DFÜ-Banking sicherer als Internet-Banking?

Knut

Benutzer

Geschlecht: keine Angabe
Beiträge: 16
Dabei seit: 04 / 2006

Betreff:

DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 14:42 Uhr · #1

Ich muss bald beruflich in größerem Maße Geldgeschäfte aus der Ferne abwickeln. Primär denkt man da natürlich an Online-Banking. Allein: Ich habe ein tiefes Misstrauen dagegen. Die Bank bietet aber auch eine Kontoführung per Datenfernübertragung über das normale Telefonnetz an. Das klingt in meinen Ohren schon viel sympathischer, schließlich werden da keine Datenpakete quer durch die Welt auf Reisen geschickt.
Wie sicher ist DFÜ aber tatsächlich? Ist das Missbrauchspotential dort wirklich geringer? Oder gibt es auch dort bereits einige (außer der NSA der Amerikaner), die systematisch das Telefonnetz abhören, um Daten abzugreifen und zu missbrauchen?

Grübel
Knut

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 14:59 Uhr · #2

Es gibt ein Verfahren das die Daten direkt über das Telefonnetz schickt, allgemein wird es unter den Begriffen FTAM, BCS oder auch ELKO geführt.
Die zugrunde liegende Spezifikation heisst Datenfernübertragung mit Kunden.
Alternativ setzt man dazu HBCI mit Übertragung über das Internet ein.
Wobei man sagen muss, das man die beiden Verfahren eigentlich nicht aufgrund ihrer Übertragungsart voneinander abgrenzt, sondern aufgrund ihres gebotenen Leistungsspektrums. FTAM kann in einigen Bereichen einfach mehr, ist dafür aber auch steinalt und an einigen Stellen etwas besonders.

Die Sicherheit der verschiedenen Verfahren hängt im Wesentlichen aber nicht davon ab, über welchen Weg die Daten übertragen werden. Ich weiss nicht was schwieriger zu knacken ist:
-Eine in verschlüsselte Pakete zerhackte Kommunikation über Internet
-Eine (i.d.R.) unverschlüsselte Direkt-Übertragung zwischen Kunde und Bank über ISDN
Die Verschlüsselung an sich ist nur mit Riesenaufwand und theoretisch unter Aufwendung von immenser Hardware und sehr, sehr, sehr viel Zeit knackbar. Die Daten die man dann hat sind aber längst ungültig, interessant wäre das eher zu Zwecken der Industriespionage....

Viel wichtiger ist ob die Legitimationsmedien (PIN/TAN, Unterschriftendatei, Chipkarte) sicher verwahrt werden.
Kommen diese abhanden oder werden ausspioniert, ist das Kind nämlich im Brunnen. Damit kann dann der böse Bube eigenständig (unter gewissen Voraussetzungen) selber tätig werden und missbräuchlich verfügen. Auf den Diebstahl von Zugangsdaten (Legitimationsmedien) zielen alle bisherigen Angriffe ab.

Die Legitimationsmedien für FTAM (DFÜ) sind übrigens die selben wie bei HBCI, nämliche eine RSA-Schlüsseldatei oder noch besser eine entsprechende Chipkarte.
Am wichtigsten Punkt besteht kein Unterschied, die Legitimation des HBCI Verfahrens ist im Prinzip aus dem FTAM Verfahren entnommen worden.

Knut

Benutzer

Geschlecht: keine Angabe
Beiträge: 16
Dabei seit: 04 / 2006

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 15:59 Uhr · #3

Das ging aber schnell!
Danke!

Soweit ich das bei der Bank richtig verstanden habe (muss ich aber noch einmal kontrollieren) ist auch eine Datenübertragung per DFÜ verschlüsselt.
Und natürlich bin ich mir darüber im Klaren, dass auch eine Telefonleitung angezapft werden kann. Ich habe aber die Vorstellung (ok, also das Vorurteil), dass es einfach mehr ungezielte Angriffsversuche im Internet geben mag, als gezielte Versuche, eine Telefonleitung anzuzapfen. Eigentlich glaube ich, dass eine Telefonüberwachung nur staatlicherseits erfolgt. Die ist aber nicht darauf aus, mein Konto ILLEGAL zu plündern (Das machen die ganz legal über die Steuer).
Das Angriffe auf Online-Banking-Nutzer versucht werden, ist an der Tagesordnung. Und ich kann mir nicht vorstellen, dass diese Angriffe fruchtlos sind. Dann würde es ja keiner mehr versuchen. Die Frage ist, steht auch Banking über DFÜ unter so einem Dauerbeschuss?
Oder um es platt auszudrücken. Ein Verfahren ist umso sicherer, desto weniger versucht wird, es zu knacken.

