Hallo,
wie bereits in einem anderen Thread erwähnt arbeite ich seit kurzen an einer Bachelorarbeit...in diesem Zusammenhang erstelle ich gerade eine möglichst vollständige Liste von (relevanten) Bedrohungen durch die, die Sicherheit des Onlinebanking beeinträchtigt wird:

Mit der bitte um Vervollständigung bzw. Kommentaren dazu poste ich heir mal meine erste "Version:

1. Phising Emails
2. Man in the middle attack
3. Keystroke Software
4. Screen Logging
5. Pharming von Webseiten
6. Hintertür im i-Tan verfahren (Umstellung auf "einfaches" HBCI)
7. Browser Help Objects (als Einstiegsstelle in ein System)
8. TAN Liste nicht unter Verschluss gehalten
9. PIN Nummer nicht Unzugänglich aufbewahrt
10. Fehlende Softwareaktualisierungen (bei FW, BS, Virenscanner etc.)

Viele Grüße
Oliver

Wo siehst du da das Problem, oder Lücke? Meinst du intermediäre Dienste wie Pago?



Ist nur bei der Postbank so, soll aber wohl ja noch angepaßt werden. Es gibt also nicht generell eine Hintertür bei i-Tan

Da fehlt die mit dem größten Schadenspotential:
Herumliegende Tanliste mit drauf notierter Pin. :!: :!:
bzw. Gattin und die Tanliste des Gatten (sehr interessant bei Scheidungen).
Mit einem Wort:
0. DAU

@ Stoney ... ich habe gehört/gelesen es gibt Anbieter die ein "Touchpad" auf Ihrer Webseite anbieten...bei dem die Kunden Ihre Pin oder Tan Nummern dann nicht mehr per Tastatur eingeben, sondern per "Mausklick".
Über Screen Scaping Programme können dann die Mausbewegungen ausgelesen werden und somit eingegebenen Nummern rekonstruiert werden!
Von Pago habe ich bis jetzt noch nichts gehört, was ist das??

@ i2017377 ... diesen Fall meinte ich mit den Punkten 8 + 9 abgedeckt zu haben, oder nicht?!?!

Bei 8. hast du recht, den hat ich nicht richtig gelesen ops:

Mit dem anderen Punkt meine ich aber, daß viele User sich über die Bedeutung Ihres Sicherungsmediums (Die Tanliste "gehört" dem Teilnehmer, nicht dem Konto.) keine Gedanken machen. Der Scheidungsfall (natürlich auch in den Konstellationen Vater/Kinder oder noch heftiger Ex-Angestellter/Firmenkonto) schlägt bei uns relativ häufig auf. Auch die Tanliste auf den Namen des Chefs, die in der ganzen Firma von allen genutzt wird kommt häufiger vor als man glauben sollte. Schlimm daran ist hauptsächlich, daß die Kunden diese Handlungsweise für vollkommen richtig halten.

Dann ist es allerdings nicht Screen Scrapping (das ist ein Verfahren, dass von StarMoney als erstes angeboten wurde, um auch Banken erreichen zu können, die keinen Standard wie HBCI oder den alten ZKA-Dialog anbieten), sondern eher Screen-Logging

Intermediäre Dienste, z.B. Pago, nutzen die HBCI-Schnittstelle oder arbeiten auch per Screenscrapping um z.B. im Fall Pago ein Bezahltsystem im Internet mit einer garantierten Zahlung anzubieten. Letztendlich wird PIN und TAN auf der Pago-Seite eingegeben und nicht auf der Banking-Seite, was natürlich ein Verstoß gegen die gängigen Onlinebedingungen bedeutet. Die Daten werden dann per HBCI oder Screenscrapping an die Bank übertragen...

Weiss eigentlich jemand in wieweit dieser Pago-Dienst seriös ist? Ich meine T-Online hat ja sowas auch mal angeboten (bzw. bietet das immer noch an?).
Ich sehe solche Bezahldienste als ernstzunehmendes Problem, selbst wenn T-Online oder Pago die TAN tatsächlich nur für die vom Kunden erwünschte Transaktion nutzen. Die Gefahr das sich Kunden an solche Zahlungsverfahren gewöhnen, halte ich für fast größer als dass sie auf Phishing-Mails antworten.
Und das fatale an der Sache ist, dass der Kunde hier sogar noch drüber informiert wird, dass sich z.B. Pago als MAN-IN-THE-MIDDLE dazwischen schaltet, was hier auch noch als tolles Feature verkauft wird. Kann man eigentlich nicht rechtlich gegen solche Dienste vorgehen?


Hier mal nochmal ein Link zu diesem Service:

http://www.online-ueberweisung.info/

Hallo zusammen,

Zum Thema Man-in-the-middle muss ich vorallem an Handys, PDAs und wie sie alle heissen denken...
1. T-Online bietet immer noch SMS-Banking an, was ich persönlich für bedenklich halte da oft gesendete SMS gespeichert werden.
2. Bei dem Thema WAP Banking von T-Online kenne ich mich jetzt nicht so aus, sollten aber -wie viele T-Online User es praktizieren - die TANs gespeichert werden können, ist hier sicherlich auch ein Problem da.

Ich lasse mich gerne korrigieren, aber imho ist es relativ einfach analog zu Wardriving die Bluetooth Schnittstellen des Handys anzuzapfen. Ist man dann drin, kann sich jeder ausmalen was möglich ist (SMS mit der PIN lesen, auf ungeschützten SmartPhones Applikationsdaten auslesen...)

3. Ein Verbot von den "Man-in-the-middle" Dienstleister in Deutschland wird sicherlich nicht allzuviel bringen, siehe Beispiel der Kopiersoftwarehersteller, die Firmen sind dann schneller mit einer Tochterfirma im Ausland als man denken kann

@vuenv
Gehört vielleicht nicht

@ vivid.sam ... Was gehört nicht...??? ops:

Ups ..... da habe ich wohl zu schnell gepostet ops:

Was ich sagen wollte war:
Gehört vielleicht nicht unbedingt hier hin, aber bei den Sicherheitsrisiken könnte man *vielleicht* bei synchronen Schlüsselverfahren die Gefahr hinzufügen, dass ein Dritter nicht eindeutig ermittel kann, ob Bank oder Kunde die Nachricht erstellt hat. Spielt hier vielleicht nicht so die Rolle (siehe auch Thread) aber für einen Kryptographen ist es ein theoretisches Risiko. Praktisch allerdings nicht relevant.

Gruß,
Sam

Der Knackpunkt dabei ist doch, wie die Formulierung (relevant) gemeint ist.
Wenn man davon ausgeht das das RZ der Bank die NAchricht selber hätte schicken können, ist das natürlich eine denkbare Methode. Nur hätte da auch ein findiger Programmierer mit entsprechendem Wissen und Zugriffsmöglichkeiten auch noch ganz andere Wege offen.

=>Social Engineering
http://www.staff.uni-mainz.de/…rheit.html

So wie ich die Profs kenne, wollen diese zunächst eine Übersicht aller theoretisch denkbaren Bedrohungen, wobei man dann im Verlauf der Arbeit Bedrohungen ausschließt.

Profs die lange im Dienst und von der Praxis weg sind, tendieren IMMER dazu Theoretiker zu werden, also ist es sehr wahrscheinlich, dass man einen Punkteabzug für in deren Augen nicht genannte Bedrohungen bekommt.

Jetzt musst du entscheiden in wie weit dein Prüfer ein Theoretiker ist :roll: