Viren, Spyware, Datenschutz 11.017 Themen, 91.037 Beiträge

News: Viren, Spyware, Datenschutz

Erneut gehackt: das pushTan-Verfahren bei der Sparkasse

Olaf19 / 59 Antworten / Baumansicht Nickles

Am Rande der 32C3 in Hamburg hat Vincent Haupert von der Uni Erlangen berichtet, wie es ihm innerhalb weniger Monate zum zweiten Mal gelungen ist, das pushTan-Verfahren der Sparkasse zu hacken – und wie simpel dies laut seiner Schilderung gewesen sein soll.

Natürlich wird die Sparkasse ihrerseits nachlegen und ein Update bringen, um die Sicherheitslücke zu schließen, doch am Ende, so Haupert, wird die Sparkasse das Katz-und-Maus-Spiel immer verlieren: der Fehler liegt im Gesamtkonzept. Online-Banking-App und TAN-Generation auf dem gleichen Gerät, das wird immer anfällig bleiben.

Die Zeit beschäftigt sich mit diesem Thema in einem ausführlichen Artikel.

Quelle: www.zeit.de

Olaf19 meint: Sich per SMS eine TAN aufs Smartphone schicken zu lassen, mag ja noch angehen – eine TAN ist eh nur ein "Wegwerfartikel", der in Sekundenschnelle verbraucht ist und danach nie wieder genutzt werden kann.

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
jueki Olaf19

„Erneut gehackt: das pushTan-Verfahren bei der Sparkasse“

Optionen

So richtig habe ich das mit den verschiedenen Arten der TAN noch immer nicht kapiert.
Ich benutze eben noch eine TAN-Liste.
Also:
Mache ich eine Überweisung, muß ich diese mit einer TAN aus meiner Liste bestätigen.
"Geben Sie TAN Nr. xxx ein!"
Also hole ich meine TAN- Liste aus dem Regal, schau nach, wie die TAN heißt und tippe sie ein.
Erledigt.
Begehe ich dabei einen Fehler, wird die TAN ungültig und ich muß eine weitere eingeben.
Nach dreimaliger Fehleingabe wird die gesamte Liste gesperrt und ich muß mich mit meiner Bank in Verbindung setzen.
Was zum Teufel ist daran unsicher?
Es muß ja letztlich einen Grund haben, weshalb man TAN- Generatoren einsetzt uder diese TAN aufs Handy sendet usw.

Danke für Erklärungen!

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Olaf19 jueki

„So richtig habe ich das mit den verschiedenen Arten der TAN noch immer nicht kapiert. Ich benutze eben noch eine TAN-Liste. ...“

Optionen
Ich benutze eben noch eine TAN-Liste.

Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige (also zu 90%+x).

Was zum Teufel ist daran unsicher?

Ganz klar ist mir das auch nicht, da schließe ich mich deiner Fragestellung gern an.

Es gibt wohl sog. Man-in-the-middle-Angriffe, bei denen die TAN unterwegs abgefangen und für eine andere Transaktion benutzt wird. AFAIK ist das aber nur möglich, wenn ich statt der Website meiner Bank eine täuschend echt nachgemachte Phishing-Seite aufrufe, dort die Transaktion durchführe, die TAN eingebe, das Geld dann aber auf einem ganz anderen als dem von mir vorgesehenen Konto landet. Oder so ähnlich...

CU, Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
jueki Olaf19

„Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige also zu 90 ...“

Optionen
(also zu 90%+x)

Die Größenordnung ist bei mir exakt 100%.
Und in diesem Falle

wenn ich statt der Website meiner Bank eine täuschend echt nachgemachte Phishing-Seite aufrufe

- müßte mein PC ja wohl erfolgreich okkupiert worden sein?
Denn die Adresse  meiner Bank tippe ich immer per Hand ein.
Und kontrolliere grundsätzlich immer am Tag darauf, ob die Buchung in Summe und Ziel korrekt ist.
Deshalb ist es mir recht unklar, was da schieflaufen könnte.

Möglicherweise gibt es da ja auch Unterschiede zwischen meinem einfachen, eigentlich auf eine einzige Bank beschränktem Online- Banking und dem der Jongleure, die den ganzen Tag irgendwelche Summen hin und her schieben...

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Olaf19 jueki

„Die Größenordnung ist bei mir exakt 100 . Und in diesem Falle - müßte mein PC ja wohl erfolgreich okkupiert worden ...“

Optionen
- müßte mein PC ja wohl erfolgreich okkupiert worden sein?

Nun ja – das kommt tagtäglich 1000fach vor...

Möglicherweise gibt es da ja auch Unterschiede zwischen meinem einfachen, eigentlich auf eine einzige Bank beschränktem Online- Banking und dem der Jongleure, die den ganzen Tag irgendwelche Summen hin und her schieben...

Ein solcher Jongleur ist mit Sicherheit ein attraktiveres Ziel als ausgerechnet wir beide.

Wie gesagt, so richtig klar ist mir die Kritik am TAN-Verfahren auch nicht.

CU, Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
shrek3 Olaf19

„Die benutze ich auch, genau wie von dir beschrieben, immer dann, wenn ich von zuhause eine Überweisung tätige also zu 90 ...“

Optionen
Ganz klar ist mir das auch nicht, da schließe ich mich deiner Fragestellung gern an.

Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ihre komplette TAN-Liste auf einer dubiosen Webseite brav eintippen.

Damit hat der Kriminelle seine TAN-Auflistung (idealerweise auch noch schön durchnummeriert) und kann in aller Seelenruhe Überweisungen auf sein eigenes Konto veranlassen, denn Kontonummer, BLZ und die 5stellige Bankingnummer kann er ja mit Hilfe eines Schädlings rausbekommen. ;-)

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
jueki shrek3

„Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ...“

Optionen
...unbedarfte User, die auf Phishing-Mails reinfallen und ihre komplette TAN-Liste auf einer dubiosen Webseite brav eintippen.

Dann geschieht es denen recht.
Dümmlichkeit wurde schon immer bestraft.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Bobby1234 shrek3

„Eigentlich ist die Antwort darauf ganz einfach: Es gibt zu viele unbedarfte User, die auf Phishing-Mails reinfallen und ...“

Optionen

Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit man ja nicht suchen muss (Faulheit)  und das andere Problem ist die Unsicherheit, denn die TAN-Listen werden zwar zentral gefertigt (nicht bei der jeweiligen Bank) aber wer kennt schon, welche Schlawiner als IT's in diesen Zentralen arbeiten - die Banken weisen das natürlich weit von sich -, aber wenn Daten von Steuersündern gegen Geld aus den Datenbänken zu Steuerbehörden finden, warum sollten nicht TAN-Listen gegen Geld an Ganoven verhökert werden.

Also vorgefertigte TAN-Listen heute noch zu verwenden ist NO GO. Ich schwöre auf  den TAN-Generator oder auf TAN auf Handy, aber dann ohne Bankgeschäfte über Handy.

Wobei ich mich frage, was es für Gründe gibt, Bankgeschäfte überhaupt am Handy/Smarphon etc. zu tätigen. Keine Zahlung ist so eilig, dass sie nicht bis zur nächsten Sitzung am heimischen PC Zeit hat. Wobei ich selbst hier nur mit bankeigenen Bankprogramm arbeite, dies auf einen Stick einschl. der Daten gespeichert habe und der Stick sofort nach Beendigung der Bankgeschäfte entfernt wird. Selbst wenn einer meinen Computer hackt, findet er weder Bankadressen noch Bankdaten, wenn er nicht zufällig in dem Zeitraum rankomt, wo der Stick aktiv ist.

Ich weiss, wovon ich rede, ich bin aus der Finanzbranche.

bei Antwort benachrichtigen
Olaf19 Bobby1234

„Genau DAS ist das grosse Problem bei den TAN-Listen, zum Einen die dümmliche Eingabe der TAN-Listen in den Computer, damit ...“

Optionen
die dümmliche Eingabe der TAN-Listen in den Computer, damit man ja nicht suchen muss

Machen das wirklich manche Leute? Ich meine, das ist doch eine fürchterliche Sisyphos-Arbeit, und fehleranfällig obendrein. In der Zeit, wo ich das alles abgetippt habe, und dann auch noch korrekt, habe ich ca. 1000x die iTAN-Liste aus ihrem Schatzkästchen hervorgeholt und wieder zurückgelegt...

wenn Daten von Steuersündern gegen Geld aus den Datenbänken zu Steuerbehörden finden, warum sollten nicht TAN-Listen gegen Geld an Ganoven verhökert werden.

Wobei dann aber die Online-Zugangsdaten sämtlicher betroffenen Anwender gleich mit verhökert werden müssten. Eine TAN-Liste für sich genommen ist ja erst einmal wertlos.

Trotzdem hast du natürlich insofern recht, als dass so etwas bei mTAN auf SMS nicht passieren kann, weil die "spontan" erstellt wird und nicht übervorgefertigte Listen läuft.

Keine Zahlung ist so eilig, dass sie nicht bis zur nächsten Sitzung am heimischen PC Zeit hat.

Bei mir ist das immer so: wenn ich online etwas kaufe, will ich es sofort bezahlen. Das ist am einfachsten, auch für den Händler, der dann auch gleich die Ware versandfertig machen kann. Insofern ist für mich jede Zahlung super-eilig ;-)

Aber, und da treffen wir uns wieder: Kein Kauf ist so eilig, dass er nicht warten kann, bis ich wieder in meinem Wohnzimmer am Rechner sitze.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Bobby1234 Olaf19

„Machen das wirklich manche Leute? Ich meine, das ist doch eine fürchterliche Sisyphos-Arbeit, und fehleranfällig ...“

Optionen

Naja, heute werden sie es nicht mehr machen, es gibt ja  (keine) Bank mehr die sowas rausgibt - zumindest keine Bank, die ich kenne und ich arbeite geschäftlich mit 28 Banken zusammen. Aber diese Papier-TAN-Listen gab es auch auf Chip (damals ein Reisenchip mit 32 MB  damals so 3 x 4 cm gross, damit die Faulpelze im Büro nicht mehr die Listen abstreichen mussten sondern die Nummer nach Verwendung automatisch aus der Tabele verschwanden.

Was habe ich mir den Zorn unserer Buchhalterinnen zugezogen, als ich nach den ersten Meldungen über Datenklau und Hacking diese EDV-TAN-Listen löschen lies und eine zuverlässige Kraft benannte, die nur noch Nummern aus der Papierliste vergeben durfte und diese im Tresor-Sonderfach verwahrte.

Angst habe ich von TAN-Listen, die bei Bankzentralen generiert werden. Ich traue den Bank-IT-Mitarbeitern genausowenig wie den gleichen MA's, die Bankdaten gegen Geld an STeurbehörden verkaufen. Daher mein Plädoyer für ChipTAN (TAN-Generator) oder Handy-TAN ohne Möglichkeit, auf diesem auch Finanztransaktionen durchzführen.

bei Antwort benachrichtigen
Olaf19 Bobby1234

„Naja, heute werden sie es nicht mehr machen, es gibt ja keine Bank mehr die sowas rausgibt - zumindest keine Bank, die ich ...“

Optionen

Bobby, deine Argumentation ist so überzeugend, dass ich eben nachgeschaut habe, wo ich mich vom "Papier-TAN"-Verfahren abmelden kann. Witzigerweise ist das Online gar nicht vorgesehen – ich kann mich nur zum Chip-TAN verfahren anmelden, meine mTAN-Handynummer ändern oder löschen sowie mir diese berüchtigte "SecureApp" bestellen.

Naja. Ich wundere mich eh, dass die Liste nach der langen Zeit nicht längst verbraucht ist. Werde bei der Sparda nachfragen, welche Möglichkeit es gibt, sich aus dem Verfahren auszuklinken. Danke.

Was habe ich mir den Zorn unserer Buchhalterinnen zugezogen, als ich nach den ersten Meldungen über Datenklau und Hacking diese EDV-TAN-Listen löschen lies und eine zuverlässige Kraft benannte, die nur noch Nummern aus der Papierliste vergeben durfte und diese im Tresor-Sonderfach verwahrte.

Denke, das hast du gut gemacht. Eine solche Aktion ist nicht nur aus fachlichen Gründen gut und richtig, sondern auch, weil die Bedeutung der Datensicherheit gerade bei heiklen Dingen wie Geldangelegenheit dadurch den Leuten ins Bewusstsein gerufen wird.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Erneut gehackt: das pushTan-Verfahren bei der Sparkasse“

Optionen

Damit nicht jeder das Fidscho zum Artikel aus dem Artikel der Zeit heraussuchen muss, verlinke ich das einfach direkt:

https://media.ccc.de/v/32c3-7360-un_sicherheit_von_app-basierten_tan-verfahren_im_onlinebanking#video

Aber das eigentliche Online-Banking auf eben diesem Gerät ausführen? – never ever.


Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)
Das wird von den Banken auch noch als einfach, schnell und sicher bezeichnet.

https://www.sparkasse.de/service/sicherheit-im-internet/tan-verfahren.html

Zitat daraus:

Sie benötigen nur ein Gerät, um auf Ihr Konto zugreifen und Geld überweisen zu können.


Möp - verloren!

Denn welchem anderen Zweck sollte es schliesslich dienen, wenn man von unterwegs auf die Schnelle eine TAN anfordert, als stante pede etwas zu überweisen?
Die Klientel, welche das Verfahren nutzt, dürfte sich wie so oft in solchen Fällen in den wenigsten Fällen eine platte machen, ob und was da schiefgehen kann - Hauptsache es ist einfach.

Das Verfahren TAN ist schon immer 'riskant' gewesen und der Angreifer hat nichts zu verlieren. Entweder seine abgefangene und umgebogene TAN führt das Überweisen auf ein Konto seiner Wahl durch oder eben nicht. Geht es schief, hat er auch nichts eingebüsst, der eigentliche Kunde bei Erfolg aber auf jeden Fall.
Ganz so einfach dürfte es zwar nicht sein, als das Jeder so mir nichts - Dir nichts sich mal danebenstellt und dann im Akkord TAN abfischt und fleissig Geld umschichtet.
Für Online-Geschäfte sollte man möglichst immer eine separate Software verbunden mit HBCI nutzen. Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.
Die juckt zwar die TAN, die Bank und das Verfahren weniger, dafür mehr die Summen und Wege der Kohle - also mehr so auf Meta-Ebene, noch dazu wenn vom gleichen Smartphone vielleicht zufällig in einem Internetshop gerade ein Kauf getätigt wurde oder so, also so irgendwie jedenfalls oder so...

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Damit nicht jeder das Fidscho zum Artikel aus dem Artikel der Zeit heraussuchen muss, verlinke ich das einfach ...“

Optionen
Was genau das Problem daran ist, denn gerade das Übertragen einer TAN auf ein Mobilgerät dient m.E. in den meisten Fällen dazu, auf genau demselben Ding eine Transaktion durchzuführen, möglichst noch mit derselben App;-)

Kann ich für mich nicht bestätigen; ich habe die mTANs ausschließlich dazu benutzt, wenn ich "unterwegs" Online-Banking gemacht habe, also an einem Ort, an dem meine Papier-TAN-Liste nicht hinterlegt ist. Also eher selten!

Im Allgemeinen dürfte deine Vermutung natürlich zutreffen.

Smartphone ist da so ziemlich das dämlichste aller Mittel, weil ausser der Doppel-App auch noch andere Apps mit Vollzugriff auf dem Teil vorhanden sein könnten und Google plus Anhang sowieso mitliest.

Für Online-Banking im Allgemeinen und insgesamt: defintiv ja, aus den von dir genannten Gründen. Da ich mir auf dem Smartphone nur die TAN per SMS schicken lasse und sonst nichts, kann keine der mitschnüffelnden Apps nachvollziehen, von wo nach wo ich Geld überweise, welche Beträge und für welchen Zweck. Diese Trennung ist mir schon wichtig.

CU, Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Kann ich für mich nicht bestätigen ich habe die mTANs ausschließlich dazu benutzt, wenn ich unterwegs Online-Banking ...“

Optionen
Da ich mir auf dem Smartphone nur die TAN per SMS schicken lasse und sonst nichts, kann keine der mitschnüffelnden Apps nachvollziehen, von wo nach wo ich Geld überweise, welche Beträge und für welchen Zweck.


Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die Zweiwege-Authentifizierung und eine eher geringe Wahrscheinlichkeit, das zeitgleich die SMS z.B. per IMSI-Catcher abgegriffen wird und parallel dazu per manipulierter App auf dem Deinereinigen digitalen Streichelzoo dazu dient, einen modifizierten Geldbetrag auf ein fremdes Konto umzubiegen.

Die ganzen TAN-Geschichten sind m.E. alle zu manipulieren. Lediglich der Aufwand ist unterschiedlich und man muss natürlich auch ein Ziel sein. Daher ist aus meiner Sicht selbst vom heimischen PC aus Homebanking per Browser und TAN tabu. Wenn, dann läuft das über HBCI und eigene Software, für ganz Paranoide ggf. noch mittels Live-Medium wie das c´t-Bankix.

Mir erschliesst sich auch nicht, welche Überweisung so zwingend ist, dass sie von unterwegs getätigt werden muss. Selbst die Fälle längerer Reisen sind da nicht so prickelnd, denn ein Läppi hat faktisch jeder dabei und dort mit o.g. Methode plus HBCI-Kartenleser ist immer noch besser als das Gefrickel mit dem Smartphone. Landet eine Rechnung bei längerer Abwesenheit im Briefkasten, ist das auch nicht anders.

Das sind auch schon mehr Einzelfälle. Im Vortrag geht es m.E. darum, dass im Gegensatz zu den Vorschriften der BaFIN alles auf einem Endgerät stattfindet und die Apps sich gegenseitig ergänzen. Daher auch die süffisante Bemerkung, warum man das nicht gleich in eine App legt;-)

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die ...“

Optionen
Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App.

Würde gehen, aber dann müsste ich für die paar Fälle im Jahr, wo ich nicht von zuhause aus überweise, immer "auf Verdacht" zwei Geräte mit mir herumschleppen ;-)

Mir erschliesst sich auch nicht, welche Überweisung so zwingend ist, dass sie von unterwegs getätigt werden muss.

Zwingend vielleicht nicht, aber der Mensch ist ungeduldig... im Gegenzug erschließt sich mir nicht, was an einer auf Papier gedruckten TAN ein Sicherheitsrisiko darstellen sollte. Da ist dann überhaupt kein Smartphone-Streichelzoo mehr im Spiel.

CU, Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Würde gehen, aber dann müsste ich für die paar Fälle im Jahr, wo ich nicht von zuhause aus überweise, immer auf ...“

Optionen
im Gegenzug erschließt sich mir nicht, was an einer auf Papier gedruckten TAN ein Sicherheitsrisiko darstellen sollte.


Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an´s schwarze Brett nagelt - aber die kann auch bei einem Einbruch 'gefunden' werden. Wie gesagt, das sind sicher erstmal konstruierte Einzelfälle, mit einem Ziel und genügend Energie aber nie auszuschliessen, auch wenn die tatsächliche Trefferquote im Promillebereich liegen mag.

Das ist ein Sinn solcher Veranstaltungen wie dem CCC-Kongress, um eben Schwachstellen aufzuzeigen, die betreffenden Firmen damit auch zum Handeln zu bringen und auch dem Einzelnen Schwächen zu zeigen und das Umdenken von dieser Seite anzuregen.

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
soppiy fakiauso

„Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an s schwarze Brett nagelt - aber die kann auch ...“

Optionen

Ich arbeite jetzt schon seit vielen Jahren nur noch mit HBCI plus Kartenleser, da ist keine Tan mehr nötig die abgemischt werden könnte. Habe noch nie Probleme damit gehabt und kann es da her nur empfehlen, und das am besten mit Starmoney.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
Anne0709 soppiy

„Ich arbeite jetzt schon seit vielen Jahren nur noch mit HBCI plus Kartenleser, da ist keine Tan mehr nötig die abgemischt ...“

Optionen
Habe noch nie Probleme damit gehabt

Ich auch nicht. Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank.

Seit knapp 17 Jahren nunmehr alles ohne Probleme.

Die Sicherheit des PC ist dabei bisher ausreichend, um nicht abge-phischt zu werden.

Klar ist aber auch mir - man soll nie NIE sagen.

Anne

Hoffnung ist eine schoene Erinnerung an die Zukunft. Gabriel Marcel
bei Antwort benachrichtigen
soppiy Anne0709

„Ich auch nicht. Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank. Seit knapp 17 Jahren ...“

Optionen

Das ist nartürlich richtig, für ein sichers Banking muß auch der PC sicher sein und auch Brain 1.0 nie vergessen nicht alles anklicken was blinkt dier unbekannte E-Mails öffnen dann geht es auch mit Tan recht sicher.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
Hans_Moser Anne0709

„Ich auch nicht. Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank. Seit knapp 17 Jahren ...“

Optionen
Mit Tan-Liste oder iTan auf Nur-Handy, ganz normal über online-Banking bei der Bank.

Mache ich ebenfalls mindestens genau so lange wie du. Mir ist dabei noch nie weder seinerzeit ein Pfennig noch nach Einführung des Euro auch nur ein Cent abhanden gekommen.

