iTAN-Verfahren unsicherer als von Banken behauptet

Tut mir leid das ich dich da enttäuschen muss... aber ich persönlich bin dann offenbar zu dumm, um hier mitzudiskutieren.

supi, da kann ich dann auch mitmachen... wobei: meintest du 154ao ?
ach ja, bei bb3 bin ich als alter si-ler auch weg... *grins*

Finde es gut, dass maxxy hier mit uns auf hohem Niveau diskutieren will. Wäre gut, wenn du deinen Standpunkt nochmals versucht, in einfachen Worten zu erörtern.

Mit usw. meinst du aber nicht eine Host-Manipulation?

Gruß vom auch etwas ratlosen aber den maxxy-nicht-enttäuschen-wollenden ELDI-Man

P.S. Vielleicht kommst du heute Abend einfach mit ins Forum und versuchst es uns dort nochmal plausibel zu machen.

Also so einiges ist hier echt lächerlich ! Sorry wenn ich das so schreibe, aber einige scheinen echt die Problematik nicht zu begreifen !

Da ich sehr viel Kontakt zu den einzellnen Banken habe und deren Betreuer im Online Banking und auch zu den Rechenzentren, kann ich hier wohl ein wenih mehr Erfahrung mit reinbringen als einige andere !

Wenn ich höre das dauernt von ManInTheMiddleAttack gesprochen wird, dann muss ich echt schmunzeln ! Man Ihr habt doch echt keine Ahnung !

Bisher waren von 100% der Mißbrauchsfälle, die uns bekannt sind (von verschiedenen Banken, PostBank, Sparkasse etc.) 20% Phisching Fälle und 80% durch Trojaner !

Bisher ist uns kein Mißbrauch durch MITM Attacke bekannt !!!! Und wer sich mit dem Internetmedium auskennt, weiss wie aufwendig so eine ist !

Also haben wir mit Einführung der ITan 80% der Mißbrauchsfälle abgedeckt, durch ein weiteres, momentan stillschweigendes Thema, wird das Phishing auch bald der Vergangenheit angehören !

Also interessieren mich die 0,0001 % bei denen irgendwann mal eine MITM Attacke vorkommen sollte überhaupt nicht ! Denn was macht es für einen Sinn für zig Millionen Euro die Server umzubauen etc. wenn es so extrem minimal ist !

Natürlich nützt eine Desktop Firewall und ein Virenscanner etwas ! Natürlich sind diese nicht das Allheilmittel, aber diese nützen was !

Kleinvieh macht auch Mist ! Firewall, Virenscanner, ITan etc. das alles zusammen bringt Sicherheit !

Und wenn ich das hochtechnologische Geschwafel lese, das interessiert niemanden, da KEIN Hacker sich auf diesem Wege Geld beschaffen wird, weil es viel zu aufwendig ist !

Wir müssen uns hier im klaren sein, dass die Hacker Massenangriffe machen und so die Daten von Kunden bekommen ! Und daran muss was getan werden !

Tja in Bonn wollten die mich nicht haben

Es ärgert mich halt einfach, wenn ich lese das die Banken nichts gegen eine MITM Attacke machen, dass die Sachen machen, die keinen Sinn machen etc. !

Wenn ich überlege, was wir für ein Geld dafür ausgeben, wenn ich überlege, was wir an ManPower in das Thema stecken ! Dann ärgern mich so Aussagen !

Auch wenn ich die Typen lese, die 3 Seiten Beschreibung und Fremdwörter nutzen, wie man Online Banking knacken kann ! Es behauptet niemand das es 100%tig sicher ist aber die Banken machen was ! Und gegen die absoluten Freaks, die sich ggf. in die Telefonleitung noch reinhängen etc. wird es niemals eine 100%tige Lösung geben, weil so Fälle 1mal in 200Jahren vorkommen !

Ich kenne mich auch in der Programmierung, im INet, unter Linux etc. sehr gut aus, habe damals Win95 Beta als Diskette installiert , deswegen ärgert es mich, wenn ein paar dahergelaufene im Fernsehen behaupten alles ist unsicher !

