Sicherheit Onlinebanking im Urlaub/Ausland

[Placeholder2022]

Servus,

wie sieht die Fachgemeinde hier denn das Thema Onlinebanking im Urlaub?
Also wenn mal was geschaut werden müsste kurz, mit der nativen App der (Direkt)bank aufm Handy vs im Browser?
WLAN im Hotel selbst mit Norton VPN drauf wohl eher nicht so lecker nehme ich an, alternativ eine lokale Prepaid SIM aus dem Ausland drin, über die sollte es ja ähnlich sauber sein wie im Heimatland mobil?
Danach wieder sauber ausloggen und gut, App oder Browser?
Oder trotz allem einfach mal 10 Tage lassen?

So komisch der Spruch auch ist:
Frage für einen Freund)

Dem werde ich eh nicht alle Argumente weiter leiten so dass eine Diskussion nicht sein muss sondern fachlicher Rat ausreicht.

Danke Euch

 

[SI Sun]

Grundsätzlich ist das Internet überall gleich "sicher".
In manchen Ländern, aber auch in manchen öffentlichen Netzwerken (auch in Deutschland) besteht die Gefahr, dass du zu seiner anderen Seite umgeleitet wirst und damit Malware erhalten könntest.

Hätte, könnte, würde, manchmal, etc.

Mit Verstand bist du sicher. Als Laie besser 10 Tage darauf verzichten, wenn möglich.

 

[Nilson]

Ist eine Fritzbox vorhanden? Wenn ja, würde ich einfach Fritz-VPN nutzen. Das hilft auch im Nicht-Ausland, wenn man in "freundlichen" Netzwerken ist (Hotel, Flughafen, ICE etc.)

 

[Alexander2]

Das mit dem Hotel Wlan ist evtl. schon ne Schwachstelle, nicht wegen der Verschlüsselung der Banking Verbindung, sondern weil dein Geräte mit dem das dann gemacht wird prinzipiell eher von allen anderen im WLan leichter erreicht werden kann. Wenn man das einfach per mobilen Internet machen kann wie sonst hätte ich keinerlei bedenken.

Die Bedenken wegen dem Wlan mögen vielleicht auch übertrieben sein

 

[Pitt_G.]

@Placeholder2022 ich frage mich immer was die Leute dazu treibt Banking am Smartphone oder Tablet zu machen mit dem sie draussen oder im Urlaub unterwegs sind.
So schnell schauen manche gar nicht wenn ihnen das Smartphone beim Telefonieren direkt entsperrt aus der Hand gerissen wird. Ob derjenige dann die Sicherheitsfunktionen der Apps auch penibel genug aktiviert und eingerichtet hat?
Ist ja am heimischen PC schon nicht ganz ohne das Thema.
Ob Banken den Zugriff aus dem Ausland dann auch so freigeschalten haben.
Zumindest eine Kreditkarte wurde uns schon während des Urlaubs in Vietnam auch deaktiviert.
Manchmal sind auch schon die Rechner von Hotels im Ausland infiziert und man findet plötzlich Testabbuchungen von seinen Kreditkarten vor.

Wie blank manche Leute bei uns in der Firma ohne Smartphone manchmal dastehen , weil sie ganz ohne Karte oder etwas Bargeld in der Kantine sind , wenn das Ding kein Akku hat, oder da liegt wo sie es nicht im Zugriff haben.

 

[minimii]

Die Bedenken beim WLAN sind angebracht.
Offene Hotel SSIDs auch mit Captive Portal nutzen selten Enhanced Open um einen Schlüssel für die Verbindung mit dem Endgerät auszumachen.
Also ist der Traffic insofern nicht durch Applikationen verschlüsselt...lesbar.

Ansonsten würde ich halt einfach mal Urlaub machen ^^

 

[dideldei]

Ich nutze generell OpenVPN von meinem NAS für solche Bereiche.

Ohne VPN würde ich offene WLANs in der Öffentlichkeit möglichst meiden, wenn es um Banking geht.

 

[JMP $FCE2]

Ich nutze generell nur ChipTAN mit Flickercode oder QR-Code, also ein externes Gerät, das nicht gehackt werden kann.

Dieser Appquatsch kommt mir nicht ins Haus.

 

[derlorenz]

Kann ja hier niemand die Dringlichkeit einschätzen, mit der du Zugriff auf dein Konto brauchst.

Alles in allem würde ich egal welches WLAN dafür meiden. Da kommen ja nicht so viele MB zusammen, als das man nicht seine SIM nutzen könnte.

 

[KnolleJupp]

Ich nutze Online-Banking nur vom heimischen Rechner aus. (ChipTAN-Verfahren)
Nie mobil, ist mir zu unsicher und ist auch gar nicht eingerichtet in irgendeiner Form.
Wozu sollte ich das im Urlaub brauchen? Entweder habe ich Bargeld dabei oder eine Girokarte (Maestro) bzw. Debitkarte (Visa).

 

[kurfuerst1982]

ich nutze generell nur ChipTAN mit Flickercode oder QR-Code, also ein externes Gerät, das nicht gehackt werden kann.

https://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

 

[humm]

Sensitiver Datenverkehr wird mit TLS abgesichert, ich hätte keine Bedenken das Online Banking per App oder Webseite zu nutzen, egal in welchem Internet auf dieser Welt.

https://de.wikipedia.org/wiki/Transport_Layer_Security?wprov=sfti1

 

[JMP $FCE2]

https://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html

Fällt dem Opfer nicht auf, dass das Gerät die Kontonummer des Empfänger nicht anzeigt und gibt es anschließend die TAN ein, so hat der Angreifer sein Ziel erreicht.

Ist kein wirklicher Hack, das Problem sitzt vor dem Gerät.

 

[n8mahr]

ich teile die vorsicht der forenkollegen hier nicht ganz.
ja, offene unverschlüsselte wlan bieten angriffspunkte und sind mit vorsicht zu genießen.
aber:
ein aktuell gehaltenes handy, bei dem faceID oder fingerabdruck aktiviert sind zum einloggen ist ausreichend sicher, wenn du übers mobilfunknetz oder wlan+vpn reingehst.
deutlich sicherer als mit einem laptop+browser, wo immer zig mehr daten abgespeichert werden, als notwendig - und wo windows schon einfallstore ohne ende bietet.

sehe da absolut nicht das problem. mir ist bisher noch kein fall begegnet, wo für "otto normalos" ein man in the middle angriff im wlan durchgeführt wurde.
und dann müsste immer noch die tan methode ausgetrickst werden. da sind wir dann auf dem nivau von geheimdiensten und nicht mehr kleinbetrügern.
da ist es immer noch 10 mal wahrscheinlicher, dass deine wohnung ausgeräumt wird, während du im urlaub bist, als dass dein konto "gehackt" wird..
natürlich alles unter dem vorbehalt, dass der nutzer kein kompletter DAU ist.

aber, und das gebe ich zu bedenken: für mich ist alles eine risikoabwägung, die hat natürlich persönlichen einschlag, und das sehen (ganz offensichtlich) einige anders, aus ihren ganz persönlichen gründen.

 

[Falc410]

Hier ist aber wieder gefährliches Halbwissen unterwegs, gepaart mit Paranoia.

Jede seriöse Bank muss den Traffic entsprechend verschlüsseln, es gibt PCI Standards die erfüllt werden wollen (das hat nichts mit Grafikkarten zu tun). Solange man ein "sicheres" Endgerät hat, ist es vollkommen egal in welchem WLAN man sich befindet da die Daten wie humm schon schreibt, auf höherer Ebene verschlüsselt werden.

