Hallo,

ich habe einige Fragen zum Web Sign HBCI mit Chipkarte der Deutschen Bank. Die Anmeldung geht über die Weboberfläche. Eine Bankingsoftware möchte ich aus persönlichen Gründen nicht verwenden.

- Ist die Eingabe der PIN am Lesegerät und die Transaktionen allgemein gegen Trojaner sicher? TAN wird immerhin nicht abgefragt und so kann kein Täter von sich aus eine Transaktion ausführen?

- Wird beim Login per HBCI Chipkarte eine Phishing Web Seite erkannt? (z. B. Login nicht möglich, weil die Phishing Seite nur für das „Sammeln“ erstellt wurde)

- Ist HBCI per Chipkarte auch gegen „man in the middle“ sicher?

Freue mich auf eure Antworten!

Gruß
Abi

Hi Abi,

zuerst: Du machst beim Webbanking kein HBCI, sondern nutzt eine Chipkarte mit elektronsicher Signatur zum Unterschreiben.

Die Chipkarte selber ist sicher gegen Trojaner, was nicht sicher ist, ist dein Browser. Da kann Dir sehr wohl eine Zahlung untergeschoben werden, ohne dass Du dies bemerkst. Die unterschreibst Du ironischer Weise dann -Trojaner sicher- mit der Chipkarte.

Wenn Du beim Webbanking sicher vor Manipulationen sein möchtest und eine Chipkarte verwenden möchtest, geht das nur mit einem SECODER, der auch von deiner Bank dann als solcher unterstützt werden muss. Dies ist aktuell nur bei den Volksbanken und Raiffeisenbanken am Rechenzentrum GAD der Fall.
Ansonsten ist die mobile TAN sicher, Sm@rt TAN plus und andere Verfahren, bei der Du unabhängig von dem, was Du im Browser siehst, kontrollieren kannst, was Du unterschreibst!

Gruß

Holger

Hi Holger!

Danke für Deine ausführliche Antwort! Zur Zeit bin ich bei der Frankfurter Volksbank und die bietet die mTAN an. Da ich zum 1.12. umziehe, und mein neuer Wohnort keine FVB hat, wollte ich zur Deutschen Bank wechseln.

Um mir eine Zahlung unterzujubeln, müßte man da den DNS manipulieren, oder geht das auch mit einem Trojaner?

Was ich nicht ganz verstehe: Wenn ich mich per Web Sign Chipkarte anmelde, wird die PIN über das Lesegerät Klasse 2 eingegeben. Diese PIN läßt sich ja nicht auslesen. Wie kann aber der Täter sich trotzdem in meine Sitzung einwählen um mir eine Zahlung unterzujubeln?

Wenn das mTAN nur für meine eingegebene Transaktion gültig ist, könnte dann der Täter mit dem Keylogger meine abgefangene mTAN nichts mehr anfangen?

Welche Variante wäre aus Deiner Sicht sicherer: mTAN oder HBCI Software und Chipkarte?

Ich surfe zwar immer mit einem eingeschränkten Konto unter XP und mein e-mail Konto von GMX wird auf dem GMX Server schon auf Viren überprüft, bevor ich den per POP3 herunter lade. Aber man weiß halt nie...

Gruß
Abi

Hallo Abi,

wenn du mit einem TAN-Generator basierten Verfahren oder der mobilen TAN arbeitest, ist eben der Vorteil das bestimmte Daten auf einem unabhängigen und vom eigentlichen PC losgelösten Zweitgerät dargestellt werden. In der SMS sind z.B. der Betrag und gewissen Empfängerangaben dargestellt, ähnlich bei einem TAN-Generator basierten Verfahren. Wer an der Stelle fahrlässig handelt weil er eben nicht nachguckt dem ist wohl generell nicht mehr zu helfen.

Das System HBCI mit Chipkarte ist zwar auch sicher, hat aber derzeit keinen unabhängigen Darstellungskanal. Letztlich signiert man blind. Das dürfte ebenfalls auf die Signaturlösung der Deuba zutreffen, nur das hier zudem mit dem Browser gearbeitet wird. Ich kenne das Verfahren aber nicht im Detail. Es gibt allerdings Chipkartensysteme in Verbindung mit Internet-Banking Lösungen die auch eine unabhängige Darstellung auf einem zweiten Weg erlauben. Entweder im Chipkartenleser selbst oder einer gesonderten Software (Plugin), in der die Signatur dann erfolgt. So richtig verbreitet ist das aber nicht....

Hi Abi,

klar kann ein Trojaner DNS manipulieren, das ist relativ einfach.

Das "blinde" signieren ist das einzige Problem bei HBCI Karten Nutzung.
Und wird erst mit dem Secoder Standart gelöst.
Soweit ich weiß, gibt es aber bis dato keine bekannten Fälle,
das eine manipulierte Überweisung korrekt signiert wurde.

Gruß,
Vader

Hallo Abi,

es wird nicht die eigentliche Transaktion, oder die Chipkarte angegriffen.
Zur Verdeutlichung:

Du öffnest die Webseite deiner Bank. In dem Moment, wenn Du die Überweisung eingeben möchtest, schiebt der Trojaner die eine andere Eingabemaske drüber, die Du füllst. Im Hinterrgund füllt der Trojaner dann die echte Maske mit seinen Daten aus, während Du immer noch glaubst, dass Du die Maske der Bank ausfüllst. Hierbei ist die Verbindung zur Bank nach wie vor sicher! Wenn Du jetzt mit der Chipkarte unterschreibst, glaubst Du, dass Du die Daten untreschreibts, die Du eingegeben hast. In wirklichkeit unterschreibst Du natürlich die Daten des echten Internetbankings, da sich in die eigentliche Signatur in der Tat niemand so einfach einhacken kann! Nur diese sind eben die Daten des Angreifers. Da Du keine Möglichkeit hast zu erkennen, dass deine Anzeige am Bildschirm manipuliert wurde, ist dieser Angriff auch bei einer Chipkarte möglich (dieses Szenario ist keine Utopie, sie läuft in aktuellen Angriffen gegen die indizierte TAN genau so). Erst wenn Du eben die Möglichkeit hast, die Daten die Unterschrieben werden gesichert zu kontrollieren, ist ein Verfahren sicher, völlig unabhängig davon, ob es ein TAN Verfahren oder ein verfahren mit Chipkarte ist. Daher sind eben die TAN Generatoren, bei denen Du Details deines Auftrags eintippen mußt, die mobile TAN, bei der Du Daten zu deinem Auftrag über einen zweiten Weg erhälst und die Chipkarte mit dem SECODER sicher. Alle Verfahren, die dies nicht bieten, sind zumindestens durch die Manipulation der Anzeige angreifbar!

Gruß

Holger

Hallo an Alle,

gibt es Merkmale, wie ich als Außenstehender sehen kann, daß mir eine Überweisung untergejubelt wird, z. B. in dem Moment das Zertifikat der Bank fehlt, weil es eine vom Täter erstellte Webseite ist?

Welchen Sinn hat z. B. die Zertifikatsüberprüfung, wenn eine Überweisung trotzdem „untergejubelt“ werden kann?

Warum wird das HBCI trotzdem angeboten, wenn Hintertürchen für eine untergejubelte Überweisung genutzt werden kann? Ist es das Geschäft mit dem „Schön reden“ der Banken um den Kunden eine falsche Sicherheit vorzuspielen?

Macht es Sinn, nach jeder Überweisung die Umsätze zu kontrollieren um ggf. sofort bei der Bank eine Stornierung zu veranlassen? Oder wird die Überweisung vom Täter erst zu einem späteren Zeitpunkt ausgeführt?

Wenn man es so sieht, wäre dann das mTAN am Besten. Vor allem braucht der Endverbraucher nicht viel in diese Technik investieren…

Gruß
Abi

Hallo,



die macht schon Sinn. Durch die Zertifikatsprüfung lassen sich zwar nicht alle Angriffe (der oben skizzierte vermutlich nicht) entdecken, aber z.B. Angriffe durch Pharming / Manipulation der hosts-Datei. u.a. fliegen so auf.



Zum einen ist HBCI mit Chipkarte und Klasse-2-Lesegerät und Banking-Software wesentlich schwerer und aufwendiger anzugreifen als simples Browserbanking mit Einschritt-TAN-Verfahren (klassisches PIN/TAN-Verfahren, SmartTAN).

Da HBCI-Chipkarte auch nicht so weit verbreitet ist, gibt es auch wesentlich weniger potentielle Angriffsziele, es ist also weniger interessant für Angreifer.

Daher macht es nach wie vor Sinn, HBCI mit Chipkarte und Klasse-2-Lesegerät zu empfehlen und einzusetzen.



Solange Du Dir keinen Trojaner eingefangen hast, der so clever ist, nicht nur die Überweisung zu manipulieren, sondern auch gleich noch die Umsatzanzeige, ist das schon sinnvoll.



So waren die "alten" Trojaner. Aber die Ganoven sind erfinderisch und entwickeln sich und ihre Schadsoftware immer weiter...



Solange Du nur Einzelaufträge hast (keine fetten Sammelüberweisungen), wo eine Auftragskontrolle sinnvoll durch Prüfen der in der SMS zusammen mit der TAN übermittelten Auftragsdaten vom Benutzer durchgeführt wird, bietet die smsTAN, mTAN oder wie auch immer sie dann bei der jeweiligen Bank heißt, tatsächlich ein gutes Sicherheitsniveau, da - wie meine Vorredner schon schrieben - eventuelle Manopulationen von Benutzer erkannt werden können.



Solange die Banken die SMS-Kosten nicht weiterberechnen: Ja. Und selbst wenn sie es täten, wären es nur ein paar Cent.

Zusammengefasst: Es gibt keine 100%ige Sicherheit, weder beim Online-Banking, noch anderswo. Egal, welches Verfahren Du nutzt, das A und O ist es, seinen Computer frei von Viren, Trojanern und anderer Schadsoftware zu halten. Wenn einem das gelingt, ist das eingesetzte Banking-Verfahren nahezu Wurscht.

Otto

Hallo Abi,

Otto hat es ja eigentlich schon gut erläutert:
Es wird nicht die Verbindung manipuliert, das könntest Du mit dem Zertifikat erkennen und je nach Umsetzung auch mit der Chipkarte verhindern. Es wird nur die Anzeige bei Dir manipuliert, etwas so, als ob man ein Bild deines Desktops noch mal über den Desktop legt.

Gruß

Holger

Hallo Abi,

zu Deinen Fragen haben dier Kollegen schon ausfürlichst geantwortet.


Allerdings habe ich eine Frage an Dich:

Warum behälst Du nicht das Konto bei der Frankfurter Volksbank? Es gibt viele Kunden, die trotz Umzug die gewohnte Bankverbindung behalten.

Gerade in Verbindung mit dem OnlineBanking bist Du heute nicht an die oder eine örtliche Bank angewiesen. Denk mal an all die eingeschliffenen Dinge im Zahlungsverkehr wie Lastschriften von Versicherungen, Vereine, Verbände, Daueraufträge und und und. Die Umstellungsaufgaben/-arbeiten kannst Du Dir (fast) alle ersparen.
Im Übrigen gibt es an Deinem neuen Wohnort sicherlich auch eine genossenschaftliche Bank. Die unterstützen selbige/bekannte Verfahren und sind auch mit einem Umzugsservice gerne unterstützend dabei. Zusätzlich mußt Du Dich bei den Online-Masken und Abläufen nicht sehr von Deinen Gewohnheiten lösen und umstellen.

Hast Du darüber auch schon einmal nachgedacht?





Übrigens, selbiges gilt natürlich auch für die anderen Bankengruppen und Sparkassen.

Hallo an Alle!

vielen Dank an eure Antworten! Jetzt habe ich einen "kleinen" Einblick in die Sicherheit vom OB. Gibt es trotzdem einen Weg, wie ich sehen kann, ob der Screenshot oder Screen manipuliert ist?

Wie habt ihr eigentlich Eure Erfahrungen zu diesem Gebiet gesammelt? Arbeitet ihr zufällig in einer Sicherheitsabteilung einer Bank? Einige von Euch kennen ganz gut die Vorgehensweise der Täter um so die Vor- und Nachteile der Banking Systeme zu erklären...

@Klopfer:
in Jülich ist leider keine FVB oder ähnliche Bank, bei dem ich kostenfrei am Geldautomat Geld abheben kann. Deshalb überlege ich zu wechseln, weil dort viele Cash Group Banken in der Stadt sind, bei denen ich ohne zusätzliche Gebühr abheben kann.

Da das Konto von der Deutschen Bank ein Zweitkonto ist, würde mir die Umstellung nicht so schwer fallen. Klar finde ich die Umsatz-Übersicht der FVB übersichtlicher...

Gruß
Abi

Wenn Jülich bei Aachen gemeint ist, gibt es dort sehr wohl eine Genosschenschaftsbank - wie eigentlich überall..

Was meinst du mit nicht kostenfrei abheben? Ich denke doch sehr wohl das die VR-Banken einen GA-Verbund ähnlich der Sparkassen betreiben, wo jeder Kunden einer anderen Bank aus der gleichen Gruppe kostenlos abheben kann. Cash Group und Konsorten sind ja gut und schön, aber die Abdeckung wie Sparkassen und VR-Banken schafft niemand sonst...

Die Aachener VB hängt allerdings an einem anderen Rechenzentrum als die Frankfurter VB. Nen bisschen anders sieht es aus, aber ohne jemandem auf den Schlips treten zu wollen sind die rein technische E-Banking Möglichkeiten dort auch besser.

Um auf die andere Frage zurückzukommen: sämtliche Antworten auf deine Fragen stammten bisher von Bankern, die alle sehr nah mit dem E-Banking zu tun haben.

Hallo Abi und andere,

ich befürchte, da hast du leider Pech, mehr al 98% der VR-Banken machen zwar mit, aber die Jülicher Volksbank ist fusioniert zu Aachener Volksbank und nimmt damit leider nicht teil.

Die Liste der am BankCard ServiceNetz teilnehmende und nichtteilnehmenden Banken findet sich beim BVR:
http://www.bvr.de/public.nsf/i…=3&sub=100

Gruß
Raimund

Hallo an Alle!

@Captain FRAG:
mit kostenfrei abheben meine ich die zusätzliche 5 Euro Gebühr am Geldautomaten, weil meine FVB dort nicht dazu gehört. In Jülich selbst gibt es fast an jeder Ecke eine Dresdner, Commerz, Post- oder Deutsche Bank.

@Raimund Sichmann:
ich hatte mal so eine ähnliche Liste direkt bei der FVB Webseite gefunden. Da stand ebenfalls keine FVB in Jülich dabei...

Gruß
Abi