Hallo.

Ich bin seit kurzem Kunde bei der Postbank und würde gerne Online-Banking nutzen. Nun wollte ich mich nach paar Sicherheitstipps umschauen wie ich das Online-Banking gegen Mißbrauch schützen kann.
Bei der Einrichtung habe ich mich für mTAN entschieden. Ich habe heute auf heise.de gelesen, dass es ratsam wäre, ein altes Handy dafür zu verwenden. Vielleicht sollte man noch eine virtuelle Maschine mit Linux aufsetzen, die nur für das Online-Banking benutzt wird… Was meint ihr dazu?

Gruß Djon

Was du auf gar keinen Fall tun solltest ist Online-Banking auf dem gleichen Smartphone zu betreiben mit dem du auch die mTANs empfängst. Ein nicht-smartes (dummes?!?) Handy ist ebenfalls besser, da die Gefahr sich irgendwelche Würmer damit einzufangen deutlich geringer ist.

Wenn dir Sicherheit wirklich sehr wichtig ist, würde ich keine VM benutzen, sondern gleich von einer Linux Live-CD booten (von c't gibt es z.B. eine spezielle für diesen Zweck <Link> (http://www.heise.de/download/ct-bankix.html)).

Also ich nutze smsTAN auf einen Smartphone, wenn ich eine Überweisung tätige, kommt die SMS,
den TAN gebe ich ein und er ist damit abgelaufen.
Bisher keine Probleme. :D

Los, steinigt mich. :freak:

Also ich nutze smsTAN auf einen Smartphone, wenn ich eine Überweisung tätige, kommt die SMS,
den TAN gebe ich ein und er ist damit abgelaufen.
Bisher keine Probleme. :D

Los, steinigt mich. :freak:
Naja, solange du keine Überweisung über dein Handy machts also, damit die überweisung machts sehe ich dort kein allzugroßes Risiko, solange man etwas vorsichtig umgeht ;)

Nee, Überweisungen mache ich nicht vom SP. ;)

Meine Bank erlaubt es gar nicht erst Überweisungen vom Handy aus zu tätigen. Wenn ich mich mit der App in meinem Konto einloggen will, kommt direkt die Warnmeldung, dass ich kein Online Banking betreiben kann, außer mir meinen Kontostand an zu sehen.

Meine Bank erlaubt es gar nicht erst Überweisungen vom Handy aus zu tätigen. Wenn ich mich mit der App in meinem Konto einloggen will, kommt direkt die Warnmeldung, dass ich kein Online Banking betreiben kann, außer mir meinen Kontostand an zu sehen.Dafür gibts ja dann den Browser auf dem Handy^^

Meine Bank erlaubt es gar nicht erst Überweisungen vom Handy aus zu tätigen. Wenn ich mich mit der App in meinem Konto einloggen will, kommt direkt die Warnmeldung, dass ich kein Online Banking betreiben kann, außer mir meinen Kontostand an zu sehen.
Es geht ja darum das du auch schon beim Einloggen deine Daten eingibst und auch der Tan an der selber Telefon gesendet wird.

Man muß für sicheres Online-Banking eigentlich nicht viel beachten, nur daß man
a) ein modernes TAN-Verfahren einsetzt und
b) das Verfahren dabei nicht wieder unterläuft.

Es gibt genau zwei moderne Verfahren, sie heißen mTAN (per SMS) und ChipTAN (per Lesegerät für die Girokarte). Lassen wir der Einfachheit halber HBCI (http://de.wikipedia.org/wiki/Homebanking_Computer_Interface) mal weg.
Das Verfahren mit der Papierliste heißt iTAN und ist veraltet, darum wird es bei den seriösen Instituten auch abgelöst. Ein paar Direktbanken halten noch daran fest und bieten es neben mTAN an, weil es billig ist. Sicher ist es aber nicht mehr.

Eine iTAN ist eine indizierte TAN, also eine mit laufender Nummer davor. Früher, also noch vor iTAN, konnte man irgendeine TAN von seiner Papierliste einsetzen, seit iTAN muß es eine bestimmte sein. Leider autorisiert eine iTAN aber jede beliebige Transaktion, solange es eine gültige iTAN aus der Liste ist. iTANs sind ein "shared secret" auf Vorrat. Ein geschickter Angreifer kann die iTAN abgreifen und eine beliebige Transaktion damit autorisieren, während man meint, alles hätte seine Richtigkeit. Das tritt natürlich nur bei kompromittiertem System auf, aber genau dagegen soll das TAN-Verfahren ja schützen.

Bei mTAN und ChipTAN gibt es das "shared secret" nicht auf Vorrat. Es wird live zu jeder Transaktion erst erzeugt und - das ist wichtig - auf einem anderen Weg ausgetauscht als die Transaktion selbst. Also entweder per SMS versendet oder direkt vom Chip auf der Girokarte erzeugt, der sowas auch kann (das ChipTAN-Gerät bietet nur ein Interface, der Chip sitzt in der Girokarte). Bei beiden Verfahren werden die Eckdaten der Transaktion, also Empfängerkonto, BLZ und Betrag zur Erzeugung der TAN verwendet. Versucht man, mit einer auf diese Art live erzeugten TAN eine andere Transaktion zu autorisieren, schlägt das fehl. Wenn der Angreifer also eine hohe Summe zu Western Union schicken will, dann taucht diese hohe Summe und die unbekannte Kontonummer in der SMS bzw. im Lesegerät auf. Sieht man so etwas, muß man sofort abbrechen und erstmal seinen kompromittierten Rechner säubern. Wer hier nur weiterklickt und die TAN auch noch eingibt, gibt seinen Schutz natürlich auf. Das ist Methode Nummer eins, das Verfahren zu unterlaufen.

Methode Nummer zwei ist auch einfach erklärt. Wenn man mit demselben Gerät, auf dem das Online-Banking läuft, auch das TAN-Verfahren durchführt, kann ein Angreifer Kontrolle über beides erhalten - dann wird er natürlich auch die Anzeige manipulieren, so daß man die hohe Summe und die unbekannte Kontonummer gar nicht mehr zu sehen bekommt. Das ist der Grund, warum man mTAN und Online-Banking niemals auf demselben Mobilgerät machen sollte. Es gibt weitere Angriffspunkte bei mTAN, die man am effektivsten damit ausschaltet, einfach kein Smartphone zu verwenden. Darum wird inzwischen empfohlen, einfach ein Uralt-Mobiltelefon zu nehmen, das außer SMS idealerweise gar nichts kann.

Ich persönlich halte nicht viel von mTAN (u.a. weil ich kein Mobiltelefon besitze). ChipTAN kostet einmalig ~10€ für das Lesegerät und alle zwei Jahre mal eine neue Batterie, dafür ist es garantiert unabhängig von Rechner, Telefon und dem Rest der Welt. Es gibt zwei Varianten, bei der einfachen muß man die Eckdaten der Transaktion in das Gerät eintippen. Die Komfort-Variante funktioniert mit einem Flicker-Barcode, der auf dem Bildschirm angezeigt wird und vom ChipTAN-Gerät eingelesen werden kann. Perfekt ist beides nicht, aber es funktioniert.

Ich bin seit vielen Jahren Postbank-Kunde und mache das Online-Banking seit zwei Jahren mit ChipTAN. Hatte nie Probleme, mußte nur letzten Monat neue Batterien für mein Lesegerät besorgen. Wenn man bedenkt, daß einige Banken inzwischen Gebühren für mTAN nehmen, ist ChipTAN nicht nur das sicherere, sondern auf lange Sicht wohl auch günstigere Verfahren. Einziges Argument pro mTAN ist Bequemlichkeit.
Wer weiter iTAN einsetzt, tut das auf eigene Gefahr.

Das sicherste Onlinebanking Verfahren ist immer noch Chipkarte und Lesegerät Klasse3. Funktioniert halt nicht mit dem Browser sondern nur mit Software.

Es mag das sicherste sein, aber es geht selten um das sicherste Verfahren, sondern um das beste. Und das ist immer eins, das den richtigen Ausgleich zwischen Sicherheit und Aufwand (Zeit/Kosten) schafft. Bei mir ist das ChipTAN.

Ich glaub das wichtigste wurde hier schon gesagt.
Ich benutze zum Online-Banking eine Linux LiveCD (ct Bankix) in Verbindung mit dem mTAN-Verfahren.

Keine Ahnung ob es Angriffe gibt, bei dem ein Host-System zB nen Keylogger hat und der irgendwie die VM-Eingaben mitlesen kann um eventuell an Bank-Logindaten zu kommen oder so ... benutzt man eine Live CD kann sich nix installieren und das System ist auf das allernötigste abgespecket und bei jedem Aufruf niegelnagel neu. Das einzige "unbequeme" dabei ist, man muss zum OnlineBanking sein System neustarten ;-)

Und zum Handy rate ich, einfach gar nichts mit der Bank zu machen. Keine Apps, keine Seiten aufrufen etc. So kann dir nix passieren.

Online Banking nur auf dem Tablet + smsTan aufs smartphone. URL nur direkt in die adressleiste eingeben und ich behaupte mein online Banking ist absolut sicher!

ChipTAN hat zumindest mit den Geräten der Sparkasse noch folgende Nachteile:


Das Display ist schlecht lesbar
Funktioniert nicht mit allen Monitoren
Funktioniert nicht immer bei direkter Lichteinstrahlung auf den Monitor

Online Banking nur auf dem Tablet + smsTan aufs smartphone. URL nur direkt in die adressleiste eingeben und ich behaupte mein online Banking ist absolut sicher!
Smartphone und Tablet sind genauso von Sicherheitslücken geplagt wie ein Windows Rechner. Bei vielen Androidgeräten ist es sogar eher schlimmer.

Smartphone und Tablet sind genauso von Sicherheitslücken geplagt wie ein Windows Rechner. Bei vielen Androidgeräten ist es sogar eher schlimmer.

Durch aus, ich verlasse mich da auf die Apple Nazi Politik bzgl. Apps etc. das da erstmal nix passiert! Zumal ich mehr dem abgeschotteten iOS als Windows vertraue wo jeder wohl schonmal durch irgendwas infiziert war.

Das sicherste Onlinebanking Verfahren ist immer noch Chipkarte und Lesegerät Klasse3. Funktioniert halt nicht mit dem Browser sondern nur mit Software.
+1

Inwieweit irgendwelche Verfahren mit welcher TAN Lösung auch immer die über VMs o.ä. laufen komfortabler sein sollen, erschließt sich mir nicht wirklich. So ein Lesegerät kostet jetzt nicht die Welt und wird voraussichtlich auch nicht kaputt gehen, mir wäre das ein sorgenfreies Online Banking wert.

Zugleich ist das aber ein gutes Beispiel wie wenig den meisten Leuten echte Sicherheit tatsächlich wert ist, da werden lieber irgendwelche gammeligen Chinakinderarbeit-ChipTAN-Krücken mit massiver Augenkrebsgefahr benutzt.

Lesegerät hat ja auch noch andere Vorteile. ich habe z.B. eine extra Passwort Karte. Schon fällt das ewige merken der tausend Passwörter aus. Die Karte existiert natürlich zweimal.

Die meisten Sicherheitsvorkehrungen für Online Banking sind eigentlich genannt worden. Ich fühle mich derzeit mit dem ChipTAN-Verfahren am sichersten. Dazu nutze ich noch G Data Internet Security, mit einem integrierten Schutz speziell für das Online Banking. Die sogenannte G Data Bankguard Software soll effizient vor Trojaner-Angriffen schützen und so eine weitere Sicherheitslücke schließen. Da dieser Schutz bereits in dem Sicherheitspaket vorhanden war und nicht separat heruntergeladen/ installiert werden musste, wird es natürlich auch eingesetzt. Jedoch hätte ich die Software nicht separat dazu gekauft, um das Online Banking sicherer zu machen. Da glaube ich reicht auch eine gute Sicherheitssoftware und ein Router mit Firewall-Funktion vollkommen aus.