Sicherheit beim mobilen banking

 
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Sicherheit beim mobilen banking

 ·  Gepostet: 24.08.2012 - 15:02 Uhr  ·  #1
Hallo leute

Ich plane in absehbarer Zeit auch Bankgerschäfte mobil zu tätigen

Ich wollte mal fragen was es für Möglichkeiten gibt, das Smartphone eingermaßen sicher zu machen ( Software,Einstellungen evtl Rooting etc.)

edit:
Kunde Raifeisenbank Fiducia

grüße fireskyer
obnutzer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1095
Dabei seit: 03 / 2010
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 24.08.2012 - 15:16 Uhr  ·  #2
Zitat geschrieben von fireskyer
Ich wollte mal fragen was es für Möglichkeiten gibt, das Smartphone eingermaßen sicher zu machen ( Software,Einstellungen evtl Rooting etc.)

Es ist nicht zugelassen, einen Auftrag auf einem mobilen Gerät zu erfassen und mit dem selben Gerät die TAN zu empfangen.
Von daher würde es für den Status "einigermaßen" reichen, das mobile Gerät niemals mit dem anderen Gerät zu synchronisieren, mit dem die Aufträge erfasst werden.
Für am sichersten halte ich die Kombination Smartphone für Erfassung + Billig-Popel-Handy für den TAN-Empfang. Dann kann nichts passieren, weil auf dem Billig-Handy keine Trojaner zur Ausführung kommen kann.
klopfer
 
Avatar
 
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 24.08.2012 - 19:07 Uhr  ·  #3
Zitat geschrieben von obnutzer

Es ist nicht zugelassen, einen Auftrag auf einem mobilen Gerät zu erfassen und mit dem selben Gerät die TAN zu empfangen.


Wo steht das fireskyer die mobile TAN nutzt/nutzen will? Mit dem optic-Verfahren ist das problemlos möglich.

Zitat geschrieben von obnutzer

Für am sichersten halte ich die Kombination Smartphone für Erfassung + Billig-Popel-Handy für den TAN-Empfang. Dann kann nichts passieren, weil auf dem Billig-Handy keine Trojaner zur Ausführung kommen kann.


Das geht nicht, da die Rechenzentren (zumindest bei den GENO-Banken) die mobileTAN/SMS-TAN etc. sofort blocken, sobald ein smartphone über die mobile- bzw. Homepage der Bank auf das InternetBanking zugreift.
obnutzer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1095
Dabei seit: 03 / 2010
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 24.08.2012 - 20:13 Uhr  ·  #4
Zitat geschrieben von klopfer
Wo steht das fireskyer die mobile TAN nutzt/nutzen will? Mit dem optic-Verfahren ist das problemlos möglich.

Stimmt, das hatte ich vergessen zu erwähnen. Ist in der Praxis einfach zu selten, dass jemand chipTAN mit Smartphone anstrebt.
Macht meine Aussage aber nicht falsch. Das zweite Gerät ist dann eben nicht das Popel-Handy sondern der TAN-Generator wo man die Bankkarte reinsteckt, um die TAN am Display des Smartphone zu erzeugen.

Zitat geschrieben von klopfer
Das geht nicht, da die Rechenzentren (zumindest bei den GENO-Banken) die mobileTAN/SMS-TAN etc. sofort blocken, sobald ein smartphone über die mobile- bzw. Homepage der Bank auf das InternetBanking zugreift.

OK, das wußte ich nicht.
Bei sparkassentauglichen App's sowie bei Webseiten der Sparkassen gibt es da Unterschiede. Nicht alle Sparkassen nutzen das Standard FI-Internetbanking mit integrierter Browser-Weiche und nicht alle App's blocken pauschal smsTAN. Da fireskyer aber ein Fiducia-Kunde zu sein scheint (aus anderem Thread) wären meine diesbezüglichen Sparkassen-Detaillierungen sinnlos.
Vielleicht ein Tipp: Starmoney Mobile wäre eine App, die smsTAN nicht pauschal blockt. Das ist dann natürlich RZunabhängig.
ABER: Bitte nicht die TAN auf dem selben Gerät empfangen! Sonst: Wesentliches Sicherheitsmerkmal des Verfahrens ausgehebelt und damit trojaneranfällig und grob fahrlässig und Verlust der Bankhaftung für Schäden > 150,--!
klopfer
 
Avatar
 
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 25.08.2012 - 11:09 Uhr  ·  #5
Zitat geschrieben von obnutzer

Bei sparkassentauglichen App's sowie bei Webseiten der Sparkassen gibt es da Unterschiede. Nicht alle Sparkassen nutzen das Standard FI-Internetbanking mit integrierter Browser-Weiche und nicht alle App's blocken pauschal smsTAN. Da fireskyer aber ein Fiducia-Kunde zu sein scheint (aus anderem Thread) wären meine diesbezüglichen Sparkassen-Detaillierungen sinnlos.
Vielleicht ein Tipp: Starmoney Mobile wäre eine App, die smsTAN nicht pauschal blockt. Das ist dann natürlich RZunabhängig.
ABER: Bitte nicht die TAN auf dem selben Gerät empfangen! Sonst: Wesentliches Sicherheitsmerkmal des Verfahrens ausgehebelt und damit trojaneranfällig und grob fahrlässig und Verlust der Bankhaftung für Schäden > 150,--!


Die GAD App "Online Filiale +" blockt die nutzung des "mobileTAN" auch.
Es gibt allerdings andere Apps, mit denen man mobileTAN nutzen kann. (z.B. (i)Outbank). Hier ist allerdings der große Unterschied, daß nicht das browser-InternetBanking genutzt wird, sondern der "normale" FinTS-Zugang.
In diesem Fall greift die Browser-Weiche nicht.
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 26.08.2012 - 18:32 Uhr  ·  #6
Code
Da fireskyer aber ein Fiducia-Kunde zu sein scheint (aus anderem Thread) wären meine diesbezüglichen Sparkassen-Detaillierungen sinnlos.



ich muss wohl in zukunft mehr infos angeben als ich dachte ....

sorry

Nachtrag:

Eine frage, wenn ich auf meinem Handy per Sicherheitsdatei (RDH 10) ins netz gehe und ein Angreifer kriegt diese Datei "zu fassen, müßte er doch den pw-schlüssel rauskriegen oder? Aber ist es nicht so wenn er relativ lang ist das es relativ unwahrscheinlich ist das sowas passiert. Sollte doch dann eigentlich mit starkem passwort kein weiteres Risiko sein oder?



grüße fireskyer
isaria
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 100
Dabei seit: 01 / 2006
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 27.08.2012 - 10:14 Uhr  ·  #7
Diese Annahme setzt Einiges voraus:

1. eine wirklich sicherere Implementierung die nur bruteforce Angriffe zulässt

2. das niemand dein Passwort mitliest (keylogger, etc)

3. das Wissen was ein wirklich starkes Passwort ist, beispiel hier:

https://www.bsi-fuer-buerger.d…_node.html

Zur Passwortlänger + der Dauer von bruteforce Angriffen kannst du hier schauen: http://www.1pw.de/brute-force.html
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 27.08.2012 - 22:23 Uhr  ·  #8
Zitat
2. das niemand dein Passwort mitliest (keylogger, etc)



Stimmt daran habe ich gar nicht gedacht... somit scheidet des ja fast aus...


danke für die erläuterungen

noch ne frage gleicht eigentlich die smart tan dem one time pad prinzip ?



grüße fireskyer
obnutzer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1095
Dabei seit: 03 / 2010
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 28.08.2012 - 05:34 Uhr  ·  #9
Zitat geschrieben von fireskyer
noch ne frage gleicht eigentlich die smart tan dem one time pad prinzip ?

OTP ist eher eine Verschlüsselung. Die TAN ist dies nicht.
Gleich ist "one time". Denn die TAN funktioniert nur einmal und zwar nur für genau den Auftrag, für den sie angefordert wurde und nur in genau der Session innerhalb derer sie erzeugt wurde.
Wird sie zu spät eingegeben oder wurden die Auftragsdaten unterwegs (z.B. durch einen Trojaner) manipuliert oder wird versucht, sie in einer anderen Session zu verwenden funktioniert sie nicht sondern es entsteht ein TAN-Fehlversuch. Nach 5 Fehlversuchen ist der Onlinebanking-Zugang gesperrt.

Deshalb sind ja auch diese ganzen Boulevard Berichte Quatsch, die smsTAN aus dem Grund als unsicher bezeichnen, weil man SMS'en "mitlesen" könnte. Denn ein Dritter kann weder mit der TAN noch mit den Begleitinformationen etwas anfangen.
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 28.08.2012 - 15:05 Uhr  ·  #10
Hm... das bringt aber alles nichts, wenn es ein angreifer schafft sich deiner session zu bemächtigen bzw. dir eine vortäuscht und dann die daten abgreift kann oder... weiß zwar nicht ob des möglich ist bzw. was man dafür alles "schaffen" müßte aber in falls es ein angreifer schafft sind doch die ganzen Sicheitsvorkehrungen ( ontime 2-way etc) hinfällig oder.

grüße fireskyer
obnutzer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1095
Dabei seit: 03 / 2010
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 28.08.2012 - 18:23 Uhr  ·  #11
Zitat geschrieben von fireskyer
Hm... das bringt aber alles nichts, wenn es ein angreifer schafft sich deiner session zu bemächtigen bzw. dir eine vortäuscht und dann die daten abgreift kann oder... weiß zwar nicht ob des möglich ist bzw. was man dafür alles "schaffen" müßte aber in falls es ein angreifer schafft sind doch die ganzen Sicheitsvorkehrungen ( ontime 2-way etc) hinfällig oder.

Wenn das passiert stehen in der SMS andere Begleitinfos als von dir eingegeben, falsches Konto, falscher Betrag. Dann siehst du ja, dass manipuliert wurde und gibst die TAN nicht ein.
Daher ist es so extrem wichtig, dass man zwei Geräte benutzt und wenigstens das SMS Empfangsgerät trojanerfrei ist, damit sich der Trojaner nicht auch der SMS bemächtigen und diese vor Anzeige an den Benutzer auch noch fälschen kann.
Daher favorisieren einige Leute auch das chipTAN, denn der TAN-Rechner ist nicht angreifbar.
Wie gesagt, mit einem dummen alten Popel-Handy zum SMS Empfang hat man m.E. die selbe Situation wie chipTAN mit sehr hoher Sicherheit, denn diese Handys haben garnicht das notwendige Betriebssystem für die Ausführung eines aktuellen Trojaners.
fireskyer
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 98
Dabei seit: 05 / 2009
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 29.08.2012 - 18:38 Uhr  ·  #12
Gibt es eigentlich ne gute möglichkeit seinen netkey und die mastertan irgendwo gesichert auf dem handy abzulegen?




grüße fireskyer
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8208
Dabei seit: 08 / 2002
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 29.08.2012 - 23:09 Uhr  ·  #13
eine MasterTAN gibt es nicht, du meinst bestimmt deine PIN oder?
Diese solltest du lieber nicht speichern, es könnte gegen die Sonderbedingungen deiner Bank für das Online Banking verstoßen...

Gruß
Raimund
subsembly
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4560
Dabei seit: 11 / 2004
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 03.09.2012 - 11:25 Uhr  ·  #14
Zitat geschrieben von isaria
Diese Annahme setzt Einiges voraus:

1. eine wirklich sicherere Implementierung die nur bruteforce Angriffe zulässt


Ich behaupte mal, dass das für unser "Banking 4i" zutrifft. Abgesehen davon gibt es nur sehr wenige Apps die überhaupt mit Schlüsseldateien umgehen können.

Zitat geschrieben von isaria

2. das niemand dein Passwort mitliest (keylogger, etc)


Wenn man sein Smartphone nicht "rooted" und auch keine Software aus zwielichten Quellen installiert, kann man da ziemlich sicher sein. Zumindest wesentlich sicherer als beim Banking auf dem Windows PC wo man sich Malware über Flash, PDF-Dokumente oder einfach nur Webseiten einfangen kann. Bei Android muss man noch vorsichtiger sein, da dort auch im offiziellen Google Play Store Malware auftauchen kann. Ich nehme aber mal an, dass die Frage hier eher auf das iPhone abzielt.

Zitat geschrieben von isaria

3. das Wissen was ein wirklich starkes Passwort ist, beispiel hier:

https://www.bsi-fuer-buerger.d…_node.html


Das gilt generell immer. Unabhängig davon ob Smartphone oder Windows-PC.
isaria
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 100
Dabei seit: 01 / 2006
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 03.09.2012 - 13:09 Uhr  ·  #15
Meine Antwort bezieht sich auf den erheblichen Unterschied beim Sichertsniveau zwischen RDH-7/9 Chipkarten und RDH-10 Schlüsseldatei(SD).
Es wurde, vom Kunden, explizit auf RDH-10 referenziert.

Im Gegensatz zu der sicheren Ablage der Schlüssel auf der Chipkarte, der sicheren PIN Eingabe (jedenfalls bei Lesern mit Tastatur) inkl. Fehlbedienungszähler bietet RDH-10 ein deutlich höheres Angriffspotential.

1. Passwort/PIN muss am handy eingegeben werden
2. Passwort/PIN muss einen ausreichenden Schutz gegen Angriffe unterstützen
2. Der App muss vertraut werden das sie die Schlüsseldatei sicher verwaltet
3. Die SD kann remote kopiert/entwendet werden

Im worstcase hat der Angfreifer die SD + das Passwort und kann somit beliebig über das Konto verfügen.

Ja, natürlich ist das alles für den Kunden sehr praktisch und, bedingt durch das properitäre Format, ist ein Angriff unwahrscheinlich.

Er/sie muss nur aufgeklärt sein und die potentiellen Risiken willentlich in Kauf nehmen.
johanna_s
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 09 / 2012
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 12.09.2012 - 13:31 Uhr  ·  #16
Jede Bank hat doch ihre eigene App für das Smartphone, da müsste man doch von der Sicherheit der Datensendung und des Datenempfangs ausgehen. Wie bei jeder Online-Transaktion muss man halt von einem Minimum an Unsicherheit ausgehen. Hier findest du auch sicher die notwendige App für deine Bank.


Edith und Fellini mögen kein Spam. Deshalb haben wir den Link angepasst.
GiselaGisela
Neuling
Avatar
Geschlecht: keine Angabe
Beiträge: 1
Dabei seit: 06 / 2013
Betreff:

Re: Sicherheit beim mobilen banking

 ·  Gepostet: 24.06.2013 - 16:50 Uhr  ·  #17
Habe zum Thema Sicherheit beim Mobile-Banking folgenden Beitrag gelesen >>>schnipp<<<. Vor allem die 10 Sicherheitstipps sind sehr nützlich.


Edith sagt, dass Links mit Spam hier nicht erwünscht sind.
Gewählte Zitate für Mehrfachzitierung:   0