Online Banking nicht mehr sicher?

Laut BSI ist TLS 1.0 derzeit angreifbar!

 
kragenbär
Benutzer
Avatar
Geschlecht:
Herkunft: Bayern
Beiträge: 79
Dabei seit: 09 / 2010
Betreff:

Online Banking nicht mehr sicher?

 ·  Gepostet: 24.09.2011 - 18:00 Uhr  ·  #1
Hallo,

über diese Meldung die ich soeben vom Bürger-Cert als technische Warnung erhalten habe, bin ich doch schon sehr erstaunt!

Auch wenn der Angriff nur nach einem erfolgreichen,vorgelagertem Man in the Middle Angriff erfolgen kann, klingt es doch höchst alarmierend wenn z.B. eine Online-Banking Session vom Angreifer übernommen werden kann.

Ich hoffe mal,dass dies mit einer Software wie z.B. StarMoney nicht funktioniert...

In Heise.de Security habe ich darüber noch nichts gefunden...


:(
Kragenbär

Bürger Cert
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8221
Dabei seit: 08 / 2002
Betreff:

Re: Online Banking nicht mehr sicher?

 ·  Gepostet: 24.09.2011 - 19:18 Uhr  ·  #2
Das entspricht wohl diesem hier:
http://www.heise.de/security/m…46257.html

Zitat geschrieben von heise
Die Forscher gaben lediglich an, dass BEAST zum einen auf JavaScript-Code basiert, der in den Browser des Opfers injiziert werden muss.


Ich würde als Laie im Bezug auf Verschlüsselung, Netzwerktechnik und im Zusammenhang mit dem Onlinebanking sagen: Hey, was soll´s ;)
Wenn doch tatsächlich ein Fremder auf meinem Rechner oder in meinem Netz bereits irgendetwas "injizieren" kann, dann ist´s eh zu spät, dann kann er mir auch gleich einen Aldi-Trojaner unterjubeln und mich auf die klassische Art über´s Ohr hauen.
Denn damit ist es ja nicht getan: Einen modernen Onlinebanking-Zugang mit Zwei-Schritt-Verfahren mobile/SMS TAN oder SmartTAN optic (ChipTAN) oder besser noch mit Secoder kann auch ein Mitlesen oder Manipulieren der SSL-Verschlüsselung bei aufmerksamer und bestimmungsgemäßer Nutzung nicht aus den Takt bringen. Der User erkennt ja die Manipulation.
Bei HBCI/FinTS-Nutzung ist der Ansatz eh fraglich. So wie ich das sehe: Der Angriff hätte meiner Meinung gar nicht genügend Zeit, um die Verbindung zu knacken und auszuspähen.

Das geb ich mal zur Diskussion. Beunruhigend ist das Ganze aber schon - schlimmer finde ich allerdings die gehackten SSL-Server. Wußtet ihr eigentlich, dass der Eigentümer des unseligen niederländischen DigiNotar Vasco ist, der Hersteller von TAN-Lesern?

Gruß
Raimund
Gewählte Zitate für Mehrfachzitierung:   0