[Online Banking] Browser vs. Software

[Frightener]

Ich benutze auch VR-Networld der VR-Bank Main Kinzig eG (ohne Lesegerät, mit iTAN Bögen). Ich habe das Programm allerdings damals umsonst bekommen. Ich frage mich, warum das nur für Profis sein soll. In einem Haushalt gibt es doch meist mehrere Konten, die mit einem solchen Programm bequem verwaltet werden können. Ich habe ein Konto und ein Sparbuch, meine Frau ebenso und meine 2 Sohne je ein Sparbuch - im entsprechenden Alter kommen also nochmal 2 Konten dazu.

Das ganze per Browser zu verwalten ist absoluter Murks. Ich zahle heute KFZ Steuer von meinem Konto, das nächste mal vom Konto meiner Frau. Somit müße ich den Empfänger per Browser zweimal anlegen, in der Banking Software nur einmal.

 

[mr.coffee]

Ein paar Sicherheitsregeln:

-Einen aktuellen Virenscanner installieren und auf dem neusten stand halten
-Ein Prgramm Installieren das Spyware..etc vernichtet
-Nicht auf Emails die von Banken kommen antworten! Keine Bank verschickt Emails.
-Einen alternativen Brrowser verwenden
-Ein On Screen Keyboard zur TAN eingabe benutzen
-Die Bank Seite per Bookmark speichern und nur über den Link auf das Konto zugreifen
-Ein Transaktionslimit einstellen (z.B 200Euro pro Tag)

 

[Pilly]

-Die Bank Seite per Bookmark speichern und nur über den Link auf das Konto zugreifen

Bookmarks können ganz leicht von Trojaner o.ä. verändert werden, kein Problem. Wenn man die Adresse genau weiß und richtig eintippt dürfte das sicherer sein.

 

[Sturmgewalt]

Probleme mit HBCI wirst du bekommen, wenn du mal ein älteres Backup zurückspielst (Image z.B. von Acronis oder Ghost), da immer die letzen Zugriffe per Javascript auf deinem Rechner gespeichert werden und nichtmehr mit den letzen Onlinekontozugriffen überein stimmen.

Ein sicheres Onlinebanking gibt es nicht, alles ist zu knacken aber wie schon erwähnt wurde hilft brain eine Menge

Es spricht nichts gegen ein Onlinebanking per Pin/Tan denn HBCI ist nicht sicherer, jedoch ist der Zugriff über Pin/Tan unkomlizierter.

mfg

 

[Boogeyman]

Es spricht nichts gegen ein Onlinebanking per Pin/Tan denn HBCI ist nicht sicherer,

Das stimmt definitiv nicht, das HBCI mit Chipkarte und HBCI Kartenleser genauso sicher ist, wie Onlinebanking mit Pin/Tan. Es sind noch keine Fälle bekannt geworden, in dem ein Banking mit HBCI und Chipkarte abgegriffen wurde.
Es sind aber schon viele Fälle bekannt, indem beim Online Banking mit PIN/Tan (iTan), manche Benutzer ihr Geld im Ausland wiedergefunden haben.

 

[schmidmi]

Ich nutze das normale iTan Verfahren über den Browser.
Worüber ich mir Sorgen mache sind Keylogger und Man-in-the-Middle Angriffe. Ich gebe die Seite beim Firefox immer per Hand ein und bekomme ja auch in der Adresszeile die Adresse grün unterlegt.
In der ct war vor einer Weile einige Artikel dazu. Dort wurde ein Live-System empfohlen, da dort aufgrund fehlender Schreibrechte keine Einnistung von Keyloggern usw. möglich sein soll.
Klingt für mein Verständnis sinnvoll.
Es ist mir aber zu kompliziert jedes Mal ein Live System zu starten um Online-Banking zu nutzen, zumal ich die Kontodaten für die Überweisung gerne aus dem Browser bzw. eMails rauskopiere um Schreibfehler zu vermeiden.
Macht es Sinn ein Livesystem in einer virtuellen Maschine zu starten und dort die Vorzüge zu nutzen oder wird durch das ich sag mal "Mutterbetriebssystem" schon ein Angriff möglich?

