News Studie: Sicherheit beim Online-Banking an erster Stelle

[Autokiller677]

Nein Danke. Ich will meine alte TAN Liste wieder haben wo ich die benutzten TANs durchstreichen konnte und alle 4-6 Monate kam eine neue per Post. Sicher, komfortabel, einfach.

Korrigiert.

 

[Tekwin]

ist aber auch das erste Mal das ich von so massiven Problemen höre) finde ich es nicht unbedingt fummeliger als eine mTan.

Beim optischen chipTAN Verfahren kann die (GIF-)Flickergrafik auf verschiedenen Browsern unterschiedlich bis "unrund" laufen und den Einleseprozess zu einem Nervenspiel werden lassen.
Wer damit zu tun hat, der sollte mal den Browser wechseln und mit der Geschwindigkeit spielen, mit der die Grafik fröhlich vor sich hinflackert. Eine geringere Geschwindigkeit sorgt oft genug für die Besserung.

Es gibt genug Anwender, denen bereits die Tatsache, ein zusätzliches Gerät (TAN-Generator) nutzen zu sollen, von diesem wirklich sicheren Verfahren absehen und lieber zur mTAN greifen lässt. Womit wir wieder beim Thema Bequemlichkeit vs Sicherheit wären.
Ich gehöre sogar dazu, bin aber auch in der Lage, das Risiko inklusive Schadensrisiko einkalkulieren zu können.

 

[MountWalker]

Naja, was wazzup meint ist halt "sicher genug" - wenn ich bei eBay mit Paypal zahle und dafür nur ein Passwort eingebe, gibts dagegen auch keinen großen Warnsturm von wegen unsicher hoch zehn und haste nich jesehn. Aber bei OB wird von den Banken so getan, als könne man sich vor Phishing nicht schützen.

 

[Tekwin]

Naja, was wazzup meint ist halt "sicher genug" - wenn ich bei eBay mit Paypal zahle und dafür nur ein Passwort eingebe, gibts dagegen auch keinen großen Warnsturm von wegen unsicher hoch zehn und haste nich jesehn.

Rein passwortbasierte Systeme sind generell unsicherer als jedes Passwort + TAN-Verfahren.

Aber bei OB wird von den Banken so getan, als könne man sich vor Phishing nicht schützen.

Die Bank, die so ihren Kunden gegenüber argumentiert, must Du mir erstmal zeigen!
Aus offizieller Sicht der Banken sind alle angebotenen Legitimationsverfahren (relativ) sicher. Zumindest unter Berücksichtigung der jeweiligen von der Bank mitgeteilten Sicherheits- und Nutzungshinweise. Wie es in der Realität aussieht, steht vielleicht auf einem anderen Blatt.

 

[Luxuspur]

Hier geht es doch um Onlinebanking mit dem Girokonto und nicht um Ebay und co.

Online- Banking betrifft auch die Kreditkarte und bei da gestohlenen Datensätzen ist es um einiges einfacher die auszunutzen! Nicht immer so engstirnig! Online Banking ist weitaus mehr als nen läppisches Girokonto.

 

[wazzup]

Korrigiert.

ach ja? why? beweise!

 

[Autokiller677]

Eine Tan Liste (offenbar willst du ja nichtmal iTan) ist noch nichteinmal Transaktionsgebunden, d.h. eine Phishing Seite muss im Hintergrund nichtmal die Überweisung ausfüllen. Die kann ganz entspannt ein paar Tans sammeln und dann danach die Überweisungen tätigen.

Sonst empfehle ich google zu dem Thema, Tan und iTan sind seit einigen Jahren als hoch unsicher eingestuft. Die Banken würden den ganzen Zirkus mit mTan und chipTan ja auch nicht machen, wenn die alten Verfahren super wären, es kostet ja auch alles Geld.

 

[Tekwin]

Online- Banking betrifft auch die Kreditkarte und bei da gestohlenen Datensätzen ist es um einiges einfacher die auszunutzen! Nicht immer so engstirnig! Online Banking ist weitaus mehr als nen läppisches Girokonto.

Da liegst Du leider falsch.
Ich würde mir an deiner Stelle erst den Artikel komplett durchlesen.

Klassisches Onlinebanking spricht unmittelbar Girokonten an und nichts anderes.

Kreditkartenzahlungen laufen unter der Bezeichnung Electronic Banking. Der Rest besteht meist aus Lastschriftbuchungen und hat den Begriff Online-Banking nicht verdient.

Nenn mich ruhig engstirnig und fahr zur Hölle.

 

[Cooder]

Für eine Phishing Seite ist es egal, ob dein Rechner kompromittiert ist oder nicht, du musst nur irgendwie auf der Seite landen. Das kann durch einen Vertipper in der Adresseingabe, einen manipulierten DNS Eintrag oder sonstwas passieren, da kann dein PC noch so gut gesichert sein.

Wie soll ich auf eine Phishing-Seite landen, wenn ich einen reinen Online-Banking-Rechner mit gebookmarkter Login-Seite habe?

 

[Autokiller677]

Jemand kann deinen DNS Server manipulieren. Oder deine Host Datei, denn wer sagt denn, das ein Banking System nicht infiziert werden kann? Mit Heartblead Bug können dir Gauner sogar eine intakte, ordentliche SSL Verbindung liefern.

Es gibt so viele Möglichkeiten für Phishing. Zudem muss das Verfahren auch für den unbedarften Nutzer sicher sein, der eben kein reines online Banking System und Bookmarks hat.

Und mal davon ab: Wer außer ein paar Nerds in Foren wie diesem hier betreibt denn ein eigenes Banking System? Der Aufwand macht eine Tan Liste wieder relativ sicher, steht aber in keinem Verhältnis zu den Alternativen, die einerseits noch sicherer, und andererseits deutlich weniger aufwendig sind. Zudem blocken die Alternativen wie chipTan auch einige sozialen Angriffsvektoren, und das ist für die Sicherheit eines Systems, das von jedermann genutzt werden soll genauso wichtig wie die technischen Details.

Das Problem bei diesen Systemen sind ja nicht Leute wie wir, die die Risiken kennen. Wüssten alle gute Bescheid, wären 99% der Angriffe sofort tot. Aber es gab halt genug Dumpfbacken, die ihre gesamte Tanliste auf so eine Seite eingegeben haben. Hier sei auch nochmal angemerkt, dass ihr euch dann ja auch nicht auf die Sicherheit der Tanliste verlasst: Ihr Bookmarked die Seite, habt ein eigenes System, bootet jedes Mal neu - das sind ja noch x Sicherheitsmaßnahmen zusätzlich.

Und trotzdem wäre ein chipTan Generator unter rein technischen Aspekten immer noch sicherer - wie oben gesagt, ein manipulierter DNS Server / Host Datei durch gezielten Angriff über einen Exploit, mit Heartbleed SSL Cert besorgt und man hat als User absolut keine Möglichkeit mehr, die Phishing Seite zu erkennen. Klar ist so ein Angriff technisch recht ambitioniert, aber möglich. Mit chipTan - nö. Da kann ich an einem total infiziertem Rechner sitzen, wenn ich die Überweisung eingebe und dann den Code scanne, sehe ich plötzlich ein falsches Konto und einen falschen Betrag - zack weiß ich Bescheid. Selbst wenn URL und SSL Cert stimmen und alles richtig aussieht. Und die Ktn überprüfen kann im ggs. zu Zertifikaten etc. jeder noch so unbedarfte User.

 

[Tekwin]

Wie soll ich auf eine Phishing-Seite landen, wenn ich einen reinen Online-Banking-Rechner mit gebookmarkter Login-Seite habe?

Nach 2 Flaschen Rotwein.

Würde jeder Nutzer auch nur annähernd wissen, was bei einem solch empfindlichen Gebiet wie dem Online-Banking zu beachten gilt, ginge es der organisierten Kriminalität lange nicht so gut wie jetzt.

Und mal davon ab: Wer außer ein paar Nerds in Foren wie diesem hier betreibt denn ein eigenes Banking System? Der Aufwand macht eine Tan Liste wieder relativ sicher, steht aber in keinem Verhältnis zu den Alternativen, die einerseits noch sicherer, und andererseits deutlich weniger aufwendig sind. Zudem blocken die Alternativen wie chipTan auch einige sozialen Angriffsvektoren, und das ist für die Sicherheit eines Systems, das von jedermann genutzt werden soll genauso wichtig wie die technischen Details.

Hast Du sehr schön zusammengefasst.

Auch wenn chipTAN etwas antiquiert wirkt und fummelig ist, es bleibt das derzeit einzige massentaugliche, billige, hochsichere Verfahren, was von nahezu allen wichtigen Banken angeboten wird. Man muss nur beachten, dass die geflickerten Daten mit den gewünschten Buchungsdaten übereinstimmen. Vorausgesetzt, man lässt sich nicht durch einen Betrüger zu einer nicht vorgesehenen Buchung verleiten. So einfach kann Buchungssicherheit sein.

/edit2
@Autokiller667
Deinem hinzugefügten (bzw. gesamten) Text in Post #70 kann ich nur zu 100% zustimmen.

 

[Cooder]

@Autokiller677 und Tekwin
okay, das sind fundierte Argumente (auch das mit dem Rotwein :-)). Jetzt habe ich einen guten Überblick. Danke dafür.

 

[wazzup]

Eine Tan Liste (offenbar willst du ja nichtmal iTan) ist noch nichteinmal Transaktionsgebunden, d.h. eine Phishing Seite muss im Hintergrund nichtmal die Überweisung ausfüllen. Die kann ganz entspannt ein paar Tans sammeln und dann danach die Überweisungen tätigen.

Ist Sicherheitstechnisch genau das gleiche ob die TAN nun aus dem Generator, per SMS oder von der Liste kommt, ggf. steigt nur der Aufwand für den Hacker.
Früher konnte man eine beliebige TAN nehmen, später wurde das ganze Transaktiongebunden und man wurde aufgefordert z.B. TAN nr. 57 einzugeben. Insofern ist die Komforteinbuße durch iTAN absolut hinnehmbar.
Nur weil ein paar Leute nicht auf ihren Rechner achtgeben heisst das nicht das iTAN unsicherer wäre als jede andere Art der TAN übermittlung.
Es soll ja auch Leute gegeben haben die ihre TAN liste eingesannt auf dem Rechner hatten...
Da wäre auch Fort Knox nicht sicher wenn sie vergessen die Türen abzuschliessen.

Für mich ist iTAN sicher genug. Jeder der was anderes behauptet darf auf keinen Fall PP, C&B oder einen ähnlichen Dienst nutzen, ist ja alles noch viel unsicherer.
Phishing wird einfach nur überbewertet, lediglich dumme/unerfahrene Leute fallen darauf rein. Bei mir kann das nie passieren, also will ich auch die Freiheit haben meine TAN Liste wiederzubekommen. Ich nutze über 12 Jahre schon online banking, davon locker 8 mit klassischer TAN Liste und es ist nie was passiert. Und in den frühen Jahren hatte ich tlw. 20-30 Überweisungen im Monat (ebay & co.)

 

[smuper]

heisst das nicht das iTAN unsicherer wäre als jede andere Art der TAN übermittlung.

Für mich ist iTAN sicher genug.

Hör auf mit diesen Vergleichen ... iTAN ist unsicherer. Da gibt es auch keine zwei Meinungen.

Jetzt lehne ich mich sehr weit aus dem Fenster und behaupte einem IT affinem Nutzer sollte auch mit einer normalen TAN Liste kein Schaden drohen. Trotzdem ist eine "What You See Is What You Get" TAN System der Schlüssel zum letzten bisschen Sicherheit in Bezug auf Exploits, welcher Art auch immer.

Du möchtest gerne deine TAN Liste zurück? Dann weck ich dich mal auf: Du bist vollkommen irrelevant. Die Gesetzgebung zwingt die Banken den O-Banking Nutzern im Schadensfall grobe Fahrlässigkeit nachzuweisen. Daher kann es nur im Interesse der Banken sein, die Sicherheit so hoch wie möglich zu schrauben.

 

[Tekwin]

Ist Sicherheitstechnisch genau das gleiche ob die TAN nun aus dem Generator, per SMS oder von der Liste kommt, ggf. steigt nur der Aufwand für den Hacker.

Genau, es geht um den Aufwand, den der Hacker betreiben MUSS.

Es dem Betrüger soweit erschweren, damit jedes potentielle Opfer in die Lage versetzt werden kann, mindestens einen Anhaltspunkt zu erkennen, dass ein Betrugsversuch im Gange ist. Und dies wurde erstmals mit den zweischritt-TAN-Verfahren ermöglicht.

TAN- und iTAN-Liste sind zu einer solchen Erkennung absolut ungeeignet, weil die zu buchenden Daten nicht rückgekoppelt werden können.

 

[Autokiller677]

Für mich ist iTAN sicher genug. Jeder der was anderes behauptet darf auf keinen Fall PP, C&B oder einen ähnlichen Dienst nutzen, ist ja alles noch viel unsicherer.
Phishing wird einfach nur überbewertet, lediglich dumme/unerfahrene Leute fallen darauf rein. Bei mir kann das nie passieren, also will ich auch die Freiheit haben meine TAN Liste wiederzubekommen. Ich nutze über 12 Jahre schon online banking, davon locker 8 mit klassischer TAN Liste und es ist nie was passiert. Und in den frühen Jahren hatte ich tlw. 20-30 Überweisungen im Monat (ebay & co.)

Ich nutze auch kein PP, C&B oder sonstige Zahlungsmethoden. Im Internet zahle ich nur auf Rechnung oder per Nachnahme.

