Kreditkarte überweisen soll
und die 50 Cent ja eigentlich nicht das Problem wären, sondern schlichtweg die Bekanntgabe der Kreditkartendaten?
Mit dem Secoder Verfahren ist das Geschichte, denn damit kann man dann endlich auch mit der anonymen Geldkarte bezahlen.

Außerdem bietet das Secoderverfahren auch eine Form des Altersnachweises.
Womit man es dann den Erwachsenen dann auch einfacher machen kann, Webseiten und Angebote, die nur für volljährige bestimmt sein sollen, bequem zugänglich zu machen.




Ich freue mich auf jedenfall schon auf die Einführung des EU weiten Secoder Verfahren.
Zeit wird es ja, daß man im Internet endlich eine vernünftige Bezahlmöglichkeit bekommt.*



* Die Gefahr, daß damit im Internet immer mehr Dienste Geld kosten besteht natürlich immer, aber das dürfte sich auch sicher irgendwie durch Angebot & Nachfrage regeln lassen. Von daher sehe ich das nicht so schwarz.
Wichtig wird erstmal, daß man endlich schnell, ausreichend anonym und sicher bezahlen kann.


Hier ein paar Links:
http://www.golem.de/0803/58112.html

http://www.heise.de/newsticker/Neue-Sicherheitsspezifikation-fuer-Chipkartenleser--/meldung/104382


Hier etwas dazu, daß es EU weit wird:
http://bankenrecht-versicherungsrecht.suite101.de/article.cfm/ueberweisungen_werden_sicherer

Ist ja irre mit der Karte. Also ist das am sichersten.

Gibt es auch sowas für den Express Slot? Sodass man gleichzeitig den auch per USB an den Desktop anschließen kann.

Du kannst also mit dem Kauf eines Lesegerätes noch warten.

Kauf dir lieber ein Secoderfähiges Gerät, anstatt ein HBCI Lesegerät.

Zu Secoder gehört dann noch der Fints Standard:

http://www.hbci-zka.de/

imho werden sich secoder wie auch die alten Kartenleser nicht durchsetzen, weil keiner es bezahlen wird.
pin/tan haben sich flächendeckend durchgesetzt.

imho werden sich secoder wie auch die alten Kartenleser nicht durchsetzen, weil keiner es bezahlen wird.
pin/tan haben sich flächendeckend durchgesetzt.

Da man Secoder auch im Internet EU weit mit der Geldkarte bezahlen können wird, wird sich das durchaus durchsetzen.
Denn wer zückt schon gerne die Kreditkartennummer raus, das ist schlichtweg unsicher und eine Privatsphäre gibt es bei der auch nicht.

Die Leute werden also ganz gerne umrüsten.
Auf jedenfall die, die es haben wollen und die rückständigen nützen halt weiterhin PIN/TAN.

ich klicke nur meine gespeicherten Links an, niemals wo anders. Seit es Internetbanking gibt hatte ich noch nie Probleme gehabt.

ich klicke nur meine gespeicherten Links an, niemals wo anders. Seit es Internetbanking gibt hatte ich noch nie Probleme gehabt.

Dito.

Nach Möglichkeit muss man ja auch nicht mit seinem normalen Girokonto Onlinebanking betreiben, sondern man richtet sich einfach ei´n Zweitkonto ein, wo man dann nur minimal Guthaben drauf hat. Das hält den möglichen Schaden in Grenzen.
Eine Leerräumung ist zwar trotzdem ärgerlich, aber wohl verschmerzbar.

imho werden sich secoder wie auch die alten Kartenleser nicht durchsetzen, weil keiner es bezahlen wird.
pin/tan haben sich flächendeckend durchgesetzt.

Diejenigen, die quasi keine Transaktionen durchführen und immer nur 50 Euro auf dem Konto haben, sind mit PIN/TAN ganz gut bedient. Es ist zwar unkomfortabel und unsicher, aber dafür auch billig und bei diesem kleinen Transaktionsvolumen ist nicht zu befürchten, daß durch Computersabotage nennenswerte Beträge vom Konto abgehoben werden.

-huha

Ein Klasse2 Leser sollte es min. sein für HBCI...


Wie finde ich heraus, ob mein Kartenleser Klasse 2 ist? Draufstehen tut nix.
Es ist ein Omnikey CardMan3121.

Wie finde ich heraus, ob mein Kartenleser Klasse 2 ist? Draufstehen tut nix.
Es ist ein Omnikey CardMan3121.
eigene tastatur?

Der 3121 hat kein Secure Pinpad. Der 3621 hat eines. ;)

eigene Tastatur und trennt Verbindung zum PC während der Durchführung -> Klasse 2
wie oben + eigenes Display -> Klasse 3
wie 3 aber mit Sicherheitsmodul (2. SIM-Karte) -> Klasse 4

Die aktuelle c't (17/2008) beschäftigt sich mit Homebanking:

Online-Banking sicher

Die Banken haben sich einiges ausgedacht, um den Internet-Zugriff auf das Konto vor Kriminellen zu schützen. Wir geben einen Überblick über Banking-Standards, Chipkartenleser und Software und liefern auf der Heft-DVD eine garantiert saubere Arbeits-umgebung, mit der es auch ohne Chipkarte keine böse Überraschung gibt.


Sicherer Online-Zugriff auf das Konto (http://www.heise.de/ct/08/17/094/)
Home-Banking mit der Chipkarte
c't Bankix: Gefahrlos überweisen mit Live-CD

Da man Secoder auch im Internet EU weit mit der Geldkarte bezahlen können wird, wird sich das durchaus durchsetzen.
Denn wer zückt schon gerne die Kreditkartennummer raus, das ist schlichtweg unsicher und eine Privatsphäre gibt es bei der auch nicht.

Die Leute werden also ganz gerne umrüsten.
Auf jedenfall die, die es haben wollen und die rückständigen nützen halt weiterhin PIN/TAN.

Da bezahlt man heute mit Kreditkarte.
Und vom "Durchsetzen" erzählt man seit 10 Jahren...
Ein vernünftiger Leser mit Display und Tastatur kostet Geld, welches wieder die Banken noch der Kunde zahlen will, wenn es auch irgendwie kostenlos geht.

http://winfuture.de/news,41418.html
http://www.bsi.de/produkte/surf-cd/index.htm

BSI Internet Security Surf-CD

Bankix auf Heft-DVD in der aktuellen C't:

http://www.heise.de/ct/08/17/094/

[QUOTE=sloth9;6707042
Ein vernünftiger Leser mit Display und Tastatur kostet Geld, welches wieder die Banken noch der Kunde zahlen will, wenn es auch irgendwie kostenlos geht.[/QUOTE]


Es ist eine Frage der Nutzungsvorteile.

Leute die viel Geld transferieren werden sich so ein Gerät sehr wohl zulegen.
Und die Leute, die gerne mit der Geldkarte im Internet bezahlen wollen, die auch.


Andere wiederum warten einfach, bis sich ein fester Standard etabiliert hat,
der nicht erst noch ständig durch neue Versionen Änderungen unterläuft und kaufen sich erst dann ein Gerät daß sie dann für 20 Jahre und mehr nutzen können.

http://winfuture.de/news,41418.html
http://www.bsi.de/produkte/surf-cd/index.htm

BSI Internet Security Surf-CD

Nein danke, da ist sicher der Bundestrojaner drauf.

Nein danke, da ist sicher der Bundestrojaner drauf.Basiert auf Knoppix, der Quellcode ist einsehbar.

Basiert auf Knoppix, der Quellcode ist einsehbar.

Ja, und wer überprüft jetzt alle Codezeilen?

Ich jedenfalls nicht.

Das Secoder Verfahren wird sich gegenüber Pin/TAN und der Kredikarte durchsetzen.
die Vorteile überwiegen einfach.

Es gibt folgende Vorteile:

1. Online Banking ist damit absolut sicher, da es die Fehler von HBCI ausräumt.
2. Man kann Anonym mit Geldkarte bezahlen, das kann keine Kreditkarte!
3. Es bietet einen Alternachweis. Z.B. für Pornoseiten mit Videodownloadmöglichkeit

3 Gründe wegen denen die meisten wohl so ein Gerät kaufen werden.



Wie bei den TANs rüsten die Banken auch bei HBCI nach: Der Zentrale Kreditausschuss (ZKA) hat eine Spezifikation für eine neue Generation universeller Chipkartenleser unter dem Namen Secoder entwickelt und im Frühjahr vorgestellt. Mit Secoder soll Online-Banking mit digitaler Signatur noch sicherer werden, unter anderem weil für den Leser eine Tastatur und ein Display obligatorisch sind – und letzteres sogar die Transaktionsdaten zur Kontrolle anzeigt. Zudem muss die Eingabe der PIN zwingend auf dem Lesegerät erfolgen; unter HBCI ist dies selbst bei Klasse-3-Geräten eine Frage der Einstellung in der Finanzsoftware.

Darüber hinaus eignet sich Secoder zusammen mit der Geldkarte auch zum Bezahlen im Internet und für den Altersnachweis auf Webseiten. Die Geldkarte kann mittels Secoder sogar über das Internet aufgeladen werden. Und für alle, die Angst haben, im Internet Spuren zu hinterlassen: Durch die Geldkarten-Funktion soll sich im Internet sogar anonym einkaufen lassen.

http://www.heise.de/ct/08/17/094/

Ja, und wer überprüft jetzt alle Codezeilen?

Ich jedenfalls nicht.

Irgendwer wirds schon checken, oder?! ..... X-D

Sonst probiers mal damit, istn "speziell gehärtetes Linux" von Heise:

Bankix auf Heft-DVD in der aktuellen C't:

http://www.heise.de/ct/08/17/094/

Das Secoder Verfahren wird sich gegenüber Pin/TAN und der Kredikarte durchsetzen.
die Vorteile überwiegen einfach.

Es gibt folgende Vorteile:

1. Online Banking ist damit absolut sicher, da es die Fehler von HBCI ausräumt.
2. Man kann Anonym mit Geldkarte bezahlen, das kann keine Kreditkarte!
3. Es bietet einen Alternachweis. Z.B. für Pornoseiten mit Videodownloadmöglichkeit

3 Gründe wegen denen die meisten wohl so ein Gerät kaufen werden.



http://www.heise.de/ct/08/17/094/

Nö. Für HBCI hat sich auch kein ein Gerät gekauft.

Nö. Für HBCI hat sich auch kein ein Gerät gekauft.

Das liegt daran, weil HBCI folgende Features NICHT bot:
2. Man kann Anonym mit Geldkarte bezahlen, das kann keine Kreditkarte!
3. Es bietet einen Alternachweis. Z.B. für Pornoseiten mit Videodownloadmöglichkeit


Und diese 2 Dinge, kriegst auch nicht mehr Pin/Tan Verfahren hin.


Jetzt warte noch ein paar Jahre und jeder kauft sich so ein Secoder Lesegerät
weil er Online anonym mit Geld bezahlen will oder weil er einen anonymen Altersnachweis für seine Pornoseiten braucht.

Nö. Für HBCI hat sich auch kein ein Gerät gekauft.

Falsch.
HBCI ist sicher und praktisch. Ich hab einen Kartenleser (Klasse 3) und es ist einfach eine Wonne, Transaktionen durchführen zu können, ohne mit Listen durch die Gegend rennen zu müssen; ich habe meine einstellbare (!) PIN, meinen Kartenleser und meine Karte. Ich kann zwar keine Bankgeschäfte an fremden Computern erledigen, aber das will ich aus Sicherheitsgründen sowieso nicht, insofern ist das für mich kein Problem.
Der Vorteil von HBCI+Software ist einfach immens. Es ist bequem, es ist schnell, es ist sicher--natürlich nicht absolut sicher, aber zumindest sicherheitstechnisch noch halbwegs auf der Höhe der Zeit, was man von Listen (TAN) nicht behaupten kann. Die Möglichkeiten, das inhärent unsichere PIN+TAN-Verfahren sicherer zu machen, sind einfach unbequem (mTAN) und/oder mit zusätzlichen Kosten verbunden (Flickercode, TAN-Generatoren, ggf. mTAN). Manche sind auch einfach nicht sicher genug (iTAN).

Secoder bietet großartige Möglichkeiten; ich hoffe, daß die Geldkarte-Bezahlung Anspruch findet, befürchte jedoch, daß man zu gierig ist und heftige Gebühren verlangen wird, was dann die Shops davon abhalten könnte, das weiträumig zu unterstützen. Wenn es sich durchsetzt, wäre es jedoch hervorragend.

-huha

Zu iTAN:
Als einzige Angriffsmöglichkeit bleibt ein gleichzeitiger Man-in-the-middle-Angriff, bei dem das Opfer dazu verleitet wird, sich auf der gefälschten Homebanking-Website anzumelden, motiviert zum Beispiel durch eine Phishing-Mail oder Pharming. Der Betrüger nutzt die eingegebene PIN des Opfers, um eine wirkliche Verbindung zu der Bank aufzubauen. Er startet eine Überweisung auf sein eigenes Konto und reicht die Forderung der Bank nach der bestimmten iTAN an sein Opfer weiter. In gutem Glauben, auf der richtigen Website zu sein, wird das Opfer die gewünschte iTAN eingeben, mit der der Betrüger dann seine eigene Überweisung abschließen kann.

Zu iTAN:
Als einzige Angriffsmöglichkeit bleibt ein gleichzeitiger Man-in-the-middle-Angriff, bei dem das Opfer dazu verleitet wird, sich auf der gefälschten Homebanking-Website anzumelden, motiviert zum Beispiel durch eine Phishing-Mail oder Pharming. Der Betrüger nutzt die eingegebene PIN des Opfers, um eine wirkliche Verbindung zu der Bank aufzubauen. Er startet eine Überweisung auf sein eigenes Konto und reicht die Forderung der Bank nach der bestimmten iTAN an sein Opfer weiter. In gutem Glauben, auf der richtigen Website zu sein, wird das Opfer die gewünschte iTAN eingeben, mit der der Betrüger dann seine eigene Überweisung abschließen kann.


nicht ganz:
mit hilfe der pin lassen sich im bankingauftritt aller mir bekannten banken die verbrauchten tans (zumindest die index-nummer bei fehlerhaft entwerteten) auslesen. im umkehrschluss kann die phishing seite dann problemlos 10 nicht verwendete tans gezielt abfragen.

bei einer frischen tanliste mit 100-120 tans und gerade mal 10 benutzten bringt das nicht wirklich viel, eine weitgehend verbrauchte mit nur noch 30 freien dagegen ist angreifbar. die wahrscheinlichkeit sich eine tan-sperre einzuhandeln (3 fehlversuche) ist bei 10 gekaperten und 30 freien schon nicht mehr sehr groß ...

und bevor jemand kommt mit "10 tans eingeben, wie doof .." ... es muss unglaublich viele unglaublich doofe menschen in D geben, sonst hätte dieter bohlen nicht soviele bücher verkauft und das dschungelcamp für abgehalfterte x-z promis nicht solche einschaltquoten.

Das liegt daran, weil HBCI folgende Features NICHT bot:
2. Man kann Anonym mit Geldkarte bezahlen, das kann keine Kreditkarte!
3. Es bietet einen Alternachweis. Z.B. für Pornoseiten mit Videodownloadmöglichkeit


Und diese 2 Dinge, kriegst auch nicht mehr Pin/Tan Verfahren hin.


Jetzt warte noch ein paar Jahre und jeder kauft sich so ein Secoder Lesegerät
weil er Online anonym mit Geld bezahlen will oder weil er einen anonymen Altersnachweis für seine Pornoseiten braucht.Zur Altersverifikation hat doch schon jeder Pornonutzer eins der anderen Verfahren und für dieses auch bezahlt, wieso nochmal was kaufen?!
Und wozu soll denn anonymes Zahlen gut sein? Wenn ich mir was bestelle haben die doch eh meine Anschrift.
Das wird meiner Meinung nach erstmal nicht besser angenommen, als die heutige Geldkarte und die hat ja schon jeder und das auch noch kostenlos!

Sehe ich ähnlich. PIN/TAN in allen seinen Variationen ist einfach ein Verfahren aus dem letzten Jahrtausend, die ganze Sicherheit ist arg dürftig.
Ganz ehrlich, ich verstehe immer noch nicht, was am iTan-Verfahren so unsicher sein soll. ;(

http://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt

Hm, ok.

Ganz ehrlich, ich verstehe immer noch nicht, was am iTan-Verfahren so unsicher sein soll. ;(

Ich auch nicht und ich hätte gern eine Begründung dafür.

Die Sache stellt sich für mich so da: Ich nutze eine TAN aus der Liste die nur ich besitze.
Um mich bei meinen Onlinekonto anzumelden, benutze ich wie in foren üblich einen Benutzeraccount und ein Passwort (ein ganz anderes).

Ein Dieb der jetzt diese Daten hat, kann sich zwar einloggen in das Konto, aber keine überweisungen oder ähnliches durchführen, da er dafür die nummer braucht.
selbst wenn er die kreditkarte auch noch klaut hat er immer noch nicht die wichtigere PIN.

@wegen dem Link da drüber

Wenn die TAN aber bereits genutzt wird, ist nix mehr mit phishen. Die müssten diese TAN abfangen, BEVOR du überhaupt irgendetwas gemacht hast (die gibst du aber nur dann ein, wenn du sie brauchst!!!), also innerhalb von 0,5 sekunden müssten die mir meine TAN klauen und mir mit der überweisung zuvor kommen. :D Denn sobald sie genutzt ist, ist sie ungültig.

Das ist doch ein Szenario das nun wenig mit der Realität zu tun hat.

Läuft es nicht so ab?

1) Ein Benutzer möchte eine Überweisung tätigen und loggt sich in seine Bankseite ein. Was er nicht weiß ist, dass die ihm vorgesetzte Seite eine Gefälschte ist, weil er einen Virus im Hintergrund laufen hat, der diese Seite künstlich vorspielt. PIN und Kennwort werden vom Angreifer erfasst.
2) Er füllt das Formular aus und klickt auf 'weiter' (noch keine TAN Anfrage). In der Zwischenzeit baut ein entfernter Rechner eine echte Verbindung zur Bank auf mit einer Transaktion auf ein fremdes Konto und fängt die echte TAN Anfrage ab, die dem Benutzer dann vorgelegt/vorgespielt wird.
3) Der Benutzer gibt die geforderte TAN ein, die zum Angreifer übermittelt und zur betrügerischen Transaktion genutzt wird. Der Benutzer bekommt eine gefälschte Bestätigung, um den Betrug weitestgehend unentdeckt zu gestalten.
4) Geld weg...

So oder so ähnlich könnte es doch aussehen. Der Angreifer hat damit alle Zeit der Welt. Oder nicht?

Läuft es nicht so ab?

1) Ein Benutzer möchte eine Überweisung tätigen und loggt sich in seine Bankseite ein. Was er nicht weiß ist, dass die ihm vorgesetzte Seite eine Gefälschte ist, weil er einen Virus im Hintergrund laufen hat, der diese Seite künstlich vorspielt. PIN und Kennwort werden vom Angreifer erfasst.
2) Er füllt das Formular aus und klickt auf 'weiter' (noch keine TAN Anfrage). In der Zwischenzeit baut ein entfernter Rechner eine echte Verbindung zur Bank auf mit einer Transaktion auf ein fremdes Konto und fängt die echte TAN Anfrage ab, die dem Benutzer dann vorgelegt/vorgespielt wird.
3) Der Benutzer gibt die geforderte TAN ein, die zum Angreifer übermittelt und zur betrügerischen Transaktion genutzt wird. Der Benutzer bekommt eine gefälschte Bestätigung, um den Betrug weitestgehend unentdeckt zu gestalten.
4) Geld weg...

So oder so ähnlich könnte es doch aussehen. Der Angreifer hat damit alle Zeit der Welt. Oder nicht?
Man in the middle ;)

genau so läuft das. aber "viel" zeit ist nicht .. nach spätestens 7 minuten wird die tan entwertet, ob eingegeben oder nicht. gegen mid-angriffe hilft itan natürlich nullkommanullnix.

1) Ein Benutzer möchte eine Überweisung tätigen und loggt sich in seine Bankseite ein. Was er nicht weiß ist, dass die ihm vorgesetzte Seite eine Gefälschte ist, weil er einen Virus im Hintergrund laufen hat, der diese Seite künstlich vorspielt. PIN und Kennwort werden vom Angreifer erfasst.

Das ist wie gesagt egal, mit UserID und Kennwort kann keiner was anfangen beim Onlinebanking.
Du kannst dich damit ins Konto einloggen, aber keine Überweisungen tätigen, da wird nämlich die TAN abgefragt.

Und was mich sofort stutzig machen würde: Wenn ich mich über eine gefakete Seite einloggen würde, wie genau soll diese dann meinen Kontostand anzeigen?


Auch ist das kein echter Angriff, sondern "Unachtsamkeit des Benutzers!" Das kann dir bei Kartelesegeräten auch passieren. Wenn du eine falsche Seite aufrufst oder einen Trojaner auf dem Rechner hast, helfen die besten Sicherheitsmaßnahmen nix. Im Gegensatz zur Realität ist das sogar noch sehr sicher, denn in echt kann ja bei jedem Bankautomat so ein Aufsatz auf der Eingabefläche drauf sein, den du nicht bemerkst und da kriegen die tatsächlich deine PIN.

Also über Internet gibts in erster Linie zwei Möglichkeit: Phishing (setzt unachtsamkeit vorraus) oder Trojaner/Keylogger.
Aber beides lässt sich ja vermeiden.

Und diese "Daten unterwegs abgreifen" Geschichte lässt sich auf alles übertragen, da würde nicht einmal verschlüsselung mehr helfen, wenn jemand die Daten abgreift und gleichzeitig noch Zugriff auf deinen Rechner hat und so Kennwörter kennt.

Das ist wie gesagt egal, mit UserID und Kennwort kann keiner was anfangen beim Onlinebanking.
Du kannst dich damit ins Konto einloggen, aber keine Überweisungen tätigen, da wird nämlich die TAN abgefragt.

Und was mich sofort stutzig machen würde: Wenn ich mich über eine gefakete Seite einloggen würde, wie genau soll diese dann meinen Kontostand anzeigen?


Oh Mann?

Ist das so schwer zu verstehen.

Du loggst dich auf die gefälschte Seite ein und gibts die Logindaten ein.
Der Hacker auf der anderen Seite benutzt dann sofort automatisiert diese Logindaten um sich in deine Bank einzuloggen, danach bekommt er gleich deine Kontodaten mit Kontostand und die sendet er dann dir zu.

Du merkst also gar nichts, außer das die Eingabe der Logindaten bis zum Anzeigen der Seite mit dem Kontostand ein paar Sekunden längern dauern könnte, aber in Zeiten eines überlasteten Internets oder überlasteter Bankserver ist so etwas ja normal, d.h. dir wird es gar nicht auffalen.




Auch ist das kein echter Angriff, sondern "Unachtsamkeit des Benutzers!" Das kann dir bei Kartelesegeräten auch passieren. Wenn du eine falsche Seite aufrufst oder einen Trojaner auf dem Rechner hast, helfen die besten Sicherheitsmaßnahmen nix.
[/QUOTE}

Falsch, bei einem Klasse 3 Lesegerät befinden sich die Transaktionsdaten auf dem Lesegerät und die werden verschlüsselt zwischen Bank und Lesegerät ausgetauscht.
Da kann kein Trojaner dazwischen funken.


[QUOTE]
Also über Internet gibts in erster Linie zwei Möglichkeit: Phishing (setzt unachtsamkeit vorraus) oder Trojaner/Keylogger.
Aber beides lässt sich ja vermeiden.

Ja mit HBCI oder Secoder, aber nicht mit iTan.
Ein Trojaner den man dir via Wurm unterschiebst dürftest du sehr schlecht entdecken.





Und diese "Daten unterwegs abgreifen" Geschichte lässt sich auf alles übertragen, da würde nicht einmal verschlüsselung mehr helfen, wenn jemand die Daten abgreift und gleichzeitig noch Zugriff auf deinen Rechner hat und so Kennwörter kennt.

Doch, wenn in deinem Secoder Gerät oder der Karte der Public Key der Bank drinsteckt,
dann kann man auch durch einen Man in the Middle Angriff diese Verbindung nicht entschlüsseln.

Ist das so schwer zu verstehen.

Ja, denn Userinitiierte Aktionen sind kein "Sicherheitsproblem", sondern "Dummheit".

Du loggst dich auf die gefälschte Seite ein und gibts die Logindaten ein.

Warum sollte ich das tun, das mache ich nie. :)
Meine HOSTS Datei ist geblockt (unveränderbar für Programme), ich öffne immer ein neues Browserfenster beim Onlinebanking und gebe niemals kritische Daten ein, bevor ich nicht den regelmäßigen Full-Virenscann durchlaufen lassen hab.
Das Phishing setzt aber vorraus, das du so blöd bist, dich von einer vorgegaukelten Webseite täuschen zu lassen.
Und wenn du so blöd bist, das dir das passiert, dann helfen alle Sicherheitsmaßnahmen nix mehr!

Der Hacker auf der anderen Seite benutzt dann sofort automatisiert diese Logindaten um sich in deine Bank einzuloggen, danach bekommt er gleich deine Kontodaten mit Kontostand und die sendet er dann dir zu.

Selbst wenn er das schaffen würde, dafür müsste 24/7 erreichbar sind.
Denn die Logindaten reichen nicht aus um einen "Schaden" anzurichten.
Dafür braucht er die TAN. Und wenn ich die TAN eingebe, klicke ich sofort auf Absenden, womit die Transaktion durchgeführt wird > ungültig.
Er müsste also in weniger als 0,5 Sekunden die Transaktionen durchgeführt haben und er müsste auch einen Keylogger nutzen, damit er die TAN abfängt, bevor ich sie abgeschickt habe.

Selbst wenn er das schaffen würde, dafür müsste 24/7 erreichbar sind.
Da sitzen keine Menschen am anderen Ende, sondern vollautomatische Bots.

Bitte etwas mehr Mühe beim Schreiben geben.

Da sitzen keine Menschen am anderen Ende, sondern vollautomatische Bots.

Das Bezweifle ich. das Phishng Wird automatisirt Ablaufen, aber Das umstzen der Betrügerischen handlung kanst du kaum automatisieren, Weil es dir schwer falleen wird, Ein programm zu Erstellen, das die Nötigen Aktionen ausfÜhren kann (die Banken legen ihr sicherheitssystem auch Darauf aus, das eine automatisch abarbeitung über Die Weboberfläche Möglichst schwierg ist, irgendwan unterbrochn wird oder direkt gemeldet wird).

Bitte etwas mehr Mühe beim Schreiben geben.

das kommt wegen dem fehlenden Edit-Button.:D
*Das war absicht!

Ja, denn Userinitiierte Aktionen sind kein "Sicherheitsproblem", sondern "Dummheit".

wenn die gefälschte seite gut genug gefälscht ist, merkt das keine sau. und auch kein hero-gast ;)

Warum sollte ich das tun, das mache ich nie. :)
Meine HOSTS Datei ist geblockt (unveränderbar für Programme), ich öffne immer ein neues Browserfenster beim Onlinebanking und gebe niemals kritische Daten ein, bevor ich nicht den regelmäßigen Full-Virenscann durchlaufen lassen hab.
Das Phishing setzt aber vorraus, das du so blöd bist, dich von einer vorgegaukelten Webseite täuschen zu lassen.
Und wenn du so blöd bist, das dir das passiert, dann helfen alle Sicherheitsmaßnahmen nix mehr!

jedenfalls nicht beim itan-verfahren. chipkarte mit klasse 3-leser reicht schon aus um sowas zu vermeiden.
abgesehen davon sind leute die ihre host-datei bearbeiten können nicht mehrheitsfähig. du setzt dich ja auch nicht ins auto und erwartest, das oma und muttchen und opa so gut fahren wie schummelschumi oder niki lauda. aber denen kannst du ja gern erklären, wie man seine host-datei einzustellen hat.



Selbst wenn er das schaffen würde, dafür müsste 24/7 erreichbar sind.
Denn die Logindaten reichen nicht aus um einen "Schaden" anzurichten.
Dafür braucht er die TAN. Und wenn ich die TAN eingebe, klicke ich sofort auf Absenden, womit die Transaktion durchgeführt wird > ungültig.
Er müsste also in weniger als 0,5 Sekunden die Transaktionen durchgeführt haben und er müsste auch einen Keylogger nutzen, damit er die TAN abfängt, bevor ich sie abgeschickt habe.
[/QUOTE]
falsch. du gibst die tan ja nicht auf der bankseite ein, sondern auf der gefälschten. diese bastelt zur abgefragten tan einfach automatisch eine schöne üw nach .. sagen wir mal timbuktu. oder, falls azv nicht freigeschaltet ist in dem obv, auf ein gekapertes konto in EU-Land.


[QUOTE=Gast;7061026]Das Bezweifle ich. das Phishng Wird automatisirt Ablaufen, aber Das umstzen der Betrügerischen handlung kanst du kaum automatisieren, Weil es dir schwer falleen wird, Ein programm zu Erstellen, das die Nötigen Aktionen ausfÜhren kann (die Banken legen ihr sicherheitssystem auch Darauf aus, das eine automatisch abarbeitung über Die Weboberfläche Möglichst schwierg ist, irgendwan unterbrochn wird oder direkt gemeldet wird).

achso ... du meinst also, das diese webbanking-funktion wie sie quicken, starmoney, wiso und so ziemliche jede mir bekannte onlinebanking-software für diverse nicht-hbci-banken (norisbank gmk als beispiel) anbietet, nicht ohne die bankingsoftweare drumrum funktioniert?

wenn die gefälschte seite gut genug gefälscht ist, merkt das keine sau. und auch kein hero-gast ;)

Du denkst schon wieder viel zu weit. Du musst einen Schritt zurück gehen.
Es muss den Phishern erstmal möglich sein, eine gefakte Seite einzuschleusen und schon da haben sie so ihre Probleme, wenn der User Ahnung hat.
Die bisher bekannten Fälle drehten sich alle um email-Links oder ähnliche Domainnamen (Citibank.de vs citIbank.de z.B.).
Außerdem haben sich die Browser seitdem auch weiterentwickelt und sollen jetzt erkennen, wenn eine zweite Seite versucht, die Daten abzugreifen. Das gabs damals noch nicht.

chipkarte mit klasse 3-leser reicht schon aus um sowas zu vermeiden.

Wie willst du verhindern, das eine software die bereits auf deinen rechner ist, die datenübertragung mit loggt? ob verschlüsselt oder nicht (Verschlüsselung hält auch nicht ewig). Abgreifen kannst du sie trotzdem, irgendwo musst du das Ding ja anschließen.

abgesehen davon sind leute die ihre host-datei bearbeiten können nicht mehrheitsfähig.

wer redete von bearbeiten? ich redete von sperren.
Das lässt sich mit Windows-Boardmitteln erledigen: Arbeitet ihr als Benutzer, so können jegliche Systemdateien vor Veränderungen geschützt werden (nur Admin darf Änderungen durchführen).
Vielleicht ist das ja schon Standardeinstellung bei XP/Vista? Hab nie drauf geachtet.
Außerdem bietet selbst eine Software wie ZoneAlarm so eine Funktion.

falsch. du gibst die tan ja nicht auf der bankseite ein, sondern auf der gefälschten.

Ich frage dich nochmal: Warum sollte ich das tun? Spätestens beim einloggen würde mir auffallen, das die Seite nicht echt ist.
Außerdem wird bei Überweisungvorgängen auch noch der aktuelle Kontostand angezeigt und den kennt die Phisher seite nicht. Sie müsste also so arbeiten, das nur das TAN feld über dem originalen drüber liegt und alles andere original ist.

Bei wikipedia gibts dazu einige beispiele: http://de.wikipedia.org/wiki/Phishing

Die meisten Methoden basieren darauf, den User hinters Licht zu führen, weil er plötzlich z.B. sein Bankkonto bestätigen soll oder was auch immer.
Und wer so blöd ist, bei einer nachgemachten Webseite 10 TANs in einem Feld einzugeben (alleine das sollte jeden schon stutzig machen), hat es wirklich nicht anders verdient. ;)

Ein Sicherheitsdetail habe ich glatt vergessen:
Seit einiger Zeit nutzen immer mehr Kreditinstitute im Internetbanking Extended Validation-SSL-Zertifikate (EV-SSL-Zertifikate). In der Adresszeile aktueller Browser (bspw. Internet Explorer 7, Mozilla Firefox 3) wird hierbei zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle eingeblendet werden. Zudem wird je nach verwendetem Browser die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist und besser vor Phishingversuchen schützen.

Darauf zu achten kann auch nicht schaden. Vorallem nutzen die meisten echten Webseiten ja auch SSL Verbindungen. Bei gefakten Seiten ist dann entweder keine Verschlüsselung aktiv oder ein unpassendes Zertifikat ausgestellt.

Die bisher bekannten Fälle drehten sich alle um email-Links oder ähnliche Domainnamen (Citibank.de vs citIbank.de z.B.).

Hallo Herr Technik. Domainnamen sind nicht case-sensitive.
So viel zu deiner Glaubwürdigkeit in Sachen Ahnung.


PIN/TAN ist prinzipiell unsicher. Die Gründe dafür wurden bereits genannt und werden auch mehr oder weniger verbreitet ausgenutzt.
Wenn schon so triviale und ultimativ unwichtige Dinge wie Videosignale verschlüsselt werden, dann sehe ich als Benutzer nicht ein, daß wichtige Dinge wie meine Gelgdgeschäfte mit Sicherheitstechnik von Vorgestern nach dem Motto "Parole?" abgewickelt werden.
Wenn du das willst, dann darfst du das gerne machen, aber ich erwarte für Geldgeschäfte einfach den aktuellen Stand der Sicherheitstechnik. Der ist bei HBCI zwar auch nicht gegeben, aber zumindest so hoch, um kein leichtes Einfallstor darzustellen.

-huha

Hallo Herr Technik. Domainnamen sind nicht case-sensitive.

Hallo Mr. Falschversteher, das sagte ich niemals!
Ich schrieb ähnliche Domainnamen, nicht die gleichen.
Du kannst ein großes I wunderbar als l ausgeben. CitIbank.de vs Citlbank.de
Die nutzer haben außerdem unterschiedliche schriftarten, der mags erkennen, der andere nicht.

So viel zu deiner Glaubwürdigkeit in Sachen Ahnung.

So viel zu deiner Lesefähigkeit. Ähnlich bedeutet nicht gleich.

PIN/TAN ist prinzipiell unsicher.

Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Nenn mir ein Systems, welches hundertprozentig sicher ist. Dann können wir weiter reden.

Kleine Anekdote: Ich habe die Domainnamen beim ersten Beispiel absichtlich unverändert gelassen, da es schön zeigt, wie leicht täuschbar der Mensch doch ist. Ihr lest nur das, was ihr lesen wollt.
In dem Satz schrieb ich "ähnliche" Domainnamen, ABER ich habe "gleiche" Domainnamen verwendet. Und was muss ich hier lesen? Der Text wird ignoriert, die als unwichtiges Beispiel gedachten Domainnamen jedoch auf die Goldwaage gelegt. Prima, klarer Fall von täuschbar. :)
die menschliche Denkweise ist manchmal einfach nicht logisch (ich hätte an deiner Stelle das unwichtige Beispiel überlesen, da ab dem Punkt mit den Wörtern "ähnliche Domainnamen" bereits klar gewesen ist, was gemeint war.)

Nenn mir ein Systems, welches hundertprozentig sicher ist. Dann können wir weiter reden.

Es gibt prinzipiell kein 100% sicheres System.


Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Nein. PIN/TAN bietet nur dann einen hohen Schutz, wenn das System nicht kompromittiert wurde. Da HBCI auf einem externen System (nämlich der Smartcard!) abläuft, kann ein kompromittiertes Host-System nichts treiben, das nicht sofort vom Benutzer bemerkt würde (ein Klasse3-Leser zeigt die zu verschlüsselnde und signierende Transaktion auf dem integrierten Display an; im Gegensatz zu PIN/TAN wird genau das, was angezeigt wird, auch signiert; ein nachträgliches Eingreifen durch ein kompromittiertes Hostsystem ist daher also nicht mehr möglich; das Eingreifen beim Zusammenstellen der Daten und Umleiten auf ein anderes Konto wird durch den Abgleich der auf dem Display angezeigten Aktion mit der erwarteten Aktion durch den Benutzer rasch erkannt und der Versuch durch Nichteingabe der Karten-PIN beendet.

Ich hoffe, daß du jetzt ENDLICH mal verstehst, was die prinzipiellen Schwächen von PIN/TAN sind und was die Stärken von HBCI. Bei HBCI läuft der kritische Teil auf der Chipkarte ab; die Chipkarte kriegst du von deiner Bank, die kein Interesse daran hat, dort Schadsoftware zu installieren. Bei PIN/TAN läuft der kritische Teil auf deinem Rechner ab, wo es hinreichend einfach ist, über dutzende dokumentierte und undokumentierte Sicherheitslücken Zugriff auf Daten zu erhalten und diese zu manipulieren.

-huha

Es gibt prinzipiell kein 100% sicheres System.

Sag ich doch. So lange es das nicht gibt, können wir hier diskutieren bis die Welt unter geht, es wird nichts daran ändert, das die Systemschwächen bleiben und dabei ist es völlig egal ob Bankautomat, iTAN oder HBCI.
Wenn der Rechner von DAU Nr1 Trojanerverseucht ist, dann ist da nur noch wenig zu retten.
Interessant außerdem, das hier über Onlinebanking geredet wird, dabei sind Betrügereien in der Realität genauso möglich. Gefälschte, kopierte Unterschriften, nicht vollständig vernichtete Kennwortschreiben und vieles mehr.

Ich hoffe, daß du jetzt ENDLICH mal verstehst, was die prinzipiellen Schwächen von PIN/TAN sind und was die Stärken von HBCI.

Ich kenne die Schwächen.
Nur ist bisher keiner der hier genannten Fälle eine glaubhafte Gefahr für User wie mich. Wenn Otto-Normal-Bürger einen email Link folgt der auf eine falsche Bankingwebseite verweist, dann hat er selbst Schuld (das ist keine Schwäche des Systems).
Wenn Otto-Normal-Bürger alle Browserfunktionen, inkl ActiceX nutzt und noch was installiert, dann ist das auch keine Schwäche des Systems. Wenn Otto-Normal-Bürger sogar gar keine der angebotenen Sicherheitsfunktionen nutzt (Benutzeraccounts, Browserwarnmeldungen, Zertifikatsüberprüfungen...), dann hat er selbst seinen Teil dazu beigetragen.
Ich selbst bin so geizig, das ich nicht mal Loginnamen für Foren oder unwichtige Chats hergebe, wenn es nicht mein Rechner ist. Ich bekomme auch praktisch keine Spam-Mails obwohl meine email Addy schon seit ca 7 Jahren die gleiche ist (1-2 pro Monat). Denn sie ist nirgendwo öffentlich einsehbar, auch bei 123people.de nichts zu finden. =)
die "guten" Banken registrieren zudem auch viele Domainnamen mit falscher Schreibweise.

Ja, denn Userinitiierte Aktionen sind kein "Sicherheitsproblem", sondern "Dummheit".


Das hat nichts mit userinitierten Aktionen zu tun.

Wenn man bei dir einen Trojaner über einen Wurm draufschaufelt, dann genügt es, wenn man deine Hostsdatei ändert und du landest auf dem falschen Server ohne es zu merken wenn du nicht ständig in der Hostsdatei nachschaust.


Meine HOSTS Datei ist geblockt (unveränderbar für Programme),

Na dein Glück, wenn du Pech hat, dann hat der Wurm aber Root Rechte
und ändert einfach die Regeln.

Mit Secoder wäre es egal ob der Wurm Root Rechte hat, das ist ein gewaltiger Sicherheitsgewinn!



Selbst wenn er das schaffen würde, dafür müsste 24/7 erreichbar sind.

Sein Server, ja, aber das ist ja wohl kein Problem!


Denn die Logindaten reichen nicht aus um einen "Schaden" anzurichten.
Dafür braucht er die TAN. Und wenn ich die TAN eingebe, klicke ich sofort auf Absenden, womit die Transaktion durchgeführt wird > ungültig.
Er müsste also in weniger als 0,5 Sekunden die Transaktionen durchgeführt haben und er müsste auch einen Keylogger nutzen, damit er die TAN abfängt, bevor ich sie abgeschickt habe.
Doof? Oder warum hast du es immer noch nicht verstanden wie das Prinzip funktioniert?

Das Bezweifle ich. das Phishng Wird automatisirt Ablaufen, aber Das umstzen der Betrügerischen handlung kanst du kaum automatisieren, Weil es dir schwer falleen wird, Ein programm zu Erstellen, das die Nötigen Aktionen ausfÜhren kann (die Banken legen ihr sicherheitssystem auch Darauf aus, das eine automatisch abarbeitung über Die Weboberfläche Möglichst schwierg ist, irgendwan unterbrochn wird oder direkt gemeldet wird).


So ein Quatsch!
Für ein Programm gibt es keine Weboberfläche sondern nur Input und Output und so funktioniert auch dein Browser und all das kann man automatisieren.

Und wo das Geld hinüberwiesen werden soll, das kann man auch automatisieren.
Und wieviel Geld abgehoben werden soll, das kann man ebenfalls automatisieren, der verfügbare Betrag ist nach dem Login ja bekannt.

Ich frage dich nochmal: Warum sollte ich das tun? Spätestens beim einloggen würde mir auffallen, das die Seite nicht echt ist.

Nö, selbst wenn die Seite total anders aussieht könnte es ja sein, daß die Bank das Design geändert hat.


Außerdem wird bei Überweisungvorgängen auch noch der aktuelle Kontostand angezeigt und den kennt die Phisher seite nicht. Sie müsste also so arbeiten, das nur das TAN feld über dem originalen drüber liegt und alles andere original ist.

Oh Gott, laß Hirn regnen du hast es überhaupt nicht kapiert.

Auch wenn bisher keine massiven Angriffe gegen HBCI beobachtet wurden, bietet das Verfahren naturgemäß nur dann einen hohen Schutz, wenn das unterliegende Betriebssystem frei von Schadsoftware wie trojanischen Pferden ist.

Nenn mir ein Systems, welches hundertprozentig sicher ist. Dann können wir weiter reden.

Secoder

Ich bekomme auch praktisch keine Spam-Mails obwohl meine email Addy schon seit ca 7 Jahren die gleiche ist (1-2 pro Monat). Denn sie ist nirgendwo öffentlich einsehbar, auch bei 123people.de nichts zu finden. =)


Du hast keine Freunde!

Gibt mal deine E-Mail Adresse ein paar deiner Freunde und es wird nicht lange dauern bis du Spam bekommst.
Und dabei ist es egal, ob es nur gute Freunde sind die nur guten Willen zeigen, denn deren Rechner sind dennoch nicht sicher und schon wandert deine E-Mail Adresse überall hin.

Mir passiert das ziemlich oft.
Ich dürfte meine E-Mail Adresse also gar nicht weitergeben um das zu verhindern, aber dann würde die E-Mail Adresse auch keinen Sinn machen.

Fazit:
Spam kann man selbst als Guru nicht verhindern.

Sag ich doch. So lange es das nicht gibt, können wir hier diskutieren bis die Welt unter geht, es wird nichts daran ändert, das die Systemschwächen bleiben und dabei ist es völlig egal ob Bankautomat, iTAN oder HBCI.
Wenn der Rechner von DAU Nr1 Trojanerverseucht ist, dann ist da nur noch wenig zu retten.

Da du es immer noch nicht verstehst, hier mal ein Alltagsvergleich.
Du schaust sicher vor dem Überqueren einer Straße, ob Autos kommen. Das bewahrt dich leider nicht davor, trotzdem von einem Auto überfahren zu werden, während du die Straße überquerst, ist aber dennoch wesentlich sicherer als nicht zu schauen. Es ist also nicht sehr vernünftig, Verbesserungen in der Sicherheit abzulehnen, nur weil etwas immer noch nicht 100% sicher ist (was es nach Definition ja nicht kann).
Wenn du nun eine Straße überqueren willst, die dafür bekannt ist, daß notorische Raser jeden über den Haufen fahren, der ihnen in die Quere kommt, dann kannst du dich zwar umschauen (iTAN), aber die Gefahr, daß du überfahren wirst, ist dennoch hoch. Man kann natürlich sagen, daß man eine solche Straße generell nciht überqueren soll, wobei man dir auch zustimmen kann, aber dann wäre beispielsweise die Hälfte der Stadt nicht erreichbar. Es gilt also nun, eine Möglichkeit zu finden, den Vorgang des Überquerens der Straße und die damit verbundenen Gefahren viel unabhängiger davon zu machen, wie es auf der Straße zugeht. Üblicherweise baut man dann Unterführungen (HBCI/Secoder). 100% sicher ist das natürlich immer noch nicht; wenn 40 Schwerlastzüge à 200 Tonnen in der Kolonne über die Unterführung fahren, während du gerade dort herumläuft, dann kann sie einstürzen--das ist allerdings sehr unwahrscheinlich, weil niemand den Aufwand treiben will, 40 Schwerlastzüge in so kurzer Zeit über die Unterführung zu jagen, daß sie einstürzt. Es ist natürlich möglich, daher ist eine Unterführung nicht 100% sicher, aber es ist extrem unwahrscheinlich respektive schwer, so daß man praktisch gesehen von einer sehr hohen Sicherheit ausgehen kann, einer Sicherheit, die auf dem Stand der Technik ist.



Interessant außerdem, das hier über Onlinebanking geredet wird, dabei sind Betrügereien in der Realität genauso möglich. Gefälschte, kopierte Unterschriften, nicht vollständig vernichtete Kennwortschreiben und vieles mehr.

Onlinebanking ist insbesondere deshalb sehr mißbrauchsanfällig, weil der Spaß automatisiert geht; Automatisierung bedeutet, daß man sehr viel innerhalb sehr kurzer Zeit mit minimaler Anstrengung machen kann. Das Aufsetzen entsprechender Programme ist schneller, unproblematischer und ungefährlicher als verkleidet einen Termin bei der Bank machen, um Vermögenswerte fremder Leute mit gefälschten Unterschriften auf das eigene Konto zu überweisen.

-huha