Mit wem redet meine Homebanking software ?

Das ist eine durchaus berechtigte Frage und ich würde sie mal so beantworten: "garnicht!".
Die einzige Möglichkeit um 100% sicher zu sein, wäre wahrscheinlich vom Betriebssystem an alles selbst zu programmieren (könnte auf etwas Arbeit hinauslaufen) und dann bleibt immer noch die Gefahr, das ein böswilliger Netzwerkkartenhersteller... aber lassen wir das ...

Da gerade bei einer Homebanking-Software der ausgehende Datenstrom häufig verschlüsselt ist, dürfte es hier wahrscheinlich besonders schwer sein, herauszufinden, was ein Programm an Daten nach Hause schickt, zumal die meisten Programme zumindest beim Online-Update sowieso nach Hause telefonieren.
In diesem Fall gehört leider einfach Vertrauen in den Hersteller dazu. Und dieses Vertrauen richtet sich außerdem an die Autoren anderer Software, die man installiert hat, an die Musikindustrie, die ihre CD's ja mit sowas nützlichem wie Rootkits ausstattet und letztendlich natürlich an den Herausgeber des Betriebssystems (*hust*)...

Als gesunden Mittelweg kann ich dir nur die Benutzung von OpenSource-Software ans Herz legen. Zwar kannst du auch da Mißbrauch niemals zu 100% ausschließen, allerdings ist es schon sehr viel unwahrscheinlicher, wenn der Code offen liegt und theoretisch von jedem vorher gelesen werden kann. In der Praxis wird wahrscheinlich weniger als 1% der Benutzer Gebrauch von dieser Möglichkeit machen. Allerdings könnten eben diese entscheidenden 0,01% ausreichen um böse Absichten offen zu legen und ich unterstelle jetzt mal einfach, dass die meisten OpenSource-Programmierer selbst noch etwas länger leben möchten

Mit zusätzlichen Analyse-Tools wie netstat oder ethereal lässt sich der Netzwerkverkehr überwachen. Damit kann man zumindest schonmal feststellen, was aktuell an Daten wohin geschickt wird. Verschlüsselte Pakete lassen sich allerdings auch hier nicht mitlesen.

Was neben OpenSource natürlich auch nicht zu unterschätzen ist, ist das viele Banken auch hauseigene Programme anbieten (z.B. Proficash / VR-Networld bei den Volksbanken). Bei diesen Programmen kann man sich ziemlich sicher sein, dass sie auf jeden Fall nach Hause telefonieren, schließlich sollen Sie ja sogar mit dem Rechenzentrum Kontakt aufnehmen und machen auch sonst keinen Sinn. Das Programm kommt aber vom Rechenzentrum (also quasi der Bank) selbst und man sollte daher von ausgehen, dass die Daten auch dort bleiben...

Ende vom Lied: Woher kann ich wissen, dass der Pilot meines Urlaubs-Fliegers nicht lebensmüde ist und sich umbringen will? Oder ob ich mein Geld, das ich bei meiner Internet-Bank in Bulgarien festgelegt habe, weil sie mir so günstige Konditionen verspricht, überhaupt jemals wiederbekomme? Oder ob der Bauunternehmer, der mein Haus hochzieht, nicht Verträge mit einem Chemiekonzern laufen hat und Giftmüll in den Fundamenten verschwinden lässt? Oder ob das Gyros, was ich an der Pommesbude hole nicht vorher vier Monate lang in der Sonne vergammelt ist? Oder...

=> Man kann es nicht wissen, aber man kann sich vorher kritisch darüber informieren und Produkte meiden, die einen zweifelhaften Ruf haben. Ansonsten ist es halt wie bei allem im Leben irgendwo eine Vertrauenssache.

Gruss, Marcel

Hallo,

wenn Du alleine im Netzwerk hängst und einen Router hast, dann schau Dir einfach die aktiven IPs an und schreib davon einen Trace. Dann kannst Du die später Auswerten!

Zu dem Problem mit der Software, hat Stefan eigentlich schon alles gesagt!

Vielleicht sollten wir - statt Banking-Programme zu verkaufen - Programmierkurse "Ich bastle mir mein Banking-Programm selbst" anbieten


Stefan Balk

Hmmm, da habe ich aber was losgetreten !

Es ist natürlich wahr, daß ein Leben ohne Vertrauen ziemlich mühsam ist. Allerdings ist ein "Schadensfall" im Bankingbereich u.U. relativ teurer und die Sicherheitsrisiken für die Masse der Anwender vermutlich nicht einmal erahnbar !



Wie soll man vor diesem Hintergrund eine Homebanking Lösung mit folgenden Eigenschaften bewerten ?

:!: Verwendet unter der Haube den Internet Explorer zur Kommunikation.

:!: Empfiehlt unter WinXP die Installation in einem Verzeichnis ungleich C:\Programme. Warum ist klar wenn man es ignoriert. Die Programm Updates werden eingespielt wenn man es normal verwendet und die Benutzereinstellungen und die Datenbank werden im Installationsverzeichnis abgelegt. Dies ist ohne besondere Vorkehrungen unter C:\Programme nur dem Admin möglich und das mit gutem Grunde ! Wenn man den Vorschlag des Herstellers beherzigt oder das Installationsdirectory freigibt hat man im Grunde einiges wieder ermöglicht z.B. dass bösartige Programme (die kommen natürlich nie auf den Rechner !) DLL's im Installationsverzeichnis auszutauschen. Dies kann dazu führen, daß die Homebanking SW ganz andere Sachen macht als der Hersteller je beabsichtigt hat. Von der Unbequemlichkeit von Backups bei diesem "Lagerort" der Datenback möchte ich mal ganz absehen (hat ja mit Sicherheit im Sinne des Threads nichts zu tun)

Nur neugierhalber... Welches Program ist das ?

Das Problem bei einem selbstprogrammierten Programm ist, wenn es zu einem Schadensfall kommt, dann gibt bestimmt nicht zurück!

Gruß

Michael

Ich hoffe jedem ist klar dass wir hier über rein akademische theoretische Möglichkeiten sprechen.

Bei Programmen wie StarMoney und Quicken die nicht nur von ein paar Freaks, sondern bereits von 100.000en (zusammen wahrscheinlich mehr als 1.000.000) von naiven Endusern zum Online Banking genutzt werden, geht die Wahrscheinlichkeit, dass eine falsche Überweisung abgeschickt wird gegen Null. Das wäre längst schon mal aufgefallen

Warum man in den Foren immer wieder von Problemen mit solchen Programmen liest, liegt nicht zuletzt an der breiten Nutzung. Bei einem Programm das nur wenige Hundert fachkundige Leute nutzen gibt es natürlich immer weniger (bekannte) Probleme.

Es läuftt wohl darauf raus, daß man als Benutzer einer gängigen "Standard-Software" davon ausgehen sollte, daß der Hersteller alle Bemühungen unternimmt sein Produkt so fehlerfrei wie möglich zu halten und seine Programmierer "so weit im Griff zu behalten", daß irrige Überweisungen auf Ihre Nummernkonten in der Schweiz unmöglich sind.

Andererseits sind gerade diese Standardumgebungen bekanntermaßen auch besonders dankbare Angriffsziele von weniger wohlgesonnen Mitmenschen. Der um seinen Ruf besorgte und seiner Verantwortung bewusste Software Hersteller wird also alle (finanziell tragbaren) Anstrengungen unternehmen seine Software gegen vom Endanwender unbeabsichtigte "Angriffe anderer" zu schützen. UND GENAU DA SETZT MEINE KRITIK AN.

1. Internet Explorer ist eine unnötige Angriffsfläche. Warum wird dieser eingesetzt ? So schwierig ist es auch nicht ein bischen HTTPS Protokoll zu implementieren.

2. Die Installationsverzeichnisse von Software dürfen auf garkeinen Fall mit Normalnutzerprivilegien schreibar sein. Gründe hatte ich in diesem Thread genannt. Es gibt sogar genug Software die "aus der Kiste" nur mit Admin Privilegien genutzt werden kann. Diese Hersteller zwingen den unversierten Endanwender dazu die Trennung zwischen User und Admin Account aufzugeben. Diese Hersteller sind der eigentliche Haupt Schuldige am schlechten Ruf von Windows in Punkto Sicherheit. Microsoft hat m.E. WinXP-Home Accounts nur deswegen defaultmäßig mit Admin Privilegien ausgestattet weil ein nicht unerheblicher Anteil der gängigen Software sonst garnicht läuft.

Quicken habe ich eben aus solchen Gründen nie benutzt. Stammt doch vom selben Hersteller wie QuickSteuer und da habe ich schon meine liebe Mühe gehabt es unter nicht Admin Account anzuwenden. Das Homebanking Programm das Anlaß für den Start dieses Threads war ist bereits von Stoney enttarnt worden. Nie im Leben hätte ich gedacht, daß eine Banking-Software solche vollkommen unnötigen Angriffspunkte bietet ! Im Grunde kann man nur forderen, daß Stiftung Warentest, C't, Professional PC und was es da sonst noch so gibt Prgramme die so implementiert sind mit "Sehr Mangelhaft" bewerten und von der Verwendung abraten. Meine innige Bitte an Starfinanz : Stopft das Loch ! Eure Software macht ansonsten einen wirklich vernünftigen Eindruck. Die Datenbank ist verschlüsselt, Eure Email Support-Hotline reagiert prompt und freundlich ...

Hi Stoney,

* Starmoney verwendet den IE zur Kommunikation. Dies kann man leicht überprüfen indem man im IE unter dem Reiter Extras/InternetOptionen/Verbindungen den Proxy auf 127.0.0.1 Port 9 einstellt. Damit verbietet man dem IE sämtliche Zugriffe nach außen. Und damit geht Starmoney nicht mehr (es geht weiter : Man kann Starmoney so noch nicht einmal installieren, da es offensichtlich dabei nach Hause telefoniert !).

* Ich will die Datenbank ändern aber nicht das Programm. Starmoney kann es einfach so machen wie z.B. Word. Einfach die Datenbank dort speichern wo der Nutzer es will ! Zusätzlich kann das Programm sich ja gerne merken welche Datenbank man als letztes offen hatte (bitte nicht im Installationsdirectory oder im "reservierten" Teil der Registry !) damit man nicht immer wieder auf die Suche gehen muß. Auch ein Doppelklick auf die Datenbank würde für diese Bequemlichkeit genügen...

Hmmm.

Das scheint eine verdammt interessante Diskussion zu werden...



Dem kann ich nur zustimmen. Windows hat von sich aus in den neueren Versionen eine sehr durchdachte Benutzerverwaltung (fast oder genauso gut wie die meisten Unixe). Das merkt man vor allem, wenn man mal mit den Windows-Servern herumspielt... Leider ist diese Benutzerverwaltung in den Normal-Benutzer-Systemen (Home/Pro) einfach deaktiviert oder zumindest abgeschwächt. Und den springenden Punkt hat hmmm schon genannt, nämlich dass ein Großteil der Software sonst nicht laufen würde.

Das liegt also nichtmal an Microsoft selbst, sondern ist dadurch bedingt das Windows früher ein Einbenutzersystem war und heute ein Netzwerksystem sein will...Trotzdem finde ich eins interessant:
Bei Linux wird regelmäßig geflucht, wenn Programme und Treiber zum Beispiel unter SuSE 8.0 noch laufen und unter 9.3 nicht mehr... das ist nach wie vor eins der Hauptargumente Windows zu benutzen,
weil man ja soviel weniger Stress damit hat... und dass Programme die unter Windows 98 laufen ihren Dienst auch noch unter WindowsXP verrichten ist völlig selbstverständlich. Schaut man genauer hinter die Kulissen, sieht man aber warum das so ist... und das ist oftmals weniger erfreulich...

Zu Starmoney kann ich selbst nicht viel sagen. Ich habe es zwar mal kurzzeitig ausprobiert, aber da es damals keine Linux-Version davon gab, war es für mich nicht sonderlich interessant. Heute gibt es zwar eine Linux-Version, aber da diese unter Wine läuft, ist sie nach wie vor uninteressant. Unter Wine bringe ich notfalls sogar den Internetexplorer ans laufen, und den brauche ich unter Linux wirklich nicht.

Telefoniert Starmoney also nach hause? Mag ja sein... wenn ichs selbst benutzen würde, wüsste ich das sicher... aber ich behaupte mal ich hab was besseres