Sicherheit von Verfahren zum Online-Banking

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Am einfachsten und sicherstem ist der Tan-Generator. Der benutzt die EC-Karte und nicht noch eine extra Codekarte. Überweisung ausfüllen, Karte einschieben, Gerät an den Bildschirm halten, Angaben bestätigen, generierte Tan innerhalb 1 Minute in die Banksoftware eingeben, abschicken. Die EC-Karte muß beim Onlinekonto registriert sein. Extra Software für das Gerät braucht man nicht.
SMS Tan ist schon geknackt, Chip-Tan kann man nicht knacken.
 

Vernochan

Schabrackentapir
Registriert
09.07.2001
Beiträge
8.880
Wobei man dazu sagen muss, dass das SMS-Tan Verfahren nur umgangen werden kann, wenn es jemand Speziell auf dich abgesehen hat. Denn dazu müssten die "Angreifer"
1. Zugriff auf die Internetleitung/Account haben (Phishing/Keylogger lassen gruessen)
2. Einen Pseudo Funkmasten sehr nahe des Zugangsortes (Also von wo man sich gerade beim Onlinebanking eine Transaktion ausführen will) bereitstellen, mit dem der Traffic abgefangen/manipuliert werden kann.
ODER
es ist ein Trojaner, der im Hintergrund auf der Bankingseite eine Überweisung anlegt und dem Benutzer um eine Tan bittet (Die der Trojaner auch bei der Bank angefordert hat).
Und ich bin mir sicher, so eine "Man in the middle" Methode funktioniert auch mit dem ChipTan verfahren. Dieser Bericht bestätigt es.Wie der Artikel beschreibt, betrifft dies auch das SmartTan verfahren.
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Falls jemand so rückständig ist und kein Bankprogramm benutzt, sondern das über die Webseite macht, muß er damit rechnen. Ansonsten ist das sicher.
 

Vernochan

Schabrackentapir
Registriert
09.07.2001
Beiträge
8.880
Wenn solche Programme das SMS Tan Verfahren unterstützen, dann ist auch dieses darüber sicher. Aber ich kenn mich mit solcher Software nicht aus, ich bin offensichtlich zu rückständig dafür :D
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Der gesunde Menschenverstand sagt: Bankprogramm + Tan-Generator + EC-Karte= Verbindung ins Internet nur !!! beim absenden der durch Tan autorisierten Überweisung. Außer der Absendung läuft alles offline auf dem PC ab. Das ist bei der SMS-Tan nicht der Fall. Ich weiß nicht, wie das geknackt worden ist, nur das. Das wie interessiert mich nicht weil SMS-Tan für mich nicht infrage kommt.
OK, sorry.;) Ersetzte das Wort rückständig durch einfach/bequem.:)

Nebenbei bemerkt, mache ich Onlinebanking schon über 25 Jahre. Am Anfang brauchte ich keinen PC, weil am Postschalter (mein ehemaliger Arbeitsplatz) ein BTX Gerät stand (zwecks Verbindung zum Prüfen von Barabhebern am Postschalter). Und in den Jahren zwischen Pensionierung und eigenen PC haben blieb mein Konto erhalten. Mit PC-Online bei Telekom wurde die Banksoftware von Telekom benutzt. In den 16 Jahren gab es nie Probleme (außer bei Umstellung der Sicherheit durch Bedienungsunwissenheit der Software, bzw. bis ich in einer Anleitung des Tan-Generators gelesen hatte, das man für bestimmte Bildschirme den Tan-Generator) in der Abtastung einstellen kann:D )
 
Zuletzt bearbeitet:

Gala

Labyrinth-Leichnam
Registriert
20.11.2000
Beiträge
14.907
*Hust*

Ich benutze dieses verstaubte Ding namens Bankautomat. :)

Wenn das angegriffen wird, kann ich wenigstens sicher sein, das die Bank keine Ausrede hat, das ich schlampig gearbeitet hätte oder sowas. :D

Klar, absolute Sicherheit gibts nicht. Aber mit blindem Vertauen auf einem PrivatPC eine Banksoftware zu betreiben oder sogar auf Webseiten surfen ? Das übertreibt die tatsächliche Sicherheit solcher Einrichtungen um Größenordnungen. Man hat sich so leicht einen Trojaner oder Virus eingefangen. Oder das Notebook wird geklaut. Und so weiter.
 

Vernochan

Schabrackentapir
Registriert
09.07.2001
Beiträge
8.880
@Seebaer: Wie gesagt, um das SMS Tan verfahren zu umgehen, wird mit ein bisschen Technik ein mobiler Funkmast aufgebaut, der sich sehr nah dem Zugriffspunkt befinden muss. Dadurch ist das Signal von dem Fake-Funkmast stärker, als das vom eigentlichen. Dann verbindet sich das Handy zu dem Fake-Funkmast. Dann kann der Fake-Funkmast sowohl SMS Abfangen, als auch verändern/erzeugen. Selbstverständlich muss dies exakt in dem Moment der Fall sein, in dem man eine Überweisung tätigt. Und zusätzlich braucht man noch nen Trojaner auf einem Rechner, der entsprechende Informationen abfängt und falsche Überweisungen tätigt.

Wenn man nun so eine Banksoftware nutzt, sollte dies auch kein Problem sein. Denn man müsste die Überweisung aus der Software abfangen und verändern bevor sie an die Bank zur Anfrage der TAN gesendet wird. Dazu braucht man Zugriff auf das Programm.

Mich würde auch mal interessieren, wie sicher diese Banksoftware gegen irgendwelche Code-injections sind. Bzw wie gut gesichert is, dass andere Programme nicht auf den Speicher zugreifen, den es belegt. Hab zu sowas bisher noch nie einen Test oder aehnliches gelesen/von gehoert (Und hab in dieser Richtung auch nicht genug Erfahrung in der Programmierung um es einfach auszuprobieren... :D)
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
@ Gala
Vielleicht denkst Du darüber nochmals nach.
Banksoftware, bei der alles, bis auf das Absenden, offline passiert, ist etwas anderes als online auf einer Website eine Überweisung auszuführen.
Das eintippen der offline generierten Tan und das absenden der Überweisung geht Hand in Hand. Und die Tan ist damit nicht mehr verwendbar. Und in einer Sekunde kann niemand alle Daten abgreifen und Verwenden.
Notebook??? Du brauchst die Pin für die Banksoftware, den Tan-Generator und die EC Karte (sowie die Kontonummer) Also 3 Gegenstände + die Pin.:D
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
@ Vernochan

Ich habe bis jetzt noch nicht mitbekommen, das jemand mit Tan-Genaerator und Banksoftware abgezockt wurde. Von meinem Verständniss ist das nicht möglich.
" Code-injections sind. Bzw wie gut gesichert is, dass andere Programme nicht auf den Speicher zugreifen, den es belegt"
Wie soll man das nutzen wenn die Tan in 1 Sekunde benutzt wird und nicht mehr verwendbar ist ? Die Tan wird anhand den Überweisungsdaten generiert und auf dem Tan-Generator angezeigt. Der Tan-Generator ist ein externers Gerät ohne PC Kontakt. Hellseherische Zaubersprüche aus BG funktionieren hier nicht.
 

Lilith

Dark Mistress
Registriert
30.10.2004
Beiträge
2.206
Am einfachsten und sicherstem ist der Tan-Generator.
@Seebaer Am einfachsten vielleicht und das auch nur wenn man die einmalige Installation des Treibers auf dem PC mit einbezieht. Sicherer ist aber auf jeden Fall HBCI-Banking mit Kartenlesern nach dem Secoder-Standard.

Darüber wie sicher Homebanking Software an sich ist steht auch etwas im oben von mir verlinkten Wikipedia Artikel.
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Wieso ist ein Kartenleser, der an den PC angeschlossen wird und installierte Software braucht, sicherer als ein Tan-Generator der keinen PC-Anschluss braucht und die Tan Daten optisch aus einer Eingabe generiert? Das das ganze mit HBCI läuft ist doch Standart.
Und ein 9 Jahre alter Artikel ist kein Maßstab mehr. Da gab es die heutigen Tan-Generatoren noch nicht.
 

Durandil

Dúnadan
Registriert
16.01.2002
Beiträge
5.644
Die heutigen Tan-Generatoren sind unsicherer als die guten alten Tan-Listen auf Papier!

Früher musste ein Betrüger die PIN und die TAN-Liste klauen. Heute reicht ihm die PIN und die Karte (die nicht zuhause im Tresor liegt, sondern immer mit rumgetragen wird), denn die Tan-Generatoren funktionieren mit jeder Karte und sind nicht auf einzelne gesperrt. D.h. jeder der die PIN phisht und die Karte klaut, kann heute "beliebig" überweisen, früher mussten dazu die TANs geklaut werden - deutlich mehr Aufwand, da betreten der Wohnstätte vonnöten.

Sicherer ist das lediglich gegen rein software-basierten Mißbrauch, da die TANs überweisungsspezifisch sind - solange der Benutzer vorbildlich arbeitet, denn wer prüft wirklich bei jeder Überweisung genau, ob die Kontonummer auf dem TAN-Generator stimmt?

In Sachen Karte hat Verno den springenden Punkt ja schon erwähnt: Man-in-the-middle-Attacken. Da die PIN-Eingabe aug dem Gerät erfolgt (so zumindest mein Kenntnisstand), hat ein Software-Keylogger es reichlich schwer, die zu klauen ;)
 

Lilith

Dark Mistress
Registriert
30.10.2004
Beiträge
2.206
Teile des Artikels mögen so alt sein aber dieser wurde ja auch aktualisiert. Z.B. wird dort als aktuelles Datum Februar 2013 angegeben. Das wird wohl niemand vor 9 Jahren getan haben.
 

Vernochan

Schabrackentapir
Registriert
09.07.2001
Beiträge
8.880
@Seebaer: In Zeiten, in denen ein Computer 4 Kerne mit jeweils 2,5GhZ haben (das sind immerhin ca 10000000000 Takte ;) Und es gibt schnellere CPUs mit mehr Kernen!) ist eine Sekunde ein verdammt langer Zeitraum. Außerdem ist es kein größeres Problem aus einer Sekunde 2-3 zu machen, ohne das der Nutzer stutzig wird/es ihm auffällt. Schließlich brauchen auch Webseiten manchmal länger um zu laden.


@Durandil: Ich hab mir die Treiber von solchen Geräten nie angeguckt, aber sicher, dass die nichts von den Tastendrücken an den PC Übertragen? Ich dachte die können die auch als PinPad am PC benutzt werden. Da is dann die Frage wie gut die Treiberentwickler/Designer gearbeitet haben. Vermutlich hast du recht, aber es wäre bestimmt spannend so was herauszufinden :D
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Es ist interessant, wie Menschen etwas beurteilen, das sie nicht kennen, nicht haben und nicht damit arbeiten.
Da gilt ein uralter Artikel gleich als aktuell, weil ganz unten mal ein Link aktuallisiert wurde. Das Wikipedia voller Fehler ist sollte sich doch schon rumgesprochen haben.
Und nochmals: Ein Tan-Generator hat keine Software auf dem PC, weil er keine Gerätesoftware braucht. Der generiert eine , nach der Überweisung gerichtete Tan Nummer.
Das Argument mit der CPU Geschwindigkeit ist der größte Mist, den ich dieses Jahr gelesen habe.
Genau genommen muß ich hier sagen: Verfolgungswahn hat als Auswirkung irre Argumente, ohne Praxiserfahrung. Buchstaben lesen im Internet sind keine Praxiserfahrung.
Wer mit der Banksoftware von T-Online arbeitet, einen Tan-Generator und seine EC-Karte benutz, der darf Kritik üben auf die ich noch antworte. Die Pseuydotheoretiker können sich ihre Kommentare sparen.
Am besten nicht mehr aus dem Haus gehen. In 100 Jahren kann es ja passieren das einem Menschen beim verlassen des Hauses 1 Dachziegel auf den Kopf fällt.
Haben das jetzt auch diejenigen verstanden, die mehr Ahnung haben wollen von dem, was sie nicht machen, als diejenigen die das seit Jahren machen?
Ich hab echt den Kanal voll.:grmpf:

Ps.: Ich hatte vor Jahren schon mal eine Diskussion mit einem Jüngelchem gehabt, der von einer Wasserkühlung mehr Ahnung hatte haben wollen, obwohl er sie nicht gehabt hat, und die bei mir schon 1 Jahr in Betrieb war. Internetwissen kann helfen, aber ist keine Berechtigung für hypothetische Besserwisserei.
Jetzt warte ich auf eine ganz bestimmte Antwort....:fies:
 
Zuletzt bearbeitet:

Durandil

Dúnadan
Registriert
16.01.2002
Beiträge
5.644
Vielen Dank für Deine freundlichen Worte, Seebär, ich hab Dich auch lieb :)

Und obwohl ich seit 13 Jahren Vollzeit Schadsoftware analysiere (darunter Dutzende von bankdatenphishenden Trojanern) und Sicherheitssoftware schreibe, die weltweit viele Millionen mal eingesetzt wird, muss ich fairerweise zugeben, dass ich keine Banksoftware von T-Online benutze, daher wohl nicht auf Deinem Niveau mitreden werde können...

@Verno: afaik findet die Verschlüsselung im Gerät selber statt, d.h. die PIN wird auch nur innerhalb des Gerätes verwendet. In Sachen Sicherheit gab's da neulich erst etwas sehr ähnliches in Sachen Verschlüsselungsfunktion des neuen elektronischen Personalausweises. 2 von 3 "empfohlenen" Geräten (die ohne PIN-Eingabe am Gerät) wurden von diversen Einrichtungen als unsicher eingestuft.
 

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
Durandil :), Ich gehe vom Normalfall aus, nicht vom Dachziegelfall.:D
Die Pin hat man im Kopf, Pech wer keinen Kopf hat, oder unter der Matratze versteckt. Die braucht man für die Banksoftware. Das ist eine andere !! Pin als für die EC-Karte.
Dann bräuchte ein Betrüger die Pin für die Banksoftware, müßte wissen das man einen Tan-Generator benutzt, müßte wissen welche Banksoftware man benutzt, das diese EC-Karte beim Geldinstitut für Onlinebanking registriert ist. Und die EC-Karte bräuchte er auch noch. Also der Dachziegelfall hat da mehr Chancen.
 

Erian

Anla'Shok
Registriert
28.07.2001
Beiträge
6.953
Oho, interessantes Thema hier.

@Verno da oben:
Man in the Middle gegen chipTAN funktioniert bei der Sparkasse bei Sammelüberweisungen: Einfach weil dort das Grundprinzip von ChipTAN und seiner Sicherheit verletzt wird. Der Benutzer sieht nicht alle für die Überweisung relevanten Informationen auf dem Gerät, das die TAN ausspuckt. SMS ist hier sicherer, weil in nen SMS mehr Informationen passen und da alles zu sehen ist.

Was SMS-TAN angeht, sehe ich ansich als größtes Risiko, dass das verwendete Handy auch infiziert werden kann und damit die angezeigte SMS manipuliert. Dabei müsste ein Angreifer aber PC und Handy zusammen erfolgreich angreifen - was in Zeiten von Synchronisierungssoftware aus meiner Sicht durchaus vorstellbar ist.

@Seebaer
Wieso sollte Banksoftware sicherer sein als ein Browser? Wirklich kritisch wird die Sache ja, wenn dein PC komplett infiziert ist, also so tiefgehend, dass auch Zertifikate nicht mehr zuverlässig sind - zumindest, wenn man darauf achtet, ob das Zertifikat der Onlinebanking-Seite tatsächlich valide ist. An diesem Punkt sei angemerkt: Die wirklichen (realistischen) Sicherheitsrisiken sind weniger in der Technik und mehr beim Benutzer zu suchen. Bzw. der Schnittstelle: Für Ottonormalbenutzer undurchsichtige Technik...

@Durandil
Einspruch. Wenn wer die EC-Karte und die PIN hat, hast eh nen massives Problem. Die alten Papier-TANs sind aber massivst schwach, weil die TANs nicht an konkrete Überweisungen gebunden sind. Ein Man in the Middle kann die Überweisungsinformationen auf dem Weg zwischen Rechner und Bank manipulieren und die einzige Sicherheit dagegen sind die Zertifikate, die sicherstellen, dass man wirklich "direkt" mit dem korrekten Bankserver verbunden ist.
 
Zuletzt bearbeitet:

Seebaer

Der Schweigsame
Registriert
21.08.2000
Beiträge
1.265
@ Erian

Bei der T-Online Banksoftware gibt es kein Phishing, das funktioniert nur im Browser. Online ist nur nach bestätigen der Tan und absenden.
In der Bankingsoftware und im Onlinekonto ist die Nr. der EC-Karte registriert, die das darf. Ist mein PC aus, ist auch mein Router aus.
Was Unbedarfte auf ihrem PC haben, weiß Gott. Wer etwas aufpaßt, ist sicher.
Ich hatte in 16 Jahren 1 mal einen Virus. Eine vertrauenswürdige Person hatte, ohne eigenes Wissen, ein infiziertes Dokument versendet. Der Virus wurde aber im Dokument erkannt. (Nein, kein teures Antivirusprogramm, kostenlos)
Die Virusseiten überlasse ich den Unverbesserlichen.:D
Ja gut, ihr habt mich entlarvt. Ich bin ein Internetheiliger...:shine::D
 
Zuletzt bearbeitet:

Erian

Anla'Shok
Registriert
28.07.2001
Beiträge
6.953
Ok, sagen wir, du fängst dir einen Trojaner ein - oder allgemeiner gesagt, eine Schadsoftware, die mit deinem Rechner Achterbahn fahren kann, wie sie will. Klassischer Man in the Middle halt, wobei die Mitte zwischen dem Benutzer und der Bank liegt. Diese Software manipuliert deine Bankensoftware dahingehend, dass sie sich nicht mit dem Bankenserver verbindet, sondern stattdessen mit einem Drittserver, der die Verbindung dann zur Bank weiterleitet. Puff, da löst sich die Sicherheit der eigenen Bankensoftware in Rauch auf. ;)

Ich sehe einen Vorteil bei der eigenen Bankensoftware: Ich gehe davon aus (bzw. hoffe), dass diese laut schreit, wenn ihre Verbindung zu einem Server geht, dessen Zertifikat nicht zu deiner konkreten Bank passt. Im Browser kann man diese Information prinzipiell genauso bekommen (solange die eigenen Zertifikate nicht kompromittiert sind - aber dann haben beide Varianten ein Problem), aber im Browser ist für Ottonormalbenutzer nicht wirklich ersichtlich, ob es da ein Problem gibt. Das wird durch die Banken noch unterstützt: Woher soll ich wissen, dass die "Fiducia IT AG" für das Online-Banking der Volksbanken zuständig ist? :wunder: Eine Bankensoftware kann sowas wisesn.

Aber auf der anderen Seite: Kriegst du in der Bankensoftware überhaupt Zertifikate angezeigt, kannst du sie als Benutzer prüfen? Ist deine Bankensoftware vor Manipulationen so gut geschützt wie dein Betriebssystem? Überhaupt: Wie sicher ist eine solche proprietäre Software überhaupft, verglichen mit viel breiter eingesetzten Browsern?

Worauf ich hinaus will: Deine Sicherheit kommt durch ein externes Gerät. Denn dieses verhindert bzw. erschwert (je nach Gerät/Verfahren) einen erfolgreichen Man in the Middle. Man in the Middle funktioniert nur, wenn der in der Mitte den kompletten Informationsfluss sehen und verändern kann. Aber in dem Moment, in dem dies möglich ist, ist ein Man in the Middle nicht mehr zu schlagen: Dann kann dort jeglicher Blödsinn gemacht werden.

Kurze Anmerkung zum Virus (scnr ;)): Du weißt von einem Virus, den du in deinem Leben hattest. :p Du weißt nicht, wie viele du wirklich hattest oder hast.
 
Oben