Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Banking App ING-DIBA. Das Verfahren gehört zum sichersten auf dem Markt. Dafür habe ich sogar die Bank gewechselt. TAN_ Listen in Papierform sind unsicher und sollten nicht mehr verwendet werden.
danke euch vielmals für die vielen Antworten und Infos!!!
Da es so viele sind, kann ich wohl nicht unbedingt allen direkt antworten. Aber auf jeden Fall sind eure Antworten sehr hilfreich!! Ich fühle mich schon direkt ein bisschen schlauer und sicherer.
Aus vielen Antworten scheint es mir, dass ich herauslesen kann, dass es eigentlich reicht (grobt gesagt), wenn:
die Bank 2FA hat (ausser SMS), was meine auch hat
ich einen der "großen" Browser nehme
ich aufpasse bezüglich unsicheren Seiten und Mails und Browser-Erweiterungen / Addons oder ähnlichem
ich alles auf dem neusten Stand halte
ich ein gutes Passwort wähle
ich den Browser-Cache lösche danach
PC295 schrieb:
Am besten nimmst du ein Banking-Programm. Damit gehst du schonmal dem Sicherheitsrisiko "Browser" aus dem Weg.
Ok, das wäre natürlich auch eine Überlegung, obwohl ich davon jetzt noch gar keine Ahnung habe. Die Frage ist, ob es nötig wäre, da viele ja sagen, dass es heutzutage anscheinend auch ohne doch recht sicher sein soll, wenn man bestimmte Regeln befolgt.
Negan75 schrieb:
junge junge am besten lässte das mit dem onlinebanking wenn dir so ein film schiebst
Ich finde deinen Kommentar nicht sehr wohlüberlegt. Warum denkst du, dass ich mich hier erst ordentlich informieren will aufgrund (noch) zu wenig Ahnung, bevor ich möglicherweise irgendeinen Quatsch mache bei einer Sache, bei der es Fakt ist, dass man aufpassen und Bescheid wissen sollte??
qiller schrieb:
Wenn man als Laie nicht so viel Plan und Angst hat, empfehle ich immer einen TAN-Generator als extra, vom Internet entkoppeltes Gerät zu wählen. Also sowas wie die Photo-TAN-Generatoren. Da kann dann wirklich nichts schief gehen. Von SMS-TAN sollte man die Finger lassen, TAN-Apps sind zwar der neue heiße Scheiß, aber das Smartphone ist ein Internetfähiges Gerät und kann durchaus auch mit Malware befallen sein.
Ok dann kann es auch nicht von einem Keylogger erfasst werden?? Und was ist mit der Bildschirmtastatur, die auch teilweise empfohlen wird deswegen??
IT-Nadja schrieb:
Der Browser eines Unternehmens mit der umfangreichsten Überwachung aus einem Land mit gesetzlicher Überwachungspflicht?
Ich glaube, Firefox ist alleine schon aus Prinzip viel sicherer.
Müsste ich dann Angst davor haben, dass dieses Land mir dann mein Geld klauen will?? 😅
Und was ist mit der Sandbox?? Bei der hiess es eigentlich, dass sie so besonders wäre. Aber z.B. Edge soll diese ja auch haben, glaube ich. Aber laut der unten verlinkten Seite soll Edge trotzdem der meist gehackte Browser gewesen sein.
Windows 11 auf dem PC und Samsung Galaxy Xcover 4s mit Android 11, Android-Sicherheitspatch-Ebene 1. Juli 2023. Firmware-Version habe ich nicht gefunden.
Firefly2023 schrieb:
Banking App ING-DIBA. Das Verfahren gehört zum sichersten auf dem Markt. Dafür habe ich sogar die Bank gewechselt. TAN_ Listen in Papierform sind unsicher und sollten nicht mehr verwendet werden.
Ok, ich werde sie mir auch nochmal anschauen, obwohl meine angestrebte Bank bei einem Wechsel eigentlich C24 sein sollte. Da kann man auch einen Kontoschutz (ARAG Käufer- und Kontoschutz) dazunehmen.
Wie gesagt, die ING-DIBA ist, soviel ich weiß, die einzige Bank, die dir das Geld erstattet, wenn jemand deine Daten abgreift.
Mir ist das, durch einen sehr dummen Fehler, passiert. Mir wurden 2x 500 EUR vom Konto durch Dritte abgebucht. Die ING-Diba hat das Geld zurückgeholt. Ich kann Sie wirklich uneingeschränkt empfehlen.
Selbst wenn ein Keylogger deine Logindaten abfängt, kann sich kein dritter damit einloggen, da nahezu jede Bank 2fa einsetzt um den Login nochmals zu verifizieren.
Nein, das machen alle Banken unter bestimmten Voraussetzungen. ING-DIBA verkauft das nur als Special-Service. Dabei ist das nur eine gesetzliche Vorgabe die sie aufgrund aktueller Gerichtsurteile umsetzen müssen.
Unter bestimmten Voraussetzungen...die ING-Diba halt immer. Ich habe eine groben Fehler beganngen und bin auf eine Pishing-Mail hereingefallen. Ich habe alle relevanten Daten angegeben und sogar die Übereisung (wenn auch unbewusst) autorisiert und trotzdem das Geld bekommen.
Einem BEkannten von mir ist das ähnlich bei der Sparkasse passiert, der hat nichts bekommen.
Entschuldigung das ich mich in eure Diskussion hereinzwänge. Ich bin bei der Kölneer Spasskasse und da ich eine Amazon Kreditkarte habe automatisch nun bei bei der Berliner Sparkasse. Die senden dutzende von Mails man solle sich einloggen, Dinge bestätigen usw. Mein Vertrauen in die Berliner Sparkasse ist = 0.
Die Kölner Sparkasse sendet dir alle 3 Monate mal eine Mail, wegen Kontoauszügen. Bei der Berliner Sparkasse war sicherlich schon eine Phisching-Mail dabei, mit einloggen etc. Diese Mails sind heute so extrem gut gemacht, dass selbst Profis laut heise-Security reingefallen sind.
Eine Bank sendet keine Emails, wo man was bestätigen muss.
Wenn die was wollen siehst du es auf deren Internetseite, wenn du dich einloggst, oder die senden dir einen Brief.
Okay, ne Mail Benachrichtigung, das Konto Auszüge im Postfach liegen, senden sie per Mail vielleicht schon.
Email von Banken sind so gut wie immer Spam.
Lass dir doch mal den Absender anzeigen in der Mail.
Oder mach mal ein Screenshot von der Mail, wo man auch den Absender sieht
Ergänzung ()
1lluminate23 schrieb:
Diese Mails sind heute so extrem gut gemacht, dass selbst Profis laut heise-Security reingefallen sind.
Wenn die was wollen siehst du es auf deren Internetseite, wenn du dich einloggst, oder die senden dir einen Brief.
Okay, ne Mail Benachrichtigung, das Konto Auszüge im Postfach liegen, senden sie per Mail vielleicht schon.
Ganz genau, man geht auf solche Seiten nur in die Logins beispielsweise über eigene Lesezeichen im Browser. Damit schließt man auch etwaige vertipper beim manuellen Eintippen der Adressen wenn die Adresszeile des Browsers aus.
Natürlich setzt dies wiederum voraus, dass das System insgesamt vollständig schädlingsfrei ist und war. Sprich, dass sich beispielsweise auch kein schadhaftes Add-On im Browser befindet, oder Reste von vorigen Infektionen, die zur systemseitigen Umleitung auf betrügerische Webseiten führen würden.
Die einzige schwäche ist der Benutzer des onlinebanking. Solange das zweifaktoren authentifizieren aktiv ist und keine dubiosen apps/tools runterlädst und ein genügend gutes Passwort nutzt (die meisten händys haben inzwischen entweder ein eigenen passwortgenerator oder nutzen biometrische Identität) und alle 29 Tage dein Konto überprüfst, bist du auf der gewinnerseite
Dann ist deine Mail Adresse „verbrannt“, sprich, die ist nun in irgendeiner Spamdatenbank. Ich hatte von November 2008 bis März 2024 ebenfalls die Kreditkarte von Amazon und LBB. Ich habe in der Zeit nur Mails von LBB erhalten wenn’s um Abrechnung ging. Kein Spam. Und warum? Weil ich von Anfang an nur für das LBB Konto eine eigens dafür erstellte Mail Adresse genutzt habe.
Nein, du hast hier Authentifizierung und Zugang auf dem selben Gerät. Ist per se jetzt nicht unsicher, aber am sichersten? Weit davon entfernt.
Kauft euch einen Kartenleser mit Tastenfeld und nutzt so etwas. So hat man direkt einen 2. Faktor und ist gegen Keylogger und Diebstahl aus dem Clipboard geschützt.
Und das sage ich, obwohl ich auch bei der ING bin - aber ich kenne die Risiken und weiß was ich tue.
Ergänzung ()
1lluminate23 schrieb:
da ich eine Amazon Kreditkarte habe automatisch nun bei bei der Berliner Sparkasse.
Es gibt keine Amazon Kreditkarte mehr. Die wurden alle schon vor einiger Zeit gekündigt. Wenn du nicht aufgepasst hast, hat dich jetzt die Landesbank Berlin als Kunde.
Ergänzung ()
IT-Nadja schrieb:
Der Browser eines Unternehmens mit der umfangreichsten Überwachung aus einem Land mit gesetzlicher Überwachungspflicht?
Ich glaube, Firefox ist alleine schon aus Prinzip viel sicherer.
Vielleicht besserer Datenschutz, aber nicht automatisch sicherer. Exploits gibt es regelmäßig für alle großen Browser.
Man muss halt schauen, dass man die Dinger immer aktuell hält.
Wat? Biometrie ist ziemlich sicher - es sei denn, man nutzt den Mumpitz von vielen Android Smartphones.
Windows Hello ist mit den richtigen Geräten sehr sicher, Schlüssel werden im TPM gespeichert, Face ID usw von Apple ist auch super sicher.
Zumindest sicherer als irgendein Passwort...
Ergänzung ()
IT-Nadja schrieb:
Wenn du sehr paranoid bist:
Kauf dir ein günstiges Pixel 6a oder 7a, installiere GrapheneOS und dort deine Banking-Apps. Ansonsten muss das Smartphone "rein" bleiben. Also keine Apps von Apple, Google, Microsoft, Facebook und keine Spiele, usw.
Wie oben geschrieben, Kartenleser mit Tastenfeld. Und wenn ich es richtig sicher haben will, ein entsprechend gehärtetes Linux vom USB Stick, welches speziell nur für Online-Banking genutzt wird. Und als Sahnehäubchen einen Stick mit Schreibschutz verwenden (oder von CD/DVD, ist aber super slow und lässt sich nicht aktualisieren).
Er sprach ja von "Am sichersten am Markt". Und die Sicherheitslösungen die so typischerweise der kommerzielle Markt anbietet, da sind wir ja mehrere Klassen unter dem, was der Experte sich unter sicher vorstellt. :-)
Unter den Maßstäben, könnte die Aussage schon hinkommen. :-)
Wie gesagt, die ING-DIBA ist, soviel ich weiß, die einzige Bank, die dir das Geld erstattet, wenn jemand deine Daten abgreift.
Mir ist das, durch einen sehr dummen Fehler, passiert. Mir wurden 2x 500 EUR vom Konto durch Dritte abgebucht. Die ING-Diba hat das Geld zurückgeholt. Ich kann Sie wirklich uneingeschränkt empfehlen.
Hmm ich hatte wie gesagt die C24 Bank ins Auge gefasst und bei dem Kontomodell für 5,90 Euros gibt es den ARAG Käufer- und Kontoschutz dazu, bei dem das was du beschreibst auch in den Konditionen dabei steht, aber die genauen Einzelheiten weiss ich leider nicht. Bei C24 gibt es eben Zinsen, deshalb fand ich die Bank attraktiver als die ING-DIBA und sie wurde ähnlich gut oder sogar besser bewertet in Tests.
Oha, naja dann passiert dir das hoffentlich auf jeden Fall nicht nochmal! In dem Fall auf jeden Fall nochmal Glück gehabt!
Kleiner69 schrieb:
Selbst wenn ein Keylogger deine Logindaten abfängt, kann sich kein dritter damit einloggen, da nahezu jede Bank 2fa einsetzt um den Login nochmals zu verifizieren.
Ah ach so ok! Hmm das ist natürlich gut, aber könnten die mit den Daten dann wirklich gar nichts machen oder?? Oder ist es möglich den zweiten Faktor der Authorisierung auch zu hacken oder so???
Loopman schrieb:
Wie oben geschrieben, Kartenleser mit Tastenfeld. Und wenn ich es richtig sicher haben will, ein entsprechend gehärtetes Linux vom USB Stick, welches speziell nur für Online-Banking genutzt wird. Und als Sahnehäubchen einen Stick mit Schreibschutz verwenden (oder von CD/DVD, ist aber super slow und lässt sich nicht aktualisieren).
Wäre so ein Kartenleser mit Tastenfeld schwierig einzurichten und/oder zu bedienen?? Muss man das von der Bank oder separat kaufen?? Oder die Bank fragen, ob es möglich ist mit einem separaten Gerät, wenn ja wie genau, usw oder wie soll das gehen?? Wäre es teuer??
Wäre das gehärtete Linux auf dem USB Stick schwer einzurichten und/oder zu benutzen??
Wären der Kartenleser oder das Linux vom USB Stick empfehlenswert oder eher etwas in die Richtung quasi paranoid und/oder, dass man einfach komplett auf Nummer sicher gehen will??
Eine kurze Frage am Ende hätte ich noch: Wäre mein Samsung Xcover 4s möglicherweise schon zu alt sicherheitstechnisch gesehen für Banking-apps?? Obwohl mir ja gesagt wurde, dass man die Banking-apps aus dem Appstore gar nicht installieren könnte, wenn das Handy zu alt wäre. Und falls nicht, wie reinige ich es bevor ich es für Banking-apps benutze?? Wie müsste ich was löschen oder ähnliches??
Naja, du darfst dich halt nicht mit den gleichen Logindaten bei deinem Onlinebanking registrieren, die du auch für 100 andere Webseiten verwendest.
Und beim 2ten Faktor kommt es darauf an, welchen deine Bank anbietet. Da gibt es verschiedene Möglichkeiten, z.B. Push-Tan aufs Smartphone (welche nochmals mit Biometrie/Fingerabdruck gesichert ist), oder SMS-Tan (sollte heutzutage aber nicht mehr verwendet werden) oder du hast ein Lesegerät von deiner Bank, wo du dich dann mit deiner Karte und PIN autorisierst.
Da wäre es dann einfacher, dich direkt am Geldautomaten abzufangen, als so einen Aufwand zu betreiben.^^
Hmm also die Kartenleser wioe QR etc sind schon sehr sicher - vor allem weil selbst wenn jemand das abfangen würde könnte er mit der TAN nichts andres machen als das was man selber machen wollte alsoi z.b. x Euro an Herrn Müller überweisen - die generierten TANs sind genau an eine Aktion gebunden und nicht universell für was anderes nutzbar.
Die Kartenleser sind glaube ich recht universell ich nutze den gleichen bei komplett unterschiedlichen Banken.
Auch wenn ein gewisses prinzipielles Restrisiko z.b. jemand der den Rechner hackt kommt gleichzeitig auch in den physischen Besitz der genutzen Bankkarte.