Schutz soo einfach

Benutzer eggx schrieb:

Wenn Du diesen Artikel richtig gelesen und auch verstanden hättest, dann wüsstest du, dass es für sicheres Online-Banking nicht ausreicht, die Adresse manuell in der Browserzeile einzutippen! Das ist leider nur EINE von mehreren Vorsichtsmaßnahmen.

Benutzer gha schrieb:


Ausserdem sollte man auch gleich auf die EC-Karte verzichten schliesslich häufen sich die Fälle in denen Karte und PIN an Automaten ausspioniert werden. Ach so: Kreditkarten werden von jedem besseren Kellner kopiert um sie weiterzugeben. Also auch bessser Finger Weg von Kreditkarten. Ja und Bargeld ... naja das wird ja regelmässig in der belebten Fussgängerzone geklaut.

Also am besten stellen wir auf den Tauschhandel um ...

Ach ne auch nicht so gut. Seit E-bay weiss man schliesslich das sich das begehrte Handy auch schonmal als Atrappe oder gar als Sack Kartoffeln entpuppen kann ...

Mal im Ernst: Ich nutze nun seit über 10 Jahren Online-Banking vollkommen problemlos. Wenn man mit etwas gesundem Menschenverstand Online-Banking und Co. benutzt klappt das recht risikolos. Ein Restrisiko (s.o.) bleibt bei allen Dingen im Leben. Es gibt nunmal keine 100% Sicherheit! Deshalb möchte ich aber nicht auf die bequemlichkeit des Online-Banking verzichten.

Was den Schaden im Falle eines Falles angeht sehe ich das ähnlich wie im realen Leben: Wer den Betrug erkennt und trotzdem darauf eingeht ist selbst Schuld. Kann man ihn nicht ohne weiteres erkennen (z.B.: Trojaner, Ausspionieren am Geldautomaten o.ä.), sollte man nicht auf seinem Schaden sitzegelassen werden (hier sollte tatsächlich die Bank eine Pflicht haben, zumal diese dann auch mehr intresse an der Verbesserung der Sicherheitsmassnahmen zeigen wird).

Das Phishing ist eigentlich ähnlich wie das berühmte Hütchenspiel: Eigentlich sollte jeder wissen, dass hier Betrug im Spiel ist. Aber irgendwie fallen immer noch welche darauf rein. Wissen denn immer noch so wenige über derartige Tricks bescheid oder sind die Leute wirklich zu blöd? (Diese Frage stelle ich mir nicht aus Böswilligkeit den Opfern gegenüber, die stelle ich mir ernsthaft)

Witzig, bzw. weniger witzig, finde ich dass die Banken meist nur das PIN/TAN Verfahren "verkaufen". Auf Nachfrage zu HBCI kommt immer äh .... da muß ich mich mal schlaumachen; da brauchen sie aber ein extra Lesegerät und das kostet!! Und wenn man denen erklärt, dass man so was schon hat und damit auch das Telefonbuch vom Handy managen kann, kommt meist das große Staunen.

cu

Benutzer carlos.schaefer schrieb:

Allerdings ist eine falsche Eingabe in der Browserzeile, also Phishing per Email oder über Links auf Webseiten, das einzige Szenario, das mir einfällt, vor dem einen eine Chipkarte schützen kann (außer vielleicht das Akzeptieren eines falschen Zertifikats bei einer Man in the Middle-Atacke). Alle anderen Szenarien greifen nicht den Kommunikationskanal sondern einen der beteiligten Rechner (PC des Nutzers oder Bankserver) direkt an. Es handelt sich also um Schadprogramme wie Trojaner, rootkits oder ähnliche. Hier schützt eine Chipkarte leider keinen deut besser als Pin und Tan. Fängt der Angreifer die Pin und Tan ab, kann er genau eine Transaktion ausführen. Bei einer Chipkarte muß der Angreifer (Trojaner) nur warten, bis das Homebankingprogramm eine Überweisung an das Lesegerät übertragen will, diese abfangen und verwerfen und dann einfach die eigene Transaktion an das Lesegerät übermitteln. Selbst bei einem Leser mit Tastatur und Display entscheidet das sendende Programm (jetzt der Trojaner) über das was im Display steht. Somit gibt das Display die gleiche Meldung aus, wie es bei der gewünschten Transaktion der Fall gewesen wäre und der Nutzer bestätigt die ungewollte Transaktion mit seiner Pin. Das extra Display ist also wirkungslos. Die extra Tastatur verhindert nur, dass der Angreifer beliebig viele Transaktionen ausführt (da er die Pin der Karte nicht ausspähen kann). Hat also den gleichen Effekt wie die Tan.

Funktionieren würde das System mit der Chipkarte nur, wenn der Leser ein wirklich autonomes System wäre. D.h. das Homebanking Programm übermittelt dem Lesegerät die Fakten (Betrag, Kontonummer, Blz. etc.) und das Lesegerät zeigt dann die selben Daten die es im Begriff ist zu signieren im Display an. Auch wenn dies in der Produktbeschreibung der Lesegeräte suggeriert wird, ist dies nicht der Fall. Auch wäre so etwas wohl kaum möglich. Bei einer Überweisung sehr wohl schon (und meiner Ansicht nach auch sehr wünschenswert!!!). Bei einer Email im Textformat müsste man die gesamte Mail im externen Display gegenlesen. Bei einer Mail mit Anhang oder wie im Beitrag beschrieben, bei einem Formular einer Behörde müssten diese Binärformate (übersichtlich) auf dem externen Display dargestellt werden. Dies ist kaum noch praktikabel und würde den Funktionsumfang eines vollwertigen PCs erfordern.

Es ist also wie früher beim Homebanking. Auf meine Frage, warum ich laut Kleingedrucktem die alleinige Haftung für Missbrauch trage, wurde mir in der Bank und bei der Hotline versichert, dass Homebanking absolut sicher sei. Selbst in der Bankbroschüre wurde dies suggeriert (hier stand allerdings, die Verschlüsselung sei unknackbar; was für einen Laien aber das gleiche bedeutet). Auch bei den elektronischen Pässen wird behauptet werden, dass sie absolut sicher sein werden. Was nun mal nicht stimmt. Dennoch werden die Benutzer wie schon bei Kredit und EC-Karten vor Gericht auf ihrem Schaden sitzen bleiben, da die ausstellenden Institute wieder über teure Sachverständige "beweisen" werden, dass die Karten unknackbar sind und somit der Kunde etwas falsch gemacht haben muss...

Um meine Transaktionen so sicher wie möglich zu machen, habe ich einen USB stick mit einem minimalen und gehärteten Linuxsystem. Diese System benutze ich ausschließlich für Sicherheitsrelevante Aktionen, wie Homebanking und dem Signieren und Entschlüsseln von Mails. Zukünftig werde ich den Stick noch verschlüsseln. Auch dann ist das System bei physischem Zugriff auf den Stick oder bei Sicherheitslücken noch angreifbar. Mehr kann ich aber nicht mehr tun.

Ich hoffe, dieser doch etwas lang geratene Beitrag hilft, das Wissen um die Unsicherheit von Chipkartensystemen zu verbreiten, da ja man ja von den Marketingabteilungen nur über die in Wirklichkeit nicht gegebene Sicherheit informiert wird.

Dennoch halte ich Chipkarten für sinnvoll, da sie das Beste sind, das momentan existiert. Dennoch sind sie in sicherheitskritischen Fällen keineswegs ausreichend.

Grüße,
Oliver

Benutzer OliB schrieb:


Ja. Nur warum gibt's kein Chipkartenverfahren mit (i)TAN? Würde zwar nicht vor jedem Angriff auf den Rechner schützen, aber wenn jemand die Karte klaut und vorher die Karten-PIN protokolliert (oder zuschaut) kann er beim normalen HBCI-Verfahren anschließend beliebig viele Transaktionen machen. Eine TAN oder iTAN würde da ein bisschen mehr Sicherheit bringen (keineswegs perfekt, das ist klar).

Und zu dem, was du über deinen USB-Stick schreibst: Sowas könnten die Banken ja auch anbieten, fertig konfiguriert. Oder z.B. eine spezielle Einwahlnummer nicht allgemein ins Internet, sondern nur zum Bankrechner. Wären alles kleine Beiträge, die jeweils alleine keine Sicherheit garantieren, aber insgesamt doch die Hürden für die Bösewichte höher legen würden.

Ich verstehe hier nicht wie so häufig worum es geht.

Es gibt eine ganz einfache, kostenlose und absolut sichere Methode wie man feststellen kann, ob man wirklich mit seiner Bank verbunden ist:

Man gibt zunächst eine falsche Pin ein. Auch bei der Tan- Eingabe wird zunächst eine Falsche eingegeben.

NUR MEINE BANK KANN WISSEN OB DIE DATEN STIMMEN!!! ODER?
Sollte die falsche Nummer akzeptiert werden, ist man garantiert nicht mit der Bank verbunden. Vorgang wird dann abgebrochen!

Wofür Verschlüsselung? Sticks? Kartenleser?

Ist doch total simpel ! Die leidigen Diskussionen erübrigen sich doch, oder habe ich etwas vergessen?

Solche Tips sollte die Bank geben! Kost nix und klappt bei mir seit Jahren an allen möglichen verseuchten Rechnern zuverlässig.

Gruß
TREBORRE

Benutzer treborre schrieb:

Nun ja, grundsätzlich eine gute Idee und hilft sicher gegen die meisten aber nicht gegen alle Methoden, an deine Daten zu kommen.

Eigentlich gibts nur drei Regeln einzuhalten, die das Risiko schon gegen Null minimieren und einen Jackpott-Gewinn im Lotto wahrscheinlicher machen:

1. Verstand einschalten.
2. Nie fremde Links zu deinem Banking verwenden.
3. Virenscanner und Firewall auf dem neusten Stand halten.

Leider sind diese drei Punkte nicht selbstverständlich. Und ich setzte noch eins drauf: Bei uns Deutschen hapert es vor allem bei Punkt 1. Wir mögen ja durchschnittlich nicht dumm sei, aber leider sind wir unheimlich naiv!! Nicht umsonst sind wir die Lieblingsopfer in jedem Urlaubsland.

Ich würde mir wünschen, dass diese drei "Tipps" riesig groß in der Bildzeitung stehen. Und außerdem, das die Presse endlich klar macht, das die "Opfer" zwar arm dran sind, aber hochgradig mitschuldig sind. Das ist genauso wie Hütchen-Spielen und nachher jammern....

Ich denke das hilft vorallem in Zeiten der iTan kaum. Spätestens seit der iTan muß die ungewollte Transaktion gleichzeit mit der gewollten aber nicht ausgeführten stattfiden. Was ich damit meine:

Ich gebe meine Daten auf der gefaketen Seite ein. Der (böse) Server im Hintergrund logged sich gleichzeitig mit meinem Account bei der Bank ein. Ich gebe meine Überweisung ein. Diese wird vom (bösen) Server abgefangen und verworfen. Stattdessen übermittelt dieser dann seine Transaktion. Der Server wird nach einer speziellen Tan (iTan) gefragt. Er übermittelt diese Anfrage wieder an den den Nutzer, der denkt es handle sich um die rechtmäßige Transaktion. Also gibt der Nutzer die Tan ein und der Server bestätigt damit die unrechtmäßige Transaktion. Dies muss alles gleichzeitig ablaufen, da das Speichern der Tan und der Versuch einer späteren Transaktion dank iTan sinnlos wäre.

Der Server hinter der gefakten Seite merkt also sofort, wenn du eine falsche pin eingegeben hast. Wenn die Seite halbwegs vernünftig gemacht ist, dann kommst du einfach wieder zur Einlogseite und das wars.

Auch bei schlecht gemachten Seiten muß sich der angreifende Server immer zeitgleich bei der Bank einloggen. Denn er muß dir nach dem Einloggen ja deine Konten anzeigen. Ich denke selbst der dümmste würde merken, wenn sich sein Name, seine Kontonummer, seine Kontostände und alles andere geändert haben.

Die Idee im Beitrag davor, daß die Banken einen USB-Stick für Homebanking anbieten sollten finde ich eigentlich gut. Wird aber nie passieren, da es zu umständlich ist:

1. Die Kunden wollen, dass Homebanking so einfach bleibt wie bisher. Einloggen überweisen und fertig. Selbst HBCI ist Ihnen schon zu kompliziert. Mit einem USB-Stick würde das ganze noch komplizierter (Kontonummer des Empfängers etc. bei Ebay abschreiben, Rechner runterfahren und neustarten, Überweisung eingeben und wieder neustarten). Darauf werden sich die Kunden nicht einlassen wenn es doch auch so wie jetzt geht denn jeder denkt, mir passiert schon nichts.

2. So ein USB-Stick wäre teuer. Nicht im Sinne der Bank.

3. Wenn diese USB-Sticks gehackt würden, wären wohl sehr viele Konten gleichzeitig betroffen. Das wäre ein riesen Schaden und die Bank könnte nicht mehr sagen, dass die Kunden unvorsichtig waren. Der Fehler läge also klar bei der Bank und diese wäre haftbar.

Ausreichend und komfortabel wäre, wie schon gesagt, ein Chipkartenlesegerät mit Tastatur und Display, das die zu signierenden Daten auch wirklich im Display anzeigt und nicht irgendwelche informationen, die das Homebankingprogramm vorgibt. So wird es einem beim Kauf eines solchen Geräts ja auch suggeriert.

Grüße,
Oliver

Meine Güte! Da steckt ja eine ganze Menge krimminelle Energie hinter. Hab mich wie gesagt bis jetzt recht sicher gefühlt und wohl eine Menge Glück gehabt.
Da muss ich wohl doch nochmal überlegen wie ich das in Zukunft angehe.

Danke für die umfangreiche Antwort

Treborre

Benutzer treborre schrieb:
Freut mich, dass ich helfen konnte! Ich glaube am meisten ist allen gedient, wenn man auf die sonst gern verschwiegenen Sicherheitsporbleme aufmerksam macht. Denn nur das erhöht den Druck auf die Banken endlich sichere aber dann auch etwas teurere und umständlichere Lösungen rauszubringen.

Schließlich wird z.B. HBCI mit Chipkarte nur noch von wenigen Banken angeboten, da es den meisten zu umständlich ist und es daher kaum einer nutzt.

Also weitersagen!

Grüße,
Oliver

Benutzer OliB schrieb:

Hej!

Also ich finde CHIP-HBCI nicht umständlich. Eher das PIN-TAN Verfahren - wo ist die sch.... Liste wieder??!