A C H T U N G *** Die folgenden Ausführungen orientieren sich am NO-100%-PRINZIP *** A C H T U N G



1. Die todsichere Methode beim Onlinebanking ist die, es nicht zu tun.

Nach dem Motto:

Wo kein Zugang, da kein (ungewollter) Abgang.



2. Die sichere Methode funktioniert nach einem ähnlichen Muster, wie man üblicherweise ein Kraftfahrzeug durch den Verkehr dirigiert:

- Gurt anlegen!
- Airbag an?
- Hirn einschalten (primär zur Nutzung der Augen und des Verstandes)



3. Die unsichere Methode orientiert sich an der Devise:

"Was interessiert mich, ob ich noch Öl im Motor habe!? Hauptsache Vollgas, was kostet die Welt! Wenn mir die Kiste um die Ohren fliegt, geb ich alles, um einen zu finden, der Schuld hat!"

(In diesem Falle sei der Blick in den Spiegel zu empfehlen...)



Mein Favorit

Ich bevorzuge Methode zwei, weil Onlinebanking bequem ist und im Allgemeinen Kosten spart. 'Ne Firewall (Airbag) und einen Antiviren-Scanner (Gurt) verwende ich ohne über deren Zuverlässigkeit lange nachzudenken. Keine Frage, es gibt Sicherheitslücken, ständig und immer figellinscher. Aber generell stelle ich mir auch die Frage: "Warum wird an das computerisierte Bewegen von Geld eine ungleich höhere Sicherheitsanforderung gestellt, als an die konventionelle Methode?" Na klar, weil nur wenige (auch ich) im Grunde genommen nicht bis ins letzte Bit begreifen, wie das Ganze mit Hilfe von Computer & Internet funktioniert. Ich würde allerdings auch nicht begreifen, wenn ich nach konventioneller Methode meinen Sparstrumpf am 31.10. eines Jahres zum Knax-Club trage und ausgerechnet per Zufall kurz vorm Erreichen des Sparkontos von dunklen Gestalten auserwählt werde, meine Wäsche (samt Inhalt) in deren vertauensvolle Hände abzugeben. Wäre ich doch besser zu Hause geblieben!

100-prozentige Sicherheit gibt es nicht und wird es auch nicht geben (bis auf das Ereignis des Ablebens). Das ist eine gute und gleichzeitig schlechte Nachricht.


Die gute Nachricht ist: Ich darf mein Hirn benutzen!

Wenn also irgendetwas nicht stimmt, z.B. weil

- meine Bankseite (bitte nicht über Favoriten, Lesezeichen oder Suchmaschinen aufrufen!) die Eingabe (wiederholt) von einer oder mehreren TAN (manchmal schon vorm Login) verlangt,
- nach Freigabe einer Transaktion die Rückmeldung kommt "eingegebene TAN falsch oder ungültig" (dann eigeninitiativ zunächst mal schauen, ob's ein technisches Malheur war, das die Rückmeldung verhinderte --> z.B. in den offenen Aufträgen, ungebuchten Umsätzen oder im Orderbuch prüfen, ob was Plausibles angekommen ist),
- ich zwar glaube auf meiner Bankseite zu sein, diese aber anscheinend "geklont" wurde (was allerdings bei der Darstellung des Backends mit Kontoständen, Depotinhalten oder Umsätzen zu ungewöhnlichen Ergebnissen führen sollte),
- sonstige Merkwürdigkeiten wie plötzliche Logouts oder Sessionabbrüche auftreten (die könnten allerdings auch auf die Rechnung eines Routers gehen),

dann nutze ich meine kommunikative Grundausstattung und frage vorsichtshalber bei meiner Bank nach, was das Phänomen begründen könnte.

Falls die Servicemitarbeiter nur sieben Tage die Woche von 8:00 bis 22:00 Uhr erreichbar sein sollten, ich aber unbedingt meine Geldgeschäfte bevorzugt morgens um 3:42 Uhr tätige, dann verlasse ich mich entweder darauf, dass die Buchungsläufe der Banken im Allgemeinen erst am späten Morgen wieder starten - Merke! Onlinebanking bedeutet nicht, dass eine Transaktion sofort an die Empfängerbank wandert. Und wenn's kurz nach der Einreichung als Umsatz schon gebucht sein sollte, dann hat die Bank 'ne pfiffige IT! -, sodass normalerweise Gegenmaßnahmen noch rechtzeitig veranlasst werden können. Andernfalls passe ich mich der serviceunfreundlichen Verfügbarkeit meiner Bankberater an und banke online zu den geschäftsüblichen Zeiten.


Die schlechte Nachricht lautet:

Manch einer verbringt sein Leben vergebens damit, auf ein Ereignis zu warten, dass ihn nicht ereilen will. Siehe z.B. die Menschen aus dem kleinen, uns allen bekannten gallischen Dorf, die immer noch darauf warten, ihnen möge endlich einmal der Himmel auf den Kopf fallen... Will sagen: Das Leben ist ehrlich gefährlich wenn ich es so will!



Ducunt fata volentem, nolentem trahunt!



Das war's soweit von Rikidiki. Gruß aus Hamburg!

Wenn Du das tätest, würdest Du auf der Stelle HBCI mit Chipkarte und einen Kartenleser mit externer Tastatur verwenden....... :roll:

Clio, übertreibs nicht. Ich habe auch erst seit letzter Woche ein Auto mit ABS und ESP. Der Vorgänger hatte nur zwei Airbags. Aber auch der Neue wird mich nicht zu 100 % vor einem Unfall schützen.
Was ich sagen will: Ein eingeschaltetes Hirn verbessert die Sichheitslage auch bei Pin/Tan enorm und auch bei Nutzung der Chipkarte sollte es nicht abgeschaltet werden.
Kleine Story am Rande: In meiner Schreibtischschublade liegt die alte (defekte - FBZ 0) HBCI-Karte eines Kunden. Die ist auf zwei Drittel der Länge wie neu, der Rest ist völlig ausgeblichen. Grund: Die Karte hat vier Jahre lang im Leser gesteckt, der beim Kunden mangels Platz auf dem Schreibtisch auf dem Fensterbrett steht. Zur Vereinfachung hat er auch den Pin-Modus zurückgestellt und den Kl2-Leser als Kl1 (natürlich mit gespeicherter Pin) betrieben. => Mit eingeschaltetem Hirn wär das nicht passiert....

CU
Frank

@clio

Wenn Du meinen Text genau gelesen hättest (dazu ist das Aktivieren des Hirns erforderlich, was mir in der Eile allerdings auch nicht immer gelingt... ;O), beschreibe ich das Thema ONLINEBANKING. Und das ist per Definitionem alles was nischt mit HBCI-Software zu tun hat.

Also, HOMEBANKING gibt's als reines ONLINEBANKING und als "OFFLINE-BANKING" mit Hilfe von Finanzsoftware.

HBCI mit Chipkarte ist zweifelsohne zur Zeit die sichererererererererste Methode. So wie alle sicherererererheitsbewussten Autofahrer neben Gurt & Airbag zu nutzen, sich zusätzlich in eine 200 x 200 cm Matratze einwickeln, maximal 25 km/h fahren und regelmäßig ihren Füherschein erneuern - weil das Hirn könnte ja irgendwann einmal einen Aussetzer haben!

So, und nun darfst Du zur Abwechslung mal was Nettes über mich schreiben.

Gruß aus Hamburg
Rikidiki

@Fellini

... Deine Signatur erinnert mich irgendwie an meine Ex-Lieblingsband (bevor der Pizzabäcker, das Mikro übernommen hat...).

Kann das sein?
Das wäre fein!

Es lebe das HBCI mit Chipkarte!

Gruß
Riki

Hallo Riki,

nette Definition, aber eine solche gibt es offiziell nicht. Ich halte sie zudem für falsch, Offline-Banking kann nichts sein was online passiert. Also eher so was wie die Einreichung belegloser Datenträger beim KI oder auch Papierüberweisungen.