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 54
Beiträge: 6244
Dabei seit: 02 / 2003

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 16:31 Uhr · #4

Hallo Knut,

da Du vom Übertragungsweg sprichst, sit die Aussage vom Captain recht wichtig. Auch bei der Übertragung im Internet erfolgen die Angriffe derzeit nicht auf den Übertragungsweg, sondern in der Regel auf das Legitimationsmedium. Einige Trojanische Pferde greifen inzwischen die Eingabe im Internetbrowser an, indem hier Masken vorgeblendet werden. Aber auch heir ist nicht der Transportweg das Risiko.

Generell ist jeder PC, der irgendwie Verbindung zum Internet potentiell gefährdet. Die weitaus größere Gefahr geht aber vom Leichtsinn und der Gutgläubigkeit des Anwenders aus. Die derzeit erfolgreichen Angriffe, fordern den Anwender dazu auf, seine persönlichen Daten preis zugeben. Dieser Angriff würde auch bei eienr DFÜ Verbindung funktionieren, oder mit deiner EC oder Kreditkarte. Wenn Du mir, weil ich Dir so sympatisch bin

, dein Legitmationsmedium sammt PIN für ein DFÜ Verfahren gibst, kann ich dein Konto genau so leer räumen, wie wenn Du jemandem deine PIN und TAN für das Internetbanking oder die EC Karte sammt PIN gibst.

Wenn Du auf Sicher gehen möchtest, dann verwende eine Software mit Chipkarte. Hier lohnen sich derzeit mögliche Angriffsszenarien für einen Angreifer nicht.

Gruß

Holger

Stoney

Benutzer

Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 16:35 Uhr · #5

Zitat geschrieben von Knut

Die Frage ist, steht auch Banking über DFÜ unter so einem Dauerbeschuss?

Das sollte doch gar nicht die Fragestellung sein, sondern vielmehr ob der Rechner mit dem du dann FTAM machst auch eine Verbindung zum Internet hat. Ein Keylogger macht ja keinen Unterschied, ob es nun eine FTAM-PIN oder was auch immer ist

Raimund Sichmann

Benutzer

Geschlecht: keine Angabe
Beiträge: 8346
Dabei seit: 08 / 2002

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 12.04.2006 - 21:07 Uhr · #6

In der Realität hat FTAM wegen der komplizierteren Technik (ISDN) einen Sicherheitsvorteil, es ist halt etwas, was nicht jeder User zuhause hat, im Gegensatz zum "ordinären" Internet. Die Gefahren sind aber, wie bereits dargelegt, eigentlich die gleichen, sobald der PC auch Internetanschluss hat.

Da ich persönlich auch ungerne auf das Internet verzichten würde, würde ich in den meisten Fällen der bequemeren Chipkarte und HBCI den Vorzug geben und natürlich ist es am wichtigsten, den Rechner aktuell zu halten, auf dem alles laufen soll.

Wichtiger wären noch die Leistungsanforderungen, z.B. wieviel Buchungen werden denn gemacht? Ab einer gewissen Stückzahl läuft es mit FTAM doch in den meisten Fällen geschmeidiger.

Hamick

Benutzer

Geschlecht: keine Angabe
Beiträge: 59
Dabei seit: 11 / 2005

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 13.04.2006 - 01:10 Uhr · #7

Hallo Knut,

Zitat geschrieben von Knut

Die Frage ist, steht auch Banking über DFÜ unter so einem Dauerbeschuss?

Das Banking steht nicht unter "Dauerbeschuss". Angegriffen werden alle Rechner, die Sicherheitslücken aufweisen. Unabhängig, ob mit dem Rechner Onlinebanking gemacht wird oder nicht. Schließlich kann der Hacker Deinen Computer auch für andere Sachen missbrauchen, ihn z.B. in sein Bot-Netz integrieren und so für DOS-Attacken, Spam usw. nutzen. Die Angriffe auf das Banking laufen viel häufiger über "social engineering" ab, das heisst der Anwender hilft unwissentlich mit, indem er z.B. beim Phishing brav dem E-Mail-Link folgt und seine Legitimationsdaten auf einer gefälschten Website eingibt.

Wenn Du mit FTAM und ISDN arbeitest und der Rechner über keine Internetverbindung verfügt, hast Du den Vorteil, dass Du nicht dauernd neue Patches und Service-Packs einspielen musst. In diesem Fall kann FTAM als sicherer bezeichnet werden. Allerdings glaube ich nicht, dass dies heutzutage noch funktioniert. Ich kenne fast keine Software, die nicht online, also übers Internet, aktualisiert werden muss. Gerade im kaufmännischen Bereich bekommen wir für Lohn- und Gehaltsoftware, Krankenkassenabrechnung, usw. die notwendigen aktuellen Änderungen nur noch über das Netz. Ach ja, Elster gibt es dann ja auch noch.

Wenn Du ins Internet musst, bringt Dir also FTAM unter Sicherheitsaspekten nichts. Sicherheit erreichst Du dann nur mit Virenscanner, Firewall und raschem Einspielen der verfügbaren Patches. Wie von Stoney schon gesagt, einem guten Trojaner ist es grundsätzlich egal mit welchen Sicherungsmedium gearbeitet wird.

Für den Fall, dass Du über eine zentrale Firewall im Netzwerk verfügst, kann FTAM sogar ein zusätzliches Sicherheitsloch aufreissen: nämlich dann, wenn es dem User gelingt, über die ISDN-Karte und das DFÜ-Netz ins Internet zu gelangen und so die Firewall zu umgehen. Falls Du per DSL angebunden bist, kannst Du Dir wegen der ISDN-Anbindung bei FTAM auch einen Dialer einhandeln, was ohne ISDN nicht möglich ist.

Deshalb solltest Du Dich an den Rat von Raimund halten und in Abhängigkeit von Deinen Leistungsanforderungen zwischen HBCI mit Chipkarte oder FTAM wählen.

Viele Grüße

Hamick

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 13.04.2006 - 07:15 Uhr · #8

Im übrigen:

Das jetzige DFÜ Verfahren (FTAM) ist gerade im Wandel. Ziel ist es, die etwas in die Jahre gekommene Direktanwahl per ISDN mit dem Protokoll X.75 abzulösen. Es wird gerade ein Nachfolger geschaffen (EBICS) der ebenfalls mit den Banken über Internet verschlüsselt kommuniziert.
Die Spezifikationen sind an sich fertig, Mitte/Ende 2007 muss das jede Bank anbieten. FTAM dagegen wird bis 2010 eingestampft.

Ich denke auch daran kann man erkennen, dass die verschlüsselte Übertragung von Daten über ein offenes Netz an sich nicht das Risiko darstellt.

Zitat geschrieben von Knut

Soweit ich das bei der Bank richtig verstanden habe (muss ich aber noch einmal kontrollieren) ist auch eine Datenübertragung per DFÜ verschlüsselt.

Im Normalfall ist sie es nicht. Urspünglich gab es bei FTAM keine Verschlüsselung, später hat man sie mit aufgenommen - quasi nachgeschoben.
Eingesetzt wird sie aber so gut wie nie, ich glaube die Verschlüsselung kann auch nicht jede Bank in jeder Konstellation anbieten. Im Normallfall sollte da auch nicht erforderlich sein, schliesslich ist die Übertragung an sich ja nicht das Problem.

Knut

Benutzer

Geschlecht: keine Angabe
Beiträge: 16
Dabei seit: 04 / 2006

Betreff:

Re: DFÜ-Banking sicherer als Internet-Banking?

· Gepostet: 13.04.2006 - 08:12 Uhr · #9

Danke!
Das habe ich jetzt kapiert.
Die Sicherheitsbedrohung geht also vom Internetanschluss selbst aus, unabhängig von der Form, wie ich die Daten zur Bank übertrage.

Dann bekommt der Rechner für das Banking eben generell KEINEN Internetanschluss. Keine Verbindung zum Internet und Banking über DFÜ. Das müsste dann doch unter den derzeitigen Möglichkeiten das Beste sein. Ein Stand-Alone-Rechner sozusagen.