Aus Kostengründen, mein Schatz.
Und wenn sie mir sonst nix schreibt?
Der letzte Brief den ich bekam, war wegen der Wahl des Beirates, Vorstand oder was auch immer (Genossenschaftsbank).
Und naja, da die Wahl nicht online erfolgt, sondern per Briefwahl…
Hallo,
Mir geht es aber auch um eine sichere Kommunikation des
öffentlichen Schlüssels der Bank. Ich halte da eine
persönliche Übergabe für die beste Lösung. Wenn der
Bankangestellte nicht nebenberuflich als Phisher arbeitet, ist
die Misbrauchsgefahr (gefakte Zertifikate, umgebogene
Webseiten etc.) am geringsten.
Naja, dann wird die nächste Stufe „Zertifikat-Phishing“, also wie bringe ich den Benutzer dazu, irgendwelche Zertifikate als vertrauenswürdig zu instalieren.
All das könnte man hier diskutieren. Leider sind die Antworten
bisher eher auf dem Niveau „Ey, schick keine Emails an Deine
Bank und konfigurier Dein Outlook sicher“.
Tja, die Outlook-Fraktion klickt mit ihrer unfreiein Bug-Sammlung das Internet auf Kosten anderer unbenutzbar. Tell News 
Meine Idee von Onlinebanking wäre ohnehin ein Überweisungsformat (Nur-Text), daß mit PGP/GnuPG verschlüsselt und signiert an die Bank geschickt wird. Die Kommunikation bei Überweisungen liefe per offline Mail ab und es ließe sich wunderbar automatisieren und scripten.
Ich habe das mal vor 100 Jahren meiner Bank vorgschlagen (damals war ich halt noch idealistisch und von HBCI hat damals noch niemand herumgevaport).
Nun ja…
Gruß,
Sebastian
Hallo,
Zumal die
betroffenen Banken gar nicht mitlesen.
Einem Forums-Teilnehmer (den ich allerdings lange nicht gesehen habe) tust Du damit sicherlich unrecht.
Hey, ich bin immerin froh, daß meine beiden Finanzdingsbums per Internet nutzbar sind und nicht auf IE-Win-Mist bestehen.
Gruß,
Sebastian
Hallo,
Wie gesagt, ich sehe keinen Grund dafür, warum ich meiner Bank
E-Mails schicken sollte oder von ihr welche erhalten sollte.
Ich schon. Und ich habe das auch schon gelegentlich „online“ getan.
Und will ich sie doch mal belästigen: Im Bankinginterface
gibt’s dafür die Möglichkeit.
Ja, genau das habe ich genutzt.
Die Antwort kommt leider aber
trotzdem normal per E-Mail.
das ist ja gut, wenn sie verschlüsselt käme. Ich mag es sehr ungerne, die Mail im Browser zu verfassen (schließlich ist es ein Browser und kein Editor) und ich mag es, eine gescheite Kopie zu haben. Mail-Programme sind auf all das optimiert und ich sehe eigentlich nicht ein, warum ich auf den gewohnten Komfort verzichten sollte.
Gruß,
Sebastian
Hallo,
Wie gesagt, ich sehe keinen Grund dafür, warum ich meiner Bank
E-Mails schicken sollte oder von ihr welche erhalten sollte.Ich schon. Und ich habe das auch schon gelegentlich „online“
getan.
Wärst du so nett mir mitzuteilen, um welche denkbaren Fälle es sich handelt? Das ist immer noch über meiner Vorstellungskraft…
Hallo Fritze,
Seit wann bedarf eine Signatur des Schlüssels des Empfängers?
Allerdings was soll eine Signatur bringen ???
Im Prinzip kann jeder einen Signatur-Server ins Netz stellen, welcher dann bestätigt, dass das, vom Phisher erzeugte Zertifikat, echt ist.
Wenn also der Benutzer nicht aufpasst, sind wir genau gleich weit wie jetzt !!
MfG Peter(TOO)
Hallo,
Ich schon. Und ich habe das auch schon gelegentlich „online“
getan.
Wärst du so nett mir mitzuteilen, um welche denkbaren Fälle es
sich handelt? Das ist immer noch über meiner
Vorstellungskraft…
Nun, zuletzt so Addresswechselzeug (okay, so nervig wie das war könnte man auch „falsche Bank“ sagen). Gelegentlich auch mal Beratung oder ich möchte dies oder das (ja, das ist nicht nur Giro-Konto).
Gruß,
Sebastian
Hallo,
Im Prinzip kann jeder einen Signatur-Server ins Netz stellen,
welcher dann bestätigt, dass das, vom Phisher erzeugte
Zertifikat, echt ist.
Darum favorisiere ich auch nicht die Variante, das per Server zu „beglaubigen“, sondern einen Schlüssel per Diskette, CD oder sonstwie persönlich an den Kunden zu übergeben verbunden mit der Aussage, dass dieser Schlüssel niemals anders übertragen würde. Erst recht nicht, wenn eine falsch signierte Mail etwas anderes behauptet.
Wenn also der Benutzer nicht aufpasst, sind wir genau gleich
weit wie jetzt !!
Ja, aber der Nutzer hat die Möglichkeit, zu unterscheiden. Die hat er jetzt nicht. Der Unterschied ist für mich wie Tag und Nacht.
Gruß
Fritze
Hallo,
Naja, dann wird die nächste Stufe „Zertifikat-Phishing“, also
wie bringe ich den Benutzer dazu, irgendwelche Zertifikate als
vertrauenswürdig zu instalieren.
Wenn Zertifikate ausschließlich persönlich in den Banken ausgegeben werden, dann lese ich unsignierte Mails gar nicht erst. Die fliegen direkt in den Papierkorb.
Selbst mal computer-unkundige Nutzer vorausgesetzt, mit Signatur haben alle die Chance, ein echtes von einem falschen Schreiben ohne wenn und aber zu unterscheiden. Jetzt muss man sich auf Kriterien „Hmm … da ist ein Rechtschreibfehler in der Mail“ oder „Hmm … die Loginseite hat auf einmal kein kleines blaues Schloss unten rechts in der Ecke“ verlassen.
Das ist eher vage, zumal viele Seiten der Banken (wenn es nicht um PIN/TAN geht) ohne SSL daherkommen und ständig zwischen „verschlüsselt“ und „unverschlüsselt“ hin und her gewarnt wird. Warum bieten die nicht konsequent alles per https an? Dann würde sowas wenigstens mit Chance auffallen.
All das könnte man hier diskutieren. Leider sind die Antworten
bisher eher auf dem Niveau „Ey, schick keine Emails an Deine
Bank und konfigurier Dein Outlook sicher“.Tja, die Outlook-Fraktion klickt mit ihrer unfreiein
Bug-Sammlung das Internet auf Kosten anderer unbenutzbar. Tell
News
Das ich es nicht benutze, muss ich Dir ja nicht erst erzählen 
Aber dass es anders geht, habe ich jetzt im Ausland erfahren. Da habe ich ein Konto eröffnet und für das Online-Banking hat man mir eine Software mitgegeben, die sogar unter Linux läuft, und fast genau so vorgeht, wie Du es Dir vor 100 Jahren gewünscht hast. Erstmal wird aufwändig ein Schlüsselpaar generiert etc. pp. Das ist doch schonmal ein Anfang.
Andererseits habe ich auch da kein Glück, wenn ich verschlüsselte Email einsetzen will. Vielleicht wenn ich nochmal an der richtigen Stelle bettel …
Gruß
Fritze
Ich habe das mal vor 100 Jahren meiner Bank vorgschlagen
(damals war ich halt noch idealistisch und von HBCI hat damals
noch niemand herumgevaport).
HBCI ist keine Vaporware. Wenn HBCI nach wie vor kaum verbreitet ist, liegt das weniger an den Banken, als vielmehr an den Kunden, die darin eine Beeinträchtigung ihrer Mobilität sehen. Privates Online-Banking muss vor allem und in erster Linie am Arbeitsplatz funktionieren, und die blöden Admins in der Firma haben ein so geringes Sicherheitsbewusstsein, dass sie nicht nur bei der Installation der notwendigen Hard- und Software nicht behilflich sind, sondern sogar mit einer Meldung beim Chef wegen missbräuchlicher Nutzung des Firmenanschlusses drohen!
Da kannst du sichere Verfahren glatt abschreiben, da bleibt nur die Nutzung von (i)TAN und PIN. Und an genau diesen Bedenken wird auch eine verschlüsselte oder auch nur signierte Kommunikation mit der Bank scheitern. „Um auf Phishing hereinzufallen, muss man ja wohl schon ein ausgemachter Blödhansel sein; und da wir alle keine Blödhansel sind, brauchen wir keine sicheren Kommunikationswege. Ausser, es geht genauso einfach und von überall wie bisher“.
Wobei die Banken tatsächlich weit mehr Möglichkeiten hätten, als sie sie gegenwärtig nutzen. Die Krämpfe mit iTAN zeigt deutlich, wie wenig sie von sicheren Verfahren halten - oder wie wenig sie dem Wunsch ihrer Kunden nach Sicherheit trauen. Und gerade diese Krämpfe lassen mir eine Signaturlösung, wie von Fritze vorgeschlagen, kontraproduktiv erscheinen. Da wird ein Ansatz als Lösung verkauft; was braucht der Kunde, der seinem Institut solch ein voll krass Sicherheitsmerkmal abkauft sich noch selbst Gedanken zu machen. Mail hat Signatur? Ab die iTAN!
Gruss
Schorsch
Ich habe das mal vor 100 Jahren meiner Bank vorgschlagen
(damals war ich halt noch idealistisch und von HBCI hat damals
noch niemand herumgevaport).HBCI ist keine Vaporware.
[06:11:06][niehaus@crystalline:~]$ apt-cache search hbci
aqmoney - command line utility for HBCI homebanking
chipcard-tools - tools for accessing chip card readers and chip cards
gnucash-docs - Documentation for gnucash, a personal finance tracking program
libchipcard-common - common configuration files shared between libchipcard versions
libchipcard-doc - developer documentation for libchipcard
libchipcard20 - API for smartcard readers
libchipcard20-dev - developer files for libchipcard20
libopenhbci-dev - Development package for libopenhbci
libopenhbci-plugin-ddvcard - DDV chipcard plugin for libopenhbci
libopenhbci14 - library to support the home banking computer interface (HBCI)
Sieht in der Tat eher vieversprechend aus.
Wenn HBCI nach wie vor kaum
verbreitet ist, liegt das weniger an den Banken,
Nun, die Postbank, zufällig nicht gerade ein kleiner Fisch, hat das immernochnicht hinbekommen. Und ich wette, das wird nie was.
als vielmehr
an den Kunden, die darin eine Beeinträchtigung ihrer Mobilität
sehen.
Örks.
Privates Online-Banking muss vor allem und in erster
Linie am Arbeitsplatz funktionieren,
Ach Du Scheiße. Die schleppen dann ihren Krempel mit zur Arbeit und machen da Onlinebanking? Irgendwie habe ich dafür wohl den falschen Job…
Sebastian
Hallo Fritze,
Darum favorisiere ich auch nicht die Variante, das per Server
zu „beglaubigen“, sondern einen Schlüssel per Diskette, CD
oder sonstwie persönlich an den Kunden zu übergeben verbunden
mit der Aussage, dass dieser Schlüssel niemals anders
übertragen würde. Erst recht nicht, wenn eine falsch signierte
Mail etwas anderes behauptet.
Jede Banu, usw. schreibt schon heute, dass sie nie Zugangsadten per Mail anfordern wirdn NIE, NICHT, NIMMER !!!
ABer damit scheint Otto Normalverbraucher schon überfordert zu sein.
Bei deinem System schicke ich dann einfach eine Mail mit:
„Hier ihr neuer Schlüssel, wir hatten da eine Panne auf unserem Server und mussten einen neuen Schlüssel für sie generieren, bla bla bla…“
Ich wette mit dir, dass du Rückläufer bekommen wirst !!!
Gegen Dummheit kommt man mit keiner Technik an !!
Wenn also der Benutzer nicht aufpasst, sind wir genau gleich
weit wie jetzt !!Ja, aber der Nutzer hat die Möglichkeit, zu unterscheiden. Die
hat er jetzt nicht. Der Unterschied ist für mich wie Tag und
Nacht.
Da eine Bank NIE zur Eingabe von Codes auffordert, wäre eigentlich schon alles klar.
Mittlerweile haben die Phisher dazugelernt, aber Anfangs waren die, angeblich, von der Bank stammenden Mails auf englisch verfasst. Welche deutsche Bank kommuniziert mit mit auf englisch ??
Und bei den Viren und Würmern ist ja auch nicht besser !!
Da bekomme ich eine Mail mit Anhang, mit dem Text, dass da jemand mein Dokument überarbeitet hat … natürlich auf englisch und von jemanden den ich gar nicht kenne …OK, bei mir könnte es noch entfernt hinhauen, da ich Dokumente auf englisch verfasse, aber das sind spezielle Anleitungen für Kunden und diese Kunden kenne ich.
Oder mein Cheffe kündigt mir fristlos, natürlich auf englisch, den Chef kenne ich auch nicht und zudem bin ich sowieso selbständig und die Mail hat natürlich einen Anhang…
Bei mir tritt bei solchen Mails der Delete-Reflex auf, aber viele Mitmenschen reagieren scheinbar mit einem Doppelklick !
Egal was für Sicherheitssysteme du entwirfst, sie lassen sich alle durch Dummheit umgehen.
