Hallo ,

ich nutze,vor allem aus Sicherheitsgründen,das Programm StarMoney 7.0 mit HBCI Chipkarte.
Leider gibt es noch keine nicht manipulierbare Kontrollmöglichkeit der Kontonummern und des Betrages solange keine Secoderfunktion angeboten wird.
Denkbar sind Manipulationen vor allem wenn es einem Trojaner gelänge im Hintergrund die Zielkontonummer und den Betrag zu ändern um sie sich von dem ahnungslosen Nutzer signieren zu lassen.
Was ist nun von der Aussage der StarFinanz zu halten, dass StarMoney 7.0 sicher vor Trojanern sei?
Meines Wissens akzeptiert StarMoney 7 jedenfalls bei Updates nur solche mit der korrekten digitalen Signatur.

Zitat StarFinanz..."Alle großen Banken und Sparkassen sowie unabhängige Experten empfehlen StarMoney aus gutem Grund: StarMoney bietet ein großes Sicherheitsplus beim Online-Banking.
Das Sicherheitskonzept von StarMoney 7.0 wurde mit der innovativen Promon-Technologie maßgeblich erweitert und bietet damit erstmals nicht nur Schutz vor Missbrauch, Phishing und Co., sondern StarMoney 7.0 ist auch vor Trojanerangriffen geschützt. Diese neuartige Technologie ist zum europäischen Patent angemeldet. StarMoney 7.0 kommuniziert über direkte, sichere Schnittstellen mit Ihrer Bank oder Sparkasse und sorgt somit für einen sicheren und verschlüsselten Datentransfer. StarMoney 7.0 ist mit dem TÜV-Prüfsiegel „Geprüfte Software“ ausgezeichnet." Zitat Ende

Gruß
kragenbär

Tja, wer will das nun sauber bewerten?

Vielleicht mal ganz allgemein: Früher kursierten für teure Computerspiele sog. Cracks. Das waren winzig kleine ausführbare Dateien, die bestimmte Dateiinhalte des Spiels so manipuliert haben, dass es lauffähig war auch ohne original CD oder sonst was.
Heutzutage ist rein theoretisch das selbe denkbar. Ein winziges Progrämmlein könnte ein anderes Programm derart manipulieren, dass Zahlungsaufträge kurz vor der Versendung inhaltlich geändert werden (z.B. Empfänger und Betrag). Ich kann mir im Moment nichts vorstellen, was das verhindern könnte.

ABER
1. Woher sollte irgendjemand wissen, wie man eine solche Software an welcher Stelle so gezielt verändern könnte, dass am Ende falsche Zahlungen raus gehen? Soetwas wäre ja nur auf Byte Ebene direkt im Quellcode möglich und müsste entsprechend gezielt ausgeführt werden.
2. Wie sollte man den richtigen Zeitraum zwischen Möglichkeit eines Angriffs und nächstem Softwareupdate (welches vermutlich jede Manipulation sofort überbügeln würde) in geeigneter Weise abpassen können?
3. Selbst wenn diese beiden Punkte überwunden wären, wie bekäme eine theoretisch denkbar manipulierte ZV-Software eine unbemerkte Netzkommunikation zu einem oder mehreren Steuerserver(n) hin, um den aktuellen Boten abzuholen und nicht an der Firewall zu hängen? Über die gesicherte Verbindung zum Bankrechner wird diese Info sicherlich nicht beziehbar sein... :evil:

Wie wahrscheinlich ist es, dass allein schon diese drei Punkte plus alle von mir nicht bedachten geschafft werden können in der Praxis?

Ich kann die Fragen selbst nicht beantworten, kann sie nur stellen. Und aus meiner Lebenserfahrung heraus würde ich immer befürworten, wenn man sich öfter mal auf sich selbst verläßt statt auf andere. Und das kann man sehr gut, indem man z.B. transaktionsbezogene Sicherungsmedien wie chipTAN, smsTAN oder Secoder nutzt. Sich allein auf Software zu verlassen heißt ja schon wieder ein Stück mehr, sich auf andere und deren Versprechungen zu verlassen. Kann gut sein, muss aber nicht

Und eines bitte ich dabei auch zu bedenken: Das Browserbanking bietet für Kunden erheblichen Mehrwert und sollte nicht pauschal abgelehnt werden. Man kann auch "sicher" browserbanken.

Besten Dank Michael für die doch recht beruhigende Antwort.
Die Nutzung von StarMoney 7 mit HBCI Chipkarte oder alternativ mit HBCI
PIN/TAN mittels chipTan Comfort(Optik) Generator scheint beruhigende Sicherheitsreserven zu haben.
Laut Aussage meines Online-Banking Beraters einer großen Sparkasse hat es mit StarMoney/HBCI Chipkarte noch nicht einen einzigen nachgewiesenen Fall eines Betruges gegeben der vom Internet her initiiert worden wäre.

Viele Grüße von
kragenbär

Das kann ich uneingeschränkt bestätigen.