Hallo,

was würde passieren, wenn jemand das eigene Online Banking Konto leerräumt?

Haftet die Bank in diesem Fall?

Wenn jemand das eigene Konto leerräumt? Dann isses leer. Warum sollte die Bank dafür haften?

Warum sollte die Bank etwas bezahlen, wenn du dein eigenens Konto leerräumst?
Verstehe die Frage nicht.

Ich würde sagen nein, es sei denn Du kannst der Bank nachweisen das die daran schuld sind.
Ich meine das z.B. HBCI noch nicht geknackt wurde und wenn Du Deien Daten rumliegen hast ist und bleibt es Deine Schuld. Onlinebanking mit Brain 1.0 ist ziemlich sicher.

Er meint wohl, wenn jemand anderer als er selbst, das Konto leerräumt. Stichwort phishing.
Ich glaube die Bank haftet in so einem Fall dafür, bin mir aber nicht sicher.

MfG

Er mient wenn jemand anders das Konto leeräumt das einem selber gehört.

Spreich wenn Horst das Konto von Franz leerputz weil er sein passwort gephished hat oder ähnliches.

Dann ist das nicht Schuld der Bank.

Nur wiel ich Fenster in der Wohnung habe und vielleicht Begehrlichkeiten wecke heisst das ja nicht das hier jeder klauen sollte ;)

Dann haftet die Bank trotzdem nicht, da du als User dafür zu sorgen hast, deine Paßwörter sicher unterzubringen.

-huha

Wäre ja auch noch schöner, dann könnte jeder Geld verprassen bis zum Abwinken und am Ende sagen "ätsch, war ich garned, war der böse Phisher, Ersatz bitte...".

Was anderes ist es natürlich wenn man der Bank nachweisen kann dass der Fehler auf ihrer Seite lag.

Meine Bank hat seit neuestem dieses tolle iTAN-Verfahren.
Ich frag mich, wie da jemand (anderer) das Konto leerräumen kann, wenn ich mein Handy immer bei mir hab.

d.h. wenn mir die TanListe geklaut wird und im Zeitraum der Entdeckung bis zur Meldung das Konto leergeräumt wird, bin ich voll dafür haftbar zu machen? Da die Bank ja in der Regel erst das Konto sperrt, wenn Sie eine Mitteilung bekommen hat. Das ist ja brandgefährlich, wenn man seine Tanlisten verlegt.

Äh, trägst du deine TAN-Liste mit dir rum? Bei einem Einbruch in dein Haus sieht das vielleicht anders aus, aber wie wahrscheinlich ist der Fall, dass die jemand klaut.

d.h. wenn mir die TanListe geklaut wird und im Zeitraum der Entdeckung bis zur Meldung das Konto leergeräumt wird, bin ich voll dafür haftbar zu machen? Da die Bank ja in der Regel erst das Konto sperrt, wenn Sie eine Mitteilung bekommen hat. Das ist ja brandgefährlich, wenn man seine Tanlisten verlegt.

Hast doch immernoch dein Passwort. Zudem sind die Tanlisten schon lange veraltet. Geh mal zu deiner Bank und hol dir das neue System.

Online-Banking braucht gerade aus diesen Gründen die kryptographisch besten Verfahren, die vernünftig umzusetzen sind, also momentan HBCI mit Chipkarte. Alles andere halte ich einfach für prinzipiell nicht geeignet, um damit Onlinebanking zu betreiben.

-huha

Äh, hallo? Behandle deine Tan-Liste wie Bargeld, wenn dir das jemand klaut bekommst das ja auch nicht ersetzt...

Also bisher haben die Banken, was man so an Fällen mitbekommen hat, bei Phising Attacken immer den Schaden bezahlt. Oft natürlich erst mit Rechtsanwalt, aber immerhin. Allerdings schreiben sie mittlerweile in den AGB rein, dass sie bei Phising nicht haften. Aber da AGB nicht das Grundgesetz sind, ist die Rechtslage immer noch offen, sprich..ob diese Klausel im Streitfall Bestand hat.

Die Banken haben bisher Polterprozesse dahingehend vermieden..weil dann nämlich nachgewiesen wird, dass PIN/TAN/ITAN unsicher ist. Die Banken müssten dann ihre Onlinebanking Systeme millionenteuer umrüsten, bspw. allen Kunden HBCI Terminals für umme hinstellen usw.. Da ist es weitaus billiger, jemandem geräuschlos seine geklauten 5.000 Euro zurückzahlen, als 500.000 Kunden ein HBCI Terminal auf eigene Kosten hinzustellen.

Online-Banking braucht gerade aus diesen Gründen die kryptographisch besten Verfahren, die vernünftig umzusetzen sind, also momentan HBCI mit Chipkarte. Alles andere halte ich einfach für prinzipiell nicht geeignet, um damit Onlinebanking zu betreiben.

-huha
Bleibt es sich nicht gleich, ob man mir die Tan-Liste klaut oder die Karte?

Bleibt es sich nicht gleich, ob man mir die Tan-Liste klaut oder die Karte?

Nein, bei der Karte hast du nämlich eine Geheimzahl, die idealerweise direkt über den Kartenleser eingegeben und von ihm verarbeitet wird und demnach auch nicht irgendwie abzufangen ist.

-huha

Nein, bei der Karte hast du nämlich eine Geheimzahl Die hab ich beim PIN/TAN-Verfahren auch.

die idealerweise direkt über den Kartenleser eingegeben und von ihm verarbeitet wird und demnach auch nicht irgendwie abzufangen ist. Das mag sein. Ich vermute aber mal, daß das Bekanntwerden der Geheimzahl, egal bei welchem Verfahren, ein größeres Problem darstellt, als das Abfangen bei sonst korrekter Übertragung.

e eine Mitteilung bekommen hat. Das ist ja brandgefährlich, wenn man seine Tanlisten verlegt.

hast du keinen online-pin? ohne pin, kein zugang zum konto. ohne zugang zum konto, keine möglichkeit, tans zu nutzen.

Wo bewahrt ihr eure Pins und Tans auf?
Macht es Sinn beide Sachen in unterschiedlichen Orten der Wohnung aufzubewahren?

Pin im Kopf, habe ja zwei, einmal online und dann offline. iTAN Liste liegt in meinem Schreibtisch, bingt aber keinem was ohne Pin. Wird schwer mir was zu phishen, weil ich gar nicht auf sowas eingehe. Meine Bank ruft mich immer an falls etwas ist, nie anderweitig. Und falls mal eingebrochen wird, sperrt man die Tanliste und schon ist alles geregelt. Alphanumerisch mit fünf Stellen dauert schon etwas mit Bruteforce.

Wo bewahrt ihr eure Pins und Tans auf?
Macht es Sinn beide Sachen in unterschiedlichen Orten der Wohnung aufzubewahren?Deine Pins hast du eigentlich nirgendwo aufzubewahren. Zumindest würde das eine etwaige Versicherung so sehen.

Deine Pins hast du eigentlich nirgendwo aufzubewahren. Zumindest würde das eine etwaige Versicherung so sehen.
hm, heimischer Tresor?

Bei der Volksbank läuft das so:
Um in den Onlinebankingbereich zu kommen muss man ein fünstelliges passwort eingeben was man sich mal selber ausgesucht hat.
Man schreibt seine Überweisung und drückt auf ausführen. Oben erhält man nun eine Code-und eine Datanummer. Jetzt schiebt man seine Geldkarte in den Leser und muss diese beiden Nummern eingeben. Dann bekommt man die Tan und man kann die Überweisung abschicken. Das Passwort der Karte ist nicht erforderlich.

Ich hab einen TAN Generator von meiner Bank bekommen, den Digipass 250

http://www.vasco.com/products/product.html?product=48


Wie ich selbst testen konnte, sind diese als erste Sicherheitsstufe mit dem Konto bzw. dem Onlinebankingaccount gekoppelt. Bei Transaktionen wird dann eine ausschließlich für diese Transaktion gültige TAN generiert. Dafür muss die Kontonummer des Geldempfängers eingegeben werden. Vermutlich spielt außerdem die Uhrzeit eine Rolle, da der Code nur eine kurze Zeit gültig ist.

Durch die Bindung an die Überweisung wird das Onlinebanking mit PIN und TAN selbst bei einer Man-in-the-Middle-Angriff ausreichend sicher. Die Sicherheit der Lösung hat sich die BW|Bank vom Fraunhofer Institut für sichere Informationstechnologie testen lassen. Zusätzlich haben sie zusammen Sicherheitsinformationen zusammengestellt, welche eine generelle Gültigkeit für Onlinebanking haben.

Dem sicheren Onlinebanking steht also auch ohne HBCI-Chipkarte mit einfachem PIN/TAN nichts mehr im Wege. Einzig und allein, wenn der Angreifer den TAN-Generator und den PIN in die Hand bekommt, kann das Konto ausgeräumt werden - aber das ist eine theoretische Lücke, die bei allen Lösungen gegeben ist.


Funktioniert 1a!

es gibt sowas, das nennt sich "bankey"

http://www.modern-banking.de/bankkey.jpg

leider bieten das nur wenige banken an..

letzteres benutzt z.B. die Credit Suisse...

Keine Ahnung wie das System meiner Bank heisst...

Grundsätzlich habe ich dazu einen kleiner Calculator, eine Chipkarte und Pin erhalten. Alles einzeln per Post zugestellt.

Als erstes kann man die Chipkarte in den Calculator mit 2 Modi schieben, der eine Modus ist ein kleiner Rechner und der andere eben der code-Generator.

So nachdem ich natürlich den default PIN geändert habe muss ich grundsätzlich beim einlogen so vorgehen.

1.) auf Website Vertragsnummer eingeben
2.) mit meinem PIN auf Calculator "einloggen" (ansonsten ist keine Code-Generierung möglich)
3.) sofern die Vertragsnummer stimmt muss ich den Code der auf der Webseite angezeigt wird im Calculator eingeben
4.) alphanummerischer Gegencode auf der Webseite eingeben

Wie heisst das beschriebene System?

Also bei mir stand dabei, dass man für alles zu haften hat. Was natürlich passiert, wenn es wirklich passiert ist eine andere Frage. Aber erstmal muss der Dieb meine Tanliste haben und das Passwort. Leider ist die Passwortlänge aber begrenzt, was ich etwas komisch finde. Wär irgendwie schon besser, wenn man 10-20stellige Passwörter verwenden dürfte. Auch die TANs könnte man wenigsten Alphanumerisch oder 8stellig oder so machen. Das schließt dann zumindest Bruteforce aus. Ansonsten ist wahrscheinlich die Gefahr größer am Geldautomaten einem Schwindler aufzuliegen, als beim Online-Banking. Wer immer schön in die AdressURL des Browsers guckt und seine Daten nicht weitergibt sollte doch eigentlich sicher sein.
Das mit dem HBCI ist zwar wohl ganz nett, funktioniert aber noch nicht so perfekt unter allen Betriebssystemen. Warum hätte man da nicht etwas machen können, was wie ein normaler USB-Stick überall erkannt wird?

Die Passwörter müssen nicht länger sein, weil man eh nur 3 Versuche hat bevor man zur Bank gehen muss. Mit 3 Versuchen knackt man keine 4 Stellige Zahl. Ausser man hat wirklich viel Glück. ;)

Die Passwörter müssen nicht länger sein, weil man eh nur 3 Versuche hat bevor man zur Bank gehen muss. Mit 3 Versuchen knackt man keine 4 Stellige Zahl. Ausser man hat wirklich viel Glück. ;)
Stimmt, das hatte ich nicht bedacht ;)