Traditionell unterscheidet man zudem eher das private und das geschäftliche Umfeld (näherungsweise Homebanking vs. Electronic Banking ). Das spiegelt sich teilweise auch so in den Namensgebungen der Schnittstellen für die beiden Bereiche wieder.

Zu Homebanking gehören dann eher so Sachen wie Internet-Banking-Systeme und Softwareprodukte auf Basis der "einfachen" Schnittstelle HBCI/FinTS.
Im geschäftlichen Bereich kommen dann eher Softwareprodukte auf Basis der Massenzahlungsschnittstellen zum Einsatz - davon gibt es durchaus mehrere.

Die Übergänge sind natürlich überall fliessend.

Hallo Cap,

ich gebe Dir recht, dass es keine von Amts wegen bestätigte Definition des Hombankings (E-Banking, Tele-Banking, usw.) gibt. Meine Beschreibung entspricht im Wesentlichen der Definition, die z.B. bei Wikipedia unter dem Begriff "Homebanking" zu finden ist. Wikipedia ist für deutsche Verhältnisse, sagen wir mal, halboffiziell.

Meiner Meinung nach sind die beiden Verfahren ONLINE und "OFFLINE" zu unterscheiden. (OFFLINE steht absichtlich in Anführungszeichen, da bei der Verwendung einer Finanzsoftware natürlich auch eine Online-Verbindung aufgebaut wird. Aber eben nicht permanent.)

Das ohne die Nutzung eines Computers inkl. Dfü-Anbindung Abwickeln von Bankgeschäften würde ich als das traditionelle Banking bezeichnen.

Eine Unterscheidung nach privaten oder geschäftlichen Aspekten des Bankens ist auch möglich. Den beiden bis dato traditionell abgewickelten Bereichen wurde durch die Entwicklung von computergestützen Verfahren für die Kundenseite, das Durchführen von Bankgeschäften mit Hilfe von Rechnern & Datenleitungen erst ermöglicht. Insofern unterscheide ich aus der Sicht eines Onlinebanking-Forums zunächst nach "ON- und OFFLINE-Banking" und danach erst nach Privat- und Geschäftsbanking. Ich denke, das kann jeder halten wie ein Dachdecker.

Meine Ausführung ist im Übrigen als Ergänzung zu der Verbal-Attacke von clio gedacht und soll meine Ausführungen präzisieren. Es möge bitte nicht als offizielle Definitonsbestimmung verstanden werden.

Gruß aus Hamburg
Riki

Ja, das ist eine Sache mit der Bezeichnung. Wir haben ja auch am Anfang sehr lange überlegt und schlussendlich beides, also onlinebanking-forum.de und homebanking-hilfe.de angemeldet.
ich würde es als "Snail-Banking" bezeichnen, wenn es denn ein Anglizismus sein darf.

In einer Sache möchte ich allerdings meine Meinung darlegen. Das Einschalten des Gehirns, welche Betriebssystem-Version dieses auch haben mag, hilft und reicht leider nicht mehr. Die Gefahren, die hier im Web lauern, kann ein normaler User mit normalem Wissensstand nicht mehr erkennen, behaupte ich. Wenn jemand sicheres Browserbanking machen soll, dann müsste er sich an eine lange Latte von Verboten halten, die das Benutzen eines normalen Rechners zu einer Qual machen.
Beispiele:
Surf nicht mit Adminrechten!
Aktualisiere deinen Computer ständig (nicht nur Betriebssystem, sondern alle Programme, natürlich auch Virenscanner und Firewall)!
Lese keine Mails von unbekannten Leuten!
Öffne keine Anhänge von unverlangten Mails!
Am besten nutzt du gar kein Windows, sondern nimmst Linux oder nen Mac oder noch besser: Einen eigenen Rechner zum Surfen und einen zum Arbeiten!
Installiere keine Programme aus dubiosen Quellen!
Nutze keine Chatprogramme, diese können Sicherheitslücken haben!
Nutze alternative Browser!
nutze keine alternative Browser, wenn du auch den IE nutzt!
Nutze kein Java!
etc. pp.

