Hallo zusammen,
nach einer Diskussion mit einem Banking- Software-Nutzer bin ich etwas verunsichert: Ist Online- Banking per Software wirklich sicherer als direkt per https…?.
Gruß anna
Moien
nach einer Diskussion mit einem Banking- Software-Nutzer bin
ich etwas verunsichert: Ist Online- Banking per Software
wirklich sicherer als direkt per https…?.
Es hängt von sehr vielen Faktoren ab. Beide Systeme kann man reinlegen. Beide Systeme sollten warnen falls etwas nicht so läuft wie üblich.
Ich halte das https-System für gefährlicher weil es einfacher ist eine bekannte Schwachstelle für einen weit verbreiteten Browser zu finden als für eine Spezial-software die nur von einer Bank eingesetzt wird.
Über die Fehler von IE kann ich mich auf Bugtraq informieren, bei Bankingsoftware muss man tiefer graben.
Aber 99% der Gefahr sitzt zwischen Tastatur und Stuhl.
cu
Aber 99% der Gefahr sitzt zwischen Tastatur und Stuhl.
Hallo,
genau das ist der Punkt. Man kann noch so sichere Systeme gestalten, wenn der Nutzer dann bei einer E-Mail Anfrage seine Zugangsdaten preisgibt, nützt das alles nichts.
Prinzipielle kann man aber sagen das es mit einem Programm sicherer ist. Das liegt aber auch nur daran, das es noch keine Schadprogramme (ausser Keylogger) gibt die sich zwischen die Kommunikation KundeBank schalten bzw. das Programm manipulieren, was beim normalen Internet-Banking sehr wohl passieren kann.
Ausserdem gibt es Sicherheitstechniken wie die HBCI-Chipkarte die nur mit einer entsprechenden Software funktionieren und von Haus aus sicherer sind als das PIN/TAN-Verfahren.
Grüße
Michael
Danke für eure Antworten, wirklich schlauer bin ich aber noch nicht - Ist es somit egal, welche Software, wenn ich als Nutzer sicher arbeite?
Gruß anna
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Danke für eure Antworten, wirklich schlauer bin ich aber noch
nicht - Ist es somit egal, welche Software, wenn ich als
Nutzer sicher arbeite?
Hi,
du solltest schon darauf achten das es ein Hersteller ist der seine Software auch pflegt, den es gibt regelmäßig Änderungen die an so einer Software durchgeführt werden sollten.
Welche Software das genau ist, ist tatsächlich egal, hauptsache es unterstützt technisch das Verfahren was du einsetzt.
Software die nicht von Banken ausgegeben werden wie z.B. Wiso Mein Geld oder Quicken sind weit verbreitet und sind nicht schlecht. Eventuelle bietet deine Bank aber auch eigene, vielleicht sogar kostenlose Software an, die du beziehen kannst.
Einfach mal nachfragen 
Grüße
Michael
Hallo Anna,
die sicherste Form des Homebankings ist die mit einer Homebanking Software, die HBCI beherrscht (NICHT das HBCI mit PIN und TAN, das von manchen Banken angeboten wird, das ist keine „echtes“ HBCI), und das ganze mit einer Chipkarte und einem Chipkartenterminal mindestens Class II, d.h. PIN-Eingabe zum Öffnen der Chipkarte nicht über die Tastatur des Rechners (kann „mitgehört“ und simuliert werden), sondern über eine eigene Tastatur am Chipkartenterminal.
Die Signatur der Nachrichten findet in diesem Fall nicht im Rechner, sondern auf der Chipkarte statt, der wichtige private Schlüssel hierfür verlässt zu keinem Zeitpunkt die Chipkarte (ist nicht auslesbar).
Dies ist nach heutigem Stand das sicherste Homebanking-Verfahren überhaupt.
Die einzige Angriffsmöglichkeit wäre, dass ein eingeschleustes Programm eine Überweisung zwischen dem Zeitpunkt der Erfassung der Daten und der Signatur verändert, so dass man unwissentlich etwas anderes signiert, als man glaubt. Die Wahrscheinlichkeit eines solchen Angriffs ist naturgemäß desto größer, je weiter die Software im Markt verbreitet ist, da sich ja für einen Angreifer das Erstellen und Verbreiten eines solchen Trojaners nur dann lohnt, wenn es auch entsprechende viele Ziele gibt. Bisher ist aber nichts von einem solchen Angriff bekannt geworden.
Aber letztlich kann auch eine papierhafte Überweisung auf dem Weg zur Bank abgefangen und verfälscht werden, und das ist noch viel einfacher als das oben beschriebene Verfahren.
Wenn man also maximale Sicherheit haben will, dann HBCI mit Chipkarte und Class II Terminal.
Ach ja, die Bank muss natürlich „echtes“ HBCI anbieten, dies sind z.B. Commerzbank, Deutsche Bank, Hypovereinsbank, Dresdner Bank, Hauck & Aufhäuser und etliche andere.
Ich selbst bin u.a. bei der Commerzbank, dort habe ich die Erfahrung gemacht, dass HBCI-Überweisungen bereits 1-2 Stunden nach dem Versand beim Empfänger ankommen, die haben ein superschnelles Gateway zur LZB.
Grüße
Sebastian (der beim Hersteller eines HBCI-Servers und eines HBCI-Clients arbeitet)
Danke, Sebastian, von diesem HBCI Verfahren hab ich dieser Tage auch gelesen und werd mich mal bei Gelegenheit drum kümmern. Meine Bank bietet HBCI in Verbindung mit einer Banking- Software an. Da steht aber nur was von Chipkarte und Kartenleser Kl. 2. Die Grundausstattug kosstet allerdings über 70 Euro (Kartenlesegerät, Software und Karte). Mit einem „normalen“ Kartenlesegerät und ohne Software geht das wohl nicht? Hab einen Kartenleser am Multi-Drucker dabei (allerdings noch nicht ausprobiert).
Gruß anna
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo Anna,
Meine Bank bietet HBCI in Verbindung mit einer
Banking- Software an. Da steht aber nur was von Chipkarte und
Kartenleser Kl. 2.
Ja, ist doch wunderbar, das ist ok. Class 2 und 3 unterscheiden sich darin, ob ein Display mit drin ist oder nicht. Wichtig ist aber, dass ein PIN Pad (Tastatur für die PIN-Eingabe) drin ist, und das ist bei Class 2 der Fall.
Ich bin mir jetzt nicht sicher, ob es auch HBCI-Clients auf Web-Basis (also ohne Installation einer Banking-Software) mit Chipkarte gibt, aber auch hier muss auf jeden Fall etwas für die Signatur installiert werden. Mit Banking-Software ist also schon ok, hat auch den Vorteil, dass die Umsätze heruntergeladen und lokal gespeichert werden, da kann man viel besser Auswertungen fahren und suchen usw.
Die Grundausstattug kosstet allerdings über
70 Euro (Kartenlesegerät, Software und Karte).
Das wäre es mir auf jeden Fall wert.
Mit einem
„normalen“ Kartenlesegerät und ohne Software geht das wohl
nicht? Hab einen Kartenleser am Multi-Drucker dabei
(allerdings noch nicht ausprobiert).
Es geht auch mit einem einfacheren Kartenleser (sofern der ansonsten das kann, was für HBCI nötig ist), aber ich würde da keine halben Sachen machen.
Wenn Du magst, kannst Du mir ja mal (auch per Mail) schreiben, welche Bank das ist, dann kann ich Dir vielleicht noch ein paar Hinweise geben, wenn ich die kenne.
Grüße
Sebastian
Danke für Deine Hilfe! Ich denke, ich bin überzeugt 
Wenn es soweit ist und ich noch Fragen habe, komme ich gern auf Dein Angebot zurück und melde mich!
Gruß anna
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]