Hallo liebe Online-Banking Experten,

ich beschäftige mich gerade mit Online Banking und hab auch von der Bank verschiedene Verfahren angeboten bekommen. Nur Frage ich mich, was dort die Vorteile von den einzelnen Verfahren sind... Wollte mir das nicht von meiner Bank erklären lassen, sondern verlasse mich da doch lieber auf die allgemeine Meinung aus Experten-Foren :twisted:

Frage 1:
Grundsätzlich stellt sich mir die Frage, ob Online Banking über Browser, also so eine "Online-Filiale", oder über ein Programm sicherer ist(In meinem Fall VR-NetWorld Software Ver. 4.3)

Frage 2:
Mir wurde Angeboten: Sm@rt TAN Optic, SMS-TAN, HBCI mit Sicherheitsdatei und HBCI mit Chipkarte + passender HBCI-Kartenleser (von Reiner/Rainer?) Welches dieser Verfahren ist das Sicherste?

Frage 3:
Bin über einen Freund der bei einem Steuerberater arbeitet auf den Begriff EBIKS gestoßen. Was ist das? Ist das noch sicherer als TAN oder HBCI?

Vielen Dank im vorraus für eure Antworten!

Grüße
Kirtap Sal

Jedes Verfahren ist so sicher wie sein Anwender. Technisch sind die Verfahren alle einwandfrei aber Phishing und insbesondere social Phishing gewinnt stark an Bedeutung. Es ist in meinen Augen eine Frage des eigenen Horizonts. Wie im Verkehr. Wenn du dir einen etwas risikoreicheren Fahrstil zutraust wird dir eine Ente nicht genügen. So ist es hier auch. Je weniger du dir selbst zutraust, gefälschte Seiten oder falsche Aufträge zu erkennen, desto mehr solltest du eine Lösung suchen, bei der ein Angriff unwahrscheinlich ist. Und das ist derzeit (noch) bei sämtlichen Onlinebanking Programmen der Fall unabhängig vom Sicherungsmedium. Wenn du unsicher bist, bleib bei VRNW, das ist mein Rat. Das Sicherungsmedium ist dann egal. Nimm das, was für deine Abläufe am praktischsten ist.

EBICS ist ein anderes Kommunikationsverfahren -> www.ebics.de . Es ist das Pendent zu FinTS/HBCI. Da wird mit elektr. Unterschriftsdatei gearbeitet und das Verfahren ist bankenübergreifend standardisiert (eine Unterschrifts-PIN für alle Banken). In der Theorie ist FinTS auch übergreifend standardisiert aber in der Praxis kann man das knicken. Es eignet sich vorwiegend für Firmen, weil meistens eine andere Vertragsgestaltung dahinter steht als bei FinTS (Bank mit Firma anstatt Bank mit Teilnehmer), daher feinere Berechtigungen abbilden kann und weil es auf Masse ausgelegt ist. Und im übrigen unterliegt es der freiwilligen Selbstverpflichtung aller deutschen Banken, es anbieten zu müssen im Gegensatz zu FinTS, was ein Kann ist. EBICS ist häufig mit Zusatzkosten für die Bereitstellung verbunden.


*räusper*
Nicht jeder Bankmitarbeiter ist Onlinebanking Experte. Aber ein gewisses Grundvertrauen in deine Bank solltest du schon haben, sonst steht evtl. ein Bankwechsel an....
In Foren - dieses hier ausgenommen - wird nämlich auch viel Mist geschrieben

Hallo Patrik, (oder?)
ach, wir schreiben hier auch viel Mist - mich eingeschlossen - aber da wir hier ein ziemlich aktiver Haufen sind, gib es schnell was auf die Finger

Ob hat völlig recht. Da ich aber gerade in Schreiblaune bin, muss ich noch meinen Senf dazu geben.

Angriffe passieren nämlich inzwischen auf zweierlei Arten:
Massenangriffe nach dem Gießkannenprinzip, z.B. durch Virenverteilung an möglichst viele Opfer: Hier fällt immer was ab für Betrüger, und wenn es nicht das Online Banking ist, dann eine Mailadresse oder ein Ebay-Konto. Hier ist es am sichersten für dich, wenn du etwas möglichst außergewöhnliches nutzt. Also z.B. ein exotischeres Betriebssystem wie Linux oder eben ein HBCI-Programm oder Ebics als Zugang.
Diese Sicherheit durch "Exotik" "erkaufst" du dir mit einem gewissen Maß an Unbequemlichkeit, z.B., wenn du einen Kartenleser einsetzt oder dich in eine Software oder Betriebssystem einarbeiten musst. Wichtig dabei ist immer, dass du dich mit der zur Verfügung stehenden Sicherheitstechnik beschäftigst. Lerne das Verfahren kennen und überlege, wie die Sicherheit erzeugt wird. Z.B. kann die mobileTAN (also eine TAN per SMS) auf einem alten Telefon super sicher sein - auf einem virengefährdeten Smartphone ist es aber eher eine unsichere Methode.

Es gibt aber noch einen zweiten Bereich der Sicherheitsattacken, die im Vergleich zu den obigen Angriffen noch keine große Rolle spielen, aber es mehren sich leider die Anzeichen, dass dies in naher Zukunft ein "boomender" Bereich sein könnte.
Ich meine gezielte Angriffe durch Hacker, die inzwischen nicht nur Top-100-Unternehmen aufs Korn nehmen, sondern gezielt auch mittelständische Betriebe angreifen. Diese Unternehmen sind meist eher mangelhaft durch 08/15-IT-Lösungen geschützt und einem gezielten Angriff relativ wehrlos ausgesetzt.
Hier gibt es aber meines Wissens bis jetzt äußerst selten Angriffe auf die Bankkonten der Firmen, da Geldverluste in einem funktionierenden Betrieb sehr schnell entdeckt werden. Diese Hacker sind - im Moment - eher auf Datenspionage aus und versuchen möglichst lange im Schatten bleiben.

Wenn du dich oder dein Unternehmen hier als mögliches Ziel siehst, dann solltest du dich nicht nicht nur von deinem Banker, sondern auch von einem IT-Spezialisten beraten lassen. Wenn dieser sich mit Sicherheitstechnik auskennt, dann sollte er dir auch bei der Onlinebanking-Frage einen guten Rat geben können, zumindest kann er die zur Verfügung stehenden Möglichkeiten bewerten und in dein System integrieren.

Gruß
Raimund

Die Auffassung, das das Sicherungsmedium egal ist, die teile ich nicht.
Aus meiner Sicht ist HBCI mit Chipkarte sicherer als alle anderen Varianten.

@Kalle,
aber nicht ohne Secoder Funktion die z.Z noch sehr selten ist.

Eben...
was nützt die beste Signier- und Verschlüsselungstechnik, wenn man nicht sehen kann, was eigentlich gerade ausgeführt wird...?
Da hilft nur die secoder-Variante - aber in der Handhabung auch wieder bei den eher "umständlichen" angesiedelt...

Od

jaaa, das ist wieder relativ.
Es ist ja doch wesentlich einfacher, per social engeneering z.B. am Telefon an eine gültige TAN zu kommen, als an eine Unterschrift per Chipkarte

Wir müssen hier wieder Realität und technische Machbarkeit unterscheiden, deshalb haben scheinbar konträre Meinungen ja auch ihre Berechtigung.

Gruß
Raimund

Warum? Die Begründung würde mich interessieren.


weil Trojaner nur auf einem Telefon mit Betriebssystem laufen und dann sowohl Erfassungsgerät wie auch Empfangsgerät kompromittieren könnten. Also irgendwo wieder eine Frage des Horizonts und in welchem Maße man sich selbst zutraut, seine Geräte frei von Schadsoftware zu halten. Das Prinzip ist halt immer, dem Benutzer auf seinem Endgerät falsche Daten anzuzeigen und nicht, das Verfahren an sich zu knacken.
War mir noch wichtig. Nicht, dass jemand denkt, die Gefahr läge auf Bankseite oder im System.

Eine SMS läßt sich abfangen, eine Sicherheitsdatei läßt sich kopieren (damit ist das Original noch an der ursprünglichen Stelle) aber eine HBCI Chipkarte muss physikalisch im Lesegerät vorhanden sein um Buchungen durchführen zu können.

da schwingt immer unterschwellig eine gewisse Schuldfrage mit. Tatsache ist zwar, dass viele Fälle von Vireninfektionen vermeidbar wären, aber eben bei weitem nicht alle, wie man z.B. hier sieht:
http://www.heise.de/newsticker…18962.html

Auch bei bester Pflege des Computersystems kann eine Vireninfektion bei "normaler Benutzung" nie ausgeschlossen werden.

Deshalb ist das Beherrschen und Kennen der Sicherungsmethode auch essentiell. Mit den aktuellen Sicherungsmöglichkeiten wäre eine Buchungsmanipulation in 100% der mir bekannten konkreten Schadensfälle erkennbar gewesen.

Die Bedrohungslage sieht aber bei der SMS-TAN inzwischen schon etwas dramatischer aus:
http://www.heise.de/security/m…18986.html
Sicherheitslücken gibt es aber auf allen Systemen, auch auf iPhone und Blackberry.

Gruß
Raimund

@Kalle,

schön, dann wird halt die Manipulation gemacht während die Karte im Leser ist.
Solage nicht die Secoder function aktiv ist,signierst Du eine Buchung. Du weißt aber nicht wohin und welcher Betrag !

Solage HBCI Karten nicht die Secoder Funktion unterstützen ist SmartTAN+ sicherer (solange man nicht die angezeigte Kontonummer/Betrag ignoriert.)

Gruß,
Vader

sofern du ausschließlich einzelüberweisungen ausführst...

Stimmt, aber das sollte man in diesem Zusammenhang auch bei allen anderen Verfahren machen, oder !?

jupp klar, war ja nur ergänzendes statement.
wenn sammler ausführst bzw. aufgrund der masse ausführen willst ist der mehrwert wieder dahin und du hast theroretisch wieder einen anderen ansatzpunkt für die auswahl bzw argumentation der verfahren.