Ich befürchte, die breite Masse der Computerbenutzer weiß nicht, was sie am Rechner tut. Es gibt kein Verständnis für Zusammenhänge, für einen großen Teil ist der Computer ein Wunderding, ein undurchsichtiger Kasten, der einen Fernseher interaktiv mit bunten Dingen versorgt. Wenn man hier auf die Fernbedienung (Maus) klickt, dann tut sich dort am Fernseher (Monitor) dies und das. Es gibt für die meisten keinen Grund, misstrauisch zu werden, wenn sich die Dinge mal anders verhalten als gewohnt, weil das Verhalten kaum reflektiert werden kann. Tiefer in die Materie einzudringen würde helfen, ist aber mit Anstrengung verbunden. Warum sollte ein normaler Benutzer daran Interesse haben? Der Zeitaufwand ist immens, vor allem, wenn man einigermaßen auf dem Laufenden bleiben möchte.

Sicheres Browserbanking setzt aber Grundwissen über Technik, Verschlüsselung, Zertifikate etc. voraus. Da halte ich die Chipkartentechnik, aber auch mobile TAN und mit Einschränkung SmartTAN plus für billiger, weil zeitsparender (iTAN reicht nicht).

Gruß
Raimund

Na na, nur die Ruhe, so war das ganz bestimmt nicht gemeint, aber bei der Steilvorlage konnte ich mir das nicht ganz verkneifen.... sorry, wenn das falsch rüberkam.

Aber so ganz unrecht hast Du da nicht. Der Normaluser weiß selten so ganz genau, was er da am PC tut. Nicht umsonst gibt es Pishing und so einige andere kriminelle Aktivitäten, aber das Thema wurde hier schon breit diskutiert.

Ich gehöre zu den Leuten, die niemals PIN/TAN einsetzen würden, ebensowenig wie Windows als OS.
Da ist mein Sicherheitsdenken doch etwas ausgeprägter.
Aber damit gehöre ich sicher zu einer Minderheit....

@clio

Ist schon gut! Ich drücke manchmal verbal etwas auf die Tube. Aber das schafft meist klare Verhältnisse.

) & Gruß
Riki

Hallo Raimund,



es liegt mir fern, den Machern dieses Forums generelle Definitionen zum Thema Homebanking schlau zu reden. Ihr leistet hier eine ausgezeichnete und professionelle Arbeit, die ich seit Langem sehr schätze.

Mein Anliegen ist, dass bei der Diskussion um das Thema Sicherheit beim browsergestützten Banking die Kirche im Dorf gelassen wird. Sicherlich besteht in der Öffentlichkeit zur Zeit noch ein mangelndes Bewusstsein, dass diese Form des rechnergestützen Bankverkehrs im Vergleich zur softwaregestützten Variante mit HBCI mit höheren Risiken behaftet ist - ich würde, um das Thema zu veranschaulichen, hier als Vergleich die Nutzung eines motorisierten Zweirades vs. PKW heranziehen. Es werden teilweise Argumente gegen das Onlinebanking herangezogen, die ich nicht nachvollziehen kann.

Generell ist die derzeitige Lage am Homebanking-Markt so, dass nicht jedes Kreditinstitut das derzeit ohne Zweifel als am sichersten geltende HBCI-Verfahren mit Chipkarte (ext. Leser mit eigener Tastatur & eigenem Display) anbietet. Dies wird meiner Meinung nach nicht aus Gründen der Ignoranz gegenüber den Gefahren des Onlinebankings gemacht, sondern folgt in erster Linie betriebswirtschaftlichen Überlegungen, aber auch den Wünschen der Kunden. Mir ist kein Kreditinstitut bekannt, dass auf Kosten der Sicherheit seine Kundenverbindungen opfern würde.

Also, wer Motorrad fährt, begibt sich in größere Gefahr als jemand, der in der relativ sicheren Fahrgastzelle eines PKW das Gaspedal bedient. Allerdings habe ich den Eindruck, dass dieses Gefahrenpotenzial vielen Bikern nicht unbedingt bewusst ist, obwohl diese - im Gegensatz zum Onlinebanking - hierfür eine spezielle Ausbildung erworben haben. Letztendlich ist Motorradfahren nur so sicher, wie es aufgrund der bekannten Risiken (Beschleunigung, Verzögerung, Fliehkraft, usw.) vollzogen wird. Das gilt meiner Meinung nach im übertragenen Sinne auch für das Onlinebanking.

Es muss also eher am Bewusstsein, wie sicheres Onlinbanking angewendet werden kann, gearbeitet werden und nicht allein die Forderung postuliert werden, dass vermeintlich unsichere PIN/TAN-Verfahren zu meiden. Es gibt mittlerweile sicherere Formen des TAN-Verfahrens (e-, m-, i-TAN), die der berechtigten Kritik am herkömmlichen TAN-Verfahren Rechnung tragen.

Generelle Aufklärungsarbeit zum Bereich Homebanking wird seitens der Kreditinstitute, der Medien und auch derartiger Foren zur Genüge geleistet. Der positive Effekt der kriminellen Angriffe insbesondere auf das Onlinebanking führt nebenbei zu einer höheren Durchdringung bei den Nutzer nach Antworten auf die sicherheitsrelevanten Fragen zu suchen. Und diese zu beherzigen.

Deine Aufzählung der grundsätzlichen Vorsichtsmaßnahmen:



ist ausführlich. Wenn ich alle genannten Maßnahmen nutzen würde, käme ich mir allerdings wie ein Motorradfahrer mit Helm und Eishockeytorwart-Montur vor, der auf einem umfriedeten Verkehrsübungsplatz in einem PKW umherfährt.

Ich denke, dass je nach "fahrerischem Können" jeder Onlinebanking-Anwender seine individuellen Sicherheitsmaßnahmen wählen sollte.

Um zusätzlich noch die Statistik zu bemühen, anbei ein paar Links zu Statistiken des BKA und des Statistischen Bundesamts zu den Themen Computerkriminalität und Verkehrssicherheit. Leider habe ich bisher keine aussagekräftigen Daten zum Motorisierungsgrad bzw. "Onlinebanking-Durchdringungsgrad" gefunden, die man dann mit den unten genannten Zahlen in Relation setzen könnte (gibt es jemanden, der eine Quelle benennen könnte?).

Hinzu sei gesagt, dass die Banken in den meisten Fällen bei Onlinebankingbetrugsfällen entweder noch rechtzeitig reagieren können, bevor das Kind ins Wasser gefallen ist oder teilweise auch zu einer kulanten Lösung bereit sind. Aufgrund der relativ langsamen Abwicklung des ZV (wer denkt es geht schneller, lässt sich häufig etwas vorgaukeln) und der gestiegenen Aufmerksamkeit der Nutzer ist ein Eingreifen oft noch möglich. Noch ist das so. Es wird sich ändern. Spätestens dann, wenn die Vorgaben aus Brüssel zum künftigen ZV in der EU umgesetzt werden.


langer link
Statistisches Bundesamt, Getötete im Straßenverkehr 2006

(siehe Anhang)
BKA, Statistik Computerkriminalität 2006



Gruß aus Hamburg
Rikidiki


P.S.



Was reicht beim iTAN-Verfahren nicht aus?

Wenn ich das Bild mit dem Motorradfahren nicht überstrapaziere, dann gebe ich mal meine Erweiterungen und Interpretationen zum besten, einfach zu meinem Vergnügen:
Stelle dir einfach Deutschland als ein Land vor, bei dem sich das Klima ständig radikal verschlechtert. Es schneit nicht nur 3x im Jahr sondern in einigen Gebieten inzwischen 3-6 Monate durchgängig. Die BMW-Fahrer steigen auf ihre 4-Räder aus dem gleichen Hause um. Trotzdem gibt es noch Motorradfahrer, die sich bewusst entscheiden, dorthin zu fahren. Eigenes Risiko, kein Thema für mich.

Es gibt aber auch Moto-Guzzi-Biker dort draußen, die mangels Angebot gar nicht wissen, dass es sicherere Autos gibt, noch wissen einige, dass sie in Gegenden mit Blitzeis unterwegs sind. In solchen Gegenden schnallen sich dann einige noch zur Sicherheit iTAN-Spikes an die Reifen (Schneeketten gibt es ja nicht für Mopeds, oder?).

Ich glaube nämlich einfach deine Aussage nicht, dass generelle Aufklärungsarbeit von allen KI geleistet wird, das widerspricht meinen Erfahrungen. Es hat sich gebessert, das gebe ich gern zu, aber ich befürchte, dass zu oft der Weg des geringen Widerstands gewählt wird, von beiden Seiten. Der Mensch, egal ob Kunde oder Bank-Berater, ist halt faul.

das unterschreib ich dir blind - wenn denn die Wahl möglich ist, ohne Nachfragen und Drängeln des Kunden (öh, das Moped ist ja ganz schön und fährt schön schnell, aber haben sie auch Autos? Ja? ok, ich weiß, die sind teuer, aber könnte ich trotzdem eins haben?).

Gruß
Raimund

/signed.

Ich weiß aus eigener Erfahrung, wie gerne man auf das billige, einfach zu verkaufende PIN/TAN zurückgreift, weil HBCI mit Chipkarte ja "kompliziert ist", außerdem "kostet es den Kunden was, wie soll ich das begründen?"... die Berater in den KI haben soviel um die Ohren - und in vielen, sehr vielen Fällen auch noch heftigen Verkaufsdruck, dass Onlinebanking (leider!) einen geringeren Stellenwert einnimmt... man macht es eben "nebenbei" und "schnell". Nein, diese Aussage ist natürlich nicht allgemeingültig. Auch ich kenne einige Berater, die PC besessen sind und sich wirklich bemühen, den Kunden alle Lösungen anzubieten und vor allem auch die Vorteile eines "sicheren" Onlinebankings darlegen.

Wenn es nach mir ginge, würden Onlinebankingberatungen nur von EBlern, sprich von uns, durchgeführt... aber nun ja, bleiben wir in der Realität :? .

Euer Motorrad-Beispiel gefällt mir übrigens ... ich denke diese Diskrepanz zwischen dem, was die Banken tun müssen (vernünftige Sicherheitsverfahren anbieten, die Kunden aufklären und anständig beraten) und dem, was die Kunden tun sollten... ja, da gibts noch viel Arbeit. Ich bin allerdings grundsätzlich der Meinung, dass man ein solides PC-Grundwissen (was ist eine Firewall, ein Virenscanner, etc.) mitbringen sollte, wenn man Onlinebanking machen möchte. Und ja, ich bin mir bewußt darüber das das nicht immer der Fall ist.

Aber was tun?

LG
Angel

Die OLB ist zum Beispiel aus jeder PIN/TAN-Phishing Geschichte schon seit 2 Jahren raus, denn sie haben PIN/TAN abgeschafft und bieten nur noch HBCI Diskette und Chipkarte. Da sind sicher auch ein paar Kundenverbindungen für drauf gegangen. Das rein technisch betrachtet die Diskette nicht sicherer als das PIN/TAN verfahren ist, brauchen wir nicht drüber diskutieren, aber es ist nunmal nicht so verbreitet und es gab noch keinen Angriff darauf. Im nach hinein war es sicher keine schlechte Idee, sich so aus der ganzen Sicherheitsdiskussion herauszuhalten.

Ich behaupte aber auch mal frech, das es mit der vorhandenen Kundenstruktur der OLB einfacher ist, einen solchen Schritt zu gehen.