Das nicht, aber es erschwert diese doch schon durch die Rechtevergabe. Nur ist die Nennung von Ross und Kutscher immer sinnvoll und auch notwendig. Es geht darum, den Wissensvorteil, den die Angreiferseite unvermeidbar hat, so klein wie möglich zu halten. Da ist allgemeines Geschwalle völlig unnütz und eher noch schädlich. Damit werden nur die Kunden eines gewissen Unternehmens, dass seinen Sitz im Nordwesten der USA hat, ruhiggestellt.

Auch der Software-Riese aus dem Nordwesten empfiehlt dir kein Admin-Konto zu nutzen und selbst beim Admin-Konto fragt das System nach, ob du es auch wirklich willst. Dass die Nutzer das nicht befolgen bzw. absichtlich deaktivieren kannst du MS nicht vorwerfen.

Sicherlich gibt es Sicherheitslücken in Windows, die zu einer Rechteausweitung führen. Die findet man beim Pinguin aber mit Sicherheit genauso. Nur ist da das Interesse der Schattenwirtschaft geringer, vorallem, weil da eher Leute davor sitzen, die nicht immer Ok klicken, sonder erst denken und dann klicken.

Oder die Schattenwirtschaft nutzt gleich Software und nicht das Betriebssystem.

Der einzige Sicherheitsaspekt beim mTAN-Verfahren ist das Handy. Heute meistens ein Android-Handy - und da von Sicherheit zu sprechen, ist ein Widerspruch in sich. Außerdem gibt es nicht nur das von dir angesprochen Betrugsverfahren mittels Zweit-SIM – dies ist eine Möglichkeit. Eine andere Möglichkeit gab es z.B. 2012 mit dem ZitMO-Virus. Dabei wurde der PC manipuliert und von diesem manipuliertem PC wurde ein Virus auf dem Handy installiert. Nach Angaben von Sicherheitsexperten wurden in Europa ca. 30000 Bankkunden um 36 Millionen Euro (in Deutschland 13 Millionen Euro) erleichtert. Gerade wurde der Quellcode eines anderen Viruses veröffentlicht, der ein anderes Online-Banking-Verfahren manipuliert. Durch die Veröffentlichung wird es diesen Virus jetzt massenweise in diversen Abwandlungen geben. Wenn in der Presse massenhaft Betrugsfälle bekannt werden, werden die Banken sicherlich die Schäden ersetzen. Aber was passiert in Einzelfällen. Immer mehr Banken verlagern das Risiko auf den Kunden und werfen dem Fahrlässigkeit vor. In solchen Fällen haftet nur der Kunde.
Der Nachteil vom Internetbanking ist, dass Betrüger relativ anonym Zugriff auf Millionen von Konten haben – und das ist eben verlockend. Bei einem Diebstahl oder Raub müssten sie räumlich anwesend sein. Damit ist natürlich nicht gesagt, dass es dich auch tatsächlich trifft. Wenn von 100000 Einwohnern 1000 überfallen werden, werden anderseits auch 99000 nicht überfallen.
... und hier mal eine Info zu den aktuellen Virenprogrammen. Von 54 Virenprogrammen haben nur drei den Locky-Virus erkannt
Letztendlich muss jeder für sich selber entscheiden, ob er das Risiko eingeht.
Gruß Ulli

Nochmal: das alles sollte man bedenken, ehe man überhaupt Online-Banking macht. Ich mache es genau aus den von dir genannten Gründen nicht. Aber zu postulieren, dass die mTan böse und TAN-Listen toll sind ist mindestens genauso fahrlässig, wie kritiklos Online-Banking zu machen.

Martina

Ich habe nie, nie, niemals behauptet, dass TAN-Listen sicher sind. Sind sie natürlich nicht. Wo soll ich das geschrieben haben?
Online-Banking ist in jedem Fall unsicher - und deshalb mache ich es auch nicht.
Gruß Ulli

Noch ein NAchtrag, weil gerade gelesen: http://www.heise.de/security/meldung/Pas...ch-3162731.html

Solange Internetnutzer derart freizügig mit ihren Passwörtern sind muss man sich um den Rest kaum noch gedanken machen... :), wobei eher

Ich praktiziere das E-Banking von Anfang an bei der Postbank ohne Störfall. Über iTan, mTan bin ich bei chipTan gelandet. Das Lesegerät dafür musste ich für etwas mehr als 10 Euro kaufen. Es wird an einem sicheren Platz verwahrt, und niemand weiß davon.

Wenn es dir geklaut wird, dann sind die etwa 15 Euro weg, sonst nix. Wie Henning oben schon schrieb, beruht die Sicherheit beim chipTAN-Verfahren auf dem Passwort für den Online-Zugange und dem Chip auf der Bankkarte. Hat man beides, kann man die TAN mit jedem beliebigen TAN-Generator erzeugen.

Ich benutze für das mTAN-Verfahren kein Handy mit einer Androidversion. Auch mit Symbian S60 hatte ich nie ein Problem beim Internetbanking.
Wie sagte mal ein Kollege bei einer Schulung und Demo so treffend:
"Das beste Virenprogramm sitzt vorm PC."
Für mich heißt das, kein Internetbanking mit Handy oder PC über WLAN-Netze von Hotels, Cafés. Zumindest in der EU und der Schweiz bleibt mir dann noch das jeweilige Mobilfunknetz zu vertretbaren Preisen.
Was die grundsätzliche Akzeptanz von Internetbanking angeht, sehe ich aufgrund von keinen Guthabenzinsen oder Minuszinsen und steigender Bankgebühren eher einen Anstieg als ein Abflauen des Internetbankings.

Ich bitte um Entschuldigung, ich habe dich mit dem Kollegen :-) verwechselt. Der hat das tatsächlich explizit behauptet. Genau diese Bemerkung von ihm hat die ganze Diskussion ausgelöst.

Martina

Kein Problem ... ich war nur leicht verwirrt.
Gruß Ulli

Ich will dir ja nicht das Online-Banking vermiesen, aber für solche Fälle gibt es auch den "Man-in-the-Midddle-Angriff". Aber dafür muss man schon räumlich in der Nähe sein. Vielverprechender ist da der "Man-in-the-Browser-Angriff". Damit wurde z. B. 2012 das chipTAN-Verfahren gehackt.

Ja, das denke ich auch. Schöne neue Welt.
Gruß Ulli

Das liest sich aber weniger wie ein Angriff auf chipTAN als auf die Blödheit des Nutzers. Ist ja vergleichbar mit einem "Angriff" auf die Papierüberweisung in der Bankfiliale ala: Wir führen eine Testüberweisung durch zur Überprüfung ihrer Unterschrift. Unterschreiben sie doch hier das Fromular und geben sie es ab.

Nun ja, ganz so ist es nicht. Das ist halt das uneingeschränkte Vertrauen der Nutzer zu den Aussagen der Banken, dass das chipTAN-Verfahren sicher ist und der Original-Bankseite auf der sie sich befinden.
Gruß Ulli

Evtl. hab ich den Angriff falsch verstanden, aber der Nutzer musste doch aktiv eine TAN eingeben zu einer Überweisugn auf ein unbekanntes Konto mit dem tatsächlichen Überweisungsbetrag, oder?

Daher denke ich nicht, dass das chipTAN geknackt ist (bzw. man davon sprechen sollte), sondern dass die Naivität (trifft es besser als Blödheit) ausgenutzt wurde. Ähnlich wie ein Pishing-Angriff ja auch nicht die Sicherheit des xyz-Logins knackt.

Nein, der Nutzer gibt seine gewünschten Daten ein und diese - korrekten Daten - werden vom Trojaner - unbemerkt vom Kunden - ausgetauscht. Danach manipuliert der Trojaner den Kontostand und die Übersicht der Überweisungen - damit der veränderte Betrag nicht auffällt.
Gruß Ulli

Wie ich weiter oben bereits geschrieben habe:
Das beste (oder auch schlechteste) Virenprogramm sitzt vorm PC.
Aber über die Sicherheit von iTAN, mTAN und ChipTAN brauche ich mir auf meinen Reisen keine Gedanken zu machen. Dafür muss ich mir drei verschiedene PIN für Postbanksparcard, Geldkarte und KK merken, um an Geld zu kommen.

Hallo Ulli,

das kann ich mir ehrlich gesagt bei der Beschreibung des Angriffs hinter deinem Link nicht vorstellen. Wenn der Nutzer eine Überweisung macht und der Trojaner alles im Hintergrund anpasst, dann muss man dem Nutzer ja auch nicht vorgaukeln, es wäre eine Testüberweisung.

Für mich liest sich das eher so: Nutzer geht auf seine Bankseite. Trojaner scannt den Account, sucht sich ein Konto aus und empfiehlt dem Nutzer eine Testüberweisung zu machen. Dann wird auf dem TAN-Generator die tatsächliche IBAN und Betrag angezeigt und die TAN errechnet und der Nutz gibt die ein. Der Kontostand ändert sich jedoch auf der Anzeige nicht, da sonst wäre es ja keine Testüberweisung.

Die TAN wird ja aus IBAN (wird angezeigt auf dem Gerät) und Chip vom Lesegerät errechnet. So wie du den Angriff erklärst (Nutzer sieht überall das, was er eingegeben hat), müsste der TAN-Generator ja die richtige IBAN übermittelt bekommen und gleichzeitig mit der manipulierten IBAN die TAN errechnen, damit die Bank die TAN akzeptiert. DAnn müsste ja das Chip-Gerät manipuliert sein. Das kann ich mir nur sehr schwer Vorstellen.

Hallo Henning,
hier hast du recht - ich hatte es falsch im Gedächtnis. Das eigentliche chipTAN-Verfahren (der technische Vorgang) ist nicht gehackt. Durch die Zustimmung des Nutzers zur Testüberweisung nutzt der Trojaner nur das uneingeschränkte Vertrauen (Naivität) der Nutzers zu den Aussagen der Banken, dass das chipTAN-Verfahren sicher, aus.
Gruß Ulli

So abwegig ist das nicht. Noch vor wenigen Jahren gab es auch in unbesetzten Automatenfilialen simple Briefkästen für Überweisungsaufträge. Nicht nur Fritzchen und Lieschen Müller, sondern auch die Mitarbeiter der Banken hielten das für wesentlich sicherer als alles rechnergestütztes. Mein Wohnungsdarlehn konnte ich vor fünfzehn Jahren nur mit Mühe am Selbstbedienungsrechner ablösen. Nötig waren für 39 000 Mark drei Überweisungen. Freundlich lächelnd wurde mir empfohlen »Füllen sie doch einen Überweisungsträger aus«. Wer sowas aus dem Briefkasten angelte, kam auf preiswerte Art zu Namen, Kontodatenen und der passenden Unterschrift.

Da würde ich den Banken sogar mal ausnahmsweise mal Recht geben. chipTAN ist an sich ja auch "sicher". Als mTAN los ging war das Smartphone auch noch keine Massenerscheinung und da war mTAN ja auch "sicher". Die Gangster waren halt kreativ und haben Lücken gefunden. Wer hätte auch gedacht, dass Telkos einfach so SIM-Karten an beliebige Adressen verschicken... Aber den Telkos war das sicher auch nicht bewusst, dass die SIM-Karte auf einmal nicht mehr nur für Kleinstbeträge haftet, sondern taugt, das Konto leer zu räumen.

Bei chipTAN ist es denke ich auch nur noch eine FRage des Aufwands, bis die EC-Karten-Chips großflächig kopiert werden und dann geht die Plünderung weiter. Ähnlich wie damals der Magnetstreifen.

Bleibt nur zu hoffen, dass bis dahin ein neues Verfahren erdacht wurde. Biometrie wird da sicherlich kommen.

Dann schneiden sie dir den Finger ab oder klauen dein Auge.
Nix, aber gar nix ist sicher!

Ich kann mich noch sehr gut an eine Fernsehsendung erinnern (und zwar nicht im Trash-TV, sondern bei den Öffentlich-Rechtlichen und auch nicht am 1. April), bei dem als große 'Enthüllungsstory' präsentiert wurde, dass auch papierhafte Überweisungen nicht sicher sind. Man füllte einfach einen Überweisungsträger aus und unterschrieb irgendwie. Die Banken führten die Überweisungen anstandslos aus. Fazit der Fernsehsendung: man solle niemand seine Kontonummer verraten.
Wozu man ein Konto, dessen Nummer geheim ist überhaupt noch einsetzen kann, wurde allerdings nicht beleuchtet....

Martina

Warum denn gleich so martialisch? Fingerabdrücke lassen sich auch mit Hausmittleln kopieren. Und auch eine Iris oder Netzhaut wird man mit mehr oder weniger großem Aufwand nachbilden können.


Das stimmt, man kann halt immer nur schauen, dass man Dinge "möglichst sicher" bekommt. Und Diebe setzen typischer Weise auf den Weg, wo sie am wenigsten Widerstand überwinden müssen.

... und setzt den Hebel auch an der Quelle an.
Gruß Ulli

Es geht mir vor allen Dingen darum, dass das bei der Kontoinformation nirgendwo stand und auch bei der Konteneröffnung nirgendwo erklärt war.