Und ansonsten bist du entweder blind oder weigerst dich wie ein Kleinkind: Ich habe in meinem Post gestern abend doch detailliert dargelegt, wie ein Hacker eine Phishing Seite aufziehen kann, die du nicht erkennen oder bemerken kannst. Der Standard Phishing Angriff funktioniert nur bei unbedarften Nutzern, ja, aber wer amibitonierter rangeht kann halt auch dich phishen, wenn du Tans benutzt.

Und das geht bei chipTan einfach nicht. Punkt. ChipTan hat praktisch jeder Art von Phishing einen Riegel vorgeschoben, solang man es schafft, die Überweisungsdaten auf dem Gerät abzugleichen.

Und "es ist nie was passiert" ist wohl das dämlichste Argument, das man bringen kann. Die Einzelperson ist statistisch völlig irrelevant.

Ist Sicherheitstechnisch genau das gleiche ob die TAN nun aus dem Generator, per SMS oder von der Liste kommt, ggf. steigt nur der Aufwand für den Hacker.

Wie soll das Sicherheitstechnisch das gleiche sein? TANs, die aus den Transaktionsdaten generiert werden können nicht abgegriffen und für andere Überweisungen verwendet werden, das ist sicherheitstechnisch ein riesen Fortschritt und nicht einfach "nur" "etwas" Mehraufwand für den Hacker.

 

[wazzup]

Ich nutze auch kein PP, C&B oder sonstige Zahlungsmethoden. Im Internet zahle ich nur auf Rechnung oder per Nachnahme.

Und ansonsten bist du entweder blind oder weigerst dich wie ein Kleinkind: Ich habe in meinem Post gestern abend doch detailliert dargelegt, wie ein Hacker eine Phishing Seite aufziehen kann, die du nicht erkennen oder bemerken kannst. Der Standard Phishing Angriff funktioniert nur bei unbedarften Nutzern, ja, aber wer amibitonierter rangeht kann halt auch dich phishen, wenn du Tans benutzt.

Glaub und nutz was du willst, stört mich nicht. Fakt ist jede TAN Art ist sicherer als z.B. PP, und das wird täglich millionenfach benutzt.
Ich nutze es auch und habe keinerlei schlechtes gewissen dabei.
Ich bin auch nicht so paranoid überall gefahren zu sehen, das ist einfach nicht meine Art.
Du kannst auch aus dem Haus gehen und wirst überfahren, die Wahrscheinlichkeit ist in etwa gleich. Deswegen verkrieche ich mich aber bestimmt nicht im Bett.

 

[Autokiller677]

Hey, da stimme ich dir ja auch völlig zu. Jede TAN ist sicherer als PP etc.

​Aber das ist ja nicht, was du gesagt hast. Du hast gesagt, zwischen den TAN Verfahren gibt es keinen sicherheitstechnischen Unterschied und dir bei dir kann Phishing nie passieren - mit TAN Liste.

Und die beiden Aussagen sind schlicht komplett falsch.

 

[Tekwin]

Glaub und nutz was du willst, stört mich nicht. Fakt ist jede TAN Art ist sicherer als z.B. PP, und das wird täglich millionenfach benutzt.
Ich nutze es auch und habe keinerlei schlechtes gewissen dabei.
Ich bin auch nicht so paranoid überall gefahren zu sehen, das ist einfach nicht meine Art.
Du kannst auch aus dem Haus gehen und wirst überfahren, die Wahrscheinlichkeit ist in etwa gleich. Deswegen verkrieche ich mich aber bestimmt nicht im Bett.

Bei Benutzer/Passwort basierten Transaktionssystemen reicht es genauso aus, die Daten einfach abzugreifen, wie beim klassischen (non i-)TAN Verfahren auch. Nur mit dem Unterschied, dass man die abgegriffene TAN gleichzeitig blockieren muss, um sie entweder später oder direkt für betrügerische Zwecke einzusetzen.

iTAN ist fast genau so leicht zu kompromittieren. Nur dass bei diesem Verfahren der Angriff inklusive TAN-Verbrauch vom Betrüger live vollzogen werden muss. -> man-in-the-middle

PP und Konsorten kann man nicht direkt mit dem Online-Banking vergleichen.
Der gestohlene Betrag wird i.d.R. per Lastschrift vom Girokonto des Betrogenen genommen, was wiederum anders als bei Überweisungen, niemals unmittelbar geschehen kann. Und Zeit ist für Betrüger Geld. Weil jede Verzögerung beim Raub auch Risiko bedeutet, ziehen es die Betrüger fast grundsätzlich vor, dass die Buchung zwischen Auftrags- sowie Zielkonto schnellstmöglich, bestenfalls live, vollzogen wird. Logisch, oder?