Verbraucherschützer zum Online-Banking

Dann will ich mal selbst den Thread starten, bevor es ein anderer macht:

Überschrift: Verbraucherschützer schlagen wegen Betrugs bei Online-Banking Alarm
http://www.heise.de/newsticker/meldung/68335
(vom 13.01.2006 17:59)

Wenigstens wird aber der "Schwarze Peter" nicht 100%ig den Banken zugeschoben: "Verbraucher, die sich durch E-Mails von Betrügern auf gefälschte Internet-Seiten lotsen lassen und dort ihre Daten eingeben, könnte Fahrlässigkeit vorgeworfen werden." :roll:

Schade, dass auf den Seiten der Verbraucherzentrale NRW selbst kaum neuere Beiträge und Informationen zu finden sind, wenn man nach dem Stichwort "Phishing" sucht.

Warum lassen sich die Banken eigentlich durch die Bank weg (no pun intended ) hier in die Defensive drängen? Warum rappelt sich nicht mal eine Bank auf und macht eine fette Werbekampagne mit Chipkarten-HBCI und schreibt riesengroß drauf "100% abgesichert gegen phishing". Ich meine, die Technik ist doch da, um so einen Stuss wie das allereinfachste Phishing komplett abzuwehren, und sogar quer über alle Betriebssysteme.

Und die Banken bieten den Neukunden doch allen möglichen Schnickschnack bei der Kontoeröffnung an. (Was hat ein Fußball mit einem Bankkonto zu tun?!?) Da kann doch auch mal eine Bank eine "Offensive zur Online-Sicherheit" machen und eben die Kartenleser als Prämie für Neukunden verteilen. Wie gesagt, die Standards und die Software ist doch nun echt lange vorhanden. Und bei den vorpersonalisierten DDV-Chipkarten muss sich der Kunde noch nicht mal mit ach so schwierigen Ini-Briefen herumschlagen, sondern kann mit der entsprechenden Software sofort loslegen.

Und einen Trojaner, der eine Chipkarte knackt, wurde nun wirklich noch nicht in freier Wildbahn gesichtet. Wird er auch nicht, solange es für die Angreifer vollkommen ausreichend ist, die Blödheit der Phishing-Opfer auszunutzen oder bestenfalls einen keylogger für PIN/TAN zu programmieren.

Liebe Kollegen hier bei der Bank, schickt doch mal ne Nachricht an eure Marketing-Fuzzies...

cstim

Die Idee ist gar nicht so schlecht.
In der Tat gibt es vom Sparkassenverlag sogar eine Infobroschüre zum Thema Online Banking Sicherheit.

Hauptaussage auf der ersten Seite in dicken Lettern (sinngemäß):

Unser Online Banking ist sicher, ist Ihr PC es auch?

Warscheinlich ist den meissten Verantwortlichen die Aussage zu agressiv.

@PauloG
Soweit ich weiß verwendet die Sparkasse nur personalisierte HBCI Karten.
Da benötigt man keinen INI Brief.

Gruß,
Vader

Ich frage mich, ob das wirklich der Fall ist. Die Hardware ist aus dem Grund so teuer, weil der Absatzmarkt bisher zu gering ist. Würden die Banken ihre Kunden standardmäßig mit Kartenlesern ausstatten, würde der Preis dafür gewaltig sinken (ich schätze mal 10-20 Euro pro Klasse 2 Leser).
Gleichzeitig kann man aber auch sagen: Was kostet es die Bank TAN-Listen zu verwalten, oder Kunden mit diesen albernen TAN-Generatoren auszustatten?
In Bezug auf die Phishing-Probleme ist das denke ich eine Milchmädchenrechnung, denn nehmen wir mal an, dass nur einem von hundert Kunden das Konto geplündert wurde (Schaden im Durchschnitt 4000€) ... für das Geld das die Bank aufwendet um ihm aus Kulanz den Schaden zu ersetzen, kann man zumindest alle 100 Kunden mit einem Chipkartenleser ausstatten und noch so einen unnützen Fussball drauflegen.
In der Praxis ist die Zahl der betroffenen zwar "noch" deutlich geringer (eher 1 von 1000), aber das wird sicherlich deutlich zunehmen.



