Starkes Sicherheitskonzept für Onlinebanking

[Nilson]

Ich seh das wie @be_myself

Auch wenn es beim online-banking ums liebe Geld geht, dank erzwungenes 2FA (TAN, auch wenn es "nur" mTAN ist) ist man eh gegen die allermeisten Szenarien gesichert. Dazu etwas Menschenverstand (fishing, Passwörter nicht im autofill etc.) und einen halbwegs brauchbaren Virenscanner (und sei es nur der Defender) und man ist so gut wie auf der sichern Seite.

 

[Cinematic]

Ja. Und: Angriffe auf Router sind nicht selten, sondern häufig. Daher ist es wichtig, den Router bei seinen Sicherheitsmaßnahmen nicht nur nicht zu vergessen, sondern mit an die erste Stelle zu setzen! Das fängt bei der Routerauswahl an, geht über die stete Firmwareaktualisierung weiter und endet nicht zuletzt in einer sicheren Routerkonfiguration durch den Nutzer selbst. Somit kommt zu den potentielle Schwachstellen auch noch der Nutzer selbst hinzu, bei der Fragestellung, was er unternimmt, oder eben unterlässt.

Würde man den WLAN Router nicht schon sehr sicher machen, wenn man zusätzlich zum WPA2 Passwort noch einen MAC Adressfilter verwendet?
Selbst wenn fremde Personen das WPA2 Passwort herausbekommen würden, wäre es ihnen nicht möglich eine Verbindung zum Router herzustellen, oder?

 

[Masamune2]

Was hat denn der Router damit zu tun? Die Verbindung zur Bank erfolgt verschlüsselt und das der Router gehackt wird, der DNS Server umgebogen man auf einer fremden Bankseite landet und dann noch die Zertifikatsmeldung ignoriert ist doch reichlich unwahrscheinlich.
Und Mac Filter sind unnütz.

Ganz ehrlich du machst dir hier ne Menge Gedanken um ein Problem was quasi nicht exisitiert.

 

[Enotsa]

Lass das Online Banking und nimm einen Überweisungsträger aus Papier und für maximale Sicherheit trägst du die Daten kurz vor Abgabe oder Einwurf ein. Mann oh mann.

 

[Nilson]

Erster Treffer bei google:
WLAN-Hacking: MAC-Filter umgehen

 

[Helge01]

MAC Filter zu umgehen ist das mit Abstand einfachste was es gibt. Mich wundert es, dass dieser Quatsch immer noch existiert.

 

[Cinematic]

Was hat denn der Router damit zu tun? Die Verbindung zur Bank erfolgt verschlüsselt und das der Router gehackt wird, der DNS Server umgebogen man auf einer fremden Bankseite landet und dann noch die Zertifikatsmeldung ignoriert ist doch reichlich unwahrscheinlich.
Und Mac Filter sind unnütz.

Das widerspricht sich etwas mit dem was Dr McCoy schrieb:

Ja. Und: Angriffe auf Router sind nicht selten, sondern häufig. Daher ist es wichtig, den Router bei seinen Sicherheitsmaßnahmen nicht nur nicht zu vergessen, sondern mit an die erste Stelle zu setzen! Das fängt bei der Routerauswahl an, geht über die stete Firmwareaktualisierung weiter und endet nicht zuletzt in einer sicheren Routerkonfiguration durch den Nutzer selbst. Somit kommt zu den potentielle Schwachstellen auch noch der Nutzer selbst hinzu, bei der Fragestellung, was er unternimmt, oder eben unterlässt.

Wer hat nun recht?

Ganz ehrlich du machst dir hier ne Menge Gedanken um ein Problem was quasi nicht exisitiert.

Da ich wie gesagt wenig Ahnung von der Materie habe, kann ich eben auch gar nicht einschätzen wie gefährdet oder ungefährdet ich bin.

 

[Nilson]

Wer hat nun recht?

Beide. Nur weil es jemand in dein WLAN/Netzwerk schafft, schafft er es noch lange nicht die https Verbindung zu knacken oder Schadcode auf deinen Rechner zu packen, aber es fällt ihm leichter.

 

[Dr. McCoy]

Schädlinge, die entweder direkt vom infizierten System aus oder auf anderen Wegen manipulierenden Zugriff auf Router nehmen, gibt es schon lange. Man darf diesen Faktor bei einem zusammenhängenden Sicherheitskonzept nicht vernachlässigen!

 

[PHuV]

Ich mache schon seit BTX Zeiten Online-Banking, dann mit Windows 95,98, XP... bis heute Win10, ohne jegliche Sicherheitsprobleme. Wenn man aufpaßt und einige Dinge beachtet, ist es relativ sicher. SMS TANs abfangen ist schon argh hypothetisch und wie es einige hier sagten, das Risiko sitzt eher vor dem Rechner.

Wenn man nicht aufpaßt, wird man eher beim POS beschissen (sprich, das bargeldlose Zahlen an der Kasse oder im Restaurant), oder sogar am Geldautomaten, siehe:
https://pfiffige-senioren.de/geldautomat.htm

Wie einige es hier richtig sagten, 100%ige Sicherheit wird es nicht geben.

 

[gerzerk]

Erstatten Dir nicht Onlinebanken Verluste bei Datendiebstahl? So lange es nicht grob fahrlässig war. Meine, mal so etwas bei der Ing-Diba gelesen zu haben.

 

[iSight2TheBlind]

SMS-TAN ist in gewisser Weise angreifbar, da die Sicherheit da mit der Sicherheit des Mobilfunkproviders steht oder fällt.
Ich meine es gab Fälle in denen sich jemand gegenüber dem Provider erfolgreich als deren Kunde ausgegeben hat um dann eine Zweit-SIM zu bestellen.
Wer Zugriff auf die SIM-Karte hat - und eine Kopie der SIM-Karte reicht da eben auch aus - hat auch Zugriff auf die TANs.
Aber das ist natürlich schon ein ambitionierterer Angriff, ich denke das Risiko Opfer so eines Angriffs zu werden ist so gering, dass er keine Rolle spielt.

 

[Masamune2]

Das widerspricht sich etwas mit dem was Dr McCoy schrieb:

Richtig, denn das was McCoy schreibt ist einfach an den Haaren herbei gezogen. Nicht unmöglich aber die Sterne müssen halt sehr günstig stehen damit das funktioniert.

Da ich wie gesagt wenig Ahnung von der Materie habe, kann ich eben auch gar nicht einschätzen wie gefährdet oder ungefährdet ich bin.

Und das ist das eigentliche Problem: Du kannst die Aussagen hier nicht wirklich bewerten und die Hälfte die hier postet betreibt einfach nur Panikmache mit Szenarien bei denen die besten Hollywood Schreiber neidisch werden würden.

• Die Übertragung zu deiner Bank erfolgt verschlüsselt. Solange du eine eventuelle Zertifikatsmeldung nicht ignorierst kann dir auf dem Weg nichts passieren.
• Eine Transaktion selbst muss mit einer TAN bestätigt werden. Diese wird immer auf einem Gerät erzeugt das nichts mit deinem PC zu tun hat, idealerweise eins das auch anders keinen Netzwerkzugang hat wie z.B. die Optical TAN Leser vieler Banken. Dein Rechner kann dann so verseucht sein wie er will, ohne die Möglichkeit diese TAN zu generieren kann niemand etwas anrichten.

In der Vergangenheit waren immer wieder smsTAN Verfahren das Problem da die Mobilfunkanbieter etwas zu leicht zweite SIM Karten für Verträge rausgeschickt haben und damit die TANs in die falschen Hände kamen.

Du musst bedenken, du machst dir wenigstens Gedanken. Was glaubst du wie viele Aldi-PCs von Lischen Müller da draußen sind übersäht mit Schadsoftware und die machen trotzdem Online Banking ohne das etwas passiert. Gäbe es das System mit den TANs so nicht könnte keine Bank so einen Dienst anbieten ohne nicht täglich mit tausenden Beschwerden zu kämpfen das jemand das Konto leer geräumt hat.
Die Bank sorgt schon aus eigenen Interesse dafür das die Sicherheit dieses Verfahrens eben nicht vom Client anhängt.

 

[NutzenderNutzer]

leider doch

benutze es seit 9 jahren

ohne dein handy kann keine überweissung staat finden

bekomme immer eine sms mit bestätigungs nummer


alle konto verläufe werden auf handy app angezeigt

wer was und wieviel abgebucht hat

und da liegt das Problem, SMS TAN kann ein Sicherheitsrisiko werden wenn SMS TAN App UND Banking App auf dem selben Smartphone laufen/genutzt werden, sonst aber eher nicht soklange man Kontrolle über seine SIM Karten und Postadresse hat

zudem bieten die meisten Banken ne TAN App an, die aufm Smartphone und OnlineBanking vom PC, fertig

BankSeite immer brav selber in den Browser eingeben, nen extra Browser ohne Addons nehmen der nur fürs Banking genutzt wird, fertig

 

[hantelfix]

und da liegt das Problem, SMS TAN kann ein Sicherheitsrisiko werden wenn SMS TAN App UND Banking App auf dem selben Smartphone laufen/genutzt werden, sonst aber eher nicht soklange man Kontrolle über seine SIM Karten und Postadresse hat

zudem bieten die meisten Banken ne TAN App an, die aufm Smartphone und OnlineBanking vom PC, fertig

BankSeite immer brav selber in den Browser eingeben, nen extra Browser ohne Addons nehmen der nur fürs Banking genutzt wird, fertig

überweissungen werden per linux live dvd gemacht nicht über handy app
währe ja blöd

 

[cyberpirate]

Du solltest Dich nicht allzu verrückt machen. getrennte TAN vom Systen nutzen. Dazu noch einen Browser der nur zum Banking genutzt wird. Alle Updates einspielen. Ansonsten eben aufpassen was Du sonst so mit Deinen Geräten anstellst. Ich habe zb einen Veracrypt Container wo ich den Browser drin habe zum Banking. Dann einen Container für die Passwörter. Dann die 2 Faktor Authentifizierung wo es geht. zB bei der Ing-DiBa. Bieten aber nicht alle Banken an. Und dann bei Überweisung die TAN aufs Phone welches kein Banking macht.

 

[BeBur]

Nutze seit 10-15 Jahren SmartTAN, bei welchem mit einem Zusatzgerät für 20 Euro die TAN generiert wird.
Das reicht völlig aus. Gerade wenn man sich nicht gut auskennt sollte man nicht mit irgendwelchen Maßnahmen wie VMs hantieren, sondern einfach die normale good practice umsetzen.

Banking per Live-DVD? Urgs, das wäre mir zu viel Aufwand für nahezu keinen Gewinn an Sicherheit.

 

[carnival55]

Immer schön zu lesen, wie sicher andere Online Banking machen....

Ich verweise auf eine Quelle, die sich mit dem Thema beschäftigt hat und Erkenntnisse und Vorgehensweisen gesammelt hat.

Kuketz-Blog

Wie bei jedem Konzept, muss jeder entscheiden, wie viel er/sie davon für sich adaptiert und anwenden möchte.
Zur Erkenntniserweiterung in dem Thema schätze ich den Artikel auf jeden Fall als lesenswert ein.

 

[BeBur]

Das wichtigste steht in dem Blogeintrag leider ganz unten:

Gegen wen oder was schütze ich mich da eigentlich?

Gegen wen oder was schützt dich die Nutzung eines Linux-Live-Systems? Welche Gefahr wehrt das ab?
Antwort: Das wehrt ab, dass jemand mithilfe der Login-Daten lesenden Zugriff auf das Konto erhält.

Ich halte das für einen ganz schlechten Tradeoff. Zumal Malware ein Business ist und weil das offensichtich kein sinnvolles Geschäftskonzept ist ist mir auch nicht bekannt, dass das irgendwer überhaupt machen würde. Da gibt es deutlich interessantere Angriffspunkte (Paypal?) und auf die sollte man dann Augenmerk legen anstatt sich mit Aktionismus ein subjektives Gefühl von Sicherheit zu erzeugen.

 

[carnival55]

Antwort:

Das driftet jetzt ein wenig in OT, dennoch:
Meine persönliche Meinung ist:

• Ein Sicherheitskonzept ist mehrstufig angelegt, d.h. es gibt nicht "die eine goldene Maßnahme" und man ist sicher.
• Sicherheit ist ein Prozess; Die Ableitung aus "es gibt keine 100% Sicherheit" ist, -zugegeben überspitzt- "man ist niemals fertig" und muss regelmäßig die Wirksamkeit prüfen und hinterfragen
• Ein Sicherheitskonzept führt von allgemein gültigen Prinzipien und best practices zu konkreten Handlungsempfehlungen
• Je weiter man sich von IT-Profis hin zu "normalen Nutzern" bewegt, desto konkreter und eindeutiger sollten die Handlungsempfehlungen sein.

Mit der Abhandlung im Hinterkopf, finde ich, hat Kuketz die Frage "Gegen wen oder was schütze ich mich da eigentlich" ausreichend beantwortet.
Meine persönliche tl;dr Antwort darauf wäre "gegen jede "runs-on-windows"-Schadsoftware". Ich halte das für einen signifikanten Sicherheitsgewinn.

Es schützt nur bedingt gegen Angriffe auf Anwendungen (insb. Browser).