Bedrohungen beim Onlinebanking

Wo siehst du da das Problem, oder Lücke? Meinst du intermediäre Dienste wie Pago?



Ist nur bei der Postbank so, soll aber wohl ja noch angepaßt werden. Es gibt also nicht generell eine Hintertür bei i-Tan

@ Stoney ... ich habe gehört/gelesen es gibt Anbieter die ein "Touchpad" auf Ihrer Webseite anbieten...bei dem die Kunden Ihre Pin oder Tan Nummern dann nicht mehr per Tastatur eingeben, sondern per "Mausklick".
Über Screen Scaping Programme können dann die Mausbewegungen ausgelesen werden und somit eingegebenen Nummern rekonstruiert werden!
Von Pago habe ich bis jetzt noch nichts gehört, was ist das??

@ i2017377 ... diesen Fall meinte ich mit den Punkten 8 + 9 abgedeckt zu haben, oder nicht?!?!

Dann ist es allerdings nicht Screen Scrapping (das ist ein Verfahren, dass von StarMoney als erstes angeboten wurde, um auch Banken erreichen zu können, die keinen Standard wie HBCI oder den alten ZKA-Dialog anbieten), sondern eher Screen-Logging

Intermediäre Dienste, z.B. Pago, nutzen die HBCI-Schnittstelle oder arbeiten auch per Screenscrapping um z.B. im Fall Pago ein Bezahltsystem im Internet mit einer garantierten Zahlung anzubieten. Letztendlich wird PIN und TAN auf der Pago-Seite eingegeben und nicht auf der Banking-Seite, was natürlich ein Verstoß gegen die gängigen Onlinebedingungen bedeutet. Die Daten werden dann per HBCI oder Screenscrapping an die Bank übertragen...

Hallo zusammen,

Zum Thema Man-in-the-middle muss ich vorallem an Handys, PDAs und wie sie alle heissen denken...
1. T-Online bietet immer noch SMS-Banking an, was ich persönlich für bedenklich halte da oft gesendete SMS gespeichert werden.
2. Bei dem Thema WAP Banking von T-Online kenne ich mich jetzt nicht so aus, sollten aber -wie viele T-Online User es praktizieren - die TANs gespeichert werden können, ist hier sicherlich auch ein Problem da.

Ich lasse mich gerne korrigieren, aber imho ist es relativ einfach analog zu Wardriving die Bluetooth Schnittstellen des Handys anzuzapfen. Ist man dann drin, kann sich jeder ausmalen was möglich ist (SMS mit der PIN lesen, auf ungeschützten SmartPhones Applikationsdaten auslesen...)

3. Ein Verbot von den "Man-in-the-middle" Dienstleister in Deutschland wird sicherlich nicht allzuviel bringen, siehe Beispiel der Kopiersoftwarehersteller, die Firmen sind dann schneller mit einer Tochterfirma im Ausland als man denken kann

@vuenv
Gehört vielleicht nicht

Ups ..... da habe ich wohl zu schnell gepostet ops:

Was ich sagen wollte war:
Gehört vielleicht nicht unbedingt hier hin, aber bei den Sicherheitsrisiken könnte man *vielleicht* bei synchronen Schlüsselverfahren die Gefahr hinzufügen, dass ein Dritter nicht eindeutig ermittel kann, ob Bank oder Kunde die Nachricht erstellt hat. Spielt hier vielleicht nicht so die Rolle (siehe auch Thread) aber für einen Kryptographen ist es ein theoretisches Risiko. Praktisch allerdings nicht relevant.

Gruß,
Sam

So wie ich die Profs kenne, wollen diese zunächst eine Übersicht aller theoretisch denkbaren Bedrohungen, wobei man dann im Verlauf der Arbeit Bedrohungen ausschließt.

Profs die lange im Dienst und von der Praxis weg sind, tendieren IMMER dazu Theoretiker zu werden, also ist es sehr wahrscheinlich, dass man einen Punkteabzug für in deren Augen nicht genannte Bedrohungen bekommt.

Jetzt musst du entscheiden in wie weit dein Prüfer ein Theoretiker ist :roll: