PIN/TAN mit iTAN - sicher?

Benutze HBCI Chip Karte mit separaten Kartenlesegerät.
Bin ich hier auf der sicheren Seite?

Leider geht mit der DIBA nur Pin und iTan. Pin und iTan halte ich für unsicher. Trojaner !!
HBCI haben die nicht.
Ist dies berechtigt ?
Arbeite mit Star Money 7.

Gruß
juergenbb

Statistisch ganz klares JA. Das liegt aber nicht an der Sicherheit des Verfahrens sondern daran, dass dieses Verfahren nur mit Software nutzbar ist und es bisher keinen Hack für ein Softwareprodukt gibt. Die Hacker konzentrieren sich eher auf Browser.


Ob es berechtigt ist, weiß ich nicht. Es wird seine Gründe haben. Wenn es dir - verständlicherweise - zu unsicher ist, solltest du dort kein Onlinebanking machen oder die Bank wechseln. Wenn du ein paar kleine Punkte beachtest bist du damit aber auch relativ sicher:
1. Rufe die Bankseite niemals über Favoriten oder Suchmaschinen auf
2. Darauf achten, dass die Bankseite das grüne Schloß hat und oben in der URL Zeile die Adresse wirklich stimmt (JEDER Buchstabe muss stimmen)
3. Achte immer darauf, ob die Webseite der Bank "wie immer" aussieht. Falls nicht, sofort bei der Bank nachfragen, ob die Webseite geändert wurde (über einen anderen Kommunikationsweg, nicht auf Ankündigungen auf der Webseite verlassen, auch die könnte gefälscht sein!)
4. In sehr kurzen Zeitabständen die Kontoumsätze kontrollieren und Unregelmäßigkeiten sofort der Bank melden.



Für dich und alle anderen Softwareentwickler wäre das wünschenswert. Auf der anderen Seite sehe ich in der Vielfältigkeit des Marktes aber auch ein erschwerendes Hinderniss für alle Verbrecher und Hacker. Denn das erleichtert es denen nicht gerade, sich auf etwas zu konzentrieren und damit groß abzuräumen.

Und noch etwas ist zu beachten: Was nützt der beste Secoder, wenn der Nutzer es nicht bezahlen will (Schuld wird wieder auf die Banken geschoben) oder korrekt benutzen kann (fehlende Bildung)? Wer auf einer Phishing-Seite 20 TAN-Nummern eingibt wird auch nicht so ohne weiteres wissen, worauf man beim Secoder achten muss und diesen dauerhaft sicher handhaben können. Diesen Personenkreis (den ich für den größten halte) wirst du damit also nicht nachhaltig abgreifen.
Außerdem stellt euch mal vor, es gibt dann nur noch Secocer am Markt von vielleicht 3 Herstellern und plötzlich gelangen irgendwelchen gehackten Firmware-Updates dafür in den Umlauf. Dann sehen wir auch wieder alt aus. Es ist alles nur von Menschen gemacht und wird von Menschen benutzt. Von daher kann man nur immer wieder für Bildung und Vielfältigkeit der Verfahren plädieren. Eine Konzentration wäre m.E. der ganz falsche Weg.

Sollte auch mit Starmoney klappen. Vielleicht nicht per Überweisung sondern als Kontoübertrag. Kannste einfach mal ausprobieren.


Ja, mit einer Software ist man generell ein Tick sicherer als mit einem Browser unterwegs.
Und das iTAN schaffen nicht nur die Sparkassen ab. Das iTAN-Verfahren soll ganz vom Markt verschwinden und abgelöst werden durch chipTAN/sm@rtTAN und smsTAN.


Das Secoder-Verfahren zeichnet sich dadurch aus, dass auftragsbezogene Daten im Display des Kartenlesers erscheinen und man nicht mehr "blind" den Auftrag unterschreibt. Bietet aber nur die Volksbanken-Gruppe an, Sparkassen bieten das garnicht an.

Ich halte es für bemerkenswert, wie in diesem Forum jegliche Kritik an der gegenwärtigen Praxis einer immer größeren Zahl von Verfahren des Online-Banking in Deutschland, kleingeredet wird.

@matrica hat vollkommen Recht!
Wenn ich bei heise-online/Newsticker "Sicherheit Online Banking" eingebe, erhalte ich 147 Treffer. Nicht einer bertifft das HBCI-Verfahren mit Chipkarte!

Vor einigen Jahren behaupteten die, die für die heutige Misere verantwortlich sind, "der Kunde hat das nicht angenommen, er war nicht bereit dafür etwas mehr Geld auszugeben". Heute ist ihr Argument, "der Kunde sieht nicht, was er signiert".
Dennoch, ist das Verfahren nicht geknackt. Die gleiche Leute, die verhinderten, daß das



allgemeinvebindlich wurde, sind die, die mir heute z.B in Straße A bei der Bank das Verfahren und in Straße B bei der Sparkasse das Verfahren anbieten. Jeder in Punkto Sicherheit natürlich der Beste.

@juergenbb
Die Ing-DiBa schreibt mir vor Jahren:



Das ist nach wie vor so! Meine Empfehlung, nimm die Softwarehersteller "hibiscus", AqBanking" oder "moneyplex" als Beispiele für ehrliche deutsche Handarbeit. Es gibt noch mehr. Breche nichts über das Knie, nimm Dir Zeit bei der Auswahl.
Es ist wirklich sehr unübersichtlich und kompliziert geworden, das "eigene" Institut mit der Software in Einklang zu bringen.

@Micheal Döring
Ich habe schon viel Unsinn gelesen... der war gut, den kannte ich noch nicht.

Das ist nach wie vor so! Meine Empfehlung, nimm die Softwarehersteller "hibiscus", AqBanking" oder "moneyplex" als Beispiele für ehrliche deutsche Handarbeit. Es gibt noch mehr. Breche nichts über das Knie, nimm Dir Zeit bei der Auswahl.

Machen diese Programme das "Screenscrapping" bei Pin/Tan nicht?

Bei Star Money vermisse ich halt die Zahlungsterminerinnerung
beim PC Start. Hat nur SM Business. Das ist mir zu teuer.
Probiere gerade moneyplex aus.
Subsembly kommt auch noch zur Probe.

na, da will ich doch auch noch etwas zu meinem Lieblingsthema schreiben.

Die Sache ist leider so kompliziert, weil man die unterschiedlichen Verfahren differenziert nach verwendeter Technik und Angriffsszenario betrachten muss.
Das klassische HBCI-Verfahren mit Chipkarte und Sicherheitsdatei sowie einfache TAN-Verfahren sind deshalb - in der Praxis - wesentlich sicherer, weil es für einen Angreifer einfach einen größeren Aufwand bedeutet, sich in spezielle Onlinebanking-Programme einzuarbeiten und einfach die Verbreitung eine wesentlich geringere ist. Der User hat damit quasi einen Exoten-Bonus. Dem gleichen Effekt hat man bei der Benutzung "besonderer" Betriebssysteme oder Browser. Daher auch Zahlen bei Heise.
In einem "Humvee" bin ich auch sicherer als in einem R4 unterwegs, wenn ich aber statistisch betrachte, wie oft auf solche Fahrzeuge geschossen wird, würde ich doch lieber mit einem R4 fahren. So ist das halt mit Statistiken.

In der theoretischen Betrachtung der Sicherheit wird man zu anderen Ergebnissen kommen. Aber fragt bitte nicht eine Bank und die Entscheider danach: Er wird nie einen Einzelfall betrachten, sondern diese werden fragen: Was kostet welches Verfahren der Bank und welches Risiko entsteht? Wieviel kostet mich eine Umstellung?
In der Kostenbetrachtung spielen allerdings viele Faktoren eine Rolle, um nur mal einige der nicht zu auffälligen zu nennen: Schulungsaufwand von Mitarbeitern und Kunden, Image eines Verfahrens (wie ist die "gefühlte" Sicherheit - keine Bank kann sich einen großen Imageverlust bei der Sicherheit leisten), Kosten des Rechenzentrums (ja, da gibt es auch Unterschiede) und Logistik, etc.
Bitte dabei nicht vergessen, dass die Kosten irgendwie immer der Kunde trägt.

Bei einem Angriff auf HBCI-Programme wäre übrigens meiner Meinung nach Starmoney als das am weitesten verbreitetes Programm gefährdeter als alle anderen. Die Betrüger würden sich halt vermutlich ökonomisch nach der Marktverteilung orientieren. Zumindest sehe ich das ähnlich wie Michael so: Zur Zeit sind die Angriffe auf Bankverfahren noch eher "Massenangriffe" nach dem Zufalls, bzw. "Gießkannenprinzip".

Bei der Sicherheitsbetrachtung der TAN-Verfahren fehlt mir - wie beinahe immer - noch das Angriffsszenario "Social Engeneering". Dagegen wäre HBCI mit Chipkarte oder Secoder über den Browser doch wesentlich besser geschützt und lässt sich nicht so ohne weiteres z.B. über das Telefon herausfinden. Wenn ich überlege, wieviele Kunden - ohne Aufforderung - beim Eintippen der Daten ihre PIN&TAN vor sich hinmurmeln....
http://de.wikipedia.org/wiki/S…herheit%29

@Jürgen:
Du schreibst, dass du die Umbuchungen deines Festgeldes über die Bankenseite mit iTAN machen musst. Ist es die gleiche Bank? Wenn ja, dann kannst du eigentlich nur sicher sein, dass du das richtige Konto angesprochen hast, wenn du danach kurzfristig in Starmoney die Umsätze kontrollierst. Ein trojanisches Pferd könnte dir ja durchaus erfolgreich eine Umbuchung vorgaukeln und schickt das Geld woanders hin.

Bei diesen ganzen Theorien sind allerdings m.E. immer noch die wichtigsten:
Aufmerksam sein,
das von der Bank angebotene Verfahren sollte man vollständig verstanden haben
Rechner sicher halten.

Gruß
Raimund