Mein Sicherheitskonzept

Hmmm,

wo soll man da anfangen?

1. Erkläre mir bitte, was du mit HBCI und was du min FinTS meinst. Ich habe nämlich den Verdacht, dass du dich nicht mit den vielen Sicherungsverfahren befasst hast, die sich hinter diesen Oberbegriffen verbergen.

2. Zwei Banken halte ich für Unsinn. Du holst dir nämlich mit der Offlinebank das weitaus größere Risiko ins Haus, wenn du bei der Onlinebank auf Sicherheit achtest aktuellste Verfahren nutzt.
Warum? Die Schadensfälle im beleghaftne ZV (z.B. gefälschte Überweisungen) liegen im Bereich von 0,x %. Im Onlinebanking reden wir incl. Pishing von 0,00x %.

=> Den höschsten Sicherheitsstandard haben im Moment die aktuellen Chip- oder SMS-Tanverfahren. Wichtig ist der Medienbruch auf das externe Gerät und der Transaktionsbezug bei bei der Tangerierung, also dass dir im Tangenerator ider in der SMS z.B. Empfängerkontonummer und Betrag angezeigt werden. Damit (offene Augen vorausgesetzt. Das zweite Konto halte ich für Unsinn...

CU
Frank

Danke schonmal für die Antworten.

>1. Erkläre mir bitte, was du mit HBCI und was du min FinTS meinst. Ich habe nämlich den Verdacht,
> dass du dich nicht mit den vielen Sicherungsverfahren befasst hast, die sich hinter diesen
> Oberbegriffen verbergen.

FinTS ist meines Wissens nach eine höhere Version von HBCI. Es hat modernere Sicherheitskonzepte, wobei ich allerdings nur von einem längeren Schlüssel von 2048 Bit weiß. Was sich konkret an der Signatur über die Chipkarte oder Schlüsseldiskette geändert hat, weiß ich nicht. Ich weiß aber, dass es drei Signaturverfahren gibt RSA-Schlüsseldiskette, DES-Chipkarte, RSA-Chipkarte. Wobei ich hörte, dass Letztere die sicherste Methode sei. Aber auch die Teurste. Desweiteren hat man unter FinTS auch das PIN/TAN-Verfahren eingeführt, welches wohl auch mit HBCI möglich war, allerdings nur inoffiziell und es wurde auch unter anderem Namen geführt. Der Unterschied zwischen dem Signatur und dem PIN/TAN-Verfahren denke ich, dürfte offensichtlich sein. Ich hoffe, dass das die wesentlichen Punkte sind. Wenn nicht, würde ich mich über Hinweise freuen. Den Rest weiß ich mir dann alleine zusammen zu suchen.

Mir geht es vorallem um das Signaturverfahren von FinTS, da ich hörte, dass es das Sicherste sei. Übrigens auch sicherer als das PIN/TAN+SMS Verfahren, bei dem seit Anfang 09 ein Exploit bekannt wurde.

>2. Zwei Banken halte ich für Unsinn. Du holst dir nämlich mit der Offlinebank das weitaus größere >Risiko ins Haus, wenn du bei der Onlinebank auf Sicherheit achtest aktuellste Verfahren nutzt.
>Warum? Die Schadensfälle im beleghaftne ZV (z.B. gefälschte Überweisungen) liegen im Bereich >von 0,x %. Im Onlinebanking reden wir incl. Pishing von 0,00x %

Interessant. Aber ich würde dennoch Skeptisch bei den Zahlen sein. Wo könnte ich denn solche offiziellen Statistiken einsehen? Und zweitens muss man sich fragen, ob vielleicht nicht unter bestimmten Bedingungen dennoch online Banking gefährdeter ist. Also das offline Banking zwar generell mehr Schaden verursacht, der Schaden aber vielleicht nur von einer bestimmten Gruppe verursacht wird, weil diese bestimmte Richtlinien nicht beachten. Man aber selber, sofern man jene Richtlinien befolgt, eine 100%ige Sicherheitschance besitzt.
Das sind allerdings nur Vermutungen. Ich habe mich mit offline Banking und Sicherheit nicht befasst.

Aber nehmen wir doch tatsächlich mal an, dass offline Banking gefährlicher ist. Dann könnte man immernoch zwei online Bankingkonten einrichten. Eines zum Lagern und eines zum Zahlen an Dritte. Fakt ist, dass je weniger man mit einem Konto agiert, die Angreifer desto weniger Angriffsfläche und Chancen geboten bekommen und die Wahrscheinlichkeit auf eine erfolgreiche Attacke sinkt.
Natürlich muss man auch das Szenario betrachten.
Ein manipuliertes Bankprogramm am stationären Hauptrechner kann durchaus nur eine Angriffsgelegenheit brauchen, um Schaden anzurichten. Daher wäre es im Grunde egal, ob man nun ein Konto oder mehrere hat, denn sobald man einmal drauf zugreift, wird die Falle aktiviert.
Aber angenommen, man ist mobil und nutzt fremde Rechner. Dann wäre ein isoliertes Konto durchaus rentabel. Das Konto wird attackiert, aber da nur ein kleiner Betag drauf ist, entsteht kein Schaden und das Hauptkonto bleibt unantastbar und vermutlich sogar vollkommen unsichtbar.
Es ist auch fraglich, welche Schwachstellen es in Zukunt geben wird. Gehen wir vom schlimmsten Fall aus, dann könnte ein Angreifer volle Kontrolle über ein Konto erlangen. Das einzige, was einen in so einer Situation schützen würde, wäre das Geld auf mehrere Konten zu verteilen und zu verstecken. Nachteile wären jedoch, dass man erhöhte Kontoführungsgebühren zahlt, es mehr Aufwand ist und wenn man großes Pech hat, der Exploit genau bei der Bank auftritt, wo man sein Hauptkonto besitzt.

Ich bin beim besten Willen kein Experte auf dem Gebiet. Das sind alles nur reine Theorien eines Laien. Aber ich finde, meine Ansätze haben Potential.

>Tja, Moneypenny deckt auf so ideale Art die Bedenken der Sicherheitsparanojatypen ab (keine
> Updates und keine Nebenkosten, freies Exportdatenformat...) und trotzdem wenn alle anderen
> ihre regelmäßigen Updates einspielen und man selbst "nichts tut" bekommt man manchmal
> doch irgendwie Bauchweh.
>Sorry, ich gebe zu....
>Irgendwie will man als User den Hals gekrault haben.

Das klingt nach leichter Satire. Sollte ich etwa einen wesentlichen Schwachpunkt bei MoneyPenny übersehen haben?

MfG.

Vorsicht ist sicher gut...aber irgendwo hat alles seine Grenzen.
Wenn du dir das Onlinebanking so umständlich machst, ist deren Sinn irgendwie für mich weg...!
Klar solltest du Vorsichtig sein und dir auch Gedanken machen, was du gerade wo eingibst...aber hey bleiben wir doch realistisch.
1. Gibt es auf die Menge aller Onlineüberweisungen nur eine Handvoll Betrugsfälle (welche in den meisten Fälle auch noch auf den Kunden zurückzuführen sind und mit dem PIN/TAN Verfahren zu tun haben)
2. Wenn du echt soviel Bammel hast, lass dir doch ein Limit einräumen, was am Tag Online verfügbar ist (gehe davon aus, dass das alle Banken anbieten). Lege das auf z.B. 500 Euro fest...dann können auch nur 500 Euro "gemopst" werden.
3. Um sowas Komplexes wie das HBCI-Verfahren (egal ob Software oder Chipkarte) zu knacken musst du auch erstmal ein lohnendes Ziel sein.

Ich weiß ja nicht, mit welchen Summen du so jeden Tag zu tun hast, aber ich würde mich einfach nicht so sehr der Technik unterstellen.
Pass einfach auf, das dein System immer aktuell ist, lass deine Sicherheitsdatei nicht rumliegen, denke dir ein wirklich gutes Kennwort/eine gute Pin aus und pass etwas auf, was du gerade wo eingibst.

Ich sehe bei uns in der Bank regelmäßig Kunden mit XP, welche seit 6 Monaten ohne Virenschutz und mit alter Firewall unterwegs sind und nochnichtmal wissen, wo der Unterschied zwischen Diskette und USB-Stick liegt und denen ist auch noch nie was passiert.

Das soll nicht heißen, dass das OK ist (ich versuche da auch immer aufzuklären...was natürlich super klappt...Hüstl), aber du siehst irgendwo ist die Sicherheitsparanoia mehr Hinderlich als Förderlich.
Und mit zwei Banken anzufangen ist totaler Quatsch...wenn unbedingt lass dir doch eines deiner Konten einfach nicht fürs Onlinebanking freischalten.

Klar, jeder soll es so händeln wie er/sie für richtig hält (Leben und Leben lassen).

Ich würde auch nie jemandem Raten sich Achtlos und ohne Schutz in das Onlinebanking zu stürzen.
Aber es wurde halt gefragt, was wir vom Sicherheitskonzept halten bzw. wie man es verbessern kann.
Ich finde, dass man mit HBCI und einem sauberen System und etwas Aufmerksamkeit einer minimalsten Gefahr ausgesetzt ist.
Ob sich der Mehraufwand mit 2 Banken und evtl. noch 2 Rechnern (habe ich auch schon oft genug gehört) usw. lohnt muss dann jeder für sich entscheiden...ich finde nicht.

Aber natürlich stimmt dein Beispiel schon.
Mit Airback und Gurt fährt man recht sicher...aber keiner deiner Bekannten fährt extra zu bestimmten Zeiten bestimmte Strecken, weil dann dort das Unfallrisiko niedriger ist. Es gibt halt einfach irgendwann eine Grenze, wo sich der Mehraufwand nur noch minimal lohnt.

Aber es stimmt schon, besser einmal zuviel nachdenken als einmal zuwenig!