Man muss das alles mal in eine intelligente Relation setzen ! Und dies wird hier und im Fernsehen DEFINITIV NICHT gemacht !

Klar könnte einiges schneller gehen, die Banken schneller reagieren, aber wenn man mal versteht und sieht welche Apparatur dahinter steht, dann weiß man das man nicht grad mal schnell die ITan auf den Markt werfen kann !

Das ist ja genau das was ich meine, diese ManInTheMiddle Attacke, die Du ansprichst, hat nichts mit den Trojanern zu tun, die TAN Nummern speichern und weiterleiten !

Dieser Fall, den Du ansprichst, wurde bisher NIEMALS nachvollzogen ! Bisher sind die TAN Nummern über Trojaner weitergeleitet worden ! Deswegen ist dieser Fall total uninteressant und uthopisch !

Das ist ja genau das, was ich oben versuchte zu erläutern !

Und genau gegen Trojaner ist das ITan Verfahren !

Nochmal, es wird niemals möglich sein das Online Banking 100% sicher zu machen, aber man muss es den Leuten auf jedenfall erschweren ! Und deswegen ITan, Phishing Mails "entfernen" etc.

Danke! Du hast gerade bewiesen, dass Du zu der Kategorie Mensch gehörst, die eindeutig nicht versteht, wie man diskutiert. Das Einzige, was lächerlich wäre, ist keine Diskussion über solche Themen zu führen. Denn nur durch die wiederkehrende Diskussion wird es allen, die handeln müssen, wirklich möglich entsprechende Massnahmen und Verfahren zu entwickeln, um diese Welt ein klein wenig sicherer zu machen. Da nützen destruktive Äußerungen, wie Du sie hier anführst, rein gar nix.



Das lassen wir mal einfach so stehen und wenden uns mal den interessanten Aspekten Deiner Aussagen zu.



Das ist Stand heute mit Sicherheit richtig. Es wäre aber durchaus verblendet sich hier auf ein hohes Roß zu setzen und sich in Sicherheit zu wiegen. Ich glaube auch nicht dass das jemanden hier unbewusst war oder ist. Vielmehr hat man sich mit den Aussagen eines gewissen Red-Teams auseinandergesetzt. Und insbesondere mit der fehlenden Seriösität ihrer Aussagen. Schliesslich beziehen diese sich ja auf eine Schwachstelle, die wirklich jedem, der sich mit Sicherheit befasst, bewusst ist. Von daher war diese Medienmeldung über den Heise-Ticker untere Schublade und lässt eigentlich darauf schliessen, dass man hier nur Bekanntheitsgrad erlangen wollte.



Medium ist natürlich auch eine nette Bezeichnung So mal langsam: MITM Attacken sind keinesfalls aufwendig, und es ist durchaus möglich auch diese zu automatisieren. In den Quelltexten vom SDBot, rBot, rxBot findest Du Stand heute bereits Komponenten die dieses unterstützen und sogar auf entsprechende Keywörter reagieren. Also kann und will ich mich mit dieser Aussage nicht weiter auseinandersetzen. Sie ist nämlich - entgegen Deiner eigenen Auffassung - nicht fachlich qualifiziert und eine Fehleinschätzung. Ferner referenziere ich hier mal auf die Einschätzung von Kaspersky, Symantec und Co., diese sehen durchaus die Durchdringung von Trojanern, Viren und Würmern mit klassischen Angriffsmethoden. MITM ist eine solche.



Hättest Du nun gesagt: Die HEUTIGE Form von Phishing-Attacken, so hätte ich Dir recht geben können, so muss ich Dir wieder widersprechen. Probleme sterben nicht wirklich aus, wir werden unseren Teil liefern können diese zu erkennen und weitestgehend zu minimieren. Damit ist es aber auch getan. Denn schliesslich ist es so, dass wenn eine Hürde gesetzt wird, diese bereits in geringen Zeitabständen wieder umgangen wird.



Ich glaube Du minimierst das Problem um Dir selbst eine bestehende Umgebung schön zu reden. Wenn Du Erfahrung hast, weisst Du auch, dass IT-Sicherheit ein iterativer Prozess ist. Du wirst also ständig Geld ausgeben müssen, um Deinen Status im Bereich der Sicherheit an aktuelle Gegebenheiten und Entwicklungen anzupassen. Das ist aber nun mal so, schliesslich möchte man ja über den Draht entsprechendes Geld verdienen.

Von daher halte ich Deine Äußerung für viel zu flach.



Ich verstehe den Kontext von Firewall zu ITAN nicht wirklich. In der Betrachtung vermischt Du Technologien und Verfahren. Diese Betrachtungsweise ist nicht ausreichend. Wir reden hier doch über die Absicherung eines Verfahrens mittels Technologien. Wenn wir hier weiterreden, so stellen wir fest, dass bestimmte Technologien zur Absicherung des Verfahrens noch gar nicht zur Anwendung kommen. Ferner halte ich Desktop-Firewalls für unausgereift, diese verlangen einfachen Benutzern ziemlich viel ab. In größeren Umgebungen sowieso nicht zu bewältigen.

Aber im Punkt Kleinvieh durchaus Zustimmung. Besser etwas tun, als gar nix tun.



Das einzige Geschwaffel was ich hier lese, kommt hier und heute von Dir. Wenn Du nämlich nicht auf Computerbild-Niveau diskutieren willst, dann musst Du erst mal den Begriff Hacker durch Kriminelle ersetzen. (s/Hacker/Kriminelle/g) ... Hacker sind vollkommen was anderes und ich muss mich innerlich verweigern, solche Begrifflichkeiten im Kontext mit einem Verbrechen zu akzeptieren. Das Problem sind nicht Hacker, sondern Kriminelle. Ich hoffe dieses deutlich gemacht zu haben. Danke!



Die Fälle in letzter Zeit zeigen mir eigentlich genau das Gegenteil. Die Angriffe werden ausgeklügelter. Es werden Daten von Kunden abgegriffen und diese Kunden werden dann gezielte Opfer. Auch die Einschätzungen von Symantec in Form ihrer Veröffentlichungen, lassen diesen Schluß zu. Also wiege Dich mal nicht in der falschen Sicherheit, nehme bitte nur die gezielte Datenausspähung bei Firma Boeing in Form eines Trojaners, oder die Ermittlungen der britischen Behörden in Bereich eines Trojaners der gezielt an Behörden versendet wurde.

Ich glaube dass bei einer heutigen Ausbeute von vielleicht 15% in Form von automatisierten Angriffen, sich die Angreifer nicht mit diesem Stand zufrieden geben. Es ist damit Geld zu machen und gutes Geld, weil es teilweise immer noch zu leicht ist. Also sollte man das Thema ein wenig ernster nehmen.

Ich finde man muss alle in Betracht kommenden Bedrohungen ernst nehmen.

Zu sagen Man-in-the-middle ist zu aufwändig, wird keiner machen reicht nicht. Immer versuchen einen Schritt voraus zu sein!

@MUpper: ein Post, indem jeder (!) Satz mit einem Ausrufungszeichen endet ist sehr schwer zu lesen...

Gruß
HL

Würde ich sagen "JA", da der Kunde erstmal auf diese Seite gelangen muss ! Und dies erfolgt nur über eine E-Mail. Zumindest wäre dies der einfachste weg. Also Phishing. Und was soll die Bank dagegen machen können ?

Irgendwie wird hier dauernt an dem Thema vorbei geredet, was ich sehr schade finde. Ich fragte nach Möglichkeiten, wie die Bank das Online Banking sicherer machen kann, da würde ich gerne Antworten drauf bekommen. Ich würde gerne Input haben, welche Maßnahmen eine Bank ergreifen muss.

Beispielsweise haben wir eine Firma beauftragt, die das Internet da Domains durchforstet, die ähnlich der unseren sind, um diese direkt abzuschalten. Sowas können wir machen und machen wir auch. Weiterhin gibt es eine Kommunikation mit E-Mail , was die Versendung von Phishing Mails angeht, hier wird auch sehr viel getan, aber es gibt nunmal Dinge gegen die wir machtlos sind. Leider. Und ich finde es sehr schade, dass es überall nur heisst die Banken machen nicht.......

PS: Alles ohne Ausrufezeichen ! *g*