[bitte verschieben] Hallo, ich nutze am PC (Windows) Onlinebanking und wollte mal nachfragen wie sicher es unter Ubuntu ist ?
:
Verschoben durch User
Würde ich nicht sagen. In Linux sind die entsprechenden Trojaner um Grössenordnungen seltener als in Windows. Nicht unbedingt weil das System per se sicherer gebaut wäre, sondern weil sich kaum jemand die entsprechende Mühe macht. Die Gauner ziehen es vor, Windows-User zu umarmen. Wer ganz sicher gehen will, der bootet dafür eine fertige und hoffentlich nicht "ab Werk" verseuchte Live-CD. Da ist es im Prinzip egal, welches System das ist.
>Würde ich nicht sagen. In Linux sind die entsprechenden Trojaner um
Grössenordnungen seltener als in Windows. Nicht unbedingt weil das
so what.
kommt letztlich darauf an welche schutzmechanismen deine bank nutzt/ was
du als sicher verstehst.
geld verschieben ist durch die verschiedenen tan verfahren praktisch
unmöglich. einblick in das konto erhalten ist nicht so schwer, da häufig
nur ein fixes passwort benötigt wird. hier helfen viren natürlich schon
damit ist windows wohl hier anfälliger.
Die Frage ist zu generic als sie beantworten zu können... Aber sicher ein guter Anhaltspunkt: http://www.xfocus.net/articles/200203/hack%20proofing%20linux.pdf lg Jürgen
Floh schrieb: > Sicher und online schließt sich meiner Meinung nach aus. :-) Aber nur weil du keine Ahnung hast.
frank schrieb: > geld verschieben ist durch die verschiedenen tan verfahren praktisch > unmöglich. Pustekuchen. Es ist zwar schwierig, aber es wird dennoch rege genutzt. Es gibt ein paar Trojaner, die sich auf Homebanking spezialisiert haben. Da ist auch mindestens einer dabei, der mit einer harmlos wirkenden Kooperation seitens des Users SMS-Pins (mTAN) abgreift. http://www.heise.de/newsticker/meldung/Millionenschaden-durch-mTAN-Betrug-1763105.html
A. K. schrieb: > Würde ich nicht sagen. In Linux sind die entsprechenden Trojaner um > Grössenordnungen seltener als in Windows. Nicht unbedingt weil das > System per se sicherer gebaut wäre, sondern weil sich kaum jemand die > entsprechende Mühe macht. Die Gauner ziehen es vor, Windows-User zu > umarmen. Es wurde aber nicht danach gefragt, ob Ubuntu einen besseren Schutz vor Trojanern usw. bietet. Es wurde danach gefragt, ob Onlinebanking unter Ubuntu sicherer ist. Es gibt zu viele Angriffsvektoren, als dass man diese Frage auch nur annähern beantworten könnte. Was, wenn die kryptographischen Protokolle oder Primitiven gebrochen werden? Was, wenn es bei deiner Bank selber zu einer umfangreichen Kompromittierung kommt? Was, wenn Angreifer sich gefälschte Sicherheitszertifikate ausstellen können? Was, wenn dir dein Bank-Login + TAN-Liste gestohlen wird? Da hilft dir kein Ubuntu, kein Mac, kein Windows, gar nichts.
Daniel H. schrieb: > Es wurde aber nicht danach gefragt, ob Ubuntu einen besseren Schutz vor > Trojanern usw. bietet. Es wurde danach gefragt, ob Onlinebanking unter > Ubuntu sicherer ist. Eben. Es wurde nach meinem Verständnis nicht danach gefragt, ob es völlig sicher ist (das ist kein Weg, auch nicht am Bankschalter), sondern ob es sicherer ist als in Windows. Statistisch halte ich die Wahrscheinlichkeit, unter Ubuntu abgezogen zu werden, für deutlich geringer. Das ist meine Interpretation seiner Frage. Du hast sie offenbar anders interpretiert. Mag er sich das passende aussuchen.
Wenn Du kein Flash und kein Java installierst, und auch sonst ein wenig aufpasst ist es sehr sicher. Der Hauptpunkt der Sicherheit bei Desktop-Linuxsystemen liegt darin, dass Du Deine Software von einer Distribution holst. Da sitzen Leute, deren Job es ist Software zu prüfen und für die Distribution in Pakete zu packen. Es ist da extrem schwer Malware rein zu bekommen. Falls doch mal ein sicherheitskritischer Fehler drin ist, wird der so schnell wie möglich behoben und es gibt ein Update. Gleichzeitig kannst Du aber gezielt einzelne Programme im Quellcode herunterladen und selber kompilieren. Das ist riskanter und Du hast keine automatischen Updates.
Das Problem bei Ubuntu ist nur, dass die Entwickler bei jedem Programm im Quellcode rumspielen und das ganze unkontrollierbar unübersichtlich wird. Da kann schnell einmal was übersehen werden. Auch ist Ubuntu (leider) die bekannteste Distro und so auch das wahrscheinlichste Ziel, wenn nicht Windows von den Angreifern präferiert wird.
Auf jeden Fall ist die Papierüberweisung am wenigsten sicher, weil die Unterschrift kaum richtig geprüft wird.
Stefan Helmert schrieb: > Auf jeden Fall ist die Papierüberweisung am wenigsten sicher, weil die > Unterschrift kaum richtig geprüft wird. aber für die Fehler zahlt die Bank und nicht der Kunde.
Welches Betriebssystem für online Banking genutzt wird ist relativ egal, der Browser, die Website, TAN usw. sind die Schwachpunkte und wenn jemand die URL verbogen hat gibt es einen "man in the middle" der die originalen Daten hat und somit von Seiten der Bank und dem Bankkunden nicht erkannt werden kann. Statt den SSL-Zertifikatsservern zu vertrauen würde ich empfehlen das originale SSL-Zertifikat lokal zu speichern und nur Verbindungen zu der darin enthaltenen IP und SSL-Key zu verwenden. Absolut auf der sicheren Seite (rechtlich) bist Du nur wenn Du persönlich dem Bankangestellten Deines Vertrauens das ganze persönlich selbst tun läßt, dann haste auch gleich Videobeweis :-P Viren und Trojaner erobern inzwischen auch massiv Linux-Distributionen, wer also auf Un*x setzen will sollte besser OpenBSD nehmen und dann alles auf der Console mit Lynx ansehen wobei er kein root ist und die Console als chroot im jail läuft :-P Dann gäbe es noch das Problem von kompromitierten Modem/Router usw. ... Echte Sicherheit gibt es nicht, auch das teure Sicherheitsschloß in deiner Wohnungstür kann schnell ohne Zerstörung geknackt werden. Wichtig ist Dinge zu nehmen die bekanntermaßen "relativ" sicher sind und keine Scheunentore bieten wie der IE o.ä. hat ... Kloppt mich ich hab' trotzdem Win7-64bit auffer Kiste, weil Spiele nunmal directX brauchen m( So und nun inne Heia ...
Wenn die Seite Bank angegriffen wurde, wars das endgültig. Also: Ab in die Bank! Im RL bekommt man eine Man-In-The-Middle Attacke wenigstens noch mit xD
Die wichtigsten Angriffswege gegen Onlinebanking gehen über Trojaner auf deinem Rechner -> dagegen bist du unter Ubuntu geschützt, meines Wissens sind keine Trojaner die unter Ubuntu aktiv sind bekannt. Meines Wissens gab es auch Angriffe gegen DNS in Routern -> dagegen hilft es nicht, wenn der Ubunturechner den Router als DNS-Server verwendet. Wie die anderen schon gesagt haben: gegen Szenarien wo die Bank betroffen ist oder die die Verbindung dorthin direkt angreifen bist du nicht geschützt, diese sind jedoch um Größenordnungen unwahrscheinlicher, insbesondere in einem Privathaushalt.
A. K. schrieb: > Da ist auch mindestens einer dabei, der mit einer harmlos wirkenden > Kooperation seitens des Users SMS-Pins (mTAN) abgreift. Gegen smartTan/TanOptic ist mir kein Angriff bekannt, viel wichtiger als das "richtige" Betriebsystem ist also die Wahl eines sicheren TAN Verfahren, mTAN ist meiner Meinung nach bestenfalls für Uralt-Handys Aktzeptabel und auch da hatten wir doch hier schon eine DIskussion von wegen Täter sitzt in gleicher Funkzelle o.ä. Ansonsten sollte sich doch inzwischen rumgesprochen haben, dass man nicht einfach irgendwas installiert oder TANs "bestätigt" und Passwörter rausgibt. Seit die TAN Transaktionsgebunden ist ist das Haupteinfallstor der User, da hilft das Betriebsystem nurnoch wenig.
Fabian V. schrieb: > Im RL bekommt man eine Man-In-The-Middle Attacke wenigstens noch mit xD Nur wenn dir dein Gegenüber persönlich bekannt ist. Andernfalls könnte das eben wieder ein "man in the middle" sein, der sich ein Namenschild der Bank stibitzt hat.
Anstelle von TANs kann man auch mit Chipkarte arbeiten. Das bietet mehr Sicherheit. Siehe http://de.wikipedia.org/wiki/Homebanking_Computer_Interface#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkartenlesern Allerdings wissen teilweise nicht mal die Bankmitarbeiter, daß ihre Banken sowas anbieten.
Rolf Magnus schrieb: > Anstelle von TANs kann man auch mit Chipkarte arbeiten Zitat: >> [..] ist Homebanking per HBCI und Kartenleser also nur unter der >> Annahme sicher, dass das verwendete Homebanking-Programm auf dem >> PC nicht durch Angreifer manipuliert werden konnte. Außerdem Kostet das ein Schweinegeld meist noch mit Monatlichen Gebühren und solch kokolores. sm@rtTAN-Plus/SmartTAN optic kostet einmal den Leser (Je nach Bank kostenlos bis 10 €) und enthält neben dem Empfängerkonto den Betrag was man noch Bestätigen muss. Sehr viel sicherer und kostengünstiger als HBCI (wieso Wikipedia das als 'nonplusultra' bezeichnet ist mir schleierhaft...) >> Neuere TAN-Verfahren [..] verknüpfen die TAN mit den Auftragsdaten. [...] >> Sofern Überweisungsdaten durch Schadsoftware verändert werden, sind >> diese veränderten Werte auf dem Display des TAN-Generators sichtbar. >> [..] Da der TAN-Generator nicht an den PC angeschlossen wird, ist eine >> Manipulation der Displayanzeige ausgeschlossen. >> Alle bisherigen, technischen Angriffsarten können damit wirkungsvoll >> verhindert werden. >> Einzige Gefahrenquelle bleibt der sorglose Umgang mit den >> angezeigten Auftragsdaten im Display des TAN-Generators. (Hervorhebung durch mich)
Läubi .. schrieb: > Außerdem Kostet das ein Schweinegeld meist noch mit Monatlichen > Gebühren und solch kokolores. Negativ. Ich hatte die Wahl zwischen mTAN und Chipkarte und entschied mich für die Karte. Kostet keinen Cent extra, ausgenommen die Anschaffung des Kartenlesers.
Icke ®. schrieb: > mTAN und Chipkarte Aber bestimmt kein HBCI, dafür braucht man nämlich ein extra "zertifiziertes" Programm und eine HBCI fähige (extra) Chipkarte. Und darauf bezog ich mich. Das "TAN Verfahren mit Chipkarte" hab ich ja weiter unten beschrieben.
Läubi .. schrieb: > Aber bestimmt kein HBCI, dafür braucht man nämlich ein extra > "zertifiziertes" Programm und eine HBCI fähige (extra) Chipkarte. Ganz bestimmt HBCI. Mit T-Online-Banking 6.0 oder alternativ über den Browser. Die Chipkarte gabs von der Sparkasse für lau. > "TAN Verfahren mit Chipkarte" Sagt mir jetzt nix. Ich brauche keine TANs. Ich stecke die Karte in den Leser, bestätige mit meiner PIN und fertig.
Fabian V. schrieb: > Im RL bekommt man eine Man-In-The-Middle Attacke wenigstens noch mit xD Mit dem TAN-Generator sollte man es auch mitbekommen! Daniel H. schrieb: > as, wenn dir dein Bank-Login + TAN-Liste gestohlen wird? Da > hilft dir kein Ubuntu, kein Mac, kein Windows, gar nichts. TAN-Listen gibt es nicht mehr!
User schrieb: > [bitte verschieben] > > > Hallo, > > ich nutze am PC (Windows) Onlinebanking und wollte mal nachfragen wie > sicher > es unter Ubuntu ist ? Ubuntu ist sicherer. Aufgrund AppArmor ist es Anwendungen grundsätzlich nicht möglich auszubrechen: http://de.wikipedia.org/wiki/AppArmor Wird also unter Linux ein infiziertes PDF geöffnet, welches auf eine Sicherheitslücke im PDF Reader trifft, passiert trotzdem nichts, da im AppArmor Profil vom Evince festgelegt ist was er darf und was nicht. Wird unter Windows der PDF Reader geknackt dann ist es grundsätzlich erst mal vorbei. Mit etwas Glück schlägt irgendwann ein Virenscanner zu, aber wer hat schon immer Glück. ps. Aussagen ohne Begründung / Referenzen sind bei so einer Frage getrost zu ignorieren... mfg Andreas
AppArmor ist auch nur ein Programm, das von Menschen geschrieben wurde. Grundsätzlich ist nichts sicher, auch wenn AppArmor schon ziemlich nahe dran ist. Eigentlich ist Ubuntu sogar viel eher knackbar, da jeder den Code lesen kann und so Lücken finden kann. Es dauert nämlich eine gewisse Zeit, bis die Ubuntu-Entwickler es schaffen, die Pakete wieder "Ubuntu-konform" zu machen. Da gibt es bei openSUSE diese Zeitverzögerung nicht in diesem Ausmaße, da die durch ihren Buildservice nicht mal einen halben Tag brauchen, bis die neueste Version in den (ungetesteten) Repos vorliegt.
Fabian V. schrieb: > AppArmor ist auch nur ein Programm, das von Menschen geschrieben wurde. > Grundsätzlich ist nichts sicher, auch wenn AppArmor schon ziemlich naha > dran ist. Ziemlich nahe dran (Linux) verglichen mit gar nichts vergleichbarem (Windows) und falls es sich noch um XP handelt warscheinlich noch Admin Rechte? Klar, absolute Sicherheit gibt es nie. Wollte ich auch nicht behaupten. [edit: Wenn Fabian editiert dann ich auch;-)] Fabian V. schrieb: > Eigentlich ist Ubuntu sogar viel eher knackbar, da jeder den Code lesen > kann und so Lücken finden kann. Es dauert nämlich eine gewisse Zeit, bis > die Ubuntu-Entwickler es schaffen, die Pakete wieder "Ubuntu-konform" zu > machen. > Da gibt es bei openSUSE diese Zeitverzögerung nicht in diesem Ausmaße, > da die durch ihren Buildservice nicht mal einen halben Tag brauchen, bis > die neueste Version in den (ungetesteten) Repos vorliegt. Durchaus möglich das hier openSUSE die Nase noch etwas weiter vorne hat. Aber Lücken lassen sich auch in Binaries finden, dazu gibt es heute durchaus automatisierte Tools. Bei Windows werden diese dann z.B. von Sicherheitsfirmen gemeldet, und MS lässt sich danach Zeit zu überlegen was sie machen wollen. (aktuelles Beispiel, gibt aber noch bessere: http://www.golem.de/news/sicherheitsluecke-provisorischer-patch-fuer-internet-explorer-1301-96615.html) Ist der Quellcode offen kann jeder die Lücke schliessen, also auch z.B. die Distribution selbst, und man ist nicht abhängig von einer Firma, die öfters mal etwas Zeit braucht... mfg Andreas
>Ist der Quellcode offen kann jeder die Lücke schliessen, also auch z.B. >die Distribution selbst, und man ist nicht abhängig von einer Firma, die >öfters mal etwas Zeit braucht... Oder weiter öffnen ...
@ Andreas B. (andreasb) >Ist der Quellcode offen kann jeder die Lücke schliessen, also auch z.B. >die Distribution selbst, und man ist nicht abhängig von einer Firma, die >öfters mal etwas Zeit braucht... Und Du glaubst, Ubuntu o.a. Linux-Distros sind da schneller? Schau Dir doch einfach mal die Datierungen der Updates, und dem Bekanntwerden der zugehörigen Lücke auf http://www.ubuntu.com/usn (die CVE-Links) an, dann siehste, daß da zw. Bekanntwerden und Lückenschließen oftmals Monate vergehen.
"503 Service Unavailable" Da hat wohl gerade jemand eine Lücke gefunden xD
Fabian V. schrieb: > Eigentlich ist Ubuntu sogar viel eher knackbar, da jeder den Code lesen > kann und so Lücken finden kann. Security through obscurity ist nicht das beste Konzept.
A. K. schrieb: > http://www.heise.de/newsticker/meldung/Millionensc... Das bezieht sich nicht auf den PC! Rolf Magnus schrieb: > Anstelle von TANs kann man auch mit Chipkarte arbeiten. Das bietet mehr > Sicherheit. Siehe > http://de.wikipedia.org/wiki/Homebanking_Computer_... Für die Sicherheit dazu ist nicht die Software zustaändig, sonder solche wie von Reiner Sct. Dazu ist die Online-Zeit minimal gegenüber anderen Methoden. Das verringert wesentlich die Angriffszeit. Läubi .. schrieb: > Zitat: >>> [..] ist Homebanking per HBCI und Kartenleser also nur unter der >>> Annahme sicher, dass das verwendete Homebanking-Programm auf dem >>> PC nicht durch Angreifer manipuliert werden konnte. > > Außerdem Kostet das ein Schweinegeld meist noch mit Monatlichen > Gebühren und solch kokolores. Außer den Initialisierungskosten und dem Kartenleser fallen keine weiteren Gebühren an. Es heißt aber, das HBCI nur für Geschäftskunden verfügbar ist. Einfach anrufen und man kriegt es auch privat. Es ist die bislang sicherste Methode. Gibt es eigentlich unter LINUX Banking-Programme für HBCI?
Michael_ schrieb: > Es ist die bislang sicherste Methode. Komm mal von deinem hohen Ross herunter. So pauschal stimmt das ganz sicher nicht.
Simon K. schrieb: > So pauschal stimmt das ganz sicher nicht. Hast du Gründe das anzuzweifeln, oder klopfst du nur auf den Busch?
Uhu Uhuhu schrieb: > Hast du Gründe das anzuzweifeln, oder klopfst du nur auf den Busch? Ich hab das doch aus Wiki oben schon Zitiert, eventuell wurde das inzwischen geändert, aber meines Wissens wird nur der Überweisungsauftrag an sich signiert nicht der Inhalt und was signiert wird siehst du nicht an dem externem Leser. D.h. wenn jemand dir einen Trojaner unterschiebt könnte der beliebige Aufträge signieren obwohl du nur deine letzte Online-Bestellung schnell überweisen willst. Die "Sicherheit" ist also, das man hofft/glaubt, dass sich niemand die Mühe macht das Homebankingprogramm anzugreifen. Michael_ schrieb: > Außer den Initialisierungskosten und dem Kartenleser fallen keine > weiteren Gebühren an. Dann hat sich das wohl geändert, ich hab mich da länger nicht mehr mit beschäftigt, da es erst zu teuer und inzwischen uninteressant ist wegen der Sicherheitsprobleme (s.o.). Michael_ schrieb: > Dazu ist die Online-Zeit minimal gegenüber anderen > Methoden. Das verringert wesentlich die Angriffszeit Das ist ja wohl ein Argument aus dem vorherigem Jahrhundert, oder hast du ernsthaft für deinen OnlineBanking PC eine eigene Einwahlverbindung? Für einen Trojaner ist es außerdem unerheblich.
Läubi .. schrieb: > inzwischen uninteressant ist wegen der Sicherheitsprobleme m.E. ist die Chipkarte in Verbindung mit PIN-Eingabe direkt am Kartenleser das derzeit am wenigsten angreifbare Verfahren überhaupt. Welches soll noch sicherer sein?
Direkt zur Bank gehen, aber da bekommt man der Wahrscheinlichkeit nach eher eines auf die Mütze. Läubi .. schrieb: > Michael_ schrieb: >> Außer den Initialisierungskosten und dem Kartenleser fallen keine >> weiteren Gebühren an. > > Dann hat sich das wohl geändert, ich hab mich da länger nicht mehr mit > beschäftigt, da es erst zu teuer und inzwischen uninteressant ist wegen > der Sicherheitsprobleme (s.o.). Für die Initialisierung glaube ich, waren es 12 EUR. Dazu noch ein Bankingprogramm. Das von T-online ist kostenlos, man muß die Karte jedoch auf einem richtigen Programm wie Quicken oder Starmoney initialisieren. Ansonsten bezahle ich 0,99 EUR monatlich.
Wer die Technik hinter Onlinebanking versteht, der führt die Überweisung per Zettel durch.
Läubi .. schrieb: > Die "Sicherheit" ist also, das man hofft/glaubt, dass sich niemand die > Mühe macht das Homebankingprogramm anzugreifen. Das ist bei jeder Sicherheit so: man hofft, daß die Gegenseite den Schlüssel / das Verschlüsselungssystem nicht knacken kann. Letztlich ist die Sicherheit von Chipkarten-HBCI so ähnlich, wie die von Linux: Es gibt genug verbreitetere Angriffsziele, für die sich deswegen auch hoher Entwicklungsaufwand "lohnt". Die Schwachstelle, daß man nicht sieht, was man genau signiert, besteht noch. Trotzdem habe ich noch nie einen Bericht gefunden, daß Chipkarten-HBCI angegriffen wurde. Spätestens, wenn alle was dem Chipkarten-HBCI in Verbreitung und Schwierigeitgrad vergleichbares haben, werde ich mich nach was anderem umsehen müssen - das müßten aber mindestens 500 verschiedene Systeme sein, wegen des Verbreitungsgrades ;-)
Icke ®. schrieb: > Welches soll noch sicherer sein? z.B. TAN Optik da man dort die Überweisungsdaten noch einmal auf dem Leser sieht¹ und die TAN an diese Transaktion gekoppelt ist. ¹(ausgenommen Sammelüberweisungen wo es theoretisch auch möglich wäre etwas dazwischen zu schmuggeln, muss man aber ja nicht nutzen)
Michael_ schrieb: > Dazu noch ein Bankingprogramm. Das von T-online ist kostenlos, man muß > die Karte jedoch auf einem richtigen Programm wie Quicken oder Starmoney > initialisieren. k.A. wie das bei anderen Banken ist, aber bei der Spaßkasse kann man die Karte auch mittels Browser auf der Webseite initialisieren. T-Online Banking ist zwar kostenlos, setzt jedoch einen T-Online Account voraus.
Eigentlich isses doch egal, wie sicher dein PC/OS/Browser/Cardreader usw. ist, solange es nicht dein Risiko ist. z.B. bei der DiBaDiBaDu: https://www.ing-diba.de/kundenservice/sicherheit/
1 | Falls Dritte Ihre Zugangsdaten zum Internetbanking missbrauchen, ersetzen wir den finanziellen Schaden, der Ihnen entsteht – versprochen. |
Stellt sich nur die Frage, inwieweit das Nutzen vom IE 6.0 als "Vorsätzliches Herbeiführen des Schadens" gilt.
Peter II schrieb: > Stefan Helmert schrieb: >> Auf jeden Fall ist die Papierüberweisung am wenigsten sicher, weil die >> Unterschrift kaum richtig geprüft wird. > > aber für die Fehler zahlt die Bank und nicht der Kunde. das habe ich anders erlebt: einem Freund wurde ein Scheck gestohlen und die Unterschrift gefälscht, Die Unterschrift war einigermaßen ähnlich und die Bank hat definitiv den Schaden nicht übernommen. Mit Papierüberweisung braucht man nicht Mal einen Scheck klauen.
Vor vielen Jahren wurden mir auch Schecks gestohlen und die Unterschrift gefälscht. Glücklicherweise unterschrieb ich immer mit Vor- und Zuname und der Dieb hatte nur den Nachnamen verwendet. Bekam mein Geld zurück. Durfte mir dann einen Überwachungskamera- Film der Bank ansehen, von dem Tag an dem die gefälschten Schecks eingelöst wurden. Ich erkannte jedoch niemand. Zur selben Zeit liefen mehrer solche Fälschungen, vielleicht war das der Grund, daß die Bank so kulant war. Wie der Dieb an die Scheckvordrucke, Unterschriftproben etc. kam blieb schleierhaft. Habe niemehr etwas von der Sache gehört. Insiderverbrechen?
Icke ®. schrieb: > k.A. wie das bei anderen Banken ist, aber bei der Spaßkasse kann man die > Karte auch mittels Browser auf der Webseite initialisieren. T-Online > Banking ist zwar kostenlos, setzt jedoch einen T-Online Account voraus. Du verwechselst sicher die Karte, welche man an den BS hält mit HBCI. Das ist was grundverschiedenes. Für HBCI wird kein Browser benutzt, niemals! T-online Banking kann man sicher auch getrennt benutzen. Man muß es nur für 0,00 EUR kaufen, und ist damit registriert.
Michael_ schrieb: > Icke ®. schrieb: >> k.A. wie das bei anderen Banken ist, aber bei der Spaßkasse kann man die >> Karte auch mittels Browser auf der Webseite initialisieren. T-Online >> Banking ist zwar kostenlos, setzt jedoch einen T-Online Account voraus. > > Du verwechselst sicher die Karte, welche man an den BS hält mit HBCI. > Das ist was grundverschiedenes. > Für HBCI wird kein Browser benutzt, niemals! > T-online Banking kann man sicher auch getrennt benutzen. > Man muß es nur für 0,00 EUR kaufen, und ist damit registriert. HBCI ist nur ein Protokoll, die aktuelle Version (mittlerweile FinTS) ist nur noch XML über HTTPS. Chipkarten sind optional. Ob man der Homebanking-Software mehr vertrauen kann (weniger Sicherheitslücken), als einem aktuellen Browser darf bezweifelt werden.
Läubi .. schrieb: > Gegen smartTan/TanOptic ist mir kein Angriff bekannt Mir leider schon. Der eigentliche Vorteil bei diesen Sicherheitsverfahren besteht darin, dass die Überweisungsdaten auf einem (vom PC) unabhängigen Gerät angezeigt werden, so dass der Übweisende die Daten nochmal kontrollieren kann. (Betonung: KANN). In der Praxis erfolgt diese Kontrolle jedoch nicht im notwendigen Umfang... Gerne wird dem Benutzer auch durch einen Trojaner suggeriert, er müsste bestimmte Eingaben im TAN-Generator zur "Synchronisation" durchführen... dass der TAN-Generator danach die Daten einer Überweisung ins osteuropäische Ausland anzeigt wird geschickt übergangen. (Zitat: "Bitte geben Sie die angezeigte TAN aus Sicherheitsgründen nur ein, wenn der vorher angezeigte Betrag GENAU 2.154,54 Euro ist" ;-)) Und wer jetzt meint, dass auf so etwas niemand reinfällt.... Irrtum !
Arc Net schrieb: > HBCI ist nur ein Protokoll, die aktuelle Version (mittlerweile FinTS) > ist nur noch XML über HTTPS. Chipkarten sind optional. Ja, das Protololl wurde mal entscheiden verbessert und seither taugt es nur noch als Etikettenschwindel und den Leuten dieses Contergan-HBCI schmackhaft zu machen, das ohne Chipkarte funktioniert. Mit Chipkarte ist es aber praktisch dasselbe, wie vor der Verschlimmbesserung.
Arc Net schrieb: > HBCI ist nur ein Protokoll, die aktuelle Version (mittlerweile FinTS) > ist nur noch XML über HTTPS. Chipkarten sind optional. Mindestens bei der Sparkasse gibt es FinTS-HBCI nicht mehr, seit es mTAN und smsTAN gibt. Und HBCI gab es schon zu Zeiten der TAN-Listen. Es war schon immer das sicherste Verfahren. Tom schrieb: > Und wer jetzt meint, dass auf so etwas niemand reinfällt.... Irrtum ! Sag mal, mit welcher Methode erledigst du deine Geldgeschäfte? Wie sicher ist deine Methode?
Michael_ schrieb: > Sag mal, mit welcher Methode erledigst du deine Geldgeschäfte? > > Wie sicher ist deine Methode? Ich nutze Online-Banking in allen möglichen Varianten, je nach Bedarf (smsTAN, ChipTAN, HBCI und EBICS) und kann auch sehr guten Gewissens behaupten, dass die Technik die dahinter steht "sicher" ist, sofern man sie korrekt anwendet. Ich komme beruflich aus der Branche. Die größte Schwachstelle ist und bleibt der Mensch. Alle mir bekannten Schadenfälle der letzten Jahre resultieren daraus, dass der Mensch mittels Social Engineering dazu gebracht wurde etwas zu tun, was er lieber nicht hätte tun sollen.... Und noch nebenbei: Für den Endanwender ist Online-Banking sowieso eine sichere Variante. Man muss nur mal in der entsprechenden Sonderbedingungen der eigenen Bank schauen, wer bei einem Schadensfall den Schaden trägt. Bei meinem Kreditinstitut ist das bei Verbrauchern (Privatkunden) das Kreditinstitut (!)... und das auch unabhängig der Verschuldensfrage (!). Michael_ schrieb: > Mindestens bei der Sparkasse gibt es FinTS-HBCI nicht mehr, seit es mTAN > > und smsTAN gibt. Doch HBCI gibt es nach wie vor bei Sparkassen. Es wird bei vielen Instituten nur nicht mehr aktiv verkauft.
Ich verwende dafür grundsätzlich ein Live-Linux, frisch gebootet und danach wieder runtergefahren. Hat vielleicht mehr mit Vermeidung von tracking zu tun, aber Trojaner und Co dürften da ausgeschlossen sein. SMS-Tan empfange ich über Uralt-Handy mit ein-Zweck-SIM-Karte, bleibt immer im Büro. Chip-TAN lehne ich ab, weil ich die Karte ja verlieren könnte, ebenso die SIM-Karte unterwegs. Bei mir muß der Einbrecher schon ins Büro kommen, um das System zu knacken. Dann sieht es aber mau aus. Banking-Software und Win-XP lehne ich ab, da zu undurchschaubar. Und ich habe meine Bank-Karte bezüglich Ausland gesperrt (siehe skimming). Kreditkarte ist prepaid, ohne Beziehung zum Konto. Hauptsächlich geht es um das "gute Gefühl". Absolute Sicherheit gibt es nicht, nur Unwahrscheinlichkeit. Aber es ist wahrscheinlicher, daß ich morgen vom Blitz erschlagen werde. Trotzdem habe ich keine Panik. Letzte Woche kam eine Überweisung bei mir zurück "Konto falsch". Es war ein Tippfehler von mir, trotz Überprüfung der SMS-Tan. Es gibt auch den Faktor "Mensch".
nix und nul schrieb: > Chip-TAN lehne ich ab, weil ich die Karte ja verlieren > könnte, 1. lässt man die Karte dann sperren 2. fehlen dem Finder die Zugangsdaten zum Onlinebanking
@Karl (Gast)
>2. fehlen dem Finder die Zugangsdaten zum Onlinebanking
Die hat er doch sicherheitshalber auf die Karte geschrieben ...
Michael_ schrieb: > Du verwechselst sicher die Karte, welche man an den BS hält mit HBCI. > Das ist was grundverschiedenes. > Für HBCI wird kein Browser benutzt, niemals! Nein, ich verwechsle nichts. Es IST eine Hah-Beh-Ceh-Iih-Karte und ich kann sie auch mit dem Browser verwenden. Dazu wird ein DDBAC Plugin installiert: http://www.bs-ag.com/index.php?option=com_content&view=article&id=57&Itemid=37 > T-online Banking kann man sicher auch getrennt benutzen. > Man muß es nur für 0,00 EUR kaufen, und ist damit registriert. Du kannst dir natürlich die kostenlose T-Online Software runterladen und das Banking installieren. Nützt aber ohne T-Online Account nichts, denn die notwendigen Updates (Bankauszugsdaten etc.) funktionieren nur, wenn im Startcenter eine gültige T-Online Kennung eingetragen ist.
Tom schrieb: > Alle mir bekannten Schadenfälle > der letzten Jahre resultieren daraus, dass der Mensch mittels Social > Engineering dazu gebracht wurde etwas zu tun, was er lieber nicht hätte > tun sollen.... Nah, nah, nah... Irgend so ein Drive-by-Dreck auf einer unverdächtigen Seite - womöglich sogar eine Bankseite - und schwupps hat man sich einen Dreck eingefangen und dann hinterher zu behaupten, der arme Kerl, der in die Falle getappt ist, hätte etwas getan, "was er lieber nicht hätte tun sollen", ist nicht nur weltfremd, sondern ganz schön arrogant...
Uhu Uhuhu schrieb: > "was er lieber nicht hätte > tun sollen", ist nicht nur weltfremd, sondern ganz schön arrogant Spätestens wenn er eine SMS kriegt mit dem Inhalt "Die Tan für ihre Überweisung von 100000€ nach Russland ist 123456" und er diese trotzdem ins Onlinebaking zur Bezahlung seiner GEZ-Gebühr eintippt, oder ein Foto seiner TAN-Liste anfertigt, und das nach Bulgarien mailt, nur weil das in gebrochenem Deutsch auf der Webseite stand ... Würde ich dem Geschädigten zumindest eine Mitschuld anrechnen. Klar, gegen einen Zero-Day-Exploit helfen erstmal auch keine aktuellen Browser, Virenscanner und OS-Updates. Aber solang du deinen Rechner zumindest grundlegend aktuell hältst (also die Auto-Updates nicht abschaltest, oder z.B. "grob farlässigerweise" den IE 6.0 verwendest) mußt du für Schäden nicht haften (Gesetzesänderung gabs irgendwann 2009 um den Dreh) d.H. das Ganze ist keine Frage von "Geld weg oder nicht", sondern nur eine Frage wieviel Ärger man sich ersparen kann, wenn es erst garnicht zum Einbruch kommt. Um sich einfach einfach aus der Schussline zu nehmen: Seltene OS/Browser Kombinationen verwenden, und schon laufen viele der automatisierten Angriffe ins Leere. Warum sollten die Ganoven einen Exploit für "Opera auf Linux" programmieren, wenn sie mit der Kombination "Firefox auf Windows 7" 100.000-Mal soviel Geld verdienen können...
Εrnst B✶ schrieb: > d.H. das Ganze ist keine Frage von "Geld weg oder nicht", sondern nur > eine Frage wieviel Ärger man sich ersparen kann, wenn es erst garnicht > zum Einbruch kommt. Das ist nicht der Punkt, den ich kritisiere - um den hast du mein Zitat verstümmelt. > Würde ich dem Geschädigten zumindest eine Mitschuld anrechnen. So nach dem Motto: Hättest du nicht in der Schußbahn gestanden, währst du jetzt nicht tot. Findest du nicht, daß das ziemlich billig ist? Die Banken haben lange genug behauptet, bei jedem Fall von erfolgreichem Online-Betrug wäre grobe Fahrlässigkeit oder gar Vorsatz des Kunden im Spiel und die Richter haben ihnen diese Lügen vorbehaltlos geglaubt. Und im Übrigen sind die Jungs nicht erst seit gestern in der Lauge, sich auch in die Zweiwege-Kommunikation einzuklinken und dem Opfer heile Welt vorzugaukeln, während die betrügeriche Transaktion über die Bühne geht. > Um sich einfach einfach aus der Schussline zu nehmen: > Seltene OS/Browser Kombinationen verwenden, und schon laufen viele der > automatisierten Angriffe ins Leere. Genau - ich nenne das "Auf Artenvielfalt setzten". Deswegen benutze ich Chipkarten-HBCI - auch wenn das nicht unverwundbar ist. Bei der 1822direkt bin ich vor einiger Zeit auf ein Paradox gestoßen, das mir zu denken gab: Bei HBCI-Banking gibt es ein Tageslimit, das vom Limit für PIN/TAN-Banking unabhängig und nicht so leicht änderbar ist. Ich war so gezwungen, einen großen Betrag auf dem unsichereren Weg über PIN/TAN zu überweisen, weil die Sache zeitkritisch war und ich das Limit für PIN/TAN auf demselben Weg leicht verändern kann - völlig absurd.
Tom schrieb: > Michael_ schrieb: >> Mindestens bei der Sparkasse gibt es FinTS-HBCI nicht mehr, seit es mTAN >> >> und smsTAN gibt. > > Doch HBCI gibt es nach wie vor bei Sparkassen. Es wird bei vielen > Instituten nur nicht mehr aktiv verkauft. Tom, du kannst nicht der gleiche sein, außer du redest mit zwei Zungen. FinTS-HBCI ist nicht HBCI! Es war das bei der Sparkasse(TM) mit den TAN-Listen. nix und nul schrieb: > Bei mir muß der Einbrecher schon > ins Büro kommen, um das System zu knacken. Gut das ich das weiß, da werd ich mal ne kleine Kamera über der Tastatur anbringen. Oder die an deinem Laptop aktivieren. :-) Übertreibe es ja nicht mit der Übervorsichtigkeit! Icke ®. schrieb: > Du kannst dir natürlich die kostenlose T-Online Software runterladen und > das Banking installieren. Nützt aber ohne T-Online Account nichts, denn > die notwendigen Updates (Bankauszugsdaten etc.) funktionieren nur, wenn > im Startcenter eine gültige T-Online Kennung eingetragen ist. Man kann dies genauso selbständig installieren wie Quicken usw. Müßte man mal testen, ob es auch geht ohne tonnline Kunde zu sein. Obwohl ich tonnline verwende, hab ich das Startcenter nur vor längerer Zeit mal zum testen installiert. Das braucht kein Mensch. Eigentlich ist es auch nicht HBCI, sondern nennt sich Secoder.
Michael_ schrieb: > Eigentlich ist es auch nicht HBCI, sondern nennt sich Secoder. Hauptsache irgendwie das letzte Wort haben, auch wenn es wieder falsch ist, oder? Google doch wenigstens vorher.
Michael_ schrieb: > Tom, du kannst nicht der gleiche sein, außer du redest mit zwei Zungen. > > FinTS-HBCI ist nicht HBCI! Es war das bei der Sparkasse(TM) mit den > > TAN-Listen. "FinTS-HBCI" gibt es gar nicht. Das zugrundeliegende Protokoll der Versionsnummern bis einschließlich 2.2 wurde "HBCI" genannt. Ab der Versionsnummer 3.0 kam die Umfirmierung zu "FinTS". Beides hat aber primär nichts mit dem über das jeweilige Protokoll genutzten Legitimationsmedium zu tun. Und nicht alles, was theoretisch über das Protokoll möglich wäre, wird von der Bank auch unterstützt. Beispiel: "FinTS mit Schlüsseldatei anstatt Chipkarte" wird seitens der Sparkassen nicht unterstützt.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.