Dass diese Diskussion hier schon mehr oder weniger ein "Running-Gag" ist, welche mindestens einmal im Monat "aufflammt", ist euch aber irgendwie klar. Sollte man wissen, wenn man hier noch nicht so lange aktiv ist. Man fühlt sich dabei irgendwie immer an den Film "Und täglich grüßt das Murmeltier" erinnert....

bei Antwort benachrichtigen
Anne0709 Hans_Moser

„Mache ich ebenfalls mindestens genau so lange wie du. Mir ist dabei noch nie weder seinerzeit ein Pfennig noch nach ...“

Optionen
mindestens einmal im Monat "aufflammt"

Na, ganz so ist das nicht.
Und App mitsamt Tan auf einem Smartphone - mich gruselts.

Ich weiß mit dem Smartphone immer noch nix ordentliches anzufangen, weil schon das winzigste Teil Rechte beansprucht, die zu gar nix nötig sind.

Also nicht Smartphone ist das Thema, sondern die Unsicherheit von Banking-App mit  TAN-App (grob gesagt) auf von Natur aus unsicheren Geräten.

Ist ja fast so schlimm wie StaSi. Bloß da blieb es in Akten, bei mir jedenfalls, zum Glück.

Die Akteure jetzt könnten mich bei Gelegenheit finanziell bis zum Ende ruinieren.

@fakiauso  Danke für den Link zum 32C3-Vortrag

Anne

Hoffnung ist eine schoene Erinnerung an die Zukunft. Gabriel Marcel
bei Antwort benachrichtigen
fakiauso Anne0709

„Na, ganz so ist das nicht. Und App mitsamt Tan auf einem Smartphone - mich gruselts. Ich weiß mit dem Smartphone immer ...“

Optionen
Danke für den Link zum 32C3-Vortrag


Schitte bön;-)

Alle Videos findest Du bei Interesse hier:

https://streaming.media.ccc.de/32c3/relive/

Jetzt habe ich wieder das Problem Lebenszeit, Tageszeit und Arbeiten und Schlafen muss man auch ab und zu...

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
gelöscht_305164 Anne0709

„Na, ganz so ist das nicht. Und App mitsamt Tan auf einem Smartphone - mich gruselts. Ich weiß mit dem Smartphone immer ...“

Optionen
mich gruselts

Da bin ich bei.

Internetbanking läuft bei mir problemlos mit mTAN. Die TAN kommt auf einem sehr alten Handy an. Das Ding ist so blöd, da kann man nur mit telefonieren + SMS senden sowie empfangen.

Auf gar keinen Fall werden derartige Transaktionen mit dem Schmartie abgewickelt. So wichtig kann eine Überweisung nicht sein.

Wenn ich mal länger unterwegs sein sollte, schleppe ich das Teil mit, wiegt ja nicht soviel wie ein Schwein.

Wichtige Überweisungen laufen automatisch, für irgendwelche Ausnahmen werde ich mir kein ominöses Proggi auf mein HTC laden.

bei Antwort benachrichtigen
Olaf19 fakiauso

„Da gültet der Unsicherheitsfaktor Mensch, der die Liste plus Zugangsdaten an s schwarze Brett nagelt - aber die kann auch ...“

Optionen

@shrek + faki, ich mach dann mal hier weiter ;-)

  • Liste plus Zugangsdaten ans schwarze Brett nageln,
  • TAN-Liste bei Einbruch gefunden,
  • TAN-Liste ins Internet eingegeben (Phishing-Reaktion)

Ganz ehrlich: wenn das die einzigen Sicherheitsrisiken beim Online-Banking mit TAN-Verfahren sind, dann ist mir nicht bange. Punkt 1 und 3 ist gröbstens fahrlässig und somit leicht zu vermeiden.

Nach einem Einbruch stellt sich die Frage, wie lange brauchen die Einbrecher, bis sie mit meiner Liste etwas Sinnvolles anfangen können, sprich: meine Zugangsdaten ermittelt haben – und wie lange brauche ich nach dem Einbruch, bis ich den Verlust bemerkt und die TAN-Liste bei meiner Bank gesperrt habe.

Für mich klingt das alles eher nach: entspannt zurücklehnen...

Prost Neujahr!
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ...“

Optionen
Für mich klingt das alles eher nach: entspannt zurücklehnen...


Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen;-)

Es geht um die theoretischen Möglichkeiten und hier speziell um das pushTAN-Verfahren. Die Krux ist dabei das von der BaFIN vorgeschriebene Nutzen zweier Kanäle/Endgeräte, welches durch die Reklame der Bank und das vorgeführte Szenario ad absurdum geführt wird.

-----------------

Was abgefischte TAN usw. betrifft: Nimm Dir mal das typische Beispiel von Oma Krawuttke, deren letzte Bankfiliale auf dem Dorfe geschlossen wird, die aber rein zufällig einen PC, Smartphone und/oder Internet besitzt. Der liebe Bankberater verklickert der Dame dann, dass so ein Online-Konto sogar noch den Vorteil hat, dass Überweisungen nichts mehr kosten uswusf. Wie der generelle Umgang mit Smartphones im Verbund mit Datenschutz oft stattfindet, muss ich Dir auch nicht verklickern - in dem fall zwar eher weniger durch Oma Krawuttke...

...ganz so abwegig ist das also nicht und ich würde mir auch nie die Aussage anmassen, dass mir so etwas nicht passieren kann. Die Methoden sind raffiniert und werden besser. Im Zusammenhang mit dem Ausnutzen des Überraschungsmoments geht das oft schief und der Gedanke, die berühmte Nacht darüber zu schlafen, die Ansicht eines Dritten einzuholen oder bei der vorgegebenen Behörde direkt nachzufragen, kommt dann zu spät oder kostet etwas überwundenes Schamgefühl, siehe BKA-Trojaner und angeblicher Porno-Konsum und das ist meist der Ansatz.

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Eben - für Dich und andere, die sich mit der Materie schon aus PC-Interesse heraus befassen - Es geht um die ...“

Optionen
ich würde mir auch nie die Aussage anmassen, dass mir so etwas nicht passieren kann.

Das ist der Grund dafür, warum ich bei diesem Thema immer so hartnäckig nachfrage. Insbesondere, da die Bedrohungsszenarien sich im Laufe der Zeit verändern, sprich: verschärfen können.

Das einzige, was ich beruhigend finde, ist die Kurzlebigkeit der TANs – einmal benutzen und weg ist sie. Sollte ein Software-Bug bei der Bank allerdings bewirken, dass eine einmal angeforderte und von der Bank ausgegebene TAN beliebig oft verwendet werden kann, wird es wieder unangenehm...

pushTAN-Verfahren. Die Krux ist dabei das von der BaFIN vorgeschriebene Nutzen zweier Kanäle/Endgeräte, welches durch die Reklame der Bank [...] ad absurdum geführt wird.

Erstaunlich, dass die Banken damit durchkommen und deswegen nicht schon längst abgemahnt worden sind.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
jueki Olaf19

„@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ...“

Optionen

Prosit zurück - an Dich und alle!

Für mich klingt das alles eher nach: entspannt zurücklehnen...

Für mich ebenfalls. Und ich schmunzel darüber, was da so alles an Gefahren angedroht und an Tools installiert wird, um diese Gefahren abzuwehren.
Und gäbe es einen Einbruch - na, ehe der Einbrecher meinen Wust an Papier durchwühlt und die nichtssagende Liste mit den TANs gefunden und auch noch angewendet hätte - bis dahin wären bereits alle Zugänge gesperrt.
Nein, ich habe in diesem Zusammenhang nicht einmal die Andeutung einer Befürchtung.

Eher schon, das meine Ersparnisse um Arbeitsplätze (natürlich) zu erhalten und um internationale Solidarität (natürlich)  zu üben, ganz ohne Trojaner und Internet sukzessive immer weniger wert sind...

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Olaf19 jueki

„Prosit zurück - an Dich und alle! Für mich ebenfalls. Und ich schmunzel darüber, was da so alles an Gefahren angedroht ...“

Optionen
was da so alles an Gefahren angedroht und an Tools installiert wird, um diese Gefahren abzuwehren.

Tools zu installieren halte ich eh für problematisch, da dies ihrerseits wieder nur Programme sind, die wie jede Software fehlerbehaftet ist. Wieder ein paar Applikationen mehr, wo man ständig irgendwelchen Sicherheitslücken hinterher stopfen lassen muss.

ehe der Einbrecher meinen Wust an Papier durchwühlt und die nichts sagende Liste mit den TANs gefunden und auch noch angewendet hätte - bis dahin wären bereits alle Zugänge gesperrt.

Denke ich auch, siehe meine letzte Antwort an fakiauso. Gerade einmal nachgeschaut: meine Kontonummer wird auf der TAN-Liste derart maskiert dargestellt, dass man sie nur dann wiedererkennt, wenn sie einem bereits vertraut ist. Auch steht da nicht, zu welchem Geldinstitut sie gehört.

Ansonsten müssten die Einbrecher schon meine sämtlichen anderen Unterlagen durchwühlen, in der Hoffnung, dort eine Bankverbindung zu finden, die zu dem Zeichensalat auf der TAN-Liste passt. Aber so viel Zeit haben Einbrecher nicht...

Ja, und dann hätten sie außerdem immer noch nicht meinen Online-Zugang...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
shrek3 Olaf19

„@shrek faki, ich mach dann mal hier weiter - Liste plus Zugangsdaten ans schwarze Brett nageln, TAN-Liste bei Einbruch ...“

Optionen

Persönlich hatte ich keinerlei Probleme mit der TAN-Liste. Mir war aber klar, dass es nur eine Frage der Zeit sein würde, bis dieses Verfahren zugunsten einer anderen Vorgehensweise abgeschafft werden würde.

Wenn auch nur 0,01% aller Bankkunden auf eine Phishingmail hereinfallen, bedeutet das schließlich bei 14 Millionen Kunden (Anzahl der Postbankkunden), dass 14.000 auf diese Masche reinfallen, was in Kombination mit infizierten Rechnern eine nicht zu unterschätzende Gefahr darstellt und nicht nur zu Problemen beim Kunden, sondern auch für die Banken ein nicht abstellbares Ärgernis darstellt.

Dass Banken aus dieser Schusslinie herauskommen möchten statt immer wieder im Mittelpunkt von Diskussionen um die Sicherheit ihres Onlineverfahrens zu sein, ist da sicherlich mehr als nachvollziehbar.

Für denjenigen, der nicht anfällig für Phishingmails ist, ist es natürlich bedeutungslos, ob er das TAN-Verfahren nutzt oder nicht.

Das schwächste Glied in der Kette war es, welches die meisten Banken zu einer Änderung ihres Onlinebanking-Verfahrens veranlasste - und das waren offensichtlich zu viele.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Olaf19 shrek3

„Persönlich hatte ich keinerlei Probleme mit der TAN-Liste. Mir war aber klar, dass es nur eine Frage der Zeit sein würde, ...“

Optionen
Wenn auch nur 0,01% aller Bankkunden auf eine Phishingmail hereinfallen, bedeutet das schließlich bei 14 Millionen Kunden (Anzahl der Postbankkunden), dass 14.000 auf diese Masche reinfallen

Ich komme zwar nur auf 1400 Kunden, aber ich weiß, was du meinst ;-)
...0,01% sind ein Zehntausendstel...

Ja, es ist ein Ärgernis für die Banken, vor allem ein Dilemma: es kann nicht angehen, dass sie fürs Eigenverschulden ihrer Kunden Schadenersatz leisten sollen, andrerseits wenn sie sich dem verweigern, stehen sie wieder in der Buhmannrolle da und bekommen schlechte Presse ("Wäre es nicht vielmehr im Verantwortungsbereich der Geldinstitute gewesen, im Sinne ihrer Kunden dafür zu sorgen, dass... etc. pp.).

...klar, dass es nur eine Frage der Zeit sein würde, bis dieses Verfahren zugunsten einer anderen Vorgehensweise abgeschafft werden würde.

Haben denn die meisten Banken inzwischen kein TAN-Verfahren mehr? Ich kannte die Methode mit HBCI bislang immer nur als kostenpflichtige Zusatzoption.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
shrek3 Olaf19

„Ich komme zwar nur auf 1400 Kunden, aber ich weiß, was du meinst - ...0,01 sind ein Zehntausendstel... Ja, es ist ein ...“

Optionen
Haben denn die meisten Banken inzwischen kein TAN-Verfahren mehr?

Die per Post zugestellte (und durchnummerierte) TAN-Liste haben nur noch sehr wenige Banken.

Die Postbank z.B. hat schon vor ein paar Jahren auf mTAN (TAN per SMS) umgestellt und verzichtet somit darauf, dem Kunden überhaupt TAN-Listen schriftlich zuzustellen. Da kann der Kunde noch so viele Phishingmails bekommen und darauf reinfallen- er hat schlicht und ergreifend keine TAN-Nummern, die er dort eingeben könnte.

Stattdessen erhält er für jede einzelne Überweisung eine von der Bank soeben erst generierte SMS auf sein Handy.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Olaf19 shrek3

„Die per Post zugestellte und durchnummerierte TAN-Liste haben nur noch sehr wenige Banken. Die Postbank z.B. hat schon vor ...“

Optionen

Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs (was natürlich selten gebraucht wird, zumal der Rechner vertrauenswürdig sein muss). Allerdings ist die iTAN-Liste schon einige Jahre alt und dürfte bald aufgebraucht sein. Könnte mir vorstellen, dass es dann keine neue Liste mehr gibt...

Hier musste ich gerade etwas schmunzeln: https://www.sparda-bank-hamburg.de/konto_und_depot/itan – Quintessenz: das neue(!) iTAN-Verfahren ist jetzt noch sicherer, weil alle TANs durchnummeriert sind und nur die jeweils aufgerufene Nummer genutzt werden kann...

Nun gut, ich hatte deinen vorigen Beitrag so verstanden, dass das TAN-Verfahren generell ein Auslaufmodell ist, also mit TAN als Sammelbegriff für iTAN, mTAN etc.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ...“

Optionen

Aus den Verfahren, welche die Sparda anbietet, empfehle ich das hier:

https://www.sparda-bank-hamburg.de/konto_und_depot/secureapp

Da gibt es gleich gar keine TAN, sondern Du brauchst ein Passwort und kannst das alles auf demselben Endgerät durchziehen. Das ist bestimmt ganz sicher;-)

PS. Am besten aktiviert man noch die kurzzeitige Anzeige der Zeichen bei der Eingabe, falls man sich mal vertippt...

