Sicherheit von Verfahren zum Online-Banking

@Seebär: Ja, die PIN für die Banksoftware und/oder Webseite ist eine andere als die für die Karte, das macht keinen Unterschied. Sobald einer der Abermillionen stumpfen Trojaner auf dem Rechner ist, ist die dennoch streng genommen verbrannt. Und das passiert nicht im "Dachziegelfall", sondern hunderttausendfach jede Woche.

So, der Banktrojaner hat jetzt also Deine PIN, weil Du sie am Rechner eingegeben hast (entweder in die Webseite oder in eine der Dutzend vom Trojaner erkannten Softwarelösungen), und Deine Identität sicher auch. Was ist im Umkreis von 50 Kilometern um sein Operationsgebiet? Na dann mal los Karte klauen. Bzw. schön gesammelt auf dem Schwarzmarkt an lokale ypen verkauft.

Der entscheidende Punkt: Der Angriffsvektor startet also nicht beim Handtaschendieb, der Nach Klau der Karte auf die Suche geht, sondern umgekehrt bei dem, der die PIN geklaut hat und samt Identität verkauft oder selber nutzt.

Und nein, das ist kein Dachziegelfall, sondern gang und gäbe.

@Erian: was in obigem Szenario eine Stärke ist, ist in Deinem rein softwarebasierten eine Schwäche. Nur - damit der Generator sicherer wäre als der TAN-Bogen, müsste die überweisende Person konkret die Anzeige auf dem TAN-Generator mit dem Bildschirm vergleichen. Ist zwar nicht so aufwändig wie das Zertifikat zu überprüfen, aber dennoch im Alltag sehr wahrscheinlich eher seltener der Fall. Und eben deswegen ist das Terminal sicherer als diese beiden Methoden.

Mir ist kein Fall bekannt, das die T-Onlinebanksoftware in irgendeiner Weise jemals gehackt worden ist.

Hmmm... *grübel*

@ Seebaer:

Du erinnerst mich irgendwie an den hier.

Irgendwie wird das hier Off Topic, oder?
Mit einem PC Problem hat das doch nichts mehr zu tun.

@Durandil
Absolute Zustimmung: Die größte Schwäche ist und bleibt der Benutzer. Für mich ist halt durchaus wichtig, wie "viel" der Benutzer falsch machen kann/muss, damit es ein Problem gibt. Und bei den Papier-TAN-Verfahren muss er sich halt nicht mal nen Virus einfangen, sondern nur auf einen falschen Link in ner Phishing-Mail klicken, der ihn auf www.kassler-bank.de statt www.kasseler-bank.de (mal als blödes Beispiel ) weiterleitet, um ein Problem zu kriegen.

@Seebaer
Gleiche Geschichte wie bei dem Virus: Nur weil dir kein Fall bekannt ist...
Davon ab ist das Argument halt schon bissel ähnlich zu dem jahrelangen "Apple/Linux ist viel sicherer als Windows, denn es gibt ja keine Viren dafür."

@Pie
Hmm, gibts denn ein PC-Sicherheits-Diskussions-Topic?

Ich hab das ganze mal spontan verschoben

@Seebär: benutzt Du diese nicht mit der Tastatur? "Moderne" (auch solche, die älter sind als die erste Version eines gewissen Wikipedia-Artikels) merken sich kontextbezogen, wo Tastatureingaben stattfanden. D.h. selbst mit einem Feld-Wald-und-Wiesen-Trojaner würde die PIN "wiedererkennbar" abgegriffen.

"Gehackt" ist außerdem der falsche Begriff. Für das beschriebene Angriffsszenario muss ja nicht die Software gehackt werden, sondern lediglich die Schnittstelle der Software zum Benutzer überwacht werden, das einzige "hacken" bzw. besser "angreifen" besteht darin, eine Software auf den Rechner zu bringen, und das passiert auf 3/4 aller Rechner weltweit. Die Tools, die dann drauf müssen, lädt sich jedes Script-Kiddie im Dutzend mal eben irgendwo runter...

PS @ Erian: sowohl bei Papier-TAN als auch mit TAN-Generator empfehle ich definitiv immer, nur per eigenem Bookmark und nie über Links auf die entsprechende Seite zu gehen (auch das Eintippen der Adresse bringt im Zweifel erwartete Vertipper).

Ja, das Wörtchen "gehackt" wird inzwischen recht inflationär verwendet. "Mein WoW-Account wurde gehackt! [Nachdem ich mir nen Keylogger eingefangen und/oder mein Passwort weitergegeben habe.]"

Aufruf über Favoriten ist definitiv eine sinnvolle Maßnahme - so sich denn dran gehalten (und keine Schadsoftware eingefangen) wird. Wobei hierzu eine Frage: wie zuverlässig sind die DNS-Informationen auf einem Rechner gesichert? Letztendlich muss ein Angreifer ja auch nur den Rechner des Anwenders davon überzeugen, dass hinter www.kasseler-bank.de ne andere IP-Adresse steckt als die echte. Oder lässt die Leute direkt die IP-Adressen in die Favoriten packen? Ich meine, vor ein paar Jahren an der Uni sogar ne Live-Demo von DNS-Spoofing gesehen zu haben - mal "so nebenbei" von Studenten in nem Referat.

Sache ist halt: Software kann manipuliert werden. Digitale Kommunikation kann manipuliert werden. Beides quasi beliebig. ChipTAN bringt ein externes Gerät ins Spiel, welches physisch keinerlei Software-Manipulation zulässt - und damit die Sicherheit auf eine ganz neue Ebene bringt. Allerdings wird das wahrscheinlich das auch der Grund sein, warum die Geräte nicht fix an EC-Karten gebunden sind: Logistisch dürfte das problematisch bzw. recht aufwendig sein.

Würde mich auch mal interessieren, ob es nicht auch Schadsoftware gibt, welche Bookmarks verändern kann, ohne dass man das wirklich mitkriegt.
Oder halt Änderungen in hosts (so kann man ja viele Bankenseiten auf falsche Adressen weiterleiten) wie das ja auch Spybot macht, dürften doch bei Schadsoftware auch möglich sein, oder nicht?

Ja, es bleibt ein gefährliches Pflaster, diese digitale Welt. Genau wie die da draussen, wo Dir in öffentlichen Verkehrsmitteln die Handtasche oder Geldbörse geklaut wird oder das Geld unter der Matratze mitsamt Wohnung einfach mal ausgeräumt werden oder abbrennen kann. Passiert auch 100'000-fach überall. Vielleicht ist die einzig gute Lösung einfach: materielle Güter ausgeben statt sparen, dann hat man sicher etwas davon..

Bookmarks zu verändern ist wesentlich einfacher als an DNS Informationen rumzuspielen. Bookmark birgt ein bißchen die Gefahr, dass man sich die Seite inklusive Adresse dann blind nicht mehr weiter ansieht, weil man ja "sicher" auf der richtigen Seite ist Allerdings ist das im wesentlichen egal, wenn der Angreifer es schafft was auf den Rechner zu kriegen ists eh zu spät. Dann kann er prinzipiell Bookmarks verändern, DNS Informationen verändern, Tastenanschläge loggen, usw.

Mit der Grundaussage dass Bankensoftware sicherer ist als Onlinebanking im Browser hat Seebaer übrigens natürlich recht, es schneidet einfach einige Angriffsvektoren ab. Sinnvollerweise würden die mit Softwaretastaturen zumindest für PIN-Eingaben arbeiten, aber das weiß ich nicht, und macht das Auslesen auch nur schwerer, nicht unmöglich. Absolute Sicherheit gibts auch da nicht, aber ich glaube da sind wir uns auch einig.

Angenehme Träume,
Mindriel

Bookmarks zu verändern ist tatsächlich einfach, allerdings bräuchte die falsche Bankseite dann halt auch noch ein Zertifikat, das am besten namentlich auch noch passt und von einer offiziellen Stelle ausgestellt ist. Und da wird's bei falschen Seiten auch schwer: Firefox etwa zeigt ja bei https-Adressen den Zertifikatsnamen direkt neben der URL an, und da die Zertifikate aussstellenden Firmen mit Gewerberegisterauszug etc. prüfen, würde eine böse Seite, wenn sie eh lokal etwas verändern kann, wohl nur mit einem lokal installierten Root-Zertifikat arbeiten können, sonst würde der Browser warnen.

Spybot 2.1 versucht übrigens zudem noch, URLs auf abweichende Ähnlichkeiten zu bekannten Bankseiten hin zu prüfen (1.6/2.0 nur eingeschränkt und nur im IE), das setzt natürlich voraus, das erstmal jede Menge Bankadressen analysiert werden müssen (momentan hauptsächlich PayPal, eBay & amerikanische Banken).

Die Punicode-Domain-Geschichte ("Umlaut-Domains") wird auch schon von vielen Browser-Addons oder den Browsern selbst geprüft (ein russisches "a" ist etwas anderes als das lateinische "a" - "paypal.com" also z.B. nicht "paypal.com") bzw. gar nicht mehr in Unicode angezeigt.

DNS-Änderungen sind tatsächlich das, was am schwersten - bis gar nicht! - zu erkennen ist. Klar, über die Hosts-Datei oder diverse andere lokale Hacks ist das normal, aber moderne DNS-Malware infiziert z.B. einen Rechner im Netzwerk, der dann versteckt als DHCP funktioniert. Die anderen Rechner erwischen dann manchmal den echten DHCP-Server, manchmal den falschen, und der falsche biegt dann u.U. die DNS-Einstellungen um. Die falschen DNS-Server dann verbiegen auch nicht jeden Seitenaufruf, sondern z.B. nur zu bestimmten Zeiten oder Bedingungen, so daß eine einfache Überprüfung "zeigt Seite X auf die gleiche IP als wenn ich einen bekannten anderen DNS-Server abfragen würde" fehlschlägt.

Bankensoftware schneidet sicher einige Angriffsvektoren ab - aber auch einige einfache Prüfmöglichkeiten für den Benutzer. Gerade im deutschsprachigen Raum erkennt man die durchschnittliche falsche Bankseite an Rechtschreib-, Grammatik- oder Satzzeichenfehlern, und man-in-the-middle-Attacken auf echte Seiten haben die Problematik, das Feedback an den User in allen Situationen, in denen die Webseite ihm Transaktionsinfos anzeigt, anzupassen. Aufwand für jede einzelne Bank.

Die Banksoftware dagegen verwendet z.B. HBCI - da werden nur rohe Daten übertragen, und das noch standardisiert. Keine Anpassung an unterschiedliche Banken notwendig, kein HTML-parsen-und-anpassen, sondern klar maschinenlesbare Infos, die dementsprechend auch viel einfacher von einer Maschine manipuliert werden können. Die Banksoftware lädt nur neue Transaktionsinfos nach, d.h. einmal den Hin- und einmal (bzw. weimal) den Rückkanal angepasst reicht der Schadsoftware, sie muss nicht möglichst auch nach ner Woche, wenn der User die Bankseite nochmal aufruft, einen angezeigten Eintrag in der Transaktionsliste wieder erkennen und manipulieren.

Bildschirmtastaturen sind sicher ein guter Schritt, weil die zumindest wieder Anpassung der Schadsoftware auf spezielle Banksoftware benötigen (wenn die PIN nicht anderweitig abgegriffen werden kann).

Schön wäre vieleicht noch, wenn es personalifizierte Chip-Tan Geräte gäbe. Das wäre zwar für die Banken erstmal teurer, würde aber ausschließen, dass man nur die Karte klauen (oder gar nur auslesen und kopieren) braucht, um Zugriff zu haben.

Wenn der Tan-Generator dann noch per Passwort gesperrt ist, was dank eigener Tastatur auch noch gegen Key-Logger schützt, hätte man ein Sytem, das wirklich nur mit ganz großem Aufwand zu knacken ist. Aber die 5€ pro Kunden für Gerät und Logistik nimmt meines Wissens noch keine Bank in die Hand.


@ Durandil

funktioniert das mit den URLs unter 2.1 auch noch, wenn man den Teatimer ausschaltet?

@ Durandil
Banksoftware, zumindest die T-Onlinebanksoftware, benutzt keine regulären Internetseiten. Man startet die Software, die auf dem PC installiert ist, macht alle Eingaben für eine Überweisung, benutzt den Tan-Generator, gibt die erzeugte PIN ein, und wenn man dann auf bestätigen/absenden klickt, erst dann geht man online. Wer will da was abgreifen? Bis da einer die Tan mitbekommt, die nur für diese Überweisung gültig ist, ist diese schon verfallen.(ungültig) Und nochmals: ein Tan-Generator benötigt keine Treibersoftware auf dem PC. Ein Gangstereinfallstor weniger. Dazu kommt: Wenn mein PC aus ist, ist auch mein Router aus.

@ Mindriel

Danke!!!

Allgemein:

Was mich wirklich stört, und das habe ich auch in anderen Foren erlebt: Ich habe etwas oder benutze etwas, was sich über Jahre problemlos bewährt hat, selbst wenn ich es Hardwaremäßig verbessert habe, sei es bei benutzter Soft-oder Hardware, und dann kommen welche, die weder die Hard- noch Software besitzen und bilden sich ein, mit "Internetwissen", teilweise aus, bekanntermaßen fehlerhaften Quellen, meine erlebten Erfahrung nieder zumachen. Mit Argumenten die kaum Hand und Fuß haben. Ich fühle mich da wirklich angep***t. Das Prinzip, wer alt ist, hat keine Ahnung, trifft nicht immer zu. Mit 59 baue ich immer noch meine Shuttles zu Hochleistungs-PCs aus, von denen man unter Vollast kaum etwas hört. Da würde mich mancher Hardcorespieler mit seinem Desktop-Monster-PC beneiden. Bei 30 Jahre Modellbau und autodidaktischem erlernen des Bauens von funktionierenden Modelldampfmaschinen auf meine Drehbank, habe ich gelernt, das wochenlanges nachdenken besser ist als Minutenurteile. Und das wende ich auch auf PC-Sicherheit an. Wenig ist mehr + Nachdenken + bedachtes Handeln= größtmögliche Sicherheit ohne Programzumüllung des OS.
Vielleicht sollte der nächste Kritiker bedenken, das Alter nichts mit Ahnungslosigkeit zu tun hat, auch wenn manche Jugendliche denken, die Weisheit mit Löffeln gefressen zu haben. (Ohne jemals einen Löffel in der Hand gehabt zu haben. Das ist das Übel)
PS.: FF-Rechtschreibprüfung hat manche Worte als Rechtschreibfehler ausgeworfen. Google hat sie als richtig bestätigt. Wer versteht das?

@Chiburi
Ich stimme zu: Personalisierte Eingabegeräte wären noch mal eine weitere Stufe der Sicherheit, weil ein Angreifer dann physischen Zugang zur Wohnung braucht, um das Ding auszuhebeln. Aber ich denke, du unterschätzt ein wenig den Aufwand dafür: Meines Wissens bieten die ChipTAN-Geräte keine Möglichkeit, die auf ihnen laufende Software zu manipulieren - entweder fehlen die Software-Schnittstellen oder sie ist sogar fix auf der Hardware eingebrannt. Das heißt, eine Personalisierung müsste bereits bei der Herstellung passieren. Das wird nicht so ganz ohne sein.

@Spoofing
Mir ist grad wieder eingefallen, was die da in der Uni demonstriert haben: Die sind sogar nen Schritt weiter gegangen und haben die Zuordnung zwischen IP- und Mac-Adressen durcheinandergewürfelt. Aber im Prinzip läufts auf das hinaus, was Durandil beschrieben hat: Ein Rechner gibt sich als DHCP-Server aus und gibt dem "Opfer" falsche Informationen darüber, wie die Rechner "benannt" sind. Und damit können Datenströme vollständig umgeleitet werden, was einfach sehr viele Sicherheitsmechanismen komplett aushebelt: Man in the middle.

Und sowas muss ja nicht in einem lokalen Netzwerk passieren: Rein vom Prinzip kann es überall auf der kompletten Route zwischen Start und Ziel passieren und sich völlig der Kontrolle des Senders entziehen - einfach aufgrund der Architektur des Internets.

Das ist was, was meiner Erfahrung nach gerne vergessen wird: Prinzipiell (und bei wirklich kritischen Daten wird das wichtig) können alle Daten, die wir online versenden, von unbekannten Dritten eingesehen UND manipuliert werden. Vom Grundprinzip ist das nicht so viel anders, als wenn man am Flughafen in ein offenes WLAN geht und darüber ins Internet. Es ist für Angreifer bei der WLAN-Geschichte nur etwas einfacher/kontrollierbarer.

Was dagegen hilft ist Verschlüsselung - aber auch nur mit Hilfe von validen Zertifikaten. Und Benutzern, die mitkriegen, wenn die Zertifikate nicht vorhanden oder nicht valide sind. WENN Benutzer dies prüfen, DANN kann man eine sichere Kommunikation aufbauen, SOLANGE der Rechner, an dem sie sitzen, nicht so stark kompromittiert ist, dass die Zertifikate unzuverlässig sind. Aus meiner Sicht wird man dabei wahrscheinlich nicht mal die Zertifikate anfassen müssen, die ja voraussichtlich vom Betriebssystem recht gut geschützt sind: Als Angreifer würde ich die Anzeige davon angreifen, also den Browser (sprich: z.B. den lustigen grünen Balken im FireFox) oder die Bankensoftware. Solange der Benutzer nicht weiß, dass er grad nicht mit dem Banken-Server verbunden ist, ists ja völlig egal, ob der Rechner es weiß.

Übrigens: Wenn hier jemand gern ne Erklärung hätte, warum die Zertifikate so extrem wichtig sind, schreib ich auch das (inkl. (a)synchroner Verschlüsselung) gern hier runter.


@Seebaer
Das Ziel ist gar nicht mehr so sehr, TANs abzugreifen, sondern stattdessen die Überweisungsinformationen zu manipulieren. Also: Du willst an Kto 123456 und BLZ 4711 den Betrag von 30€ überweisen. Der Hacker, der sich dazwischen setzt, verändert diese an die Bank gesendeten Daten einfach in Kto 987654 bei BLZ 4231 und setzt den Betrag auf 3000€.
Ob diese Überweisungsinformationen jetzt über einen Browser hin- und hergeschoben werden oder eine Bankensoftware ist letztendlich egal. Und wie schon gefragt: Woher weißt du denn, dass deine Bankensoftware sich wirklich mit dem Bankenserver verbunden hat und sich nicht ein Man in the Middle dazwischen gesetzt, der die Daten munter manipuliert?

Wenn du ein externes Gerät benutzt, das dir die Überweisungsdetails bestätigt, dann kannst du sicherstellen: Die TAN 1478, die du grad eingetippt hast, ist nur für eine Überweisung an Kto 123456, BLZ 4711, 30€ gültig. Bei einer Manipulation dieser Daten würde die Bank die TAN dazu nicht akzeptieren, denn 3000€ an Kto 987645 und BLZ 4231 bräuchten stattdessen die TAN 9963. Hier kommt die Sicherheit aber eben durch das externe Gerät - und deine Überprüfung der Daten auf eben diesem.

Zu dem allgemeinen Teil:
Ich sehe offen gesagt nicht, wo du oder deine postings von jemandem "nieder gemacht" wurden. Und dein Alter spielt da zumindest für mich ansich keine Rolle. Kann es vielleicht sein, dass du an anderen Punkten genau das von dir beschriebene Verhalten dir gegenüber erlebt hast und hier auch "aus Gewohnheit" vermutest?

Du hast übrigens recht: Das Alter hat nichts mit Ahnungslosigkeit zu tun. Vergiss nur bitte nicht, dass es auch nicht zwingend zu Ahnung führt. Und nur weil du jahrzentelang mit deinem Vorgehen keine Probleme hattest, heißt das nicht, dass es in diesem nicht trotzdem grundlegende Schwächen und Probleme geben kann. Und nur weil du viel Ahnung von der Thematik hast, heißt das auch nicht, dass sie vollständig ist und hier keine Leute rumlaufen können, die noch mehr Ahnung haben und Dinge wissen/bedenken, die du nicht weißt/bedenkst. Gilt natürlich für jeden hier, auch für mich.

Ich kriege meine Weisheit intravenös.

@Seebaer: Du kannst niemanden zu seinem "Glück" zwingen. Das funktioniert so einfach nicht. Wenn du eine Software / ein Produkt / ein Irgendwas hast, von dem du begeistert und restlos überzeugt bist, kannst du das der Welt mitteilen, kannst es weiterempfehlen, Werbung dafür machen.
Was du aber nicht machen solltest, ist erwarten, dass dir jeder ob deines geteilten Wissens voller Dankbarkeit um den Hals fällt.
Und nicht jeder, der von deiner Begeisterung nicht sofort angesteckt ist, oder nicht sofort zu deiner Lösung übergeht, oder gar ein Gegenargument bringt, ist darauf aus, dich persönlich anzup***en.
Jeder hat ein Recht darauf, seine eigenen Entscheidungen zu treffen (das gilt sogar für schlechte Entscheidungen ) und seine Entscheidungen und die Gründe dafür ebenfalls der Welt mitzuteilen.
Leben und leben lassen...

@Chiburi: unter 2.1 ist das ein Proxy, kann also in jedem Browser individuell über die Proxy-Einstellungen eingestellt werden.

@Seebär: keine regulären Internetseiten? Aber ein standardisiertes Protokoll. Ob ein Trojaner nun HTTP oder ein anderes Protokoll überwacht und beeinflusst, macht keinen Unterschied, außer dass das standardisierte Protokoll/Format eben sogar einfacher ist. Eine Webseite kann im Rahmen von HTML jeder beliebig gestalten, was die Bankingsoftware aber überträgt, ist wesentlich maschinenlesbarer.

Jede Bankingsoftware überträgt etwas in der Art, sowohl was das Senden als auch Empfangen angeht (etwas vereinfacht mit deutschen Feldnamen und als CRLF-getrennte key=value-Paare, die eigentliche maschinelle Version ist für Maschinen noch trivialer):

Bei Nutzung der Internetseiten der Banken dagegen hat jede Bank ihr eigenes Drumherum: die einen nutzen Tabellen, die anderen CSS, die Formularfelder haben unterschiedliche Namen, drumherum sind ein paar Hundert Zeilen HTML, die nichts mit der Überweisung zu tun haben, die Bestätigung ist in einem Fließtext untergebracht, den jede Bank anders formuliert, die Daten werden mal fett, mal kursiv, mal mit anderer Schriftart, anderen HTML-Tags, Stilen und Klassen übermittelt.

Was Erian geschrieben hat:

"Wenn du ein externes Gerät benutzt, das dir die Überweisungsdetails bestätigt, dann kannst du sicherstellen: Die TAN 1478, die du grad eingetippt hast, ist nur für eine Überweisung an Kto 123456, BLZ 4711, 30€ gültig. Bei einer Manipulation dieser Daten würde die Bank die TAN dazu nicht akzeptieren, denn 3000€ an Kto 987645 und BLZ 4231 bräuchten stattdessen die TAN 9963. Hier kommt die Sicherheit aber eben durch das externe Gerät - und deine Überprüfung der Daten auf eben diesem."

ist das, was mir Vertrauen zu dieser Methode gibt.

Es ist übrigens dieser Tan-Generator (dieses Modell wird von der Firma nicht mehr angeboten)

http://www.ebay.de/itm/KOBIL-TAN-Op...A%2BFICS%2BUFI&otn=21&pmod=261171480582&ps=54

Interessant ist, das der Anbieter auf mTan umgestiegen, welches inzwischen unsicherer ist.

Persönlich habe ich W-Lan abgeschaltet, der PC ist mit Kabel am Router und Internet schaltet sich bei Inaktivität in selbigem nach 1 Minute ab.
Sorgen mache ich mir keine. Zumal ich in meinem Konto noch Höchstbeträge für Onlineüberweisungen einstellen kann. Das Geld was da zu erbeuten wäre, wäre den Arbeitsaufwand nicht wert.