Es gibt natürlich Angriffe über WLAN, gerade in einem öffentlichen, aber das hat nichts mit Onlinebanking zu tun. Ja theoretisch kann ich MitM Angriffe machen aber auch nur theoretisch da die Apps hoffentlich die Zertifikate prüfen und die Webseiten HSTS aktiviert haben müssen.

 

[kurfuerst1982]

Ist kein wirklicher Hack, das Problem sitzt vor dem Gerät.

Hack (auch ausgesprochen [hæk]; englisch für technischer Kniff[1]) hat mehrere Bedeutungen und kann für eine Funktionserweiterung oder Problemlösung stehen oder dafür, dass das Ziel auf eine ungewöhnliche Weise erreicht wird.

von: https://de.wikipedia.org/wiki/Hack

 

[Helge01]

Sensitiver Datenverkehr wird mit TLS abgesichert

Das nützt dir aber nichts wenn deine DNS Abfrage auf einen anderen Server zeigt. In einem fremden WLAN ist es einfach DNS Anfragen umzuleiten.

 

[Falc410]

Das nützt dir aber nichts wenn deine DNS Abfrage auf einen anderen Server zeigt.

Natürlich nützt das was. Um den Angriff erfolgreich durchzuführen, brauchst du auch noch ein passendes Zertifikat dem dein Gerät vertrauen muss. D.h. vorher musst du erst einmal eine CA entsprechend angegriffen haben (passiert alle paar Jahre mal) und wenn https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security benutzt wird, stehst du auch blöd da. Ich weiß gerade nicht, ob die Banken auch DNSSEC einsetzen (ich würde es hoffen aber war bisher noch nicht so verbreitet), dann wäre ein Cache-Poisining Angriff auch nicht mehr möglich.
Alles was hier beschrieben ist: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff funktioniert in der Theorie aber nur wenn eben die Anwendung schlecht implementiert ist. Ein MitM auf eine Banking-Anwendung kommt nie vor. Höchstens Phishing aber um auch noch an den 2. Faktor zu kommen muss der Angreifer deutlich mehr Resourcen investieren.

Also wie gesagt, es ist leider absolute Panikmache in den meisten Fällen mit dem Ziel Schlangenöl zu verkaufen. Ich habe selbst jahrelang Hacker-Kurse gehalten und den Leuten vermittelt wie sie solche Angriffe durchführen aber eben auch die Limitierungen der Angreifer. Die Industrie hat aber ein interesse daran, den Leuten Angst zu machen, damit sie ihnen dann entsprechende Schutzmechanism verkaufen können.

Was ich wirklich nicht empfehlen würde, ist einen Computer in einem Internetcafe würde Onlinebanking zu benutzen. Das ist weitaus gefährlicher als die Diskussion WLAN vs SIM. Solange ich mein Endgerät unter Kontrolle habe und keine Apps aus unsicheren Quellen installiere und das OS aktuell halte, bin ich da schon ziemlich sicher. Wenn ich natürlich ein Whistleblower bin und vermute, dass sich Pegasus oder ähnliches auf meinem Gerät befindet, dann habe ich andere Probleme.

 

[bisy]

Ob derjenige dann die Sicherheitsfunktionen der Apps auch penibel genug aktiviert und eingerichtet hat?

Jede Banking App funktioniert nur mit Passwort/Pin bzw zusätzlich mit Fingerabdruck oder Gesichtserkennung.

Von daher muss derjenige der das Smartphone klaut auch erstmal in die Banking App rein kommen.

Banking am Smartphone über die Bank App ist sicherer als zu Hause am PC über den Browser

 

[Helge01]

brauchst du auch noch ein passendes Zertifikat

Brauchst du nicht, wenn die Domain leicht abgeändert wird. Kaum jemand prüft das ständig, in Apps ist das vermutlich gar nicht möglich. Ich wollte auch nur darauf hinweisen das eine Verschlüsselung allein nichts darüber aussagt mit wem man kommuniziert, man kann auch mit Betrügern verschlüsselt kommunizieren.