Na wenn das ein Grund ist, diesen Geschäftszweig zu vernachlässigen... warum schafft man es denn dann nicht ganz ab? Wenn ich mitkriege dass die Fiducia ca 3 Monate braucht um (erst durch erheblichen Presse-Druck) eine Cross-Site-Scripting-Lücke im Webbanking zu schließen, kann ich nur sagen: Traurig!
Homebanking ist zwar vielleicht nicht das Kerngeschäft, aber immerhin ein wachsender Geschäftszweig.




Klar, der Grund liegt doch offen auf der Hand: Die Einführung von Browserbanking! Vom Web-Interface aus kann man halt nicht auf irgendwelche Harware-Komponenten, wie Chipkartenleser, zugreifen (ok, vielleicht per Active-X... mir graut es vor der Vorstellung).
Also verzichtet man lieber auf irgendwelchen Sicherheits-Schnickschnack um alles möglichst einfach und benutzerfreundlich zu machen und öffnet Hackern und Phishern damit Tür und Tor...
Um mich da jetzt nicht falsch auszudrücken: Man kann Homebanking sicher und trotzdem benutzerfreundlich gestalten. Allerdings ist das nicht immer leicht zu vereinbaren (weiss ich aus eigener Erfahrung). Was an HBCI ziemlich kompliziert ist, ist die erste Einrichtung. Danach halte ich es für leichter zu handeln als PIN/TAN.
Zumindest denke ich dass ich einem noch so "dummen Kunden" durchaus zutrauen kann eine HBCI-Karte in einen Chipkarten-Leser zu stecken und eine 5-stellige PIN einzugeben, während ich bei so manchen der aktuell geplanten PIN/TAN-Lösungen so meine Zweifel habe. Ich persönlich würde nämlich kein Verfahren benutzen, wo ich eine 16-stellige Nummer in einen TAN-Generator eingeben muss um eine 6-stellige TAN zurückzubekommen, die ich wiederum in meinen PC eingeben muss ...
da ziehe ich doch lieber mit einem kleinen Klappspaten ins Hachmannsfelder-Gehölz...

Btw: Wie ist es mit TAN-Liste verloren, nicht mehr lesbar, versehentlich als Kaminanzünder benutzt...?

Gruss, Marcel

Und warum sollten die Banken das tun? Sollen die Banken auch noch den PC subventionieren? Na ja, wenn es sich rechnen würde, würden die das bestimmt machen Ich denke eher, daß das so abläuft: Kunde will HBCI+Kartenleser weil das ja so sicherer ist, Kunde will aber nicht zahlen, da die Bank ihn ja nötigt, Banking zu machen. Bank sagt, nein zahlen wir nicht, wir bieten doch Banking online an, da braucht man kein Kartenleser. So o.ä. läufts doch oder? :roll:

PIN/TAN ist das bekannte und verbreitet Sicherungsmedium für Online-Banking seitdem es Online-Banking ins Deutschland gibt.
Die Umstellung findet nicht von HBCI zu PIN/TAN oder andersrum statt, sondern fand statt von PIN/TAN (über BTX) zu PIN/TAN (über HBCI). Die Verschiebung fand nicht aus Sicherheitsaspekten sondern aus Kostengründen einerseits und Komfort andererseits statt.

HBCI-PIN/TAN entstand aus der Erkenntnis, das man die schöne HBCI-Schnittstelle mit ihren definierten Nachrichten und Rückmeldungen genauso mit dem bekannten Medium PIN/TAN nutzen könnte.
Zuerst über eine selbstentwickeltes "internes" Konzept im Webbanking, später eben auch als offizielle ZKA-Schnittstelle für Programm von aussen.

Der Aufwand von INI-Brief und Freischaltung war den Sparkassen nicht zu groß. Die Sache war etwas anders:
Zum Zeitpunkt wo man sich entschied HBCI einzuführen gab es nur zwei Lösungen.
1. die RSA Diskette (eben mit INI Brief und drumherum)
2. die DDV Chipkarte

eine RSA Chipkarte war in den Spezifikationen nie vorgesehen und ist tatsächlich erst mit FinTS3 offiziell da. Allerdings in Form der Signaturkarte und als das Medium der Zukunft. Die Entscheidung musste als zwischen Diskette und Karte fallen und hat glücklicherweise bis heute so Bestand.

Das stimmt so nicht ganz. Bei den Sparkassen ist das in der Tat der Fall, aber es gibt einige andere Banken, die früher HBCI als Hauptsicherheitsverfahren angeboten haben. Zum Beispiel wurde bei den Volksbanken PIN/TAN erst wieder viel später eingeführt als die HBCI-Sicherheitsdiskette. Einige Kunden bei den Volksbanken aus dieser Zeit wissen heute noch nichtmal dass es sowas wie PIN/TAN überhaupt gibt. Außerdem kenne ich tatsächlich Leute, die um die Jahrtausendwende rum von ihrer Bank einen Kartenleser geschenkt bekommen haben (ich glaube Citibank, aber nicht sicher...).
Da die es aber zu der Zeit keine akute Bedrohung gab, haben diese Banken zurückgerudert und das für sie preisgünstigere Produkt in den Vordergrund gestellt. Außerdem ließ sich Browserbanking viel besser vermarkten, weil die Kunden kein Client-Produkt kaufen mussten und Geiz ist bekanntlich geil!



HBCI-PIN/TAN entstand aus der Erkenntnis, dass PIN/TAN zu unsicher ist.
Also suchte man sich mal eben einen Standard, der bekannt dafür ist durch gute Kryptographie abgesichert zu sein, ersetzte diese Kryptographie durch eine oberflächliche SSL-Verschlüsselung und nannte das ganze HBCI-PIN/TAN, das klang dann sicher!
...
Die Erkenntnis ist aber nicht so überrraschend! Im Grunde stellt HBCI doch nur ein Kommunikationsprotokoll dar und das könnte man theoretisch auch völlig ohne Kryptographie nutzen... aber wenn man so will, könnte man quasi jedes Kommunikationsprotokoll über PIN/TAN absichern. Der Vorteil an HBCI-PIN/TAN liegt einzig und allein auf der Bankseite, da man zum dekodieren der Nachrichten die gleichen Server benutzen kann, wie bei HBCI, eben weil die Nachrichten gleich aufgebaut sind. Sicherheitstechnisch kann ich aber auch das normale PIN/TAN-Verfahren über SSL absichern und habe den gleichen Effekt. Für den Kunden spielt es also keine Rolle, ob er jetzt PIN/TAN oder HBCI-PIN/TAN macht.

Klar zu BTX-Zeiten war PIN/TAN auch unbestritten ein gutes Sicherheits-Verfahren, weil die Daten zwischen Kunde und Bank über eine "sichere" Telefonleitung gingen. Man-In-The-Middle war da höchstens am Telefon-Verteiler-Kasten möglich.
Im Internet war PIN/TAN aber von Anfang an als Übergangslösung geplant, eben um die BTX-Bestandskunden möglichst reibungslos zu überführen.



Sorry, ich habe mich da vielleicht etwas missverständlich ausgedrückt. Ich meinte damit das Sicherheitsverfahren was Neukunden zu dieser Zeit hauptsächlich angeboten wurde.




Mal ehrlich: Wie groß war denn dieser historische Bestand? Die meisten heutigen Homebanking-Kunden sind meines wissens lange nach BTX eingestiegen. Und praktisch gesehen hatte man seit der Einführung von HBCI jetzt 6-8 Jahre Zeit für eine schrittweise Umstellung.

Naja, über das Thema kann man sich totdiskutieren. Ändern tut sowieso keiner was und demnächst haben wir einen Dschungel aus Properitärlösungen, die es noch viel undurchsichtiger machen, wo die jeweiligen Sicherheitslücken sind...

Unsere Firmenkunden sind zu gut 80 Prozent auf Programmen mit HBCI - die haben i.d.R. auch kein Problem damit für Software, Service und Support einen vernünftigen Preis zu zahlen.

Bei den Privatkunden sieht das leider ganz anders aus.

Viele Gründe sind hier schon genannt worden.

Ein Problem für HBCI ist auch die Tatsache, dass die Mehrheit der Kunden ihre Bankgeschäfte tagsüber abwickeln... und am Arbeitsplatz gibt es halt oft Internet aber selten Chipkartenleser oder Diskettenlaufwerke (abgesehen davon, dass die meisten Admins auch nichts für private Banking-Programme im Firmennetzwerk übrig haben dürften...).

Geiz ist halt geil! :?

Das bezieht sich nicht nur auf Karte und Leser... auch Internet ist am Arbeitsplatz weit günstiger als zu Hause.