Onlinebanking, TAN contra HBCI

    Hi,
    aus aktuellem Anlaß( ich will mit Onlinebanking anfangen) hätte ich gern ein paar kompetente Meinungen zu den verschiedenen Verfahren.
    Imho ist das Tan-Verfahren seit Trojaner Bizex.E nicht mehr sicher deshalb hab ich den EDV-ler in meiner Bank gelöchert. Der konnte mir leider die einzelnen Verfahren, Arbeitsweisen und Sicherheitsaspekte nicht schlüssig erklären, empfahl mir aber das HBCI-Verfahren. Zwar nicht mit Chipkarte aber mit Zugangsdaten auf Diskette weil das gegenüber Chipkarte kostenlos ist und die Chipkarte keinen wesentlichen Sicherheitszugewinn bringe.
    Jetzt frag ich mal hier in die Runde nach den jeweiligen Vor- und Nachteilen besonders im Hinblick auf die Sicherheit.
    Bitte keine Antworten ala "ich mach Onlinebanking und bin zufrieden", das hilft mir nicht.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    Hallo hyrican,

    als "Bulle" kann ich davor nur PIN/TAN warnen...

    hier etwas zu HBCI: http://www.hbci-kernel.de/

    Auf dem eingebauten Chip in der HBCI-Karte sind alle wichtigen Informationen gespeichert.

    Um auf das Onlinekonto zugreifen zu können, muss deine Karte aber in ein spezielles Lesegerät gesteckt und dein Geheimcode (Geburtsdatum *grins*) eingetippt werden. Ein äußerst sicheres Verfahren, weil Karte und Geheimnummer nötig sind. Hat der Täter eins von beiden, bringt es ihm nichts!!!

    Also das Verfahren ist okay, wenn auch niemals 100 Prozent sicher...

    Hiho, also ich habe zwar keine Ahnung vom Onlinebanking, aber googeln kann ja Jeder, deshalb hab ich das auch geTAN *g*

    und hier findeste ne gute Erläuterung zum eTAN-Verfahren, willst du darüber überhaupt was erfahren?
    http://www.computerhilfen.de/nachrichten_38…5104107970.html

    hier sind weitere Infos zu deinen beiden Verfahren, die Seite sieht recht informativ aus:
    http://www.netplanet.org/sicherheit/banking.shtml

    naja ich überschütte dich jetzt nciht weiter mit Links, das kannste auch selber bei Bedarf, gib z.B. mal "Online banking Verfahren" ein ...

    nichts gegen die Amis, aber:
    - Das Pfeifen unter Wasser ist in Florida verboten.
    - In Oklahoma ist das Erschrecken von Hunden durch Grimassenschneiden verboten.
    - In Tennessee ist es gesetzlich verboten, Fische mit dem Lasso zu fangen.
    nihct nciht ncith cnith nicth -> alles das Selbe: NICHT dieses Wort is mir einfach zu komplex!

    Zitat von hyrican


    Imho ist das Tan-Verfahren seit Trojaner Bizex.E nicht mehr sicher

    also ich bin jetzt kein rangking -pusher ! habe grade mit schrecken die anfrage von hyrican gelesen...
    was macht denn der trojaner bizex.e, ich benutze auch das pin/tan verfahren *schluck*
    ich weiß nun gar nicht ob meine sparkasse die hbci-karte + lesegerät anbietet, vor einem jahr war das noch nicht der fall..

    BS: Win10
    CPU : Ryzen 7 5700X

    RAM: 32 GB

    SSD: Samsung 860 EVO 1TB - M100 512 HB - HDD: 4TB

    Grafikkarte: RTX 3060 TI

    Soundkarte:X-FI Titanium

    TFT: 1x LG 4K 27``1xAsus 27"
    Maus    : Sharkoon Drakonia Black

    Tasta: Ducky Zero Zone

    Koschi
    dein Link geht net.
    @kaiser
    naja, so richtig erklärt wird es ja nicht...
    Top-se
    danke derweil, ich schau mir deine Links gleich an.
    @street
    Bizex.E liest die Tan bei der Eingabe aus und sperrt für einen Moment dein Internet, du kriegst ne Fehlermeldung vom Browser und nimmst die nächste Tan, die vorherige( noch gültige) wird von Bizex an den Server des bösen Trojanerschreibers geschickt. Die Server sind zwar schon lange tot aber wo einmal was ist kommen schnell Nachfolger...

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    ...also ich finde meine Erläuterung nicht schlecht...oder wusstest du das mit Karte und Zugangssoftware bzw. Lesegerät schon?

    Na dann...Phishing nimmt auf alle Fälle täglich zu, das weiß ich aus sicherer Quelle 8)

    übern cardreader oder über usb 2.0,
    gabs im hinblick auf trusted computing auch schon lösungsansätze
    vom ccc.
    ich halte hbci allemal für besser.

    das leben ist sch****e aber die grafik ist geil!
    rechtschreibfehler sind absichtlich eingebaut worden, damit sich der leser nicht so langweilt

    "Der erste Trunk aus dem Becher der Naturwissenschaft macht atheistisch;
    aber auf dem Grund des Bechers wartet Gott."
    Werner Heisenberg, Atomphysiker

    bye soucerer72™®©

    ich kenne das verfahren von meiner ex und fand es klasse, du hast ein lesegerät mit tastaurfeld und schiebst deine kontokarte rein bzw sieht genauso aus wie die kontokarte... vorteil nr 2 ist neben der sicherheit das die blöden tan nummern wegfallen..

    BS: Win10
    CPU : Ryzen 7 5700X

    RAM: 32 GB

    SSD: Samsung 860 EVO 1TB - M100 512 HB - HDD: 4TB

    Grafikkarte: RTX 3060 TI

    Soundkarte:X-FI Titanium

    TFT: 1x LG 4K 27``1xAsus 27"
    Maus    : Sharkoon Drakonia Black

    Tasta: Ducky Zero Zone

    es gibt insgesamt 4 HBCI-Verfahren,

    PIN und TAN / Diskette / Chipkarte / Pocket-PC

    Über Sicherheit lässt sich streiten, Diskette ist gut, aber anfällig. Chipkarte ist gut, aber lesegerät muss installiert werden und könnte mal wieder zu Komplikationen führen.

    PIN und TAN sind sicherer als beim alten verfahren, aber sicherer heißt nicht gut genug. Pocket-PC ist selbsterklärend.

    Die Frage ist einmal die Verschlüsselung, und das sollte der Banker wissen und die Haftungsfrage! Sparkasse haftet für Missbrauch, somit ist es denen ihr Bier und du kannst ruhig schlafen.

    Andere Banken haften nicht, sondern der Kunde, da heißt es aufpassen!

    Diese Haftungsfrage ist unheimlich wichtig. Nimm den Vertrag mit nach Hause und prüfe. Leg ihn notfalls zur Prüfung der Verbraucherzentrale vor, die helfen immer und souverän.

    @kaiser
    deine Erklärung in allen Ehren aber ich hatte in meinem Eröffnungspost erwähnt das ich wohl nicht das Verfahren mit Karte nehme sondern das per Diskette weil kostenlos. Der EDV-ler meinte auch das man die Software aufn USB-Stick packen können sollte und somit ein einhacken in die Software nur während der Sitzung möglich ist was ein ziemlich kleines Zeitfenster bedeutet. Diskette halt ich auch nicht für perfekt, CD wär besser weil nicht wieder beschreibbar, außerdem gibts mittlerweile ne Menge Rechner ohne Diskettenlaufwerk. Keylogger hat ja eigentlich auch keine Chance weil man keine Nummern eingibt...
    Verschlüsselung sind wohl 128Bit, naja. Und bei der Frage nach dem Verfahren bei der Verschlüsselung mußte er auch passen...
    Ich glaub ich hol mir den EDVler mal ins Haus wenn das Zeug da is und dann schauen wir mal was man noch optimieren kann...
    Natürlich schau ich mir die Haftungsgeschichte an, jetzt gehts mir grad erstmal um die Unterschiede in den Verfahren hinsichtlich Sicherheit.

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    hallo

    also ich nutze im mom nur das pin /tan verfahren
    habe aber von meiner bank die empfehlung bekommen auf das hbci umzustellen( wegen der sicherheit) ..
    das macht mich schon nachdenklich und werde mir das mal erklären lassen , kostet ja hoffe ich nix....
    lese diesen thread mit aufmerksamkeit weiter , schon wegen der infos hier ....
    hat den jemand negativerfahrungen mit dem pin/tan gemacht ?
    ich noch nicht ...

    gruß...

    Sicher ist gar nix. Auch nicht HBCI.
    Von wegen kleines Zeitfenster, in dem nur ein Angriff erfolgen könnte.
    Nur eine Sekunde reicht einem vernünftig programmierten Programm aus, um einen Angriff zu starten.

    Beispiel:
    Wir gehen davon aus, das ein bösartiges Programm sich bei dir einschleusen konnte, wie auch immer.
    Es analysiert erst mal, was für ein Zugriff auf welchen CardReader gegeben ist. Das geht ganz einfach übers Betriebssystem abzufragen. Macht ja jede Banking Software auch.
    Dann legt sich das Programm auf die Lauer und wartet nur darauf, das Du die Banking Software aktivierst. Jetzt übernimmt es die Kontrolle über den CardReader und tut so, als wäre alles bestens. Du schiebst die Karte rein, Du gibts die PIN ein, eventuell auch noch ne TAN und schwups, das wars.

    Ja, ich weiß, das hier eine verschlüsselte Übertragung stattfindet. Aber das ist wohl eher das kleinere Problem. Bei entsprechender Fehlermeldung "Karte konnte nicht gelesen werden" wird es der Benutzer sicher nochmal versuchen, weil er erst mal an einen Fehler von ihm selbst glaubt. Also bekommt das böse Programm noch einen Datenstrom, den man später analysieren kann.
    Nun schickt das böse Programm die Fehlermeldung "TAN schon verbraucht" zurück. Klingt ja auch logisch, weil gerade ein Fehler passiert war. Also gibt der Benutzer eine andere TAN ein.

    Nun die Rätselfrage. Wie lange wird man wohl brauchen, bis man diesen Datenstrom entschlüsselt hat ?

    hyrican, ich kann durchaus nachvollziehen, das Du Geld sparen willst, aber soviel kostet das HBCI mit Chipkarte ja nun auch nicht. Ich zahle 5 Euro im Jahr dafür.
    Diskette hat in meinen Augen den Nachteil, das die immer dann kaputt geht, wenn man die gerade dringend braucht. Ob man davon ne Sicherheitskopie machen kann, weiß ich nicht.
    Ich nutze hier das HBI mit Chipkarte und bin im Prinzip zufrieden damit. Karte rein, PIN eingeben und schon läufts.

    Wichtig ist halt, das wenn Fehler auftreten, man danach das Konto eine Zeitlang im Auge behält und so eventuellen Mißbrauch gleich erkennt.
    Nutzt man das TAN Verfahren, in welcher form auch immer, und es kommt zu einer Fehlermeldung kurz nach der TAN eingabe, am besten SOFORT die Bank anrufen un den Fall schildern. Die können einzelen TAN's sperren.
    Sollte man die nicht erreichen können, bieten eigentlich alle Banken an, das man die komplette TAN Liste übers Internet sperren kann.
    Besser das, als Konto leer.

    Tja hyrican. Bei dem Diskettenverfsahren sehe ich auch das Risiko, das sich da eventuell auch ein bösartiges Programm die Daten kopieren kann, da zwischen Diskettenlaufwerk und Rechner keine verschlüsselte Verbindung besteht. Der könnte also den Inhalt der Diskette auslesen und sich eventuell bei sich selbe reine erstellen.
    Mit einer Chip Karte dürfte das wegen der Verschlüsselung etwas schwieriger sein. Nicht unmöglich, aber wohl doch schwieriger.

    Ich würde also immer die Chipkarte der Diskette vorziehen, auch wenn es Geld kostet.

    Das es keine 100% Sicherheit gibt is klar, die Frage ist ob sich für einen Angreifer der Aufwand lohnt und ob Scroiptkiddies mit nem Trojanerbaukasten rankommen. Im übrigen gehts mir nicht ums Geld sondern um den Komfort aber darüber will ich eigentlich nicht diskutieren.
    Spielen wir es mal durch.
    Auf der Diskette sind nur die Zugangsdaten und Authorisation für die Software und Kenndaten der Verschlüsselung( nehm ich jetzt mal an). Die Software liegt aufm USB-Stick und soweit ich das verstanden hab kann die bei jeder Bank anders sein. Das Schadprogramm lauert aufm Rechner und hat keine Ahnung was da kommt. Irgendwann häng ich den USB-Stick dran und der Schädling muß erstmal analysieren was ich für ne Software nutze. Als nächstes braucht es den Datenstrom/ Inhalt der Diskette. Natürlich ist der verschlüsselt auf der Diskette gespeichert. Den ganzen Datensalat schickt der Schädling also zu seinem Papi und der hat nen Haufen Arbeit. Ich hab einen persönlichen Schlüssel für die Verschlüsselung und einen persönlichen Schlüssel für die Transaktion. Schätze mal beide Schlüssel werden in Interaktion mit der Software verändert. Also muß der pöse Pursche die gleiche Software haben und er braucht beide Schlüssel. Wenn man dazu bedenkt das er einen Privatuser vor sich hat bei dem sehr warscheinlich nur wenig zu holen ist und keine Firma wird er wohl davon absehen sich diese Arbeit zu machen. Denke also das Ganze hat schon einen sehr hohen Sicherheitsstandard.
    Einwände?

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!

    So, installiert. Zwar noch nich aufm USB-Stick weil ich noch keinen habe aber das kommt noch. Sicherheit der Diskettendaten is auch ok - man kann zwar den verschlüsselten Inhalt der Diskette kopieren und somit klauen aber das macht nüscht weil die Schlüssel ständig geändert werden. Da kann der pöse Pursche dann gern einen alten Schlüssel entschlüsseln...
    Noch was zu Pin-Tan über Webseite und zur Abwechslung mal nicht die übliche Phishing-Mail: http://www.vr-networld.de/__C1256B560030…AB!OpenDocument

    hyrican

    Man muß nicht alles wissen,man muß nur wissen wo man es findet!!!Kein Support per PN!!!