Selbst einseitig mit Farbstift gezeichnete Banknoten sind in Geschäften schon angenommen worden oder einfache S/W Fotokopien…
MfG Peter(TOO)
P.S. Es ist unmöglich etwas Narrensicher zu machen, da Narren so geniel sind (Murphys law)
Hallo,
Jede Banu, usw. schreibt schon heute, dass sie nie
Zugangsadten per Mail anfordern wirdn NIE, NICHT, NIMMER
!!!
Jaja. Das schreibt sie in einem Formular, dass sie im Keller in einer dunklen Kammer aufbewahrt auf deren Tür vor wilden Tieren gewarnt wird. Oder so 
ABer damit scheint Otto Normalverbraucher schon überfordert zu
sein.
Ich verüble es ihm nicht. Aber genau das ist der Punkt. Anstatt die Anwendung (in diesem Falle Homebanking) sicher zu machen gemäß Anforderung der Anwender (Schreiben von der Bank müssen klar von Fälschungen unterschieden werden), schiebt man alle Sicherheitsfunktionen in Richtung Anwender ab, indem man praktisch unerfüllbare Bedingungen an den „sichern Betrieb“ knüpft (Du musst eben alles ganz genau lesen und dann abwägen, ob das von Deiner Bank kommen könnte oder nicht doch eher von einem Gauner).
Ich möchte eine bessere Schutzmöglichkeit, bei der es wirklich Dummheit und nicht einfach nur Unsicherheit ist, die einen Phishzug zum Erfolg verhilft. Wenn meine Bank mir gerne email schicken möchte, dann kann sie das tun. Aber nicht ohne Signatur. Denn ich kann dann nicht unterscheiden, ob die Email von der Bank kam oder nicht. Unabhängig davon, ob sie nun nach einer PIN fragen, oder nicht. Punkt.
Gruß
Fritze
Hi,
Wärst du so nett mir mitzuteilen, um welche denkbaren Fälle es
sich handelt? Das ist immer noch über meiner
Vorstellungskraft…
„Bitte senden Sie mir ab sofort meine Kontoauszuege per Mail. Verschluesseln Sie sie mit meinem GPG-Key, signieren Sie sie mit Ihrem.“
Das wuerde einiges vereinfachen: angefangen beim automatischen Sortieren von Buchungen ueber das Ueberpruefen regelmaessiger Kontobewegungen bis zu ausgefeilten statistischen Auswertungen ueber meinen Kontostand (mit logarithmischen Diagrammen).
Versucht… und gescheitert.
Gruss vom Frank.
Hallo Fritze!
Es wäre wirklich schön, wenn Mailverschlüsselung und/oder -signierung zu einem Standard würde, den quasi jeder kennt und anwendet. Leider ist das nicht der Fall.
Ich war z.B. vor einigen Wochen bei meiner Bank und habe mal nachgefragt, ob es möglich wäre, signierte und/oder Mails zu verschicken. Ich hatte nämlich dunkel erinnert, mal irgendwann gelesen zu haben, dass meine Bank genau dies angeboten hatte. Inklusive CA-Leistungen, Erteilung des Zertifikats gegen Vorlage des Personalausweises vor Ort und mehr. Also alles was man so braucht, um Mails vernünftig zu verschicken. Dieses Projekt wurde eingestellt. Warum? Zu teuer! Warum zu teuer? Zu wenig Interessenten! Weder Unternehmen noch Endkunden sind willens und/oder in der Lage, sichere Mailkommunikation anzuwenden. Nur sehr sehr wenige Unternehmen, bei denen ich Projekte abgewickelt habe, hatten PGP, GPG oder ähnliches im Einsatz. Die meisten, die es hatten, waren EDV-Unternehmen - und die allerwenigstens bekamen überhaupt mal eine signierte Mail zurück.
Sichere Emailkommunikation scheitert also an denen, die es nutzen sollen. Alles schreit nach mehr Sicherheit aber kaum jemand will etwas dafür tun.
Ich verwende schon seit langem GPG. Und es gibt genau eine Person, die ich kenne, die ebenfalls GPG nutzt. Und das obwohl seit langem Tools wie beispielsweise Enigmail existieren, die auf einfachste Weise in Thunderbird einzubauen sind. Vergleichbares gibt es für so ziemlich jeden Mailclient…
Dein Ansatz ist also nicht übel, aber solange signierte oder gar verschlüsselte Mails nicht grossflächiger genutzt werden, wird die Umsetzung eher nicht klappen. Leider. Und hunderprozentige Sicherheit entsteht so auch nicht, wie du selbst schon beschrieben hast.
Grüsse,
frozen