auch wenn es off topic ist : Cloudflare: " zu den Produktkategorien des Unternehmens gehören Anwendungssicherheit und Anwendungsleistung. Die Anwendungssicherheit besteht aus Application Programming Interface (API) Shield, Bot Management, Distributed Denial-of-Service Protection, Page Shield, Rate Limiting, Secure Sockets Layer und Transport Layer Security Encryption sowie Web Application Firewall (WAF). Die Anwendungsleistung, die aus Content Delivery Network, Domain Name System, Load Balancing, Argo Smart Routing, Website-Optimierungsdiensten, Wartesaal New, China Network und Video Stream Delivery besteht. Das Netzwerk des Unternehmens dient als skalierbare, einfach zu bedienende, einheitliche Kontrollebene, um Sicherheit, Leistung und Zuverlässigkeit für lokale, hybride, Cloud- und Software-as-a-Service-Anwendungen zu gewährleisten.
und noch ein Choke: wohl beim selben Dozenten gewesen: der behauptete: Das Problem sitzt
immer vor dem Bildschirm
Da hast Du nun aber was vollkommen falsch verstanden. Die Sicherheit, die dort beschrieben wird, hat nichts damit zu tun, beliebig veraltete oder mit Betriebssystemen aus beliebigen Quellen versehene Endgeräte als Client trotz beliebiger nicht zwingend bereits bekannter Sicherheitsmängel sicher betreiben zu können. Das was dort beschrieben wird ist die Absicherung der Netze, Rechenzentren und darin laufenden Applikationen gegen Angriffe von außen. D.h. wenn deren Systeme funktionieren, wird es Dir auch mit einem noch so mit Schadsoftware aufgrund nicht gepatchter Sicherheitslücken verseuchten Gerät nicht gelingen, die Server für das Online-Banking deiner Bank zu kompromittieren, wenn sie entsprechend hierdurch geschützt sind. Das heißt aber noch lange nicht, dass dein kompromittiertes Gerät nicht vollkommen unabhängig von der abgesicherten Software der Bank in deren Rechenzentrum lokal bei Dir einen Schaden erzeugen kann, indem es z.B. Tasteneingaben abfängt, auf dem Bildschirm korrekt darstellt, aber im Hintergrund so manipuliert, dass die Bank eine für sich genommen zwar technisch einwandfreie Überweisung vornimmt, die Du auch brav frei gegeben hast, die aber nu mal dummerweise nicht an den von Dir gewünschten Empfänger sondern denjenigen geht, der dein Gerät entsprechend manipuliert hat. Und dagegen kann die Bank nur sehr begrenzt etwas machen, wenn der Endanwender nicht mitspielt, und sich nicht darauf einlassen will, ein Endgerät mit offiziellem und modernen, mit Patches versorgten Betriebssystem zu verwenden. Da bleibt den Banken dann eben nur, gewisse Geräte aufgrund entsprechender Merkmale vom Banking auszuschließen und die Kunden dann an die eigenen SB-Terminals in den Filialen zu verweisen, die sie selbst entsprechend betreiben und in eigener Verantwortung haben.
Danke für die technischen Zusammenhänge, dennoch stellt sich die Frage: Soll der Endverbraucher alle 2-3 Jahre neu investieren ? um ein fähiges Android Betriebssystem, nach update Einstellung des Herstellers, erneut zu kaufen? Die Industrie sagt ja… Mit dem TAN Generator greife ich doch auch auf Fishing Möglichkeiten zurück. Das Sys. DAB Bank (/smartbroker.de) greift doch auch auf (Handy TAN Generator) auf dem Handy S7/Samsung zurück und somit auf Android 8.0.0 ? od. geht das auch nur noch eine Zeit lang?
Ein in diskreter Hardware aufgebauter TAN-Generator ist eine ganz andere Geschichte. Da besteht keine Möglichkeit ein abweichendes Betriebssystem/sonstige Anwendungen zu installieren. Der wird normalerweise einmalig initialisiert und spuckt dann je nach Realisierung einfach automatisch zeitabhängige TANs aus, oder nutzt für die Generierung der TAN noch eine zuvor zu tätigende Eingabe (gerne auch durch Abscannen eines Flackerns des PC-Bildschirms). Eine Manipulationsmöglichkeit wäre hier nicht am Generator selbst sondern im Rahmen eines Abgriffs und anderweitigen Verwendung der TAN bei Eingabe am PC/Handy bzw. bei Generierung der einzugebenden Daten aus einem Vorgang am PC/Handy gegeben. Prinzipiell gilt dies auch für in Software erstellte Generatoren, solange die nicht gemeinsam mit einer Banking-App auf dem selben Gerät laufen, was eine gemeinsame Kompromittierung beider Anwendungen auf dem selben Gerät natürlich deutlich erleichtert.
Das S7 ist von 2016 - also nicht mal in der Nähe von 2-3 Jahre alt. Zweitens gilt ja für aktuelle Geräte eine Vorgabe von mindestens 5 Jahren Update. Drittens kann man ein Mobiltelefon ja nicht nur für Bankgeschäfte benutzen, d.h. man kann es auch heute noch für 50-80 Euro weiterverkaufen.
Und viertens: Menschen sind dumm und dreist, um mal in leicht abgewandelter Form Carl Fürstenberg zu zitieren. Sie gehen mit den ihnen überlassenen, sicherheitsstiftenden Instrumenten liederlich um und verklagen anschließend die Bank, wenn ihnen Geld abhanden gekommen ist. Geld wg. Trojaner auf dem PC nach Litauen verschwunden? Bank ist schuld. Maestro-Karte in deutlich erkennbare Skimming-Apparatur geschoben? Bank ist schuld. PIN auf Karte notiert? Bank ist schuld.
Aus dem Grund will man wenigstens die Hand darauf halten, auf einer wie alten und softwaremäßig ausgelutschten Gurke der Kunde in aller Öffentlichkeit beim Latte Macchiato seine Bankgeschäfte erledigt, um nicht hinterher verklagt zu werden, weil irgendein Witzbold einen seit drei Jahre alten, aber leider nicht mehr ausgebügelten Bug ausnutzte und die Kohle auf dem Konto abgegriffen hat.
Danke für die erklärende Technik in diesem Expertenforum, werde dann wohl doch den Weg der technischen Erneuerung mitgehen wollen wie z.B. KI.
Autokraten antworte ich halt nicht so oft.
Naja, eigentlich warst Du es, der das Thema abschließen wollte, wogegen ich null Einwände hatte. Nur meintest Du dann, die Sache doch wieder aufgreifen zu müssen:
Und das hat halt niemanden wirklich weitergebracht. Schweigen wäre also besser gewesen.