Kopfklatsch

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Aus den Verfahren, welche die Sparda anbietet, empfehle ich das ...“

Optionen

Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen – aus Solidarität mit den gutgläubigen Kunden, die auf den Mist reinfallen... jetzt fehlt nur noch:

"NEU!! ab sofort brauchen Sie nicht einmal mehr ein Passwort – wir haben es für Sie also gaaanz einfach gemacht..."

Man hält es im Kopf nicht aus. Ganz schlimme Nummer, das.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen aus Solidarität mit den gutgläubigen Kunden, die ...“

Optionen
Eigentlich sollte ich mein Gyros-Konto bei der Sparda sofort kündigen


Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten;-)

Von den aufgegriffenen Fällen abgesehen fährt man am besten mit dem Verfahren von RW1, so wie ich es auch tue. HBCI mit separater Software statt des Bankings über den Browser.

@hanshh

Wenn beim normalen Onlinebanking ein Live-Medium genutzt wird oder wenigstens der private Modus des Browsers, welcher auch Cookies, Passwörter usw. hinterher löscht, braucht man auch keinen speziellen Browser von Kaspersky. Der macht am Ende auch nichts Anderes und ggf. nutzt man noch einen separaten Account, der keinen halben Zentner Autostarts mitbringt, die alle gleich in´s Netz klingeln, sondern nur dem Banking dient.
Was ich in meinem Browser verdreht habe, weiss ich in aller Regel. Was Kaspersky eingestellt hat, kannst Du nicht so leicht nachvollziehen und gibst damit schon wieder etwas an Dritte ab.
Nutzen kann das auch nur der Anwneder von Kaspersky IS:

http://support.kaspersky.com/de/12099

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Ach i wo - da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten - Von den ...“

Optionen
da kommst Du auch nur vom Regen in die Traufe, weil das sicher viele Banken mit anbieten;-)

So schaut's aus...

Wenn beim normalen Onlinebanking ein Live-Medium genutzt wird oder wenigstens der private Modus des Browsers, welcher auch Cookies, Passwörter usw. hinterher löscht, braucht man auch keinen speziellen Browser von Kaspersky.

Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus im Browser die dritte?

Gute Erklärung übrigens von dir, warum das Kaspersky-Teil nicht optimal ist. Mein erster Gedanke dazu war nur: warum will man sich mit noch mehr Software überfrachten...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„So schaut s aus... Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus ...“

Optionen
Demnach wäre so etwas wie Bankix für dich hinter HBCI samt Lesegerät die 2. Wahl und der Privatmodus im Browser die dritte?


So in der Art.

HBCI umgeht den kritischen Teil Browser komplett:

http://www.reiner-sct.com/produkte/chipkartenleser/onlinebanking/

c´t-bankix kann Beides (HBCI und Onlinebanking per Browser) und dient in erster Linie als schreibgeschützte und damit definierte saubere Quelle.

Privatmodus im Browser ist beim Homebanking so oder so Pflicht, alleine wegen der Addons und dem Verlauf.

Das Patent Kaspersky will ich jetzt auch nicht per se verunglimpfen, wer KIS hat und das nutzt - in Ordnung und besser als auf´s Blaue drauflos. Das Problem Systembremse, an völlig unerwarteter Stelle nichtfunktionierender Kram auf dem PC, false positives und damit verbunden die Grenzen des kommerziellen Schlangenöls sollte man dabei aber trotzdem auf dem Schirm haben.

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„So in der Art. HBCI umgeht den kritischen Teil Browser ...“

Optionen

Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen von den Negativ-Rezensionen. Die scheinen ziemlich unzuverlässig zu sein, nicht im sicherheitsrelevanten Sinne, sondern in Bezug auf Reparaturanfälligkeit...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen ...“

Optionen
Diese Reiner-Geräte hatte ich mir vor ca. 1 Jahr einmal auf Amazon angeschaut und war ehrlich gesagt ein wenig abgestoßen von den Negativ-Rezensionen. Die scheinen ziemlich unzuverlässig zu sein, nicht im sicherheitsrelevanten Sinne, sondern in Bezug auf Reparaturanfälligkeit...


Bei mir war der Umstieg auf HBCI 2009 und der damals gekaufte Kartenleser hat bis jetzt durchgehalten. Vor zwei Jahren hat das Ding zwar mal rumgemotzt, dass angeblich die Karte nicht eingelegt sei, weil die Kontaktfeder am unteren Ende ermüdet war und daher nicht mehr kontaktierte. Das lies sich aber mit einem vorsichtigen Zurückbiegen beheben, seitdem ziehe ich lediglich die Karte nach dem Abstecken wieder soweit heraus, dass die Feder nicht ständig angespannt ist. Das dabei mechanisch ebenso wie an den Kontaktstellen durch das ständige Ein- und Ausschieben Verschleiss auftritt, wird sich jedoch nie vermeiden lassen.
Sonst bin ich sowohl mit dem Ding als auch mit dem dabei erworbenen und durchaktualisierten moneyplex hochzufrieden. Vor allem der Support von Matrica ist schlicht einmalig.

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Bei mir war der Umstieg auf HBCI 2009 und der damals gekaufte Kartenleser hat bis jetzt durchgehalten. Vor zwei Jahren hat ...“

Optionen

Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so. Nur die Liste der unterstützten Banken sieht derzeit noch etwas überschaubar aus: http://www.matrica.de/produkte/mpbanken.html

Vor zwei Jahren hat das Ding zwar mal rumgemotzt, dass angeblich die Karte nicht eingelegt sei, weil die Kontaktfeder am unteren Ende ermüdet war und daher nicht mehr kontaktierte. Das lies sich aber mit einem vorsichtigen Zurückbiegen beheben, seitdem ziehe ich lediglich die Karte nach dem Abstecken wieder soweit heraus, dass die Feder nicht ständig angespannt ist.

Das klingt ganz vernünftig. Man weiß bei den Negativ-Rezensenten natürlich auch nie, wie geschickt oder wie pfleglich sie mit ihrem Gerät umgegangen sind...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so. Nur die ...“

Optionen
Sehe gerade, dass es Moneyplex für alle 3 Betriebssysteme gibt, sogar für Mac... das war afair nicht immer so.


Ja nje snaju;-)

Die Linuxtauglichkeit war der Grund, es anzuschaffen, es gibt zum Testen noch Alternativen wie Gnucash, Hibiscus usw. Hibiscus scheint auch nicht schlecht zu sein und gibt es auch für den Apfel:

http://linuxwiki.de/HBCI#Anwendungssoftware

http://www.willuhn.de/products/hibiscus/

Die Sparda-Banken nutzen m.E. durchgehend HBCI mit PIN/TAN:

http://www.matrica.de/download/EinrichtungSpardaPinTan.pdf

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Ja nje snaju - Die Linuxtauglichkeit war der Grund, es anzuschaffen, es gibt zum Testen noch Alternativen wie Gnucash, ...“

Optionen
Die Sparda-Banken nutzen m.E. durchgehend HBCI mit PIN/TAN:

Hatte ich schon gesehen. Schade, dass die nicht auch auf die anderen Techniken setzen, mehr Flexibilität hätte ich besser gefunden.

An GNUcash kann ich mich dunkel erinnern, schon davon gehört zu haben, aber Hibiscus sagt mir gar nichts. Was mir daran nicht gefällt: es ist eine Art "Huckepack"-Software, man muss sich erst einmal die Jameica-Software installieren, dann Hibiscus als Plugin dazu. Das finde ich konzeptionell erst einmal nicht so schön.

Spontan hätte ich zu Moneyplex das meiste Vertrauen. StarMoney ist wohl der größte Anbieter, über den wird allerdings auch öfter mal gemeckert. Ist evtl. eher was für Fortgeschrittene...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Hatte ich schon gesehen. Schade, dass die nicht auch auf die anderen Techniken setzen, mehr Flexibilität hätte ich ...“

Optionen
StarMoney ist wohl der größte Anbieter, über den wird allerdings auch öfter mal gemeckert. Ist evtl. eher was für Fortgeschrittene...


Und auf dem Apfel nicht vollwertig im Vergleich zur Windows-Version:

https://www.starmoney.de/index.php?id=starmoney-mac

Jetzt geht es in die Koje;-)

GN8

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Und auf dem Apfel nicht vollwertig im Vergleich zur Windows-Version:https://www.starmoney.de/index.php?id starmoney-mac ...“

Optionen
Und auf dem Apfel nicht vollwertig im Vergleich zur Windows-Version:

http://www.macwelt.de/produkte/Homebanking-Programm-Test-Star-Money-fuer-Mac-7308492.html – scheint gewaltig abgespeckt daherzukommen. Moneyplex bleibt Favorit... hinter Bankix natürlich ;-)

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Olaf19 fakiauso

„So in der Art. HBCI umgeht den kritischen Teil Browser ...“

Optionen
Das Problem Systembremse, an völlig unerwarteter Stelle nichtfunktionierender Kram auf dem PC, false positives und damit verbunden die Grenzen des kommerziellen Schlangenöls

...finde ich in Summe deutlich gravierender als die Vorteile eines Kaspersky-Spezial-Browsers extra für Online-Banking. Zumal es, wie besprochen, gute Alternativen gibt, und es es nur ein "Privates Fenster" im bevorzugten Browser.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
jueki Olaf19

„Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ...“

Optionen

Die DKB gestattet das alte "Papier- TAN" (welches ich ausschließlich nutze),  pushTAN oder chipTAN.
Oder, wenn gewünscht mehrere dieser Verfahren zugleich.
Ich bleibe bei meiner Liste.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 Olaf19

„Bei der Sparda-Bank habe ich beides, iTAN auf Papierliste zuhause und mTAN für unterwegs was natürlich selten gebraucht ...“

Optionen
Quintessenz: das neue(!) iTAN-Verfahren ist jetzt noch sicherer, weil alle TANs durchnummeriert sind und nur die jeweils aufgerufene Nummer genutzt werden kann

Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er konnte eine bereits verwendete TAN nicht nochmals nutzen.

Dann ging man zu einer Nummerierung der 100 TANs über und die Bank teilte bei einer Online-Überweisung mit, welche Nummer jetzt verwendet werden sollte. War zwar etwas sicherer, löste das Problem aber nicht grundsätzlich.

Da ist die Sparda-Bank wohl noch auf den alten Stand von Anno dazumal, wenn sie auch jetzt noch solche Aussagen macht. ;-)

Nun gut, ich hatte deinen vorigen Beitrag so verstanden, dass das TAN-Verfahren generell ein Auslaufmodell ist, also mit TAN als Sammelbegriff für iTAN, mTAN etc.

Nein, so ist das nicht. Das mTAN-Verfahren ist schon DAU-sicherer.
Knacken lässt sich das zwar auch, wenn z.B. ein Krimineller die Logindaten zum SIM-Kartenanbieter hat und dort eine neue SIM-Karte unter der selben Mobilfunknummer anfordert, weil das alte Handy entweder verloren gegangen oder die SIM-Karte unbrauchbar geworden sei.

Aber auch das geht nur, wenn er eine andere Versandadresse für die Zustellung der Ersatz-SIM-Karte angeben kann.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
hanshh shrek3

„Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er ...“

Optionen

Wie steht's denn eigentlich mit dem "sicheren Browser", den Kaspersky bei Bankgeschäften zur Verfügung stellt ?

bei Antwort benachrichtigen
shrek3 hanshh

„Wie steht s denn eigentlich mit dem sicheren Browser , den Kaspersky bei Bankgeschäften zur Verfügung stellt ?“

Optionen
Wie steht's denn eigentlich mit dem "sicheren Browser", den Kaspersky bei Bankgeschäften zur Verfügung stellt ?

Ich bin da gespalten und würde eher mit "Jein" antworten.
Für den unbedarften User mag es, insgesamt betrachtet, ein zusätzlicher Sicherheitsgewinn sein, weil Kaspersky vor gefakten Bankingseiten warnen würde.

Für mich wäre es nichts, weil ich zusätzliche Software im Browser hätte, die irgendwann im Zusammenspiel mit anderen Addons problematisch werden könnte. Das könnte z.B. durch eine Aktualisierung meines Browsers geschehen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Olaf19 shrek3

„Ich bin da gespalten und würde eher mit Jein antworten. Für den unbedarften User mag es, insgesamt betrachtet, ein ...“

Optionen
Für mich wäre es nichts, weil ich zusätzliche Software im Browser hätte, die irgendwann im Zusammenspiel mit anderen Addons problematisch werden könnte.

Genau das würde mich auch stören. Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt abtippt und sich nicht auf irgendwelche windigen Links verlässt.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
shrek3 Olaf19

„Genau das würde mich auch stören. Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt ...“

Optionen
Und gefakedte Bankseiten lassen sich leicht vermeiden, indem man die URL direkt abtippt und sich nicht auf irgendwelche windigen Links verlässt.

Funktioniert aber auch nur solange, wie trotz richtigen Eintippens der Browser nicht auf eine falsche Seie umgeleitet wird.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Olaf19 shrek3

„Funktioniert aber auch nur solange, wie trotz richtigen Eintippens der Browser nicht auf eine falsche Seie umgeleitet ...“

Optionen
wie trotz richtigen Eintippens der Browser nicht auf eine falsche Seie umgeleitet wird.

Ja, wenn der Rechner bereits "gekapert" wurde, kann man am Ende nichts mehr von dem glauben, was man auf dem Bildschirm sieht.

"Kapern", da war doch was...? Ach ja, Königsberger Klopse – und natürlich:

https://www.youtube.com/watch?v=r9ZczJreq3c

Cheers
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Olaf19 shrek3

„Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er ...“

Optionen
Am Anfang war es ja noch egal, welche der 100 TANs man verwendete - da hatte der Kunde freie Hand. Einzige Bedingung: Er konnte eine bereits verwendete TAN nicht nochmals nutzen.

Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre später bekam ich eine neue TAN-Liste zugesandt, eben wegen der Einführung von iTAN mit den durchnummerierten TANs.

Diese Neuerung fand ich schon sinnvoll, denke aber, dass es die Sicherheit eher marginal verbessert hat.

Das mTAN-Verfahren ist schon DAU-sicherer.

