Zum Thema Sicherheit vielleicht ein paar Beispiele:

Kredikarte:
Kann per Telefon Flüge buchen und damit bezahlen.
Jeder x-beliebige Kellner hat meine Kreditkartennummer, wenn ich irgendwo auf dieser Welt einen Kaffee trinke und mit Kreditkarte zahle.
Als Sicherheitsfunktion hat man jetzt eine auf der Rückseite in Klartext aufgedruckte 2. Nummer eingeführt. :lol:

ist das unsicher?


Onlinetrading:
Ist ein Stück JavaSW mit aktivierter session TAN und one-click trading unsicher? Bei einem Doppelclick auf die falsche Stelle hat man sein zukünftiges Auto vielleicht in einen Wagon voll Kaffeebohnen umgetauscht :D

ist das unsicher?



Netbanking (Erstebank & Sparkassen):
Meine TAN Liste war zu Ende und ich habe eine neue beantragt, bekommen und die Alte (Liste) zerissen. Dummerweise wurde ich aber nachwievor auch nach TANs von der alten Liste gefragt. Dann habe ich mich nach jeder Überweisung die in der Unterschriftenmappe gelandet ist solange aus und eingeloggt, bis ich nach einer TAN von der neuen Liste gefragt wurde http://www.boardy.de/images/smilies/eek13.gif

ist das unsicher?


Sicherheit hängt viel vom Anwender und vom akzeptierten Maß an Kollateralschaden ab.

beim TAN kannst du eingeben welchen du willst.wenn du gleich mit dem 20. beginnst,sind halt die anderen 19 ungültig.
man wird nicht nach einem spezifischen TAN gefragt.

...zechenkas macht seinem Namen alle Ehre - Null Ahnung von nix :lol:

doch

Hallo!

Da hier schon einiges zur Sicherheit gesagt wurde, möchte ich nur meine Erfahrung, Standpunkt bzw. Meinung hinzufügen.

Grundtenor: Kein System ist sicher.

TAN: Derzeit das unsicherste was es gibt,
1. Weil auf Papier, somit kann jeder der den Zettel hat auch Transaktionen durchführen. Und bitte kommt mir nicht mit der Aussage, dass man, wenn man den verliert oder eine anderer den nimmt, selber Schuld ist. Weil was ist, wenn pfiffige Verwandte den in die Hand bekommen, was ja keiner vermutet. (Gleich unsicher wie der PIN bei der EC-Karte)
2. Die TAN Liste wird per Post zugeschickt. Ja Postler sind auch nur Menschen …
Mehr will ich dazu nicht sagen, weil ich keinem etwas unterstellen will und mit Sicherheit die Ausnahme ist. Tatsache ist, dass immer wieder Diebstähle vorgekommen sind und werden.
3. Es gibt sehr viele unerfahrene Leute die sich Online-Banking zugelegt haben und nicht mal wissen, wie man Outlook bedient. Soll man denen Sagen, selbst Schuld? :eek:
Wie soll eine solche Person erkenne ob eine SSL-Übermittlung (https) im Browser angezeigt wird und was sie tun soll, wenn nicht. (Ist mir letztens passiert als eine Bekannte bei mir war und sie studiert noch!!!) Also nix mit 70+ und so.
4. Knackbar. Mehr brauch ich nicht sagen, weil einmal googln und man kann Seitenweise lesen, wie es geht.

Vorteile: Flexibel.
Nur ich finde das bezahlt man mit einem sehr hohen Preis.
Beispiel: (das ist leider wirklich passiert)
Eine Firma nimmt Praktikanten auf (in der heutigen Zeit nichts Seltenes). Weil es dem Praktikanten langweilig ist, schaut sie /er mal kurz auf die Online-Bank. Packt nebenbei mal kurz die TAN-Liste aus und bucht mal so fröhlich vor sich hin. Wie sie/er fertig war - einfach in Browser geschlossen und noch als K.O.-Kriterium TAN-Liste am Tisch vergessen.:eek:
Da auf dem PC alle Formulareinträge gespeichert wurden (Windows sei Dank), wurde Kontonummer, Verfügernummer usw. alles aufgezeichnet. Ich hätte nur mehr in den Verlauf gehen brauchen und die Seite aufrufen und hätte alles umbuchen können… :engel:
(Als ich ihm/ihr das gezeigt hatte, macht sie/er nie mehr auf fremden PCs Online-Banking)

iTAN selbe Dilemma nur mit 2 Zahlen mehr.
Ob´s ein spezifischer TAN ist oder nicht macht dem Hacker nicht wirklich was aus. Keylogger mit raufgeschmuggelt und er weiß die letzte Nummer.
Aber meist braucht er das eh nicht, weil er solche Opfer sucht, die wie bei EC-Karten den PIN auf einen Zettel schreiben und auf die Karte heften … UND DIE GIBT ES …

mTAN (mobilTAN) oder auch bekannt als SMS-TAN:
Gute Idee, leider auch schon geknackt:

http://www.swr.de/ratgeber/geld/onli...p3d/index.html

Bürgerkarte (=Signatur)
Hier ist der Nachteil, dass ich nur auf einem PC Online-Banking durchführen kann.
Ansonsten das derzeit noch mit größten Aufwand zu knackenden System.
Ich besitze es selbst, und muss sagen, bequem, sicher (da PC sehr gut geschützt) und ich kann noch nebenbei meine ganzen Rechnungen (da Firma) per Online versenden. Ergo kein Papierkrieg und keine Postgebühren und auch kein Briefkastensucherei.
Jeder Keylogger beißt sich die Zähne aus, da ja einen extra Zahlenblock.

Das gefährlichste leider ist derzeit die Umleitung über eine 3te Person die sich zwischen schaltet. Hier greift derzeit KEIN System. Hier hilft nur wachsam sein.
Es ist nur eine Frage der Zeit, bis versierte Leute einen DNS einspielen können wo man bei der URL dann nicht mehr sieht wo der Browser gerade hinsurft. Dann wird’s lustig…

Fazit: Es sollte eine Versicherung her die, wie bei Kreditkarten, einspringt falls wirklich ein GAU eintrifft. Und da ist die Bank gefragt, nicht wir Kunden, die eine Leistung beziehen die nicht sicher ist. Ist ungefähr so als würde ich ein Auto kaufen müssen das ein Schloss hat, aber ich keine Möglichkeit habe eine Alarmanlage zu installieren, oder eine Vollkasko-Versicherung abzuschließen.

Ich finde die "Bürgerkarte" sollte Standard und gratis sein. Des weiteren sollte die "Signatur" noch verfeinert werden und einem PC untrennbar gekoppelt werden (Hardwaretest/DRM). Nur so bleiben die Kunden wenigstens eine Zeit lang mit ner Nasenspitze voraus auf der sicheren Seite.
2tens sollte von den Banken mehr Schulung betrieben werden und das GRATIS. :bier:

Grüße Werner/Compi :hallo:

Wachsam sein nutzt nicht viel, wenn die Daten jemandem anderen bekannt sind (Bürgerkarte).

Der Vorteil bei TANs ist, daß die Transaktion nicht komplett abgesichert ist. Das macht es lediglich zur Gewissensleistung, daß ich bei einem Betrug an meiner Person die Dinge nicht falsch darstelle.

Mehr ist dazu nicht zu sagen. Die normative Kraft des Faktischen schützt auch die, die hereingelegt werden und bereits wurden.

Bei der Bürgerkarte ist es genau umgekehrt.

Ein immer stärkeres Maß an Überwachung fördert den beinharten Umgang mit Menschen.

Die Ränge in den Stadien waren bei der Fussball-WM in Südkorea und Japan grossteils unbesetzt. Das deshalb, weil es Nachteile gebracht hätte, wenn man erschwindelte Karten doch genutzt hätte.

Eine scheinbare Teilsicherheit ist in Wahrheit eine vollständige. Die Dinge klären sich durch Verstrickungen, Druck, Zuspitzung, Gewissensbisse, Fehler, Widersprüche auf.

Bei einer Bürgerkarte ist die Palette an Betrugsmöglichkeiten, die unentdeckt bleiben, ungleich grösser.

Der entscheidende Faktor ist das Schleifen der TAN Liste in einem Bruchteil einer Sekunde und das getracete Benutzen (IP, Datum, Zugangsdaten, Clientversion des Betriebssystems und Browsers) einer TAN, die (die gesamte Transaktion) so eindeutig ist wie die Eindeutigkeit des Empfängerkontos feststeht. Nicht aber steht die Zweifelsfreiheit fest. Bei der Bürgerkarte schon, zumindest vorderhand. Jetzt endlich begriffen ?

Es geht um den sozialen Mißbrauch, nicht um technische Sicherungen. Das Abstreiten von Mißbrauchsfällen spielt der Verwendung einer Bürgerkarte ja erst in die Hände und lässt einem die Sicherheit konsummässig einfach aufgeben, weil man sich auf technisches Unfehlbarsein einlassen will. Das ist fahrlässig.

Das ist meine Meinung zu dem Thema.

Es ist schon überraschend, daß sich die Bürgerkarte so "gut" anlässt, und sie jeder beiseite lässt. Ein Erfolg ist sie nicht und A-Trust musste mit Frischgeld ausgestattet werden sowie ein Konkurs in Betracht gezogen werden. Der wird nicht kommen, weil das eine staatsverdeckende Firma ist.

Eine TAN ist entgegen der objektivierbaren Gegendarstellung ein extrem starker Muskel. Die Bürgerkarte ist trotz der objektivierbaren Gegendarstellung ein schlabbriger Wackelpudding.

Relativieren ist die Krankheit der Gegenwart.

Nachdem die Bankomatkarte defacto unsicher gemacht wurde durch Verkauf der vormals österreichischen Betreiberfirma der Datenverwaltung an eine amerikanische Firma, ist nun ein Offenlegen des Zahlungsverkehrs über die Bürgerkarte das nächste Thema.

Bargeld und TAN schützen effektiv vor jedem Zugriff auf einen Unbescholtenen, schützen aber einen Missetäter (Zahlungsempfänger einer an sich legitimen Zahlung) in keiner Weise. Die Vereinfachung höhlt Bürgerrechte aus - und das durch die ... Bürgerkarte .. .

Das kommt auf das Verfahren der Bank an. Bei der Bawag ist es z. B. genau so, d. h. man wird nach keinem Tan gefragt.

ITAN ist jedoch ein Verfahren, wo man nach dem Tan gefragt wird, also z.B. dem 5., etc. Ist noch sicherer.

Ciao Oliver

bin ich nicht der meinung.

Aha.
Die hast aber duvielleicht,aber sicher nicht bei Telebanking.
Denn meine TAN-Liste hat Ziffern,wo die ersten 2 zahlen jeder Ziffer aufsteigend von 00-99 lauten,und genau diese zahlen sind die nummern des TAN.
Wenn ich jetzt gleich den TAN mit 99xxxx eingebe,habe ich keine Möglichkeit mehr eine neue Transaktion zu tätigen,erst nach Zusendung der neuen Liste.Da alle vorhegehenden TANS ungültig wurden.

SO ,jetzt bist du dran.

Ich benutze schon jahrelang das Sofa-Banking der PSK.
Die TAN Eingabe wurde von 5 auf 7 einzugebende Zahlen geändert.
Hier werden auch übersprungene TANs ungültig.

Einmal im Monat stehe ich am Schalter um Geld einzubezahlen, daß jetzt normalerweise noch am selben Tag am Konto aufscheint. Sonst erledige ich alles übers SOFA-Banking.

sag ich doch,aber Zonediver hat halt mehr Ahnung vom TB ;)

Hat der überhaupt Geld um es zu transferieren?:D

Die Entwertung übersprungener TANs resultiert in dem Begriff "sequentielle iTANs". Ob jetzt Zufallspositionen durch das kontoführende Institut abgefragt werden (geben sie TAN x ein) oder eine zwingend aufsteigende iTAN-Liste durch die Bank, die das so vorsieht, vorausgesetzt wird, ist nicht entscheidend.

Es sind alles tatsächlich iTANs, einmal aufsteigend, im anderen Fall durch das Bankinstitut während der Dateneingabe zufällig angefordert.

Die zufällige Reihenfolge der Anforderung bei Aufträgen online ist für mich nebensächlich.

Zum Horizont erweitern:
Es werden bei dieser Version die beiden ersten Ziffern des Tan vorgegeben, und nur diesen kann man nutzen.
Es ist wurscht, ob es der 1. oder der 99. der Liste ist.
Und wenn es der 99. ist, werden die anderen davor nicht ungültig.
http://www.gesco.at/tac_tan_neu/tn01.php?lan=de&i=2

Wenn man ein Computer DAU ist sollte man das online banking am besten ganz bleiben lassen, egal jetzt ob mit oder ohne Bürgerkarte.


Die Bürgerkarte ist für mich in erster Linie unflexibel und mehr Sicherheit brauche ich auch nicht, da bei mir noch nie etwas passiert ist, weder beim online banking noch mit diversen Kreditkarten. Wenn man sich die Schadenssumme aus den pishing fällen ansieht, die ist ja lächerlich und nichtmal erwähnenswert.

Außerdem ist auf meinem Konto eh nicht viel zu holen :hehe:

Ich würde mich an deiner Stelle mal etwas über die verschiedenen Tele/Onlinebankingverfahren informieren. Dann würdest du sehen, dass Zonedriver doch etwas mehr Ahnung hat als du ;)

Bei der Easybank gilt dies seit Neuem mit dem Ungültigmachen übersprungener TANs.

@zechenkas... jetzt hast dich zum zweiten mal als Dau geoutet, denn - falls du das schon mitbekommen hast, kannst eben nicht mehr jeden x-beliebigen TAN nehmen, da das Institut jetzt einen TAN aus deiner Liste vorgibt, der zu verwende ist - außer du bist bei einem Institut aus Afghanistan :lol:

@zonedriver
Das kommt aber schon noch auf die Bank an. Manche fragen nach einem bestimmten TAN. Die Anderen machen die vorherigen ungültig. Dann gibt es z.B. noch die möchglichkeit mittels Handy, ...

Ganz so ist es dann auch wieder nicht.

das ist mir schon klar,aber man wird auch nicht nach einem exakten TAN gefragt,wie du behauptest.

Villeicht bei dir in Afghanistan.

@fu
Bei einigen Banken schon ;)

Bei der Sparkassengruppe und der Ersten (also www.netbanking.at) ist das so. Keine Ahnung wie die das Netbanking in Afghanistan handhaben.

das nennt sich iTAN.

Naja, sehr aufschlußreich ist das Thema nicht mehr.
Ufert aus, wie meistens.
Erkenntniss: Wenige wissen wie es wirklich geht.

Erkenntniss für mich: Daueraufträge und Bankbesuche für den Rest!

Vielleicht habe ich mich schlecht ausgedrückt, ich meinte, dass das Verfahren der BAWAG, wo die TANS verfallen, wenn man einen weiter unter eingibt, NICHT so sicher ist, wie das ITAN Verfahren, wo man dezidiert nach einem TAN auf der Liste gefragt wird.

Ciao Oliver

internet sicherheit 1

internet sicherheit 2

mal was zum reinlesen auf tomshardware.de
bzgl sicherheit, https,...
mfg

also, ich habe nicht den ganzen Thread gelesen und wollte nur sagen, Internet Banking ist mir unsymphatisch, ich verwende ELBA MBS, das kann was - allerdings rückt es die Bank für Privatkunden nicht gerne heraus.

wenn du es bezahlst, dann schon ;)

hab mir mal alles durchgelesen und gebe nun auch meinen senf dazu:

1. mir ist fällt auf, dass in österreich jedes institut sein eigenes verfahren nutzt und keine einheitliche schnittstelle für diverse programme geboten wird.

(ms money wird seit dem jahre 2000 nicht mehr weiterentwickelt und ist ein einziges sicherheitsloch, wer das verwendet: mein beileid)

konkretes positives beispiel dazu ist deutschland. dort hat sich ein einheitlicher standard durchgesetzt und wird auch von allen grossen banken unterstützt: hbci.

links dazu:
http://www.hbci-zka.de/
http://www.linuxwiki.de/HBCI

es gibt etliche frontends, für diverse betriebssysteme; sowohl opensource als auch closedsource.

jeden blödsinn übernehmnen wir aus deutschland (rechtschreibreform, diverse gesetze), aber etwas nütliches brauchen wir ja nicht ;)


2. solange man einen gesicherten pc hat, also windows hinter separater firewall & aktueller guter virenscanner, kann relativ wenig passieren. oder man installiert gleich *nix/*bsd und ist gefeit gegen dummy-rootkits von scriptkiddies.

3. nachdem die tan zeit nun für (meines wissens) alle bankinstitute passe ist und itan,mtan,tan+ und wie sie alle heissen mögen einzug gefunden haben, kann nur mehr wenig passieren.

4. jene 'bauern' die den bauernfängern auf den leim gehen (fake websites, fake telephonanrufe) sollten besser wie bisher die filiale ihrer wahl aufsuchen und auf onlinebanking verzichten. meiner meinung nach sind das ca. 80% der bevölkerung. davon hat weiss die hälfte gerade mal wie man den computer einschaltet und einen browser öffnet, die andere hälfte denk sich einfach "es wird scho nix passiern". und das ganze unabhängig vom ausbildungsgrad der 'bauern'