Extra Computer für Bankprogramm!

Internet Internet Sicherheit
#1

Hallo zusammen,
immer wieder tauchen Horrormeldungen im Bezug auf Online-Banking und Banksoftware auf. Nun fragt sich jeder verantwortungsbewußte Bankkunde: ´Wie kann ich Internetbanking sicherer machen?´

Ich habe mir folgendes überlegt:
Bei mir stehen mehrere Rechner ungenutzt rum. Jetzt möchte ich einen Rechner ausschließlich für Internet-Banking nutzen. Mit möglichst viel Sicherheit:

  1. Keine unnötig offene Ports.
  2. Keine Email-Software.
  3. Keine weitere Software, welche nicht für Banking benötigt wird.
  4. Der Rechner wird nur für die vorgesehe Aufgabe verwendet, ansonsten ist er ausgeschaltet.

Nun meine Frage:
Was haltet Ihr von dieser Überlegung? Bringt es wirklich einen deutlichen Sicherheitsgewinn? Was könnte man bei so einem Rechner sonst noch für die Sicherheit tun?

Freue mich auf jede Antwort! Gruß Waldemar

#2

Auch hallo.

Hallo zusammen,
immer wieder tauchen Horrormeldungen im Bezug auf
Online-Banking und Banksoftware auf. Nun fragt sich jeder
verantwortungsbewußte Bankkunde: ´Wie kann ich Internetbanking
sicherer machen?´

So jedenfalls nicht:

Ich habe mir folgendes überlegt:
Bei mir stehen mehrere Rechner ungenutzt rum. Jetzt möchte ich
einen Rechner ausschließlich für Internet-Banking nutzen. Mit
möglichst viel Sicherheit:

  1. Keine unnötig offene Ports.
  2. Keine Email-Software.
  3. Keine weitere Software, welche nicht für Banking benötigt
    wird.
  4. Der Rechner wird nur für die vorgesehe Aufgabe verwendet,
    ansonsten ist er ausgeschaltet.

Denn: was bringt einem die lokale Sicherheit, wenn die Übertragung zur Bank abgehört werden kann (oder der Schlüssel gehackt wurde) ? Stichwort auch: PGP
Siehe auch böse Suchmaschine @ ‚PGP site:bwl-bote.de +bank +sicherheit‘

HTH
mfg M.L.

#3

Hallo nochmal.

Wem das nicht reicht: http://www.tecchannel.de/news/132005/index.html
http://www.tecchannel.de/sicherheit/grundlagen/43441…

mfg M.L.

#4

Hallo,

immer wieder tauchen Horrormeldungen im Bezug auf
Online-Banking und Banksoftware auf. Nun fragt sich jeder
verantwortungsbewußte Bankkunde: ´Wie kann ich Internetbanking
sicherer machen?´

So jedenfalls nicht:

ACK.

  • Nur vertrauenswürdige Software installieren
  • Ein Betriebssystem mit praktikabler und guter Rechtetrennung nehmen (und diese auch nutzen)
  • Den Rechner immer mit aktuellen Sicherheitspateches versorgen.
  • Eventuell einene eigenen Benutzeraccount fürs Banking.

Denn: was bringt einem die lokale Sicherheit, wenn die
Übertragung zur Bank abgehört werden kann (oder der Schlüssel
gehackt wurde) ? Stichwort auch: PGP

Jetzt mußt Du nun noch der staunenden Menge folgendes erklären:

  • Wie hört man PGP ab? (Ja, so lautet die genaue Frage).

  • Welche Bank verwendet PGP?

Gruß,

Sebastian

#5

Hallo Markus,

immer wieder tauchen Horrormeldungen im Bezug auf
Online-Banking und Banksoftware auf. Nun fragt sich jeder
verantwortungsbewußte Bankkunde: ´Wie kann ich Internetbanking
sicherer machen?´

So jedenfalls nicht:

Doch, schon. Er fragt ja nach „sicherer“, das ist ein Komparativ. Und auf die geplante Art schaltet er schon viele potentielle Sicherheitsprobleme aus. Z.B. das Sicherheitsproblem mit der SSL-Phishing-Site in Deinem anderen Posting: Dort klickte man auf einen Link im e-Mail. Wenn allerdings gar keine e-Mails empfangen werden, faellt dieses Problem schon mal weg. Wenn er also diesen Rechner nur fuer Banking verwendet, ruft er beim Einschalten automatisch ueber die IP-Adresse die benoetigte Site auf. Dazu kann er bei so einem Rechner den Paket-Filter so konfigurieren, dass er nur Datenverkehr mit dieser einem Rechner zulaesst, alle anderen src- oder dest-Adressen werden geblockt.

Also, sicherer ist man damit auf jeden Fall.

Nix fuer ungut,
Puersti

#6

Hallo an dieser Stelle.

Denn: was bringt einem die lokale Sicherheit, wenn die
Übertragung zur Bank abgehört werden kann (oder der Schlüssel
gehackt wurde) ? Stichwort auch: PGP

Jetzt mußt Du nun noch der staunenden Menge folgendes
erklären:

  • Wie hört man PGP ab? (Ja, so lautet die genaue
    Frage).

Oops, kann man ja missverstehen :frowning:.
PGP war in der Originalfrage nicht Teil des Sicherheitskonzepts.
Es sollte also verwendet werden. Von Abhören war nicht die Rede :wink:

  • Welche Bank verwendet PGP?

…keine Ahnung (und davon viel)

mfg M.L.

#7

http://www.tecchannel.de/news/132005/index.html

Lernen in Stufen:

  • Wir posten unsere Banking-Daten nicht ins Usenet

  • Wir mailen unsere Zugangsdaten nicht an Mugu Agugzu, auch wenn er uns lieb bittet.

  • Wir mailen die Zugangsdaten auch nicht an [email protected]

  • Wir tippen die Zugangsdaten nicht auf die komische, neu designte Seite der Bank ein („Entere Passier-Word hier:smile:“

  • Wir tippen die Zugangsdaten auch nicht dort ein, wenn die Seite so aussiet wir immer, nur auf einen anderen Server umgezugen ist (netterweise Benachrichtigung per Mail zur Reaktivierung).

  • Wir tippen unsere Zugangsdaten auch nicht in Seiten ein, die so ähnlich klingen wie meine Bank

  • Wir tippen unsere Zugangsdaten auch nicht in Seiten ein, die so ähnlich klingen wie meine Bank. Auch nicht, wenn die Seite ein SSL-Zertifikat hat und der „Schhüssel zu“ ist.

Alles nur kleine Schritte. Next please.

Sebastian,

nach Dikat verreist

#8

So jedenfalls nicht:

Ich denke schon, dass die genannten vier Punkte ein Ansatz sind wenn man Online-Banking nicht grundsätzlich in Frage stellen will (was man bei einigen Banken wohl durchaus tun sollte [1]). Was nutzt einem das schönste HBCI, wenn der Rechner, an dem man das betreibt, nicht nach aussen und in Firmennetzen auch nach innen gesichert ist.

Die Probleme beim meist eingesetzten Verfahren der Identifikation mittels PIN und TAN aber halte ich für so schwerwiegend, dass man darauf zumindest im geschäftlichen Einsatz verzichten sollte. Und auch privat eine gute Risikoabschätzung machen. Wenn die Bank also HBCI anbietet, sollte man grundsätzlich dieses Verfahren wählen.

Gruss
Schorsch

[1] Meine Bank, die Volksbank Speyer-Hockenheim hat auf eine Anfrage bezügl. HBCI nach mittlerweile einem Monat noch nicht einmal Zeit gefunden, mir eine Antwort zukommen zu lassen. Die macht wirklich vor, wie man Kunden in Sicherheit wiegt.

#9

Hallo Sebastian

Lernen in Stufen:

  • Wir überlegen uns, ob wir unserer Bank jemals eine E-Mailadresse bekannt gegeben haben. Wenn ja, überlegen wir uns, welche das genau war.

Da ich meiner Bank meine E-Mailadresse nie mitgeteilt habe (bzw. keine einzige meiner Adressen…), könnte mich auch ein Phishing-Versuch, der vorgibt von meiner Bank zu kommen, nicht überlisten.

  • Wir stellen unser E-Mailprogramm so ein, dass es alle E-Mails standardmässig in Plaintext anzeigt.

Auf diese Art sehen Phishing-Mails mangels Grafiken etc. nicht aus wie von einer Bank. Zudem ist dann nicht nur ein ‚Bitte klicken Sie hier‘ zu sehen, sondern die URL im Klartext. Mit ein wenig Kenntnissen über den Aufbau von URLs kann man so recht schnell erkennen, ob der Link stimmen kann oder nicht.

  • Wir klicken prinzipiell nie auf einen Link in einer E-Mail, sondern rufen die Webseite unserer Bank via Bookmark/Favorit auf oder tippen die URL manuell ein.

Mag das Risiko, auf einer falschen Seite zu landen möglicherweise nicht ganz ausschalten (Keylogger o.ä…), aber doch stark minimieren.

  • Wir sind uns darüber im Klaren, dass unsere Bank uns niemals per E-Mail dazu auffordert, PIN und TAN ‚auf Vorrat‘ einzugeben oder ähnliches.

  • Im Zweifelsfall ruft man bei der Bank an und fragt nach, ob das zutrifft, was im E-Mail steht. Ob da wirklich so eine Bestätigung nötig ist oder so.

Diese Dinge wollte ich nur ergänzen…

CU
Peter

#10

Moien

  1. Keine unnötig offene Ports.

Stell das Ding hier einen Hardware-NAT. (Z.B. DSL-Router, manche WLNA-Router,…). Falls dann die Firewall doch versagt hat man eine 2. Sicherheit. SW-firewalls trau ich irgendwie nicht so ganz …

  1. Keine Email-Software.

Falls die Bank per web arbeitet: Irgendwas anders als IE.

  1. Keine weitere Software, welche nicht für Banking benötigt
    wird.

ack.

  1. Der Rechner wird nur für die vorgesehe Aufgabe verwendet,
    ansonsten ist er ausgeschaltet.

ack.

Ich würde allerdings noch einen Schritt 5 anhängen: Man kann das Betiebsystem auf eine CD brennen und ohne HD arbeiten (windows => Bart PE, Linux => Knoppix). Auf der CD werden sich keine Viren einmisten, denn wo kein Platz zum schreiben da nach dem Neustart keine Viren.

Was haltet Ihr von dieser Überlegung? Bringt es wirklich einen
deutlichen Sicherheitsgewinn?

90% aller Angriffe sind Phising. Die kann man mit ein Funken Common Sense und einer einfachen Regel (Informationen bekommt die Bank nur direkt an Schalter, niemals per Internet, email, Telefon … ) abwehren. D.h. du fokusierst dich auf die restlichen 10%. Die teilen sich aber nochmal zwischen Angriffe auf deinen PC und Angriffe im Netz (Kommunikation Bank Rechner, Bank selbst…).

Sicherer ist es allemal. Aber ob sich der Aufwand lohnt must du selbst wissen.

cu

#11

Hallo,

  • Wir fragen uns, warum man ausgerechnet beim Geschäftsverkehr mit Banken auf ein modernes Kommunikationsmedium wie Email verzichten soll, wenn es doch eine so einfache Möglichkeit gäbe, echte Nachrichten von falschen zu unterscheiden. Alle Banken haben bereits mehrere Zertifikate bei diversen Trustcentern. Warum diese nicht für die SIGNATUR von Nachrichten nutzen?

Das würde dann dieses ganze dämliche „ich prüfe, ob der Stil der Email dem meines normalen Sachbearbeiters ähnelt“ endlich durch ein ganz klares „ich prüfe, ob die Signatur mit dem Zertifikat meiner Bank verifiziert werden kann“ ersetzen.

Nebenbei: Ich habe meiner Bank meine Email-Daten gegeben und bekomme auch Nachrichten. Sogar welche mit Link! Das gemeine ist, dass die Banken ja sagen „Wir senden keine Links auf Login-Seiten“, was auch stimmt. Aber Links auf Nicht-Login-Seiten z.B. mit Angeboten zu neuen Dienstleistungen werden recht wohl angegeben. Das macht die Sache wieder gefährlich, weil ein geschickter Phisher (und sie werden immer besser) einfach eine solche Seite 1:1 kopieren könnte, bis auf den kleinen Link irgendwo in einer Ecke, der einem dann doch zum Homebanking führt.

Wenige Nutzer sind nämlich so paranoid (oder vergessen es schlicht und einfach), nachdem sie auf einen solchen Link geklickt haben, erst einmal den Browser zu beenden und dann nach dem Neustart die Homebanking-Seite per Bookmark auszuwählen.

Und all das hilft ohnehin nichts, wenn jemand erstmal die „hosts“ Datei manipuliert hat. Die sollte man vor dem Homebanking also grundsätzlich auch erstmal prüfen. Unabhängig davon, ob die Bank die Email-Adresse hat, oder nicht.

  • Im Zweifelsfall ruft man bei der Bank an und fragt nach, ob
    das zutrifft, was im E-Mail steht. Ob da wirklich so eine
    Bestätigung nötig ist oder so.

Das habe ich im Falle der Deutschen Bank schon mehrfach getan. Die Leute am Telefon sind aber in diesen Dingen grundsätzlich überfragt. Emails oder Anrufe an die EDV-Abteilung bzw. das IT-Department, sorry, werden ignoriert. Die Leute da scheinen generell vollkommen merkbefreit zu sein. Wenigstens ein schnoddriges „wir haben ihre blöde Email bekommen, sie Wurm. Wir antworten aber auf sowas nicht! Privatkunden finden wir eh scheisse.“ kann man doch erwarten, oder?

Gruß

Fritze

#12

Hallo Pumpkin

  1. Keine unnötig offene Ports.

Stell das Ding hier einen Hardware-NAT. (Z.B. DSL-Router,
manche WLNA-Router,…). Falls dann die Firewall doch versagt
hat man eine 2. Sicherheit. SW-firewalls trau ich irgendwie
nicht so ganz …

Wie kommst Du denn auf eine Software-Firewall? ‚Keine unnötigen offenen Ports‘ erreicht man am zuverlässigsten dadurch, dass man die Dienste, die einen Port öffnen, beendet oder an Localhost bindet.

CU
Peter

1 Like
#13

hallo
eine eigenartige frage die du stellst .warum ein seperater PC fürs bankgeschäft??ich mache seit über vier jahren online banking und bisher hat es noch kein unbekannter geschafft an mein geld zu kommen .wenn du so naiv bist und glaubst eine e-mail von der postbank ,wo du deine Pin eingeben sollst(auch wenn du dort kunde wärst oder sogar kunde bist)wäre echt ,solltest du lieber die finger davon lassen . klar sollte dir sein, dass du dann auch nicht mehr jeden mist aus dem internet laden solltest …
schönes wochenende

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#14

Hallo auch,

hallo

eine eigenartige frage die du stellst .warum ein seperater PC
fürs bankgeschäft??ich mache seit über vier jahren online
banking und bisher hat es noch kein unbekannter geschafft an
mein geld zu kommen

Ich mache seit 1985 Online-Banking und auch bei mir hat es bisher keiner geschafft, an mein Geld zu kommen! Aber so soll es eben auch bleiben. Ich will jedenfalls meinen Teil dazu beitragen!

Ich bedanke mich schon jetzt bei allen, die wirklich wertvolle Tipps gegeben haben. Auf unqualifizierte Antworten kann ich aber gerne verzichten!

Gruß
Waldemar

1 Like
#15

Moien

eine eigenartige frage die du stellst .warum ein seperater PC
fürs bankgeschäft??ich mache seit über vier jahren online
banking und bisher hat es noch kein unbekannter geschafft an
mein geld zu kommen .

Ich fahr seit vielen Jahren Auto und hatte noch keinen Unfall. Trotzdem leg ich den Sicherheitsgurt an.

Ausserdem hat der Fragesteller nicht ganz unrecht:
http://www.berlinonline.de/berliner-zeitung/archiv/…

Das war der erste Fall einer ganzen Serie von IE-„lokal-Tunnel“-Attacken. Waren aber nur ein paar dutzend Erfolgreiche dabei, danach wurde der Server sichergestellt/abgeschaltet.

Wurde natürlich auch in den Medien plattgewalzt, aber da hast du ja nix mitbekommen, oder ? Evtl. auch die Finger davon lassen ?

cu