Witzig, das hatte ich genau umgekehrt erwartet. Meine primitive Rechnung war: iTAN = Liste auf Papier = offline, unvernetzt = sicher. Dagegen: mTAN = Smartphone = Datenspioniergerät mit digitalem Streichelzoo [(c)2015-16 by fakiauso] = unsicher.

z.B. ein Krimineller die Logindaten zum SIM-Kartenanbieter hat und dort eine neue SIM-Karte unter der selben Mobilfunknummer anfordert
Aber auch das geht nur, wenn er eine andere Versandadresse für die Zustellung der Ersatz-SIM-Karte angeben kann.

Gruselige Vorstellung, nicht nur wegen Online-Bankings, dass Vodafone & Konsorten einem wildfremden Menschen eine neue SIM auf meinen Namen plus Rufnummer einfach mal so zusenden – und ich erfahre davon noch nicht einmal etwas...

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
shrek3 Olaf19

„Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ...“

Optionen
Meine primitive Rechnung war: iTAN = Liste auf Papier = offline, unvernetzt = sicher.

In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der Online-Banking-Kunden. Da gibt es einfach zu viele Ausreißer.

Deshalb schrieb ich ja auch: DAU-sicherer. ;-)

Dagegen: mTAN = Smartphone = Datenspioniergerät mit digitalem Streichelzoo [(c)2015-16 by fakiauso] = unsicher.

Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.

Im letzteren Fall müssten schon beide Geräte (Smartphone und Rechner) befallen sein, um eine Onlimne-Überweisung abzufangen und auf ein anderes Konto umzuleiten.

Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.

Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...

Alles nicht so einfach für einen Kriminellen...

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Olaf19 shrek3

„In den Händen eines umsichtigen Users ist es ja auch sicher - nur nicht vor dem Hintergrund der gesamten Gruppe der ...“

Optionen
Ich glaube, da muss man zwischen dem reinen Online-Banking vom Smartphone aus und dem lediglichen Empfang der TAN-SMS differenzieren.

Definitiv! mTAN heißt für sich genommen ja nichts weiter, als dass man die TANs per SMS aufs Handy empfängt (muss noch nicht einmal ein Smart-Schnüffler sein). Wenn dann auch noch eine Banking-App mobil genutzt wird, noch dazu auf demselben Gerät, kann die arme mTAN ja nichts dafür ;-)

Hinzu kommt, dass eine Bank es natürlich merkt, ob von zwei verschiedenen Rechnern und von zwei verschiedenen Standorten(!) auf ein und dasselbe Konto zugegriffen wird.

Bei ebay habe ich es schon erlebt, dass die "gemeckert" haben, wenn ich mich von einem anderen Rechner am anderen Standort aus eingeloggt hatte.

Die Sparda stört sowas anscheinend nicht...

Ein ausspioniertes Smartphone weiß ja erst ab dem Moment von einer SMS-TAN, sobald diese SMS eingeht. Das jedoch kann nur erfolgen, wenn bereits ein anderer Rechner bei dieser Bank eingeloggt ist...

So hatte ich mir das ursprünglich auch vorgestellt. Da wir so oder so nicht in einer perfekten Welt leben, wird es eine "absolute" Sicherheit natürlich nie geben.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
RW1 Olaf19

„Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ...“

Optionen

Also ich betreibe mein Onlinebanking schon seit BTX Zeiten. Am Anfang mit den per Post zugeschickten TAN Listen. Seit vielen Jahren jedoch mit einem eigenen Banking-Programm und einer HBCI-Karte mit Kartenleser mit eingebauter Tastatur.

Das kann ich auch nur jedem anraten, der oft Überweisungen und Bankgeschäfte Online durchführt. Alternativ das Bankix von der ct

http://www.heise.de/ct/ausgabe/2014-7-Sicheres-Online-Banking-mit-c-t-Bankix-2135283.html

Zum Thema Sicherheit: Alle auf dem "normalen" PC im "normalen" Browser laufenden Anwendungen sind m.E. per se unsicher und angreifbar. Erst Recht auf dem Mobiltelefon oder Tablet. Deshalb würde ich auch nur in seltenen Fällen TANs im Browser verwenden. Aber neimals mit dem gleichen Gerät arbeiten, auf dem ich auch die Tans bekomme oder die sogar in einer Liste abspeichere.

Ach ja:

Frohes Neues Jahr zusammen!

Ralf

bei Antwort benachrichtigen
Olaf19 RW1

„Also ich betreibe mein Onlinebanking schon seit BTX Zeiten. Am Anfang mit den per Post zugeschickten TAN Listen. Seit ...“

Optionen

Moin Ralf, ein Prosit 2016 auch an dich!

Der Tipp mit Bankix klingt gut. Das läuft auch auf dem Mac: http://www.apfelwiki.de/Main/Bankix
– und als Medium braucht man noch nicht einmal eine DVD, es reicht eine CD: http://www.heise.de/download/ct-bankix.html

Ich glaube, das schau ich mir mal an...

THX für den Tipp
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
fakiauso Olaf19

„Ja, so war das, als ich AFAIR 2004 mit dem Online-Banking angefangen habe. Wollte ich vorher nicht haben... wenige Jahre ...“

Optionen
eine neue SIM auf meinen Namen plus Rufnummer einfach mal so zusenden


Das Problem wird sich bald lösen, wenn es nach bestimmten Leuten ginge:

http://www.heise.de/newsticker/meldung/Deutsche-Telekom-eSIM-soll-2016-kommen-2921732.html

Mal davon ab, dass ein Providerwechsel auch mit normaler SIM funktioniert, wenn dann der Chip verreckt - oder man mag es sich nicht vorstellen, gar vorsätzlich abgeschaltet wird - kannst Du das ganze Telefon als Ansichtsexemplar in die Vitrine stellen und nicht nur die SIM-Karte zerschnippeln.
Bei vorsätzlich Abschalten klingelt bei mir noch ganz woanders ein zartes Glöckchen; ein solcherart 'getötetes' Spielzeug lässt sich nicht mal eben per Kartenwechsel wiederbeleben...

Wenn die Welt gerettet wurde, wird es durch Frauen geschehen sein...
bei Antwort benachrichtigen
Olaf19 fakiauso

„Das Problem wird sich bald lösen, wenn es nach bestimmten Leuten ...“

Optionen

Tja, so ist das immer mit Dingen im IT-Bereich, die allzu praktisch und komfortabel sind – es geht eigentlich immer zu Lasten der Sicherheit.

kannst Du das ganze Telefon als Ansichtsexemplar in die Vitrine stellen und nicht nur die SIM-Karte zerschnippeln.

Ganz so schlimm wird es wahrscheinlich nicht kommen. Wenn man die eSIM von außen programmieren und auch abschalten kann, müsste es da auch eine Art Reparaturfunktion geben. Hoffentlich... ;-)

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Bobby1234 fakiauso

„Da kannst Du auch ein uraltes Nur-Handy für die SMS nehmen und den Smartföhn für die Banking-App. Damit hast Du die ...“

Optionen

Vollste Zustimmung, sh. mein Beitrag weiter oben

Keine Zahlung ist so wichtig, dass ich die SOFORT durchführen muss. Heimischer PC mit Bankprogramm über HBCI, SMS-TAN oder TAN-Generator und sonst nix. Alles andere ist was für Wichtigtuer oder Leute, die ihre Bestellungen nicht planen können

bei Antwort benachrichtigen