Sicherheit beim Internetbanking

Hallo,

ich habe von meiner Arbeit aus die Aufgabe ein Internetbanking-Angebot auf seine Sicherheit hin zu überprüfen.

Jetzt überlege ich mir Kriterien nach denen ich als Kunde ein Internetbanking-Angebot nach seiner Sicherheit bewerten kann.

Erstmal geht es mir um die Kriterien die von außen, also vom Benutzer selbst, untersucht werden können.

Also: Könnt Ihr mir z. B. sagen was euch bez. der Sicherheit des Internetbanking z. B. bei der Sparkasse Bonn auffallen würde.

Die URL ist: https://sib.sonline.de/Sparkassen/sparkasse-bonn

Was kann man aus der Login-Seite alles erkennen?

Ich hoffe ihr könnt mit der Frage was anfangen…

danke
sebastian

ich habe von meiner Arbeit aus die Aufgabe ein
Internetbanking-Angebot auf seine Sicherheit hin zu
überprüfen.

Jetzt überlege ich mir Kriterien nach denen ich als Kunde ein
Internetbanking-Angebot nach seiner Sicherheit bewerten kann.

Erstmal geht es mir um die Kriterien die von außen, also vom
Benutzer selbst, untersucht werden können.

Erinnert mich schwer an Dein Posting vom 21.02.2002:
„Sicherheitskriterien für Internetbanking?“
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…

Was fehlt Dir denn noch an Informationen?

CU
Markus

Hi,

eigentlich fehlt mir noch genausoviel wie vor einem
monat. irgendwie scheint es mir nicht zu gelingen verständlich auszudrücken worum es mir geht.

Mit den Antworten zum alten Artikel konnte ich nix anfangen. Ich arbeite bei einer Bank und habe als beschäftigung die Aufgabe bekommen, unser Internet-Banking hinsichtlich seiner Sicherheit zu bewerten. Als Vorlage dient mir dazu eine Ausgabe der „Finanztest“ bei der die Internet-Banking-Angebote von Direktbanken gestestet wurden. Daher habe ich auch einige Kriterien nach denen ich unser HTML-Banking beurteilen soll.

Das ist natürlich z. B. ob SSL verwendet wird. Ist leicht zu erkennen an der Adresszeile („https://“), oder ob Java-Script verwendet wird, oder ob das HTML-Banking auf einem eigenen Rechner läuft (Ping). Das sind nur zu wenig Kriterien. Und das sind dann alles Kriterien die jeder überprüfen kann. Was wären weitere? Was kann ich bez. der internen Sicherheit des HTML-Bankings schreiben (zu diesen Kriterien kann ich mich innerhalb der Bank informieren)? Es geht wohlgemerkt um HTML-Banking, d. h. PIN/TAN-Verfahren und kein HBCI.

danke
sebastian

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Die URL ist: https://sib.sonline.de/Sparkassen/sparkasse-bonn

Was kann man aus der Login-Seite alles erkennen?

Das SSL-Zertifikat von sib.sonline.de wurde ausgestellt von Verisign. Das ist bequem für den Nutzer (die Browser enthalten idR. ein Root-Zertifikat von Verisign). Verisign ist in der Vergangenheit aber auch des öfteren aufgrund mangelhafter Authentifizierungsmechanismen aufgefallen. So wurden Zertifikate für nicht autorisierte Personen ausgestellt.

Das verwendete Zertifikat wurde mit der höchsten von Versign angebotenen Authentifizerungsstufe ausgestellt (Class 3). Leider sind auch die Root-zertifikate für Class 1 und Class 2 in den Browsern vorinstalliert, sodass ein Nutzer hier zunächst keinen Unterschied feststellen würde. Ein Angreifer würde dann beispielsweise die schwache Authentifizierung der niedrigeren Klassen ausnutzen.

Eine so große Organisation wie der Verbund der Sparkassen sollte sich eine vertrauensvollere Zertifizierungsstelle leisten.

Als Server wird verwendet:
IBM_HTTP_Server/1.3.12.3 Apache/1.3.12 (Unix)

Zumindest keine Bank, die hier den MS IIS einsetzt!

Die Sitzung im Internetbanking wird nach einer Leerlaufzeit automatisch geschlossen. Eine sinnvolle Massnahme, die es längst nicht überall gibt.

Das Internetbanking lässt sich übrigens testen mit folgenden Zugangsinformationen:
Kontonummer: 123455
Zugangs-PIN: 12346
Transaktionsnummer (TAN): jede beliebige 6-stellige Zahl

Positiv aufgefallen sind mir hier die übersichtlichen Funktionen zur TAN-Verwaltung. Bei einer anderen Sparkasse fehlte dies ganz. Die alte TAN-Liste wurde gesperrt, indem man eine Mitteilung an die Bank schickte, in der man eine neue Liste anforderte.

Noch eine Frage:
Muss es unbedingt das Internetbanking sein? Die Sparkasse Bonn bietet auch Homebanking via HBCI mit Chipkarte an. Vorteil: keine lästigen TAN-Listen, stattdessen Chipkarte als Sicherheitsmedium. Abgesehen davon können hierbei viele Aktionen offline durchgeführt werden, wenn z.B. ein Produkt wie StarMoney verwendet wird.

CU
Markus

-Was sagt die Bank auf Anfrage ?

Da die meisten Kunden ihre Bank nicht selber analysieren koennen, aber irgendwas in der Hand haben wollen, haben sich die Banken ihre Sicherheit meist irgendwie zertifizieren lassen.
Du kannst zumindestens nachfragen, welchen Standart sie verwenden
HBCI etc.

• Wie fehleranfaellig ist der Service ?
  Ich wuerde mal sagen, es besteht eine direkte Korrelation zwischen der Zahl der auftretenden Fehler und der Unsicherheit.
  ich bin bei der deutschen Bank und bin mir inzwischen gar nicht mehr so sicher, da ich alle Nase lang mit fehlenden Seiten, toten Links etc. konfrontiert werde. Dies betrifft zwar erfreulicherweise nicht die Kernfunktionen, macht aber auf jeden Fall nachdenklich.

• Dann kannst Du die Sicherheit in der direkten Benutzung angