Hallo,

ich habe gestern einen Bericht über online-Banking im TV gesehen.
Dort ging es um das Thema, das durch "Trojaner" die Sicherheit des online-Bankings bei Benutzung PIN/TAN gefährdet ist. Duch Einsatz eines Trojaners soll bzw. ist es möglich die Eingabe der PIN und der TAN mitzuschneiden und an einen "feindlichen" Rechner schicken zu lassen und damit Zugriff auf ein Konto zu erhalten. So geschehen bei einem Sparkassen-Kunden, welcher dadurch ca. 5000EUR Verlust einbüßen musste. Allerdings bekam er dieses Geld nach einem Rechtsstreit von der Sparkasse wieder.

Nun wurde in diesem Beitrag gesagt, das die Banken/Sparkassen für die Sicherheit des Online-Bankings verantwortlich sind.
Meiner Meinung nach ist das Online-Banking auch sicher, ob nun per PIN/TANoder per HCBI. Die Banken, Zeitschriften und das TV betreiben schon seid Jahren aufklärung darüber, wie man seinen PC sicher machen kann. Letztlich ist dann doch jeder User für die Sicherheit seiner Daten selber verantwortlich und somit auch für die Sicherheit des Online-Bankings.
Wie seht Ihr das?

Meine zweite Frage. Wieviel Viren / Würmer / Trojaner gibt es für Linux, welche eine Sicherheit des Online-Bankings (PIN/TAN/Browser) gefährden können und wie schützt man sich davor speziell unter Linux.

Zum Beispiel lasse ich auf meiner Maschine regelmäßig chkrootkit und rkhunter laufen, habe AIDE installiert und ClamAV, welche mir die Maschine regelmäßig auf Viren untersucht. Ausserdem läuft eine iptables-Firewall die den Rechner von aussen her dicht macht.

Bin auf Eure Meinungen und Antworten gespannt.

Gruß
Christian

Hi


... Duch Einsatz eines Trojaners soll bzw. ist es möglich die Eingabe der PIN und der TAN mitzuschneiden und an einen "feindlichen" Rechner schicken zu lassen und damit Zugriff auf ein Konto zu erhalten.

Also wenn das nur "mitgeschnitten wird", dann ist zwar die PIN bekannt, aber die TAN verbraucht. Darin sehe ich erstmal nicht so die große Gefahr. Anders siehts aber mit dem Phishing aus. Da wird die PIN und TAN übertragen, aber die TAN nicht verbraucht. Wie das jetzt bei dem Spaßkassen-Kunden war weiß ich nicht. Allerdings sind IMHO die Banken schon verantwortlich dafür, dass ihre Plattformen sicher sind.


Letztlich ist dann doch jeder User für die Sicherheit seiner Daten selber verantwortlich und somit auch für die Sicherheit des Online-Bankings.
Wie seht Ihr das?

Sehe ich auch so, wenn die entsprechenden Voraussetzungen seitens der Bank gegeben sind.


Meine zweite Frage. Wieviel Viren / Würmer / Trojaner gibt es für Linux, welche eine Sicherheit des Online-Bankings (PIN/TAN/Browser) gefährden können und wie schützt man sich davor speziell unter Linux.

Soviel ich weiß gibt es schon etliche Schädlinge auch für Linux, nur nicht in freier Wildbahn. Allerdings wird es 100%-ige Sicherheit nie geben. Mit dem was du beschrieben hast, hast du IMHO eigentlich alles getan, um dein System möglichst gut abzusichern. Und sicherlich folgst du auch nicht jedem Link aus englischsprachigen Mails vom Spaßkässle Hintertupfingen. ;)

LKH

ziemlich sicher ist es eine knoppix cd zum homebanking zu benutzen, da wirds dann auch schwer sich mit trojanern zu infizieren, da die cd ja nicht schreibbar ist.

Hi
Also wenn das nur "mitgeschnitten wird", dann ist zwar die PIN bekannt, aber die TAN verbraucht. Darin sehe ich erstmal nicht so die große Gefahr. Anders siehts aber mit dem Phishing aus. Da wird die PIN und TAN übertragen, aber die TAN nicht verbraucht. Wie das jetzt bei dem Spaßkassen-Kunden war weiß ich nicht. Allerdings sind IMHO die Banken schon verantwortlich dafür, dass ihre Plattformen sicher sind.


Ich glaube es war so, das als er die Tan eingegeben hat und die Überweisung abgeschickt hat, die Daten nicht an die Bank, sondern den "feindlichen" Rechner geschickt wurden. Somit war auch die TAN nicht verbraucht und der Angreifer konnte sich die 5000EUR überweisen. Was noch gesagt wurde war, das beim Abschicken, also nach dem klicken auf den "senden" button der Überweisung eine Fehlerseite kam "404 Seite nicht gefunden". Daraufhin dachte der Geschädigte es läge ein Fehler im Bankensystem vor, aber das dies ein Hinweis darauf war das die Daten anderweitig verschickt wurden wusste er nicht.


Sehe ich auch so, wenn die entsprechenden Voraussetzungen seitens der Bank gegeben sind.


sind sie meiner meinung nach auch. aufklärung, pin/tan bzw. hcbi.



Soviel ich weiß gibt es schon etliche Schädlinge auch für Linux, nur nicht in freier Wildbahn. Allerdings wird es 100%-ige Sicherheit nie geben. Mit dem was du beschrieben hast, hast du IMHO eigentlich alles getan, um dein System möglichst gut abzusichern. Und sicherlich folgst du auch nicht jedem Link aus englischsprachigen Mails vom Spaßkässle Hintertupfingen. ;)


Mails von unbekannten Absendern werden gefilter. Schon auf Mail-Provider Seite (GMX). Und wenn doch mal eine Mail durchkommt und ich kenne den Absender nicht bzw. das Subject kommt mir verdächtig vor wird sie gelöscht.

Allerdings sind trotz Aufklärung viele Leute nicht sensibilisiert genug um selbst für Sicherheit zu sorgen :(

Gruß
Chris

ziemlich sicher ist es eine knoppix cd zum homebanking zu benutzen, da wirds dann auch schwer sich mit trojanern zu infizieren, da die cd ja nicht schreibbar ist.

Mag sein, aber wenn ich nur einen Rechner habe und mal eben schnell eine Überweiung machen will/muss boote ich die Maschine nicht neu um eine Überweisung durchzuführen. Das ist völlig unpraktikabel. Sicher, man könnte das Knoppix auch im qemu booten, aber dazu brauch man dann auch ne schnelle Maschine die auch nicht jeder hat ;)

Christian

ziemlich sicher ist es eine knoppix cd zum homebanking zu benutzen, da wirds dann auch schwer sich mit trojanern zu infizieren, da die cd ja nicht schreibbar ist.
Und wer eine swap Partition benutzt, hat selbst schuld... :p

Samsara

Homebanking an sich ist sehr sicher,
Von Pin/Tan, HBCI, Verschlüsselungen, Zertifikaten, ...
Aber gegen Pishing kann man nur sehr wenig machen.

Genauso kann man ein Gebäude so sicher machen wie man will, sobald jemand klinkgelt und jemand die Türe öffnet ohne den ausweis zu verlangen (aus Gutgläubigkeit) ist jeder Sicherheitsmechanismus dahin.

Das Problem ist der Mensch.

Und da hilft nur Aufklärung, in Firmen Schulung und angeborenes Mißtrauen, so traurig das auch ist.

Und wer eine swap Partition benutzt, hat selbst schuld... :p

Du magst ja recht haben (theoretisch). Aber in der Praxis kommen ungefähr 1000 gefährlichere Faktoren (Nr. 1 -> Mensch, usw.) vor der Swap-Partition, die das Homebanking unsicher machen können.

Man kann das Homebanking schon sicherer machen:

1. Per Ping die echte 10stellig-numerische Adresse der Bank abfragen und nur mit diesem klickbaren Link ins Homebanking starten. Die wird sich sehr selten ändern. Die Gefahr beim "freien Eintippen der alfabetischen Webadresse" sind Tippfehler-Adressen, auf denen die Geier lauern.. :D
2. Achtet mal darauf - alle sicherheitsbewussten Homebanking-Anbieter sind nie direkt erreichbar, dh. das 'echte' Banking ist nie direkt erreichbar, sondern es wird ein weiteres Browserfenster geöffnet. Fehlte es an diesem Merkmal (OK-überprüft für Sparkassen und Volksbanken), würde ich die Verbindung abbrechen bzw. bei einem echten Mangel beim Anbieter die Bank wechseln, auch wenn es Arbeit macht.

Man kann das Homebanking schon sicherer machen:

1. Per Ping die echte 10stellig-numerische Adresse der Bank abfragen und nur mit diesem klickbaren Link ins Homebanking starten. Die wird sich sehr selten ändern. Die Gefahr beim "freien Eintippen der alfabetischen Webadresse" sind Tippfehler-Adressen, auf denen die Geier lauern.. :D
2. Achtet mal darauf - alle sicherheitsbewussten Homebanking-Anbieter sind nie direkt erreichbar, dh. das 'echte' Banking ist nie direkt erreichbar, sondern es wird ein weiteres Browserfenster geöffnet. Fehlte es an diesem Merkmal (OK-überprüft für Sparkassen und Volksbanken), würde ich die Verbindung abbrechen bzw. bei einem echten Mangel beim Anbieter die Bank wechseln, auch wenn es Arbeit macht.

Also bei meiner Homebankingseite (Spasskasse) öffnet sich kein neues Fenster. Allerdings habe ich auch den direkten Link zur Einlog-Seite gebookmarkt.

chris

Man koennte auch ,wie im 1. Posting erwaehnt, hbci nutzen. Da hierbei die Verschluesselung innerhalb einer "black-box" (ich meine jetzt nicht pin/tan-hbci) statt findet, wird es noch schwerer, anzugreifen.

Soweit ich da informiert bin, muesste dann schon die Software zum Homebanking massiv manipuliert werden, da die black-box ein Stueck Hardware ist.

Gruss,
Christian

Man koennte auch ,wie im 1. Posting erwaehnt, hbci nutzen. Da hierbei die Verschluesselung innerhalb einer "black-box" (ich meine jetzt nicht pin/tan-hbci) statt findet, wird es noch schwerer, anzugreifen.

Soweit ich da informiert bin, muesste dann schon die Software zum Homebanking massiv manipuliert werden, da die black-box ein Stueck Hardware ist.

Gruss,
Christian

Problem ist das es für Linux keine ausgereifte Homebanking-Software gibt.

Problem ist das es für Linux keine ausgereifte Homebanking-Software gibt.


www.matrica.de
www.starfinanz.de

Ich glaube es war so, das als er die Tan eingegeben hat und die Überweisung abgeschickt hat, die Daten nicht an die Bank, sondern den "feindlichen" Rechner geschickt wurden. Somit war auch die TAN nicht verbraucht und der Angreifer konnte sich die 5000EUR überweisen.
...was so ziemlich das Dümmste wäre was ein Angreifer machen kann, denn dann hat man ja schon seine Kontonummer. Er müsste also über verschiedene Konten gehen und am Besten noch ins Ausland und und und.

www.matrica.de
www.starfinanz.de
Gibt's da auch was von Ratiopharm? Äh...was freies mein ich.

Homebanking an sich ist sehr sicher,
Von Pin/Tan, HBCI, Verschlüsselungen, Zertifikaten, ...
Aber gegen Pishing kann man nur sehr wenig machen.


HBCI mit einem vernünftigen leser (optimal klasse 3) und das problem ist gegessen.
die PIN verlässt nie den leser, die karte kann nicht ausgelesen werden. und der pöhse pupe kann mit den verschlüsselten daten nichts anfangen. leider kostet das ein paar euro und deshalb machen viele banken das nicht (risikomanagement, es passiert einfach noch zuwenig).


-j

...was so ziemlich das Dümmste wäre was ein Angreifer machen kann, denn dann hat man ja schon seine Kontonummer. Er müsste also über verschiedene Konten gehen und am Besten noch ins Ausland und und und.

wie sollte denn das gehen, man könnte die kontonummern ja nachverfolgen.

wie sollte denn das gehen, man könnte die kontonummern ja nachverfolgen.

Die meisten Fahndungen außerhalb des eigenen Hoheitsgebietes gestalten sich schon bei bekannten Personen sehr schwierig, Onlinekriminalität außerhalb des eigenen Landes zu verfolgen ist z.Zt. mit enormen Aufwand verbunden und quasi kaum möglich, insbesondere wenn Gelder über mehrere Staaten geschleust werden.

Die eigene Onlinesicherheit hat man zumindest unter Linux ausreichend gewahrt, wenn man eine halbwegs gut konfigurierte Firewall hat und evtl. in regelmässigen Abständen einen Virenscanner laufen lässt.
Ansonsten kann man sich vor Pishing halbwegs schützen, indem man bei einer vermeintlichen "fehlerhaften" TAN-Übertragung den Vorgang vorerst abbricht und die aktuelle TAN-Liste sofort telefonisch sperren lässt um sich am nächsten Tag bei der Bank eine neue zu besorgen.

Gruß
NUPSI

P.S.: Dieser Beitrag wurde nach dem gerade erlernten 10-Finger-System geschrieben und könnte dadurch unaktuell sein;)

Den Fernsehbericht habe ich nicht gesehen, aber die Sicherheit meiner Kontoverwaltung macht mir seit längerem Kopfzerbrechen. Aus verschiedenen Gründen läuft die Kontoverwaltung auf einem WinXP-Rechner über T-online.

Eine Überlegung war, dass online-banking bei t-online angeblich noch über btx läuft und mein Rechner während der Übertragung der Daten überhaupt keine Verbindung in Internet hat.

Weiß hier jemand, ob das stimmt?

Vielen Dank im voraus,
Cookie170

Unter www.viruslist.com/de
- dem neuen deutschen Sicherheits-Informationsportal von Kaspersky-Lab -
gibt es gleich oben eine sehr informativen Artikel zu den verschiedenen Pishing-Methoden und wie man Risiken vermeidet.

Nachtrag wegen 'Homebanking-Server direkt linkbar': Dann ist das eine schlechte Lösung, denn dieser Server ist dann auch von außen angreifbar! Die Datenverarbeitungsgesellschaft Hannover (für die Norddeutschen Sparkassen) hatte bis Mitte 2002 solche Lösung mit der fatalen Folge, dass dieser Rechner mit Anfragen überflutet wurde, was zu einem Pufferüberlauf führte und den weiteren Folgen, dass jeder eingeloggte Kunde Homebanking-Zugriff auf einen gänzlich anderen Kunden bekam, nur nicht auf sein eigenes Konto: Danach hatten die wochenlang Bankenaufsicht und den Landesdatenschutzbeauftragten auf der Pelle und viel unerwünschte Öffentlichkeit, und einige Mitarbeiter wurden auch gegangen!

...was so ziemlich das Dümmste wäre was ein Angreifer machen kann, denn dann hat man ja schon seine Kontonummer. Er müsste also über verschiedene Konten gehen und am Besten noch ins Ausland und und und.

Nunja, man konnte herausfinden das das Geld in Kasachstan oder so ähnlich auf nem Konto gelandet ist. Genau das war wahrscheinlich auch der Grund weshalb der Geschädigte das Geld von der Bank zurückbekommen hat. Er konnte nachweisen das er mit dem Konto bzw. dessen Inhaber nichts zu tun hat.

Christian

Unter www.viruslist.com/de
- dem neuen deutschen Sicherheits-Informationsportal von Kaspersky-Lab -
gibt es gleich oben eine sehr informativen Artikel zu den verschiedenen Pishing-Methoden und wie man Risiken vermeidet.

Nachtrag wegen 'Homebanking-Server direkt linkbar': Dann ist das eine schlechte Lösung, denn dieser Server ist dann auch von außen angreifbar! Die Datenverarbeitungsgesellschaft Hannover (für die Norddeutschen Sparkassen) hatte bis Mitte 2002 solche Lösung mit der fatalen Folge, dass dieser Rechner mit Anfragen überflutet wurde, was zu einem Pufferüberlauf führte und den weiteren Folgen, dass jeder eingeloggte Kunde Homebanking-Zugriff auf einen gänzlich anderen Kunden bekam, nur nicht auf sein eigenes Konto: Danach hatten die wochenlang Bankenaufsicht und den Landesdatenschutzbeauftragten auf der Pelle und viel unerwünschte Öffentlichkeit, und einige Mitarbeiter wurden auch gegangen!

Meine Bank gibt einmal im Jahr Zertifikate raus die im Browser gespeichert werden. Jeder Kunde erhält eine Mitteilung mit dem Fingerprint des Zertifikates und kann das mit dem vom Browser übertragenen vergleichen.

Ich habe nun gestern mal probiert, die direkte IP der Banken-Einlog-Seite anzusurfen. Direkt hat der Browser gemeckert das dieses Zertifikat der BlaBla Bank gehört. Wenn jetzt also jemand die URL fälschen sollte und diese als die Seite der Bank ausgibt wird der Browser auch meckern. Und das ist dann ein Warnsignal! Also von daher sehe ich es schon als sicher an, zumal die Daten SSL verschlüsselt übertragen werden.

Gruß
Christian

Ich wollt mal noch fragen, ob die Antivirenprogramme ClamAV und AntiVir für Linux auch nach Linux-Viren(Würmern,Trojanern,Backdoors) scannen oder nur nach Windowsviren in Mails z.b.?

Christian

Meine Bank gibt einmal im Jahr Zertifikate raus die im Browser gespeichert werden. Jeder Kunde erhält eine Mitteilung mit dem Fingerprint des Zertifikates und kann das mit dem vom Browser übertragenen vergleichen.

Ich habe nun gestern mal probiert, die direkte IP der Banken-Einlog-Seite anzusurfen. Direkt hat der Browser gemeckert das dieses Zertifikat der BlaBla Bank gehört. Wenn jetzt also jemand die URL fälschen sollte und diese als die Seite der Bank ausgibt wird der Browser auch meckern. Und das ist dann ein Warnsignal! Also von daher sehe ich es schon als sicher an, zumal die Daten SSL verschlüsselt übertragen werden.


dann hat man immer noch das problem, dass jemand von aussen einfach ein ihm passendes zertifikat in den keystore des browsers importieren kann. oder man kompromittiert firefox.de und implantiert sein zertifikat direkt an der quelle. oder irgendein durchgeknallter packager macht das. gabs alles schon.
ich sehe keine vernünftige alternative zu HBCI.


-j

PIN/TAN Verfahren lassen sich sehr leicht umgehen - am gefährlichsten ist es wenn jemand anderes im gleichen lokalen Netz den Datenverkehr eures Rechners per ARP-Attacken auf sich umleitet und dann eine gefälschte Banking-Seite mit gefälschtem SSL-Zertifikat unterschiebt. Für diesen Zweck existieren Programme die einfach zu benutzen sind.

Ich habe das Szenario neulich erst vorgeführt und den Anwesenden ist richtig mulmig geworden ;)

Okay, ein ITler achtet darauf das sich das Zertifikat nicht ändert aber 99 % der Onlinebanker tun das nicht!


Wie mein Vorredner schon erwähnte:

Es gibt keine vernünftige Alternative zu HBCI!

mfg
cane

Das von cane aufgeworfene Sonderproblem lasse ich mal beiseite.

Habe mir aber Jaspers Sachargumente nochmal durch den Kopf gehen lassen – da ist etwas dran, dem man aber als Privatmann-Banknutzer Strategien entgegensetzen kann
-durch Doubletten-Webseiten gefährdet sind vor allem große Kreditinstitute, weil bei kleinen Instituten die 'Trefferquote' einfach zu klein ist
-der 'Risiko-Wahrsager' ist die Eingabe/das Senden einer TAN (Transaktionsnummer, also Einmal-Passwort) mit Abbruch des Vorgangs. Für diesen Fall würde ich sofort die bereitliegende Notfallnummer meiner Bank anrufen und meine Internetverbindung sperren lassen. Ferner würde sich zu einem so frühen Zeitpunkt auch eine evtl. verfügte Zahlung durch die Bank noch problemlos stoppen lassen.

Also keine Panik, weil kein HBCI; ab mittleren Firmen dürfte sich die höhere Sicherheit schon rechnen.

KEINE SICHERHEIT ist die Rückverfolgung der Zahlung: Bei mir hatte man mal die Kreditkartennummer (wahrscheinlich bei der Bezahlung auf einer nicht so sicheren US-Webseite) entwendet: Gemerkt habe ich das, weil aus RU 230,-- DM abgebucht wurden für bestellte Kreditkartenrohlinge – zum Schießen :D Die Nachverfolgung durch die Ermittlungsbehörden ist dann im Sande verlaufen.

Und noch als Info:
Jede Überweisung kann innerhalb von 2 Wochen rückgängig gemacht werden.
Also regelmäßig den Kontostand überprüfen hilft auch

Jede Überweisung kann innerhalb von 2 Wochen rückgängig gemacht werden..
Das ist mir neu - steht das in den Internetbedingungen deiner Bank? Grundsätzlich gilt nämlich, dass ein gebuchter Gutschriftsbetrag 'auf dem Kontokorrent des Empfängers untergeht', dh. nicht so ohne weiteres zurückgebucht werden kann. Anders ist die Sachlage bei Lastschriften - die können bis zu sechs Wochen rückwirkend und ohne Angabe von Gründen zurückgegeben werden - die meisten Banken mit Internet haben hierfür sogar eine Funktion vorgesehen.

Jede Überweisung kann innerhalb von 2 Wochen rückgängig gemacht werden.


sicher?

das schöne daran ist, dass die beweispflicht beim kunden liegt. wenn eine transaktion durch PIN/TAN, HBCI etc. pp. abgesichert wurde, gilt sie als authentisch. es wird dann recht kompliziert zu beweisen, dass man mit der abhebung am geldautomaten oder der überweisung nichts zu tun hat. wenn wie auch immer das geheimnis (PIN/TAN) dritten bekannt wurde, hat der kunde schuld weil er seiner sorgfaltspflicht nicht nachgekommen ist. steht meist recht verklausuliert im kleingedruckten.

bei lastschriften und kreditkarten ists genau andersherum. da ist die gegenseite in der pflicht.


-j

Mails von unbekannten Absendern werden gefilter. Schon auf Mail-Provider Seite (GMX). Und wenn doch mal eine Mail durchkommt und ich kenne den Absender nicht bzw. das Subject kommt mir verdächtig vor wird sie gelöscht.

Nach welchen Kriterien filterst du hier? Ich bekomme des öfteren solchen Spammüll mit Absendernamen, die mir bekannt sind - natürlich habens nicht diejenigen verschickt sondern sonstwer.
Einmal hat so ein Experte auch einen von meinen Mailaliasen als Absender zum Spammen benutzt, genauer gesagt zum Virenversenden, und das auch noch vier Tage nach meiner ersten Abuse-Meldung na ja hatte dann ein paar längere Telefongespräche mit dessen Provider und nach fast zwei Wochen war dann endlich Schluß :ugly: *argh*