 

[warlock-666]

Moinsen, ich habe ca. 5 Jahre lang Kunden (i.d.R. Geschäfts-, Firmen- und Unternehmenskunden) in diesem Bereich technisch und fachlich beraten und betreut.

Fakt ist: Online Banking mit HBCI-Chipkarte (DES), Kartenleser min. der Klasse 2 und Software kann am sichersten! eingestuft werden. Hieraus ist bis dato kein bekannter Schadensfall entstanden!
Selbst Trojaner, Keylogger und sonstiger Mist, kann derzeit nicht in die Transaktionen eingreifen (Man in the Middle). Hierfür müsste die Software dahingehen gehackt werden, das Dir im Frontend etwas ganz anderes dargestellt wird als es im programm generiert wird (was aber nicht die Sicherheit von HBCI betreffen würde, da sich HBCI ja auf die Übertragung und Absicherung bezieht). Diese banking-programme arbeiten desweiteren mit verschlüsstelten Datenbanken, details zu der Sicherheit der Software muß vom entsprechenden Softwarehersteller angefordert werden, da bin ich überfragt!

Onlinebanking im Browser ist i.d.R. auch Sicher!
zu beachten gilt:
- gesunder Menschenverstand!!!!
- Antiviren Tool
- aktuelle Patches für OS und Browser!
- Anti Spy, Spam, Ad usw. erhöhen die Sicherheit bestimmt (irgendwie)
- Phishing Mails und fragwürdige Seiten meiden(s. 1. Punkt)
- kontextsensitive TAN-Generatoren nutzen (SMS-TAN, TAN über smartCard)

damit Minimierst Du alle Risiken so gut es geht! Aber die Entwicklung der bösen Buben schläft auch nicht! Habe gestern noch aktuelle Zahlen gesehen, das die Anzahl der Schadensfälle über Phishing sich im hochgerechnet ca. halbiert hat (2007 - 2008)

P.S. mit der Software ist es nicht alleine getan. ein guter Kartenleser kostet 60 EUR aufwärts. Desweiteren würde ich mit RDH und RSA HBCI verfahren vorsichtig sein, diese sind meines empfinden nach, im Rahmen der Einrichtung sehr aufwändig und für einen Laien undurchsichtig.

 

[Funkenschlag]

OK Banking Software ist was für Profis

Nö viel komfortabler ... vorallem wenn es darum geht Statistiken, Diagramme sowie Ausgaben und Eingaben gesondert übersichtlich und getrennt darstellen zu können :-p

 

[Sturmgewalt]

Das stimmt definitiv nicht, das HBCI mit Chipkarte und HBCI Kartenleser genauso sicher ist, wie Onlinebanking mit Pin/Tan. Es sind noch keine Fälle bekannt geworden, in dem ein Banking mit HBCI und Chipkarte abgegriffen wurde.
Es sind aber schon viele Fälle bekannt, indem beim Online Banking mit PIN/Tan (iTan), manche Benutzer ihr Geld im Ausland wiedergefunden haben.

Oh, weil du keine Mail mit dem Betreff "Es ist heute mal wieder passiert" bekommen hast, bedeutet es nicht das es nicht täglich so ist.
Es gibt kein sicheres Onlinebanking, alles kann abgegriffen/umgeleitet werden, das ist nunmal Fakt.
mfg

 

[cplpro]

Wenn man alles manuell macht, wie schmidmi schon sagte, passiert da nix.
Regelmäßig nach Malware und Cookies scannen und fertig


MfG

 

[Boogeyman]

@Sturmgewalt
Das du Browser Homebanking (Software) mit HBCI Homebanking mit Kartenleser (Hardware) in einen Topf wirfst, zeigt deine Unkenntnis.
Das kann man überhaupt nicht vergleichen, bei HBCI mit Kartenleser findet die Pin Eingabe auf Externer Hardware verschlüsselt statt.
Verallgemeinerungen ala alles ist irgendwie unsicher ist keine Diskussionsgrundlage.
http://de.wikipedia.org/wiki/Homebanking_Computer_Interface

Auch brauche ich keine persönliche Email "Hallo HBCI Homebaning wurde gehackt", dafür gibt es entsprechende Medien wie, Heise Online Security
Auch arbeitet ein guter Freund bei Giesecke & Devrient, falls dir das was sagt.

Versuche hier nicht HBCI und Browser Homebanking sicherheitstechnisch auf eine Stufe zu stellen, dazwischen liegen Welten.

 

[Puma7]

Also ich geb jetzt auch mal noch meinen Senf dazu :-)
Ich nutze jetzt auch seit längerem HBCI bei der Volksbank. Die einrichtung dauert zwar länger aber am ende hatt man es per Software deutlich einfacher. Günstiger als das mit dem Kartensesegerät ist ein Keyfile zu verwenden.
Großer Vorteil von der Software wie zum Beispiel Quicken (welches auch ich nutze) ist das man einen viel größeren Funktionsumfang hatt als im Browser. Man zahlt natürlich dann auch einmalig rund 70€.
Problem bei der Sicherheit beim Browser ist einfach, dass Browser viel einfacher zu manipulieren sind als das HBCI System. Es kam ja auch leider in der Vergangenheit häufiger vor das Konten geleert worden die den Onlinezugang NIE genutzt haben. Da stellt sich natürlich dan auch die Frage wie gut eine Bank sein Onlinezugang sichert.
Bei HBCI müsste schon jemand den Keyfile klauen und dann auch noch den dazugehörigen PIN wissen.

Leider ist HBCI auch nichts für anfänger da gerade die Konfiguration zum teil recht Komplex ist. Aber gerade für Anfanger ist ja dies die sicher Methode, weil die sich leichter einen Trojaner einfangen als ein erfahrener nutzer.

Deswegen empfehl ich allen eigentlich HBCI zu nutzen, weil es in der Vergangenheit eigentlich nur bei der Browsernutzung zu Geldverlusten gekommen ist. Aber im Endeffekt muss das jeder für sich entscheiden :-)

 

[Heuriger]

Ich melde mich jetzt auch mal wieder zu Wort.

Der Kartenleser etc ist angekommen.
Jedoch ist mir jetzt beim Vertrag aufgefallen (den man unterschrieben zurücksenden muss), dass das Überweisungslimit bei 2.000€/Tag liegt. Ich finde diese Grenze echt hoch und finde es Schade, dass ich über dieses Limit bei der Bank nicht informiert wurde. Folglich werde ich in den nächsten Tagen zur Bank gehen und das Limit auf ein paar hundert Euro beschränken.

Anhängend war auch eine "Preisliste". Dort steht geschrieben, dass diese VR-Networld Software 15€ zzgl. Lizenzvertrag kostet. Weiß einer wie teuer der zzgl. Lizenzvertrag kostet?

BTW: die VR-Networld-Software Profi Cash kostet 125€.

Alles in allem fühle ich mich seitens der Bank schlecht beraten und ich hole mir Montag einen Beratungstermin ein.

So long, Heuriger

 

[Sturmgewalt]

@Sturmgewalt
Das du Browser Homebanking (Software) mit HBCI Homebanking mit Kartenleser (Hardware) in einen Topf wirfst, zeigt deine Unkenntnis.
Das kann man überhaupt nicht vergleichen, bei HBCI mit Kartenleser findet die Pin Eingabe auf Externer Hardware verschlüsselt statt.
Verallgemeinerungen ala alles ist irgendwie unsicher ist keine Diskussionsgrundlage.
[/B].

Ja und nachdem du Pin Eingabe auf externer Hardware vorgenommen hast klopft die Brieftaube ans Fenster und fliegt damit zu deiner Bank?
Die Daten werden genau wie bei Browserbanking per SSL übertragen und wenn überhaupt wird die Nachricht bei deiner Bank als HBCI-Nachricht aufbereitet und an ihren HBCI-Server weiterreicht.
Das derzeitige HBCI-PIN/TAN ist daher auch nicht resistent gegen Man-In-The-Middle-Angriffe!
Werfe also anderen bitte keine Unwissenheit vor und informiere du dich doch erstmal selber.
mfg

 

[Boogeyman]

Das derzeitige HBCI-PIN/TAN ist daher auch nicht resistent gegen Man-In-The-Middle-Angriffe!

Wenn du hier schon den Experten gibst, dann informiere dich doch mal etwas gründlicher
Ich spiele den Ball gerne zurück!

Werfe also anderen bitte keine Unwissenheit vor und informiere du dich doch erstmal selber.

Zu:
Man-In-The-Middle-Angriffe:

Bei der HBCI Chipkarten ist es ein fundamentaler Unterschied, dass der Kunde den ausgedruckten Fingerprint der Bank vorliegen hat (also kein Man-in-the-Middle Angriff auf den Kunden möglich) und die Bank dann auch den Fingerprint des Kunden hat (also auch kein Replay in Richtung Bank möglich).

Die Sicherheit bei HBCI mit Chipkarte oder Schlüsseldatei beruht u.a. darauf, dass ein Hashwert der z.B. Überweisung mit dem Private-Key (beim RDH-Verfahren) vom Kunde signiert/verschlüsselt und anschließend von der Bank mit dem Public-Key, den die Bank bei der Initialisierung erhalten hat, entschlüsselt/gegengeprüft wird. Selbst wenn sich also jemand per MITM in die verschlüsselte Verbindung zw. Kunde und Bank reinhacken würde, könnte er vielleicht die Daten manipulieren, aber die Bank würde diese Manipulation erkennen, da beim Entschlüsseln die Signatur dann nicht mehr zum Auftrag passt. Und das zum Signieren/Verschlüsseln verwendete RDH-Verfahren gilt als sicher.

Das HBCI sehr sicher ist, kann man wunderschön bewundern, wenn z.B ein Virenscanner das Zertifikat austauschen will (Man in The Middle) und durch ein eigenes ersetzen möchte.
Die Finanzsoftware überprüft aber das Zertifikat und meldet dieses als falsch.

http://support.kaspersky.com/de/faq/?qid=207618876

 

[DeLo87]

Hallo allerseits.

Ich arbeite schon seit Jahren bei einer Bank und möchte jetzt erst mal einige Mythen, die von selbsternannten Experten hier geschrieben wurden, klären.

1. es kam in ganz Deutschland noch kein einziges Mal vor, dass das HBCI-Verfahren geknackt wurde, da es mehrfach verschlüsselt und kartenabhängig ist ( außer man verliert seine Karte und die PIN steht darauf). Das ist TATSACHE!!

2. beim PIN/TAN-Verfahren gibt es mehrere Varianten, z.B iTAN, eTAN usw. Das "klassische" PIN/TAN-Verfahren ist in der Tat veraltet und wird von den meisten Banken nicht mehr angeboten. Meine Bank benutzt das iTAN-Verfahren. Hier bekommt der Kunde eine Liste mit 100 nummerierten TANs und seinem Anmeldenamen nach Hause geschickt. Die ebenfalls zur Anmeldung erforderliche PIN bekommt er bei uns (der Bank). Also kann, wenn der TAN-Brief abgefangen wird, trotzdem niemand auf die Konten zugreifen, da die PIN ja nur der Kunde hat und nicht im Brief steht.

3. Falls ein Keylogger auf dem PC ist und den Anmeldenamen und die PIN ausspioniert, kann sich eine andere Person wirklich in das System einloggen (Also nur mit aktueller Firewall und Virenprogramm surfen). Allerdings kann er sich "nur" die Kontostände anschauen, zum Leerrräumen der Konten braucht er die TAN-Liste (immer schön drauf aufpassen). Beim iTAN-Verfahren wird der Kunde immer aufgefordert, eine der 100 TANs einzugeben, diese TAN ist auch nur für diese eine Transaktion gültig. Da die TANs 6stellig sind, müsste man, wenn man in Besitz der PIN und des Anmeldenames gelangt ist aber keine TAN-Liste hat, genau die eine aus 1.000.000 (ganz Recht: eine Millionen!!) möglichen TANs erraten, die verlangt wird. Die Wahrscheinlichkeit, ohne TAN-Liste ein Konto leerzuräumen, strebt also gegen null. Und falls dreimal eine falsche TAN eingegen wird, wird das Konto gesperrt und kann nur noch bei einem Besuch bei der Bank freigeschaltet werden.

Tipps für sicheres Online-Banking via Browser:
1. aktuelle Firewall und Antivirenprogramm
2. auf die TAN-Liste aufpassen
3. Anmeldenamen und PIN regelmäßig ändern (dazu braucht man ebenfalls eine TAN)
4. das Tageslimit für Überweisungen begrenzen, da meistens kein Limit voreingestellt ist
5. niemals TANs auf dem PC speichern
6. auf keine E-Mails von Banken antworten, ggf. vorher telefonisch klären
7. die Internetadresse immer manuell eingeben oder über Lesezeichen, keine Links benutzen

Fazit: Wenn man diese Tipps beachtet, ist sogar das vermeindlich unsichere Online-Banking via Browser zu 100 Prozent sicher. Wer aber immer noch ängstlich ist, sollte das kartenabhängige HBCI-Verfahren nutzen, da es noch nie geknackt wurde.


PS: nur so zur Info. Meine Bank hat 60Tausend Kunden. Davon benutzen etwa 20Tausend Leute Online-Banking. im Letzten Jahr kam es insgesamt zu nur 6 Schadensfällen (ich habe mich in der Online-Banking Abteilung erkundigt), und das auch nur weil TANs über E-Mail versand oder an Dritte weitergegen wurden.

 

[Heuriger]

Danke DeLo87 für deinen Post! Ich denke das trifft alles sehr gut.

4. das Tageslimit für Überweisungen begrenzen, da meistens kein Limit voreingestellt ist

Standardlimit war bei meiner Bank 2.000€ und als ich darum bat, dieses Limit bei mir runterzuschrauben (auf 300€), guckte mich der Bankangestellter schief an. Wobei ich als Azubi eher selten mehr als 300€ an einem Tag überweise. Nach einer kleinen Diskussion verstand er mich und setzte es runter.....

Und falls man tatsächlich mal mehr als 300€ überweisen muss, kann man ja immernoch zum Schalter gehen...

Insgesamt bin ich jetzt voll zufrieden und fühle mich auch sicher.

 

[skyerjoe]

@schmidmi

acht es Sinn ein Livesystem in einer virtuellen Maschine zu starten und dort die Vorzüge zu nutzen oder wird durch das ich sag mal "Mutterbetriebssystem" schon ein Angriff möglich?

Was du da ansprichst geht auch viel unkompliziert und nennt sich sandboxed programme ausführen.

Geht ganz leicht und ist noch nen tick sicherer gegen keylogger usw.

Schau mal da hin : Sandboxie


greertz skyerjoe

 

[/root]

nutze bei der sparkasse auch schon seit einiger zeit netbanking, ohne zwischenfälle.
mit tac code per sms kann meiner meinung nach nicht viel passieren, da müsste mir jemand die zugangsdaten und mein handy stehlen.
grüße