Hallo zusammen,

vorab:
- ich habe noch keinen Homebankingaccount, will aber einen anlegen
- ich habe noch nie mit Knoppix gearbeitet
- verzeiht also eventuelle Denkfehler und korrigiert mich ggf.

Ich möchte mir demnächst einen Homebankingaccount anlegen und bin gerade dabei, mich ein wenig zum Thema Sicherheit zu informieren. Hier im Forum und auch an anderer Stelle stieß ich auf die Hinweise zu MoneyPenny, was ich grundsätzlich interessant finde. Allerdings dauert es offensichtlich noch eine Weile bis zu dessen Marktreife und ich muss mich zunächst mit einer anderen Lösung begnügen. Das "relativ sicher" scheinende "konventionelle" HCBI-Banking kommt für mich noch nicht in Frage, da ich als Neuling erst mal in die Annehmlichkeiten des Online-Bankings hinein schnuppern möchte, bevor ich bereit bin mir Kartenleser usw. anzuschaffen.

Bleibt das "normale" PIN/TAN-Verfahren über Bank-Homepage und Browser (in meinem Fall über Windows, da ich nicht permanent auf Linux wechseln möchte) oder eben folgende Lösung...!?

Meine eigentliche Frage:

Wie ist es um die Sicherheit bestellt, wenn ich Homebanking mit einem von CD bootenden Knoppix-System mache und dort einfach per Browser das PIN/TAN-Verfahren über die Hompage meiner Bank mache.

- Geht das überhaupt ohne Weiteres?
- Welche (theoretischen Risiken) bleiben?
- Ist ein Knoppix-Live-System überhaupt kompromittierbar, d.h. könnten denn überhaupt noch Daten abgefangen werden bzw. Malware sein Unwesen treiben?

Für eure Einschätzung bzw. Hinweise auf denkbare Szenarien dankt
arnox

es funktioniert auf jeden Fall bei Banken, die mit dem Mozilla erreichbar sind. Es gibt tatsächlich einige, die das nicht können.

Ansonsten hängt die Sicherheit natürlich von deinem Wissen (Phishing) und von deiner Hard- u Softwareumgebung ab. Eine man-in-the-middle Attacke ist beispielsweise in einem Netzwerk durchaus denkbar, da nützt dir auch Knoppix nichts.

Zuerst hat man natürlich bei einem von CD geladenen Betriebssystem die Sicherheit sich nachträglich nicht mit irgendwelchen Viren infizieren zu können. Was vorher in die Distribution gelangt ist kann man schwer sagen. Aber bei Knoppix wären meine Bedenken recht gering.

Wie Raimund schon gesagt hat, kann man auf diesem Wege nur den eigenen PC sichern, nicht aber das Netz über das man geht. Eine Umleitung der Verbindung (also die angesprochene "Man-in-the-middle"-Attacke) wäre immer noch möglich. Also bei Warnungen was das Zertifikat angeht muss man immer noch vorsichtig sein. Auch vor Phishing Versuchen ist man so natürlich nicht gesichert. Also immer mitdenken und eine gesunde Portion Argwohn an den Tag legen. Dann kann nicht viel passieren.

Gruß
Karsten

Je nach Bank gibt es die Möglichkeit den HBCI-Schlüssel auf Diskette bzw. USB-Stick zu bringen. Außer der eventuell anzuschaffenden Software würden damit also keinen nennenswerten Kosten anfallen.
Allerdings verzichtet man damit auf die sogenannte sicherere PIN-Eingabe. Es wäre also bei einem Virenbefall möglich die PIN zu der Kennung auszuspionieren. Wenn aber die Diskette/der USB-Stick bei Dir zu Hause in der Schublade liegt, ist das auch kein Sicherheitsrisiko.

Gruß
Marc

Wenn ich berücksichtige, daß ich noch von keinem Linuxsystem mit einem derartigen Virusbefall gehört habe, erscheint mir diese Möglichkeit doch sehr theoretisch.

M.f.G. Anton

Das hbci-pin/tan Verfahren ist "relativ sicher" und benötigt keinen Kartenleser und sonstige Fummelei.
Bei einem gut aufgesetzten Linuxsystem sind auch Sicherheitsbedenken wegen Viren oder Trojanern fehl am Platz.
Der Lösungsansatz mit separater CD erscheint mir etwas unkomfortabel und unnötig.

M.f.G. Anton

Bei einem gut aufgesetzten Windowssystem gilt das ja eigentlich auch, das eigentliche Problem ist der User, der sich nicht um die Pflege seines Rechners eb en nicht kümmert. Vermutlich wäre das bei einer weiteren Verbreitung von Linux, die sicherlich wünschenswert wäre, auch nicht besser als bei MS-Systemen.

Die Boot-CD bietet dagegen eine gute Sicherheits-Transparenz selbst für DAU, sei´s Knoppix oder auch Knoppix erweitert mit MoneyPenny.

Bitte denkt auch an die "root-kits" und nicht nur an Trojans und Viren. Es scheint wohl doch so zu sein, daß "alle" installierte Systeme an ein und dasselbe leiden, nämlich: Sie bieten dem Angreifer die Möglichkeit, Dein System zu analysieren, UND bei Dir Ihre Hintertürchen zurückzulassen. Von CD gebootete Systeme haben einen unschlagbaren Vorteil: Das ganze Dateisystem wird in "Lese"-Modus gestartet. Der Angreifer kann zwar alles während einer Sitzung anstellen, einen Hintertürchen kann er ABER gar nicht zurücklassen. Beim nächsten "Boot" wird alles wieder neue eingelesen! Daher, bin ich persönlich bereit, das bisschen an Umständlichkeit in Kauf zu nehmen. Meine Bank wird im Zweifelsfall wohl nachweisen müssen, wie ein Fremder trotz dieser Vorsichtsmassnahmen meinerseits (als Kunde) innerhalb einer Sizung (sagen wir mal 15 Minuten) meine PIN erspähen konnte und die TAN(s) auch noch. Es versteht sich von selber, daß die TANs nichts auf dem PC zu suchen haben. Wie Du sagst, "unkomfortabel und unnötig" ist es schon, aber, wie willst Du im Fall des Falles den "ersten Anscheinsbeweis" (juristischer Hackebeil der Banken in so einem Prozess!) erschüttern?

Tja, was soll ich dazu sagen? Grundsätzlich hast Du recht. Aber die Wahrscheinlichkeit eines solchen Ereignisses?
Das muß letztendlich jeder für sich selbst entscheiden.
Ich werde weiterhin ein ganz gewöhnliches Leben führen, auch wenn die Wahrscheinlichkeit, beim Überqueren des Zebrastreifens einen tödlichen Unfall zu erleiden, größer Null ist.

M.f.G. Anton

das hst du gut formuliert

Um das Bild noch auszubauen: Einige Zebrastreifen führen über eine dichtbefahrene Bundesstraße (PIN&TAN mit Windowssystem) und andere liegen an stillen Waldwegen, die bestenfalls von langsamen landwirtschaftlichen Nutzfahrzeugen benutzt werden (Linux mit HBCI über Chipkarte)

........herrlich, besser kann mans nicht beschreiben........

..Bis der böse Bube da gewesen ist! Nein, ich will nicht hinterher schreien! Ausserdem, liest bitte das Kleingedruckte. Das habt Ihr alle bereits VORHER mit euerer Unterschrift für die Nutzung der "Online-Banking" zugestimmt. Für eueren Rechner seid IHR selbst verantwortlich. Und die oben genannten Patches werden IMMER erst nachher (bis zu 30 Tagen) entwickelt und noch viel später eingespielt.

Die Analogien sind im übrigen sehr gut gelungen. Sie haben nur einen Fehler: Der Sache sind diese nicht sehr dienlich. Apropo Zebrastreifen: es hat noch niemanden geschadet "links und rechts" umzuschauen. Egal wo.

Ein von sauberer CD gebootetes Betriebssystem verhindert sicher, daß Du dauerhaft Schädlinge an Bord hast.
Aber wie wirst du Deinen Virenschutz oder eine Firewall aktuell halten, die Du für die jeweilige Sitzung benötigst? Schutzlos würde ich keine Verbindung aufbauen wollen.
Um die Nachweispflicht im Schadensfall mache ich mir weniger Gedanken, denn dann wärs bereits zu spät.
100%ige Sicherheit gibts nicht, es ist immer ein Abwägen von Risiken.
Im Papierbankgeschäft ists das Gleiche, da könnte die Unterschrift auf der Überrweisung gefälscht sein. Und das geht sicherlich einfacher, als einen Trojaner auf einem geschützten Rechner (mit wachem Personal) unterzubringen und mit dem dann sensible Daten auszuspähen.

Natürlich bin ich für meinen Rechner selbst verantwortlich - so wie für meine Brieftasche mit ec-karte und meinen Autoschlüssel und vieles andere. Und natürlich passe ich so gut drauf auf, wie ich kann.

Wenns einer genau auf mich abzielt, wird er irgendwo einen Weg finden, um mir zu schaden. Er wird mich auf Schritt und Tritt verfolgen, wird im Papiermüll Kassenzettel mit Kreditkarten- oder Kontonummern finden, könnte meine Gewohnheiten studieren und während meiner Abwesenheit ungestört arbeiten.
Das Hacken meiner Onlinebankingtransaktionen ist der schwerste Weg, an mein Geld zu kommen.

Virenschutz für Linux? Solange die CD Virenfrei ist, brauchst Du innerhalb der "Bank-Session" keine Gefahren zu befürchten. Firewall ist inzwischen ein integraler Bestandteil der KnoppixCDs. Konfiguration ist relativ einfach. Wo ist das Problem nun wirklich? Sogar eine infektion durch einen "Rootkit" wird die Sitzung nicht überleben (Bedenke, die Rootkit kann der CD NICHTS antun!)

Hallo!

Eigentlich habt ihr recht, ich bin zwar auch ziemlich paranoid, aber deswegen werde ich mit sicherheit nicht jedesmal die knoppix einlegen und booten um mal eben ne Überweisung zu machen.
Aber die Einwände, dass jedes installierte System angreifbar ist sind vollkommen berechtigt, sich einfach zurücklehnen, nach dem motto der pinguin ist sicher, ist mit sicherheit eine gefährliche Einstellung, denn jedes System ist so sicher, wie der Anweder es aufgrund seines Wissens halten kann. Auch ein Unix ist angreifbar, besonders wenn es schlecht konfiguriert ist, auch wenn das in den meisten Fällen nicht programmgesteuert geht, d.h. an nem root-kit sitzt immer auch einer dran der aktiv hackt und nicht nur mit einem root-kit fällt ein rechner, auch bei GPL Programmen sollte man immer sofort die Sicherheitsupdates einspielen, die gibts nicht ohne Grund sehr schnell...

Aber was will der mit meinen Daten...wenn der meinen Kontostand sieht, hat der Mitleid und überweist mir was

Um zum Ursprünglichen Problem zurückzukommen, wenn deine Bank HBCI Diskette anbietet, solltest du dich nochmal auf der moneypenny homepage umsehen, Version 1.0 RC ist fertig und auch als CD verfügbar (installieren geht aber auch ganz gut) und ne Diskette kost fast nix.

mfg tyler

[quote="ddayl"]

Alles was hier geschrieben steht ist gut und richtig, nur der Satz da oben ist völlig realitätsfremd.
Warum muss dir die Bank beweisen das es bei deinen Sicherheitsmaßnahmen unmöglich ist Zugangsdaten zu erspähen....
Erstmal müsstest du beweisen das nur von deinem PC und auch dann nur von der Boot-CD gearbeitet wurde. Da das schon unmöglich ist fällt alles weitere wohl auch flach.