Hallo, zusammen!
Liege gerade mit akuter Rüsselseuche im Krankenbett danieder - und da Onlinebanking für mich aus bestimmten Gründen demnächst nicht mehr vermeidbar ist
, habe ich mal etwas das Netz durchstöbert!
Zunächst: Kompliment für dieses kompetente und faire/ unabhängige Forum - habe mich jetzt den ganzen Tag über auf Eurer Seite in die verschiedenen Kategorien eingelesen und schon ein ganz gutes erstes Gefühl für diese Baustelle.
Ich will mal kurz sortieren, was ich (vermutlich
) schon verstanden habe zum Thema "Online-Banking absichern" und dann eine Frage dazu loswerden!
NB: Komme selbst aus der IT- und Software-Entwicklungswelt - über allgemeine Verhaltensweisen bei Internetnutzung bin ich also wohl im Bilde (und ich gehöre auch zu den Leuten, die täglich Backups machen und die außer Haus lagern *angeb*).
Damit ist mir auch ziemlich glasklar klar: Das Hauptproblem befindet sich meist zwischen Bildschirm und Lehne !
Also - was habe ich bis jetzt verstanden:
Grundlagen
- rein Browser-basiertes Arbeiten ist immer angreifbar (war schon (fast) immer so)
- gegen Phishing / Pharming (nicht nur beim Online-Banking) hilft nur "Augen auf"
- mit Firewall, Virenschutz etc. ist es allemal besser als ohne, aber sicher ist man damit nicht
- regelmäßig die Kontobewegungen auf Unregelmäßigkeiten prüfen, ggf. Tageslimits setzen etc. ist ebenfalls hilfreich, um einen eventuellen Schaden zu minimieren
1-Kanal-Kommunikation
- Browserzugang per HTTPS sowie PIN als Login-Absicherung
- papierne TAN-Listen zum Absichern einzelner Transaktionen
- papierne indizierte TAN-Listen zum Absichern einzelner Transaktionen (höhere Sicherheit durch nicht vorhersehbare Reihenfolge)
Problem: Alles bis hier basiert auf einer 1-Kanal-Kommunikation - und ist die kompromittiert...
2-Kanal-Kommunikation (ich verwende mal die mir vertrauten Sparkassenbegriffe)
- chipTAN: ein mit dem Bank-Server einmalig synchronisierter elektronischer TAN-Generator erzeugt TANs, die jeweils nur kurzzeitig gültig sind und an die Empfänger-Kontonummer gebunden sind
- smsTAN: die Bank erzeugt eine auf die konkrete Transaktion gebundene TAN und sendet sie inklusive Betrag etc. per SMS auf mein Mobil-Telefon
- HBCI: irgendwas mit einem Kartenleser und einer Chip-Karte als Authentifizierung (wobei das Problem zu sein scheint, daß man nicht sieht, was man signiert)
- Secoder-basierte Lösung (ebenfalls Kartenleser und Chipkarte), aber man sieht, für welches Konto man da gerade signiert (und diese Info wird hash-gesichert an die Bank übertragen, die damit MITMs erkennen kann)
Wat verjessen?
Da es Zweikanal gibt, würde ich persönlich von Ein-Kanal ganz klar die Finger lassen.
Bzgl. Zweikanal nun meine Frage:
Wenn ich mal die Unterschiede bzgl. Hardware-, Software- und Handling-Aufwand ganz explizit außen vor lasse, scheinen mir die Verfahren 1., 2. und 4. gleich sicher - oder gibt es diesbezüglich Unterschiede (zumindest bei dem "einfachen" HBCI bin ich gefühlsmäßig etwas skeptischer)?
Gruß! SF
Liege gerade mit akuter Rüsselseuche im Krankenbett danieder - und da Onlinebanking für mich aus bestimmten Gründen demnächst nicht mehr vermeidbar ist
, habe ich mal etwas das Netz durchstöbert!
Zunächst: Kompliment für dieses kompetente und faire/ unabhängige Forum - habe mich jetzt den ganzen Tag über auf Eurer Seite in die verschiedenen Kategorien eingelesen und schon ein ganz gutes erstes Gefühl für diese Baustelle.
Ich will mal kurz sortieren, was ich (vermutlich
) schon verstanden habe zum Thema "Online-Banking absichern" und dann eine Frage dazu loswerden!
NB: Komme selbst aus der IT- und Software-Entwicklungswelt - über allgemeine Verhaltensweisen bei Internetnutzung bin ich also wohl im Bilde (und ich gehöre auch zu den Leuten, die täglich Backups machen und die außer Haus lagern *angeb*).
Damit ist mir auch ziemlich glasklar klar: Das Hauptproblem befindet sich meist zwischen Bildschirm und Lehne
!
Also - was habe ich bis jetzt verstanden:
Grundlagen
- rein Browser-basiertes Arbeiten ist immer angreifbar (war schon (fast) immer so)
- gegen Phishing / Pharming (nicht nur beim Online-Banking) hilft nur "Augen auf"
- mit Firewall, Virenschutz etc. ist es allemal besser als ohne, aber sicher ist man damit nicht
- regelmäßig die Kontobewegungen auf Unregelmäßigkeiten prüfen, ggf. Tageslimits setzen etc. ist ebenfalls hilfreich, um einen eventuellen Schaden zu minimieren
1-Kanal-Kommunikation
- Browserzugang per HTTPS sowie PIN als Login-Absicherung
- papierne TAN-Listen zum Absichern einzelner Transaktionen
- papierne indizierte TAN-Listen zum Absichern einzelner Transaktionen (höhere Sicherheit durch nicht vorhersehbare Reihenfolge)
Problem: Alles bis hier basiert auf einer 1-Kanal-Kommunikation - und ist die kompromittiert...
2-Kanal-Kommunikation (ich verwende mal die mir vertrauten Sparkassenbegriffe)
- chipTAN: ein mit dem Bank-Server einmalig synchronisierter elektronischer TAN-Generator erzeugt TANs, die jeweils nur kurzzeitig gültig sind und an die Empfänger-Kontonummer gebunden sind
- smsTAN: die Bank erzeugt eine auf die konkrete Transaktion gebundene TAN und sendet sie inklusive Betrag etc. per SMS auf mein Mobil-Telefon
- HBCI: irgendwas mit einem Kartenleser und einer Chip-Karte als Authentifizierung (wobei das Problem zu sein scheint, daß man nicht sieht, was man signiert)
- Secoder-basierte Lösung (ebenfalls Kartenleser und Chipkarte), aber man sieht, für welches Konto man da gerade signiert (und diese Info wird hash-gesichert an die Bank übertragen, die damit MITMs erkennen kann)
Wat verjessen?
Da es Zweikanal gibt, würde ich persönlich von Ein-Kanal ganz klar die Finger lassen.
Bzgl. Zweikanal nun meine Frage:
Wenn ich mal die Unterschiede bzgl. Hardware-, Software- und Handling-Aufwand ganz explizit außen vor lasse, scheinen mir die Verfahren 1., 2. und 4. gleich sicher - oder gibt es diesbezüglich Unterschiede (zumindest bei dem "einfachen" HBCI bin ich gefühlsmäßig etwas skeptischer)?
Gruß! SF