Online-Banking - Pro+Contra

soul_rebel

soul_rebel

ist immer auf der flucht
also ich überlege im moment ob ich vielleicht doch online-banking machen soll. bitte nicht direkt losschreihen, wie verrückt ich bin.
bin halt bei ner bank wo der nächste automat weit weg ist und online-banking kostenlos, deswegen wollte ich jetzt mal fragen was es wirklich an fakten (jenseits der üblichen paranoia) gibt.

zu meinem setup:
- ich würde natürlich nur von vertrauenswürdigen pcs eine verbindung herstellen;
-die verbindung würde durch das tor netzwerk gehen (was man-in the-middle und ähnliche angriffe die mein netz von aus monitoren erschwehren sollte);
- die web-seite benutzt https und benutzername/passwort anmeldung;
- für alle "aktionen" werden pin und tan benötigt;
- natürlich falle ich auch nicht auf phishing mails oder ähnliches rein;
- ich würde die seite per IP aufrufen um DNS attakcen zu umgehen;
....

reicht das? oder sollte man trotzdem drauf verzichten?

was meint ihr?
 
Hmm bin bestimmt kein Experte im Gebiet, aber ich denke das reicht. Ich glaube viel passiert einfach dadurch das Leute von mit SpyWare verseuchten Rechnern Banking betreiben oder eben auf Phishing-Mails reinfallen. Wenn es nicht jedesmal gehen w"urde, gebe es keine...
 
online banking nur von daheim oder geschäft aus, schon seit jahren mach ich das, damals mit btx :D nie probleme gehabt, musst halt deine tanliste schön sauber verstecken.
ein "onlinekonto" wie es die sparkassen anbieten is zudem billiger, das heisst allerdings, dass du keine überweisungen o.ä. am schaltern machen darfst.
 
Ich arbeite selbst bei einer Bank und bis jetzt kam es da nur zu Vorfällen, das halt Phishing Mails im Umlauf waren. So Sachen wie DNS Attacken und so sind zwar theoretisch möglich, aber da muß dich dann meiner Meinung nach schon einer direkt auf dem Kicker haben.
Ansonsten halt wie immer: grundsätzlich nur Onlinebanking von einem Rechner den du vertraust und auf keinen Fall die TAN Liste auf der Platte speichern (selbst den diversen Tools die da so um Umlauf sind würde ich da nicht vertrauen)
Was ich auch schon öfters bei einigen Onlinebankinganbietern gesehen habe: Bestätigungsnummern für jede Transaktion. Das hilft zwar bei einer theoretischen Man-in-the-Middle Attacke auch nicht, aber falls dich jemand auf ein selbstgebastelte Webseite umleitet (durch DNS Attacke oder wie auch immer), würdest du zumindest erkennen das da irgendwas nicht stimmt.
 
Du könntest auch von einer LiveCD des OS deiner Wahl aus booten und arbeiten.

Das Zertifikat deiner Bank musst du natürlich auch prüfen.



Wenn du noch vorsichtiger sein willst, kannst du auch ein Konto einrichten, das nur für Online-Banking bestimmt ist.
So verhinderst du bei einem erfolgreichen Angriff den Verlust all deiner finanziellen Mittel.
 
Ich benutze Online Banking, da sind deine Überweisungen innerhalb der Bank direkt nach 10 Minuten da. Überweisungen zu anderen Banken gehen auch deutlich schneller. Bei deinem Automatenproblem hilft das ganze natürlich nichts, es sei denn du hast 'ne Lizenz zum Geld drucken.
 
soul_rebel schrieb:
also ich überlege im moment ob ich vielleicht doch online-banking machen soll. bitte nicht direkt losschreihen, wie verrückt ich bin.
bin halt bei ner bank wo der nächste automat weit weg ist und online-banking kostenlos, deswegen wollte ich jetzt mal fragen was es wirklich an fakten (jenseits der üblichen paranoia) gibt.
Zum Vergrößern anklicken....

Welche Paranoia?
Unter uns Pastorentöchtern, diese Paranoia wird doch durch Sendungen ala Akte 08/15 und Planetopia verbreitet. Wenn man sich nicht völlig dusselig anstellt, dann ist doch online banking "sicher". Ich habe damals angefangen als die Bank24 (mittlerweile sind die in die Deutsche Bank eingegliedert worden) angefangen hat. Seitdem will ich nichts anderes mehr.

zu meinem setup:
- ich würde natürlich nur von vertrauenswürdigen pcs eine verbindung herstellen;
-die verbindung würde durch das tor netzwerk gehen (was man-in the-middle und ähnliche angriffe die mein netz von aus monitoren erschwehren sollte);
Zum Vergrößern anklicken....

Nun sei doch nicht so paranoid ;-)
Der Paranoide würde da auch wieder sagen "tor? Ja, das ist von der Regierung/CIA/... um uns in Sicherheit zu wiegen und dann besser aushören zu können". ;-)
Ich mach das von meinem Rechner zu Hause, oder im Geschäft. Alles unter BSD (FBSD oder MacOSX), ohne tor und gedöns.

- die web-seite benutzt https und benutzername/passwort anmeldung;
- für alle "aktionen" werden pin und tan benötigt;
Zum Vergrößern anklicken....

Ja, normal. Mittlerweile fummeln manche da ja mit noch mehr rum als nur TAN. Naja, was auch immer.

- natürlich falle ich auch nicht auf phishing mails oder ähnliches rein;
Zum Vergrößern anklicken....

Das sollte jeder wissen das man da auf keinen link klickt. Wobei, ich habe das ab und an gemacht, als ich den Dreck noch bekam. Die haben sich entwickelt, sehen fast täuschend echt aus. Bis auf die URL...

- ich würde die seite per IP aufrufen um DNS attakcen zu umgehen;
Zum Vergrößern anklicken....

Wie schon geschrieben, etwas zu paranoid. Aber das ist nur meine Meinung, ich denke so paranoid muss man nicht sein.

oder sollte man trotzdem drauf verzichten?
Zum Vergrößern anklicken....

Warum sollte man darauf verzichten? Ich habe keine Grund gefunden.
 
Nimm Onlinebanking per HBCI und damit sind alle derzeitigen Sicherheitsbedenken irrelevant. PIN und TAN finde ich persönlich einfach zu krampfig.
Wenn Du nicht gerade unter Windows unterwegs bist, reicht die normale Sicherheit des Systems eigentlich aus; Https, selber die Urls tippen, keine Passwörter speichern.
 
Moin,

also so wie es aussieht sind alle positiv dem Online Banking gegenüber eingestellt. Nun den da muss es ja auch ne andere Position geben und die vertrete ich.

Bin prinzipiell dagegen, zu meinen Vorbehalten beziehe ich mich auf mittlerweile 5 geglückte Online Einbrüche in Banken die von der Stiftung Warentest in Auftrag gegeben wurden.

Was interesiert der einzelne Kunde wenn die Angriffe direkt auf die Bank ausgeführt werden können, diese Angriffe wurden mann/frau glaubt es kaum per Java-Skript ausgeführt, nachzulesen und nachzuvollziehen auf einer älteren Web-Seite und per CD als PDF-Dokument der PC Profesionell.

Es gab damals eine CD die von dieser o.g. Zeitung in Umlauf gebracht wurde und hier ware der erfolgreiche Angriff per PDF dokumentiert, der Name der Bank wurde aufgrund eines Gerichtsbeschluss eingeschwärtzt.

Mann / Frau konnte haarklein lesen wie hier vorgegangen wurde. Erst wurde Social-Engeneering verwendet um herauszubekommen welches Serversystem die Bank einsetzt dann stinknormale Downloadmanager verwendet um Dokumente die öffentlich waren, herunterzuladen um dann in der Protokolldatei nachzuvollziehen welche aktuellen Patches - Sicherheitsupdates auf dem Server waren.
Das geht übrigens ganz wunderbar mit dem Downloadmanager (Free Download Manager für Windows) in dessen Protokolldatei kann mann/frau sich das anzeigen lassen.
Die Bank ging daraufhin vor Gericht konnte aber die Veröffentlichung der o.g. CD nicht verhindern sondern lediglich erreichen das relevante Stellen im Code eingeschwärtzt und Ihr Name ebenfalls eingeschwärtzt wurde.
Mit etwas Java-Skript Kenntniss und den OfflineAufbau des Systems ist es möglich diesen Angriff explizit erfolgreich nachzusimmulieren (hoch interesant).

Der eigentliche Skandal ist aber das etwa 8 Wochen später wieder ein Angriff auf die gleiche Bank erfolgte der ebenfalls glückte.

Faszinierend auch die Transaktionen die 10 Euro Weise ausgeführt wurden, also es wurden Abbuchungen und Überweisungen getätigt.
Auch interesant mann/frau ist ja neugierig was manche auf der Kante haben oder andersrum für Schulden haben (Namen der Kunden wurden eingeschwärzt).

Diese erfolgten und erfolgreichen Angriffe und Transaktionen wurden über einen Zeitraum von vier Wochen ausgeführt.

Im Klartext der oder die Hacker waren 4 WOCHEN im SYSTEM das ist vielleicht noch der grössere Skandal wohlgemerkt unerkannt.

Es gab einen vergleichbaren HACK auf die Vista (die Freiheit geb ich mir) Seite und da blieben die Hacker auch Wochen auf der Seite.
Hier war der SKANDAL das Vista es nicht für nötig hielt seine Kunde zu warnen nachdem festgestellt wurde das man gehackt wurde.

Alle diese Vorfälle bringen mich dazu kein OnlineBanking zu tätigen sondern ganz klassisch meine sauerverdiente Knete am Schalter abzuheben und damit auszukommen.

Verwende noch nicht mal EC Karten, mann/frau glaubt es kaum (auch hier kann ohne probs gefälscht werden (-Kinderleicht-) 3 oder halt 5 Spuren im Magnetstreifen) mann/frau google mal nur.

Solche Einbrüche die immer öfters klappen, willkommen in der neuen Welt werden natürlich nicht public gemacht (würde ich als Bank auch so halten) weil stören ja das Image und sind nicht sonderlich förderlich.

Meistens oder in der Regel per Gerichtsbeschluss untersagt zu veröffentlichen oder wie im Falle der Stiftung Warentest Ratgeber Technik eingeschwärzt.

Mann/Frau möge über mich lachen aber etwas altmodisch zu sein hatt mann/frau noch nie geschadet.

MFG
 
@Gecko

Wenn ich Dich richtig verstanden habe, waren die o.g. Angriffe doch unabhängig davon, ob die Kunden Online- oder 'Offline'banking praktizierten (?).
 
@gecko
Schreib doch einfach "man" ;-).

Wie sind denn die Einbrüche gemacht worden? Details.
Wenn die nämlich, so kommt es in dem Text bei mir an, den Bankenserver geknackt haben, dann ist auch Dein Konto, egal ob online oder nicht, nicht mehr sicher. Wenn es allerdings der Einbruch auf ein bestimmtes Konto war, ist das was anderes, und wenn ja, wo war da die Schwachstelle?
 
asg schrieb:
@gecko
Schreib doch einfach "man" ;-).

Wie sind denn die Einbrüche gemacht worden? Details.
Wenn die nämlich, so kommt es in dem Text bei mir an, den Bankenserver geknackt haben, dann ist auch Dein Konto, egal ob online oder nicht, nicht mehr sicher. Wenn es allerdings der Einbruch auf ein bestimmtes Konto war, ist das was anderes, und wenn ja, wo war da die Schwachstelle?
Zum Vergrößern anklicken....

Moin,

okay werde ich machen (wollte halt geschlechtsspezifisch sein).

Aber in der Tat Du hast Recht es wurde der Server geknackt (in diesem Fall Windows Server) .

Allerdings kann oder konnte man ;-) sich auch einzelne Konten rauspicken und dann zielgerichtet vorgehen. Diese Möglichkeit besteht.

Also das beauftragte Unternehmen das diesen Hack realisierte stellte eine ganz einfache Anfrage an die Bank in dem es sich als sicherheitsbewusster Kunde ausgab (welche Ironie) und fragte wie den die Bank den Zugriff realisierte und welches Serversystem diese einsetzt.

Diese Fragen wurden auch explizit beantwortet weil ist ja auch "WERBUNG" für die BANK.

Nachfolgend noch ein Link von 2002 zu dieser Thematik:

http://www.internetfallen.de/Hacker-Cracker/Onlinebanking/onlinebanking.html

MFG

Ps:

Noch ein Nachtrag zu dem Problem Online-Banking neue Trojaner:

http://www.testticker.de/news/home_computing/news20060925005.aspx

PPS:

Noch ein Nachtrag wollte keinen Doppelpost aufmachen ein Forum zu dieser Thematik:

http://www.onlinebanking-forum.de/phpBB2/
 
Zuletzt bearbeitet:
marty schrieb:
rundsätzlich nur Onlinebanking von einem Rechner den du vertraust und auf keinen Fall die TAN Liste auf der Platte speichern
Zum Vergrößern anklicken....
hmm...
ehrlich gesagt vertraue ich meiner verschluesselten partition doch eine spur weiter als dem stueckchen papier...
ich frage mich aber warum die banken keine opie-passwoerter anbieten, mit entsprechender software. wir hatten das mal bei uns an der uni gehabt, weil unser admin auf gar keinen fall ssh installieren wollte. aber telnet alleine doch etwas zu unsicher war.

auch wenn es fuer das szenario einfach zu krampfig war, fuer online-banking halte ich es fuer okay.
 
Hallo Gecko,

entschuldigung aber ist mir einfach so aufgefallen:
ist Dir da ein "t" zuviel in einen Firmennamen Visa hineingeraten?
War ganz irritiert, aber man wird ja mit "Vista" im Augenblick
auch arg zugeballert. ;)

Ich mache auch kein Online Banking mehr!
Bei mir gabs mal Fehler im Banksystem und für das korrigieren
dieser Fehler im Banksystem hat die Bank mir auch
noch Gebühren aufgedrückt.

Nicht soviel, das sich ein Rechtsstreit gelohnt hätte,
(Screenshots hatte ich gemacht)
aber es hat mich nachhaltig verärgert
und dem System dieser Bank gegenüber äußerst mißtrauisch gemacht.
Seitdem ziehe ich einen Spaziergang zur Bank vor.
So überlegt man sich vorher, ob es unbedingt sein muß,
im Zweifelsfall läßt man es bleiben und gibt weniger Geld aus,
ein kleiner Nebeneffekt, gar nicht mal so unpraktisch. :D

Ach ja, die Bank verlangt Active-X und Co.
beim Online Banking..
Selbst die Bank Angestellten surfen mit dem Internet Explorer
fröhlich durchs Internet wie ich in Filalen miterleben durfte.
Ich sprach eine Angestellte dann mal darauf an,
hätte mich auch mit einem Keks unterhalten können,
das hätte genauso viel Sinn gemacht.
Dafür behauptet diese Bank, das es "besonders sicher sei",
nun ja. :rolleyes:
Mit BSD kann man das Online Banking dieser Bank
also sowieso nicht benutzen,
quasi wohl eine Schutzvorrichtung. :cool:


Gruß, Fusselbär
 
Gecko schrieb:
Keine EC-Karten, kein Online Banking, Bestellung nur per Nachnahme, kein Ebay, kein Eintrag im Telefonbuch usw... usf..
Zum Vergrößern anklicken....

Aber deine Pizza bestellst du schon noch per Telefon, sofern du mal eine frische zu Hause essen willst oder schickst du dem Pizzalieferanten einen Brief? :D

Also mal ehrlich:
Wenn jemand bescheißen will, dann gibt es viele Wege und er muss nichtmal einen Computer besitzen. In den Banken stehen direkt neben den kleinen Tischen, wo die Leute ihre Überweisungsträger ausfüllen, kleine Mülleimer. Wenn man dort reingreift findet man jede Menge ausgefüllte Überweisungsträger, die die Leute wegen irgendwas weggeworfen haben. Der Betrüger nimmt diese Überweisungen als Vorlage, füllt eine neue aus, um somit eine bestimmte Summe auf sein eigenes Konto zu überweisen, setzt eine Unterschrift drauf, die so ähnlich aussieht wie die des alten Überweisungsträgers und wirft das Ding ein. Fertig! Die Unterschriften werden eh kaum kontrolliert und von daher dauert es sehr lange, bis der Schwindel auffliegt und das Geld ist dann meist schon woanders hingeschafft worden.

Egal wo und wie man mit Geld umgeht, muss man vorsichtig sein. Das hat nur am Rande etwas mit Computersicherheit zu tun. Onlinebanking ist unsicher, na klar. Überweisungsträger schicken auch! Solange man ein "gesundes Misstrauen" hat, wird man vermutlich selten in die Gefahr kommen, dass einem Geld abhanden kommt. Deshalb aber alle Bequemlichkeiten wie EC-Karten, ebay etc. vollkommen abzulehnen ist schon ein wenig paradox, vor allem wenn man dies in einem Computerforum postet ;) Dann sollte man nämlich auch konsequent sein und gar nicht online gehen!

Ich bin bei der Postbank und mache seit Jahren Onlinebanking. Mir ist nie ein cent abhanden gekommen und es war immer zuverlässig. Es wurde auch stetig verbessert. Ich kann mich dort bequem mit dem Browser einloggen, die Verbindung ist verschlüsselt und es macht alles, was ich will. Ich kann nicht klagen!
 
Styx schrieb:
Aber deine Pizza bestellst du schon noch per Telefon, sofern du mal eine frische zu Hause essen willst oder schickst du dem Pizzalieferanten einen Brief? :D

Also mal ehrlich:
Wenn jemand bescheißen will, dann gibt es viele Wege und er muss nichtmal einen Computer besitzen. In den Banken stehen direkt neben den kleinen Tischen, wo die Leute ihre Überweisungsträger ausfüllen, kleine Mülleimer. Wenn man dort reingreift findet man jede Menge ausgefüllte Überweisungsträger, die die Leute wegen irgendwas weggeworfen haben. Der Betrüger nimmt diese Überweisungen als Vorlage, füllt eine neue aus, um somit eine bestimmte Summe auf sein eigenes Konto zu überweisen, setzt eine Unterschrift drauf, die so ähnlich aussieht wie die des alten Überweisungsträgers und wirft das Ding ein. Fertig! Die Unterschriften werden eh kaum kontrolliert und von daher dauert es sehr lange, bis der Schwindel auffliegt und das Geld ist dann meist schon woanders hingeschafft worden.

Egal wo und wie man mit Geld umgeht, muss man vorsichtig sein. Das hat nur am Rande etwas mit Computersicherheit zu tun. Onlinebanking ist unsicher, na klar. Überweisungsträger schicken auch! Solange man ein "gesundes Misstrauen" hat, wird man vermutlich selten in die Gefahr kommen, dass einem Geld abhanden kommt. Deshalb aber alle Bequemlichkeiten wie EC-Karten, ebay etc. vollkommen abzulehnen ist schon ein wenig paradox, vor allem wenn man dies in einem Computerforum postet ;) Dann sollte man nämlich auch konsequent sein und gar nicht online gehen!

Ich bin bei der Postbank und mache seit Jahren Onlinebanking. Mir ist nie ein cent abhanden gekommen und es war immer zuverlässig. Es wurde auch stetig verbessert. Ich kann mich dort bequem mit dem Browser einloggen, die Verbindung ist verschlüsselt und es macht alles, was ich will. Ich kann nicht klagen!
Zum Vergrößern anklicken....


Aber Hallo,

warum so verärgert, übrigens hole ich meine Pizza selbst ab :)

aber wie ich schon sagte das kann jeder für sich selbst entscheiden was er zulässt und was nicht (und das ist gut so)

Auch gibt es Wegwerfemails um sich irgendwo anzumelden, deshalb muss mann nicht offline sein.

MFG
 
Gecko schrieb:
warum so verärgert, übrigens hole ich meine Pizza selbst ab :)
Zum Vergrößern anklicken....

Wo steht, dass ich verägert bin?

Ich hole meine Pizza auch öfters selber ab, aber ich rufe vorher an, damit ich nicht ewig warten muss. Ich habe aber ein wenig Angst, dass mein Telefon abgehört werden könnte und mir jemand die Pizza vor der Nase wegschnappt ;)
 
Online Banking vs. Pizza und wieder zurück (ins Thema)

Hallo,

ich finde ja, das zwischen Pizza und Online Banking ein hinreichend großer
Unterschied besteht, das es nicht zum Themenbereich Online Banking gehört.

Falls es aber dennoch interessieren sollte:
ich gehe liebsten zum guten Italiener meines Vertrauens
und setzte mich dort in das gemütliche Restaurant rein und esse
dort auch. Blöd ist nur, das ich dann oft nicht zum Pizza essen komme,
weil die frischen dort selbst gamachten Tagliatelle mich
oft noch mehr verlocken konnten. ;)
Ansonsten benutze ich einfach den eigenen Herd für Pizza,
je nach dem, mal ein Fertigpaket, oder selbst kompiliert. :D

Was mir damals beim Online Banking passierte, war etwas detailierter
wohl folgendens: ich bin in ein Update der Online Banking Infrastuktur der
Bank reingerannt. Die hatten damals über einen längeren Zeitraum
ein ganze Menge Probleme mit ihrem Online Banking.
Auch Bekannte und Freunde waren betroffen und berichteten
über Probleme.

Was aber eine Frechheit war, das nach Nachfrage über den fehlerhaften
Vorgang bei der Bank mir Gebühren und Auslagen usw.
in einer Höhe in Rechnung gestellt wurden,
von denen ich lecker Pizza oder Tagliatelle hätte
essen gehen könne. Also so viel, um Verärgert zu sein,
aber gerade noch nicht so viel, um sofort zu einer andern Bank
zu wechseln, zumal das immer noch weniger ist, als das,
was ich aus dem Bekanntenkreis sonst über andere Banken erfuhr.

Da ging es bei einer Freundin aus Köln z.B. darum, das
die Bank KFZ Steuern für irgendeinem unbekannten Düsseldorfer(!)
von ihrem Koto abbuchte,
wass am KFZ Kennnzeichen erkennbar war
und sie dies natürlich reklamierte, dann ging das Gebühren Spiel los
es ging über Wochen und es wurde, anstatt korrigiert zu werden,
jedes mal ein bißchen teurer, mit irgendwelchen Gebühren, die die Bank
aus ihren Irrtümern generierte.

So habe ich, für mich persönlich, nach dieser Erfahrung beschlossen,
das Online Banking meiner Bank zu meiden
und habe mir der Meidung des Online Banking
sehr gute Erfahrung gemacht,
weil es doch zumindest eine zusätzliche Fehlerquelle ausschließt.
Zumal: so dringend ist keine Überweisung,
das man sie innerhalb von Minuten sofort ausführen muß. ;)


Gruß, Fusselbär
 
Zuletzt bearbeitet:
uiuiui!
also ihr habt mich überzeugt online-banking zu nutzen :)
wird mir schon einige arbeit ersparen, denke ich. außerdem hat die diskussion ja erläutert, dass im falle eines oder mehrer komprimitierter bank-server sowieso alle kunden pech haben, auch ohne online-banking.

@fusselbär: hm vielleicht stimmt es dass man sich manchmal geld sparen würde, aber andererseits bin ich jetzt vielleicht öfter auch mal geneigt geld für das eine oder andere projekt zu spenden, was ja auch nicht schlecht ist.
zu viel geiz (oder faulheit) ist nicht gut ;)
 
Sagen wirs mal so: Mein vater hatn windows PC, der wimmelt so von viren und trojanern. Da betreibt er Homebanking drauf (leider hat der auch mein konto da mit drinne), da fühl ich mich schon sehr unwohl.
Sprich, ich würde sicherstellen, dass ich dem PC, an dem ich das mache trau und natürlich immer wachsam sein, falls was komisch ist. Sonst ist die gefahr nich viel größer, als bei uns durchs Dorf zur Bank zu laufen, eher geringer ;)
 
dettus schrieb:
hmm...
ehrlich gesagt vertraue ich meiner verschluesselten partition doch eine spur weiter als dem stueckchen papier...
Zum Vergrößern anklicken....

Hallo dettus,

ehrlich gesagt meinte ich damit nicht so Sachen wie eine verschlüsselte Partition. Ich bezog das eher auf diverse Freeware Tools, die man von irgendwelchen Seiten runterladen kann...

marty
 
Hallo zusammen,

also ich mache auch schon seit Jahren (seit BTX zeiten) Online Banking und es ist nie was passiert. Früher war das auch sehr Praktisch, da die Banken meisten um 16:00 Uhr schon geschlossen hatten und ich das nie geschafft habe :). Heute ist es praktisch weil es schnell geht :). Das Geld ist, auch wenn ich erst um 21:00 Uhr die Überweisung abschicke, meistens am nächsten Tag schon überwiesen. Weiterhin habe ich das Gefühl das ich mein Geld unterkontrolle habe, da ich zu jederzeit mein Kontostand Abfragen kann, und wenn etwas unstimmig ist, ich sofort reagieren kann.

Bzgl. Sicherheit und Online Banking ... habe deswegen auch einmal die Bank gewechselt, da das Online Portal der Bank wo ich zwischen durch einmal war, nur per Javascript bedienbar war.

Über Active X brauch ich kein Wort zu verlieren aber Javascript und Online Banking gehört nach meiner Meinung verboten !

Also Programmierer finde ich Javascript sehr faszinierend, da ich das verhalten des Browsers der meine Seiten anzeigt völlig verändern kann. Das fängt bei einem Submit Button, der irgendwelche anderen Dinge tut als normal, bis zum veraendern der Anzeige einer HTML Seite ohne das der Anwender etwas davon bemerkt. Kurzum ich habe die volle(!) Kontrolle über den Browsers des Anwenders mit Javascript on der auf meine Seite Surft. Natuerlich gibt es "einschraenkungen" im Browser, aber die sind meisten auch Buggy und lassen sich umgehen.
Als User finde ich das erschreckend, deswegen surfe ich immer mit Javascript off. Nur wenns nicht mehr anders geht dann allow ich mal Javascript. Mit Firefox und der extension "NoScript", allow ich natuerlich auch nur von einem Server/Domain.


Also hier mal so einpaar Paranoide Security Tips von meiner Seite:
  • Online Banking von einem vetrauenswürdigen Rechner/OS betreiben. (Windows Rechner gehören bei mir nicht dazu :) )
  • Online Banking ohne Javascript, Active X etc.. Plain HTML mit CSS. (Zum Beispiel die Stadtsparkassen bieten sowas an.)
  • Online Banking nicht parrallel mit anderen geöffneten Seiten betreiben (zumindestens nicht mit Seiten die in die "skurille" Kategorie gehören :) ). Also Browser öffnen. Online Banking betreiben. Ausloggen nicht vergessen und Browser wieder schließen.
  • Pin und Tan nicht aufm Rechner Speichern. Wenn ja dann nur zB. GPG verschlüsselt oder so.
  • Wenn man mag bzw. eigentlich sollte man das immer tun, SSL Zertifikat überprüfen ! Zb. Wurde das Zertifikat auch mit dem richtigen Root Zertifikat Signiert ? (Es gibt Root signaturen an die man einfach rankommt)
  • Ab und zu mal schauen ob die Root Zertifikate im Browser aktuell sind.
Ok, glaub das müßte reichen :)

Die sicherste und bis jetzt noch nicht geknackte Variante ist HBCI mit HBCI-Karte und Kartenlesegerät mit KEYPAD(!). Das verfahren ist auch nicht wirklich knackbar, selbst ein Trojaner etc. aufm Rechner kann nicht wirklich was anrichten, da der Private Key auf der Karte liegt und nicht auslesbar ist. Man sollte aber ein Kartenlesegerät mit KEYPAD haben.
Leider wird HBCI von den Banken sehr vernachlässigt bzw. abgestossen, da der Aufwand/die Kosten für die Banken mehr ist.

@Gecko:
Das Beispiel mit dem geknackten Webserver bei der Bank ist zugegebenermassen ein "Rest" Risiko, der aber nach Meinung vertretbar ist. Denn das ist ja nicht meine Schuld das der Server von denen geknackt wurde und damit kann ich vor jedem Gericht gewinnen.
An Vermögensstand ran zu kommen, ist aber auch nicht wirklich schwierig. Auch wenn du nur alles "per Hand" machst, denn die SCHUFA hatt trotzdem SEHR VIELE Daten von dir Gesammelt die ich mehr oder weniger mit einfachen Social Engeneering Anfragen abfragen könnte.
Bzgl. Social Engeneering anfrage und Serversyteme ... hmm, also ich bekomme auch so raus was für ein System als Webserver genommen wird :)
... und dann Downloadmanager und Dokumente anschauen. Ja das mit den Doc Dateien ist sogar schon der Britischen Regierung passiert, als die das Dokma zum Irak Krieg als Doc Datei zum Download angeboten haben. Sehr witzig sowas :) Das ganze hatt aber weniger mit dem "Online Banking" zu tun sondern eher was mit der Kompetenz der Bank.
PS: Bzgl. alles "per Hand" ... du möchtest nicht wissen wie Banken unter sich die "Daten" austauschen ! ... Gruselig was es da so gibt. Manchmal denke ich, man sollte wieder alles unterm Kopfkissen zuhaus verstecken, so wie es früher war :).
Und nochwas .... nach der Anfrage bei SWIFT, hatt Amerika sowieso alle deine Geldtransfers und das Finanzamt betreibt ja jetzt neuerdings auch ein gutes Datamining bei den Banken. Zu minidestnes können die das jetzt auf anfrage einfach tun.

@Fusselbär:
Also an deiner Stelle würde ich die Bank wechseln. Wie kann das denn sein, das etwas Falsch gebucht wurde ? Nach meiner Meinung, kann das kaum am Online Banking liegen, sonder am "Gesamt System".
 
Zuletzt bearbeitet:
Auch ich habe bisher keine negativen Erfahrung mit Onlinebanking bzw. HBCI gemacht.

Im Gegensatz zum "konventionellen" Banking.
Jedes Jahr darf ich meinem Geld hinterher rennen. Weil irgendein Fischereiverein "Mitgliedsbeiträge" bei mir abbucht. Wohlgemerkt, ich bin in keinem Fischereiverein.
Wahrscheinlich haben die Irgendeinen Zahlendreher in der Bankverbindung bei der Einzugsermächtigung so, dass zufällig meine Kontonummer dabei raus kam.
Und schon ist der schwarze Peter bei mir. Meine Bank kann angeblich nichts dagegen unternehmen. Ich habe nur die Möglichkeit rechtzeitig das Geld zurück buchen zu lassen.
Ich kann nichts tun um dies zu unterbinde. Nunja, ich könnte die Bank wechseln.

Fazit:
Ich will die gute alte Lohntüte wieder haben! ;-)

Ist Fischereiverein der deutsche Begriff für pishing-club?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben