ubuntuusers.de

Hallo Leute,

ich hätte mal eine Frabe bzgl. Online-Banking. Bis heute habe ich mich davor, aufgrund von Skepsis der Sicherheit gegenüber, geweigert dieses Verfahren zu wählen. Aber leider muss ich dies nun benutzen.

Habt ihr evtl. Tipps zum Online-Banking? Wie z.B. Online-Banking über VPN oder worauf achtet ihr, benutzt ihr spezielle Programm wie z.B. Bankix das Live-Linux-Betriebssystem etc. und wenn ja, was haltet ihr von den Programmen/Systemen?

Man hört/liest zwar immer, dass es sicher sein soll, aber ein gewisses Restrisiko ist natürlich immer da. Jedoch möchte ich dieses Risiko soweit wie möglich reduzieren.

Ich bedanke mich für eure Tipps und Ratschläge.

gespenst666 schrieb:

Man hört/liest zwar immer, dass es sicher sein soll

Man hört und liest andererseits ganz aktuell, daß

• die NSA auch verschlüsselte Kommunikation im Internet wahrscheinlich mitlesen kann (also Zugriff auf Kontodaten und online-PIN hat - laut Tagesschau vorhin weist der Bankenverband "beruhigend" darauf hin, daß sie damit nur die Kontodaten anschauen, aber nicht das Konto plündern können)

• auch der Zugriff auf Daten des Mobiltelefons möglich sein soll (womit auch die gerade per SMS zugesandte mTAN dann bekannt wäre - was sagt der Bankenverband denn jetzt zum Thema fremder Abbuchungen ? 😢)

Wie immer gilt also: Sicher gegen wen ? Definitiv nicht gegen staatlichen Zugriff - aber das war eigentlich schon immer klar. 😉

gespenst666 schrieb:

Man hört/liest zwar immer, dass es sicher sein soll, aber ein gewisses Restrisiko ist natürlich immer da. Jedoch möchte ich dieses Risiko soweit wie möglich reduzieren.

Also ich mache seit Anfang der 90er Jahre Onlinebanking - damals noch über BTX. Ich habe bisher noch keinerlei Probleme gehabt. Das größte Sichwerheitsrisiko sitzt vor dem Bildschirm.

Man öffnet keine Bankseite über einen Link aus einer Email, man gitb TAN oder PIN nur auf der Onlinebanking-Seite ein, wenn man weiß, dass man gerade damit eine Transaktion (Überweisung etc.) bestätigen möchte. Die Bank wird niemals von dir eine Pin per Mail abfragen, oder dir per Mail mitteilen, dass irgend etwas mit deinem Konto nicht stimmt. Dafür wird noch immer nur die gute alte Post genutzt. Wenn dein Browser auf deiner Onlinebanking-Seite meckert, dass mit dem Zertifikat etwas nicht in Ordnung ist (dieser Seite wird nicht vertraut...) dann versucht man nicht trotzdem seine Überweisung loszuwerden. Wenn man glaubt, man könnte einen Virus auf dem Rechner haben, dann loggt man sich natürlich nicht beim Onlinebanking ein, usw.

Ein bisschen gesunder Menschenverstand, und da kann eigentlich nichts passieren. Natürlich muss man seine Kontoauszüge prüfen - aber das kann einem auch ohne Onlinebanking blühen, dass jemand, der deine Kontodaten kennt, eine Lastschrift von deinem Konto einzieht, ohne dass du ihm das erlaubt hast. Aber so etwas kann man ja binnen 4 Wochen zurückbuchen lassen.

Und beim Onlinebanking verzichtet man auch auf ein wenig Bequemlichkeit, indem man die Zugansdaten nicht vom Firefox speichern lässt, sondern diese immer per Hand eingibt. Gesetzt den Fall, ein Einbrecher kommt in meine Wohnung und an meinen Rechner, dann kann er mit etwas Glück meine Emails lesen, oder in einem Forum statt meiner antworten - aber selbst wenn er meine Bankdaten rausbekommt und meine TAN-Liste findet, kann er sich nicht bei meiner Bank anmelden, weil nach dem dritten falschen Kennwort der Account gesperrt wird.

Lieben Gruß

Stefan

Ich kann lionlizad nur zustimmen. Es sehe, bzw. bei mir ist das genau so.

OT
Hast Du, lionlizad, auch noch Dein altes BTX-Modem? 😛 - Ich mag es einfach nicht wegwerfen ... 😎 *inerinnerungenschwelg*
/OT

OT

Yep, steht zusammen mit meinem 64er und der zugehörigen 256Kb-CMOS-RAM-Platine auf dem Speicher. Was war ich damals stolz auf meine 2400 Baud.

Da konnte man dem Bildschirmaufbau noch zusehen... 😎 *auchinerinnerungenschwelg*

/OT

Ja klar, gesunder Menschenverstand ist natürlich wichtig. Ich werde da auf jeden Fall drauf achten. Und dass das größte Problem vor dem Bildschirm sitzt, ist ja meistens so. 😉 Aber schon mal danke für eure Antworten

Ich kann HBCI mit entsprehendem Client und Kartenleser empfehlen. Soweit mir bekannt gibt es noch keinen Angriff in freier Wildbahn.

Und "der Staat" bzw. die Geheimdienste räumen dein Konto auch ohne Chip/Tan leer....

Raptor 2101 schrieb:

Ich kann HBCI mit entsprehendem Client und Kartenleser empfehlen.

Das ist aber mit ab ca. 50 € für den Kartenleser sowie noch mal etwa 10 - 15 € für die Chipkarte verbunden, da die Banken das - frecherweise - nicht übernehmen, denn die sollten doch an der Sicherheit als erstes interessiert sein.

Wie gesagt, das normale TAN-Verfahren, bzw auch das neuere M-Tan Verfahren, bei dem für jede Transaktion eine TAN angefordert und einem per SMS zugesandt wird (hier kann man noch mal Summe und Empfängerkonto prüfen, bevor man die Transaktion freigibt) sind m. E. hinreichend sicher, wenn man den Gesunden Menschverstand vorher einschaltet.

Stefan

lionlizard schrieb:

Raptor 2101 schrieb:

Ich kann HBCI mit entsprehendem Client und Kartenleser empfehlen.

Das ist aber mit ab ca. 50 € für den Kartenleser sowie noch mal etwa 10 - 15 € für die Chipkarte verbunden, da die Banken das - frecherweise - nicht übernehmen, denn die sollten doch an der Sicherheit als erstes interessiert sein.

Die Kartenleser kosten in der Tat etwas aber nunja 50€ ist nicht die Welt. Jeh nach Bank bekommt man die Karten auch kostenlos.

lionlizard schrieb:

Wie gesagt, das normale TAN-Verfahren, bzw auch das neuere M-Tan Verfahren, bei dem für jede Transaktion eine TAN angefordert und einem per SMS zugesandt wird (hier kann man noch mal Summe und Empfängerkonto prüfen, bevor man die Transaktion freigibt) sind m. E. hinreichend sicher, wenn man den Gesunden Menschverstand vorher einschaltet.

Der Vorteil bei HBCI ist, dass man eine externe, nicht Browserbasierte, Anwendungen zur Kontoverwaltung benutzten kann. Geparrt mit einer gesicherten Banking-Umgebung hat es ein Angreifer schon hinreichend schwer.

Raptor 2101 schrieb:

Die Kartenleser kosten in der Tat etwas aber nunja 50€ ist nicht die Welt.

Mit 50 € ernähre ich meine Familie eine Woche lang. Oder bezahle (fast) die beiden Monatskarten meiner Töchter. Wohl dem, der 50 € mal einfach übrig hat. Es gibt aber genug Menschen, bei denen das nicht der Fall ist.

Der Vorteil bei HBCI ist, dass man eine externe, nicht Browserbasierte, Anwendungen zur Kontoverwaltung benutzten kann.

Der Nachteil bei HBCI ist, dass man eine externe, nicht Browserbasierte Anwendung zur Kontenverwaltung benutzen muss.
Einfach an einen Rechner setzen, Onlinebankingseite aufrufen und anmelden funktioniert nicht mehr. (Natürlich könnte ich auch HBCI und TAN-Verfahren parallel nutzen, aber das machte die Nutzung von HBCI sinnlos.)

Geparrt mit einer gesicherten Banking-Umgebung hat es ein Angreifer schon hinreichend schwer.

Wenn man seine Anmeldedaten so wählt, dass sie nicht sofort zu erraten sind, und diese auch nicht auf einem Zettel notiert und wenn man dann noch z.B. M-Tan nutzt, hat es ein Angreifer ebenfalls hinreichend schwer.

Natürlich ist HBCI sicherer als Onlinebanking mit Benutzername/Passwort Authentifizierung, das steht außer Frage.

Aber Bargeld abheben an einem öffentlich zugänglichen Geldautomaten halte ich für wesentlich riskanter - dort könnten die Kartendaten mittels eingebautem Skimmer kopiert und die PIN einfach mitgelesen werden. Ich nutze z.B. grundsätzlich nur Geldautomaten in Banken, und keine auf Bahnhöfen oder in Einkaufszentren, denn in Banken werden diese Automaten permanent Videoüberwacht, was Manipulationen erheblioch erschwert.

Stefan

lionlizard schrieb:

Mit 50 € ernähre ich meine Familie eine Woche lang. Oder bezahle (fast) die beiden Monatskarten meiner Töchter. Wohl dem, der 50 € mal einfach übrig hat. Es gibt aber genug Menschen, bei denen das nicht der Fall ist.

das will ich hier jetzt nicht diskutieren.

Der Nachteil bei HBCI ist, dass man eine externe, nicht Browserbasierte Anwendung zur Kontenverwaltung benutzen muss.
Einfach an einen Rechner setzen, Onlinebankingseite aufrufen und anmelden funktioniert nicht mehr. (Natürlich könnte ich auch HBCI und TAN-Verfahren parallel nutzen, aber das machte die Nutzung von HBCI sinnlos.)

Nein es gibt Banken die auch eine HCBI Anwenung über WebBrowser ermöglichen (oder gar erzwingen). Über Sinn und Unsinn kann man sich streiten. Ich hab schon nicht verstanden warum DE-Mail unbedingt im Browser laufen muss. Bei Banking-Transaktionen ist das ein Nogo.

Wenn man seine Anmeldedaten so wählt, dass sie nicht sofort zu erraten sind, und diese auch nicht auf einem Zettel notiert und wenn man dann noch z.B. M-Tan nutzt, hat es ein Angreifer ebenfalls hinreichend schwer.

Millionenschaden durch mTAN-Betrug

Aber Bargeld abheben an einem öffentlich zugänglichen Geldautomaten halte ich für wesentlich riskanter - dort könnten die Kartendaten mittels eingebautem Skimmer kopiert und die PIN einfach mitgelesen werden. Ich nutze z.B. grundsätzlich nur Geldautomaten in Banken, und keine auf Bahnhöfen oder in Einkaufszentren, denn in Banken werden diese Automaten permanent Videoüberwacht, was Manipulationen erheblioch erschwert.

Du weißt das auf den meisten BankTerminals WindowsNT läuft...

Raptor 2101 schrieb:

Nein es gibt Banken die auch eine HCBI Anwenung über WebBrowser ermöglichen (oder gar erzwingen).

Ja, es gibt auch Banken, die einem beim Wechsel 50 Euro schenken, und vielleicht gibts sogar Banken, die einem den Kartenleser überlassen. Aber bei meiner Bank z.B. ist das nicht möglich und nach meiner Recherche auch bei den meisten andeen Banken nicht. Stattdessen wird einem dann ein kostenpflichtiges Programm empfohlen. Ich habe zwar auch ein Open SOurce Programm gefunden, das ich hätte nutzen können - aber ich möchte meine Kontoführung gar nicht auf meinem Rechner haben und machen. Das darf gern auf dem Bankserver bleiben.

Millionenschaden durch mTAN-Betrug

Ja, sehr gut mitgedacht, ich lasse mir die M-Tan auf meinen Tablett simsen, dann brauch ich gar kein zweites Gerät dafür! Ich sagte doch Gesunder Menschenverstand. Meine M-TANs bekomme ich auf ein MobilTelefon, mit dem kann man telefonieren, und ich habe sogar einen Taschenrechner drin. Aber wenn ich damit ins Internet gehe und mir irgendwelche Apps installiere, dann ist es natürlich sinnlos, überhaupt M-Tans zu nutzen.

Du weißt das auf den meisten BankTerminals WindowsNT läuft...

Ja und? Meinst du jetzt, dass Windows die Videokamera stört? Oder glaubst du, nur weil Windows auf den Kisten läuft, dass du sie aus dem Internet hacken kannst? 🙄

Stefan

lionlizard schrieb:

Ich habe zwar auch ein Open SOurce Programm gefunden, das ich hätte nutzen können - aber ich möchte meine Kontoführung gar nicht auf meinem Rechner haben und machen. Das darf gern auf dem Bankserver bleiben.

Die opensource funktioniert erstaunlich gut, aber das ist wie gesagt geschmackssache.

Millionenschaden durch mTAN-Betrug

Ja, sehr gut mitgedacht, ich lasse mir die M-Tan auf meinen Tablett simsen, dann brauch ich gar kein zweites Gerät dafür! Ich sagte doch Gesunder Menschenverstand. Meine M-TANs bekomme ich auf ein MobilTelefon, mit dem kann man telefonieren, und ich habe sogar einen Taschenrechner drin. Aber wenn ich damit ins Internet gehe und mir irgendwelche Apps installiere, dann ist es natürlich sinnlos, überhaupt M-Tans zu nutzen.

Du hast noch nichts von angriffen gehört bei den dein BasebandChip (der ist so auch in alten Handys verbaut) angegriffen wird? Oder aufgrund der miesen GSM Crypto dein Handy aus der ferne geclont wird. mTan ist nur so lange sicher, so lange der Angreifer nicht in der Lage ist, deine zwei Kommunikationswege genau dir zuzuordnen (und anzugreifen).

Ja und? Meinst du jetzt, dass Windows die Videokamera stört? Oder glaubst du, nur weil Windows auf den Kisten läuft, dass du sie aus dem Internet hacken kannst? 🙄

ich nicht, aber es wird schon gemacht Russische Malware späht US-Geldautomaten aus

Raptor 2101 schrieb:

mTan ist nur so lange sicher, so lange der Angreifer nicht in der Lage ist, deine zwei Kommunikationswege genau dir zuzuordnen (und anzugreifen).

Genau. Wenn er meine Zugangsdaten errät und mein Handy klaut, bin ich am Arsch. Oder wenn sein Trojaner ihn benachrichtigt, sobald ich meine Online-Banking-Seite aufrufe, und sein GSM-Abhörmodul sich dann in meine Handyverbindung einklinkt und die SMS mit der M-TAN manipuliert.

Natürlich ist das alles technisch machbar. Aber warum soll sich jemand solchen Aufwand machen, wenn es genügt, 10 Millionen Mails zu versenden, die den Empfänger bitten, seine Logindaten zu ändern und dies mit einer TAN zu bestätigen, 'und bitte benutzen die Link in dieser Mail, damit sie nicht auf eine Phishing-Seite geraten.' 100 oder 1000 Leute machen das.

Ich bin, wie gesagt seit Anfang der 90er Jahre beim Onlinebanking und in der Zeit ist noch nie unberechtigt auf mein Konto zugegriffen worden und ich kenne auch niemand, bei dem dies je passiert wäre.

ich nicht, aber es wird schon gemacht Russische Malware späht US-Geldautomaten aus

Heise schrieb

Die Interaktion mit den EC-Karten findet jedoch über ein getrenntes System statt, das höheren Sicherheitsanforderungen genügen muss.

Dies gilt für Deutschland. Und in dem Artikel ist von genau 4 US-Banken und einem Kaufhaus die Rede. Die werden Sicherheitsprofis haben, die ihr Netzwerk ans Internet gehängt haben.

Wenn sich jemand wirklich ins Netzwerk der Banken hacken kann, dann gibt der sich nicht damit ab, 100 Euro von einem Privatkonto abzuheben, indem er vorher die Kartendaten klaut.

Stefan

lionlizard schrieb:

Natürlich ist das alles technisch machbar. Aber warum soll sich jemand solchen Aufwand machen, wenn es genügt, 10 Millionen Mails zu versenden, die den Empfänger bitten, seine Logindaten zu ändern und dies mit einer TAN zu bestätigen, 'und bitte benutzen die Link in dieser Mail, damit sie nicht auf eine Phishing-Seite geraten.' 100 oder 1000 Leute machen das.

Oder er greift einmal bei einem großen TelekomunikationsProvider die Daten ab.

Die Interaktion mit den EC-Karten findet jedoch über ein getrenntes System statt, das höheren Sicherheitsanforderungen genügen muss. Dies gilt für Deutschland. Und in dem Artikel ist von genau 4 US-Banken und einem Kaufhaus die Rede. Die werden Sicherheitsprofis haben, die ihr Netzwerk ans Internet gehängt haben.

Den geldspukenden Automaten auf der BackHat hast du gesehen (war zum brüllen). Es ging mir nur drumm, die Bankautomaten sind auch in Deutschland kein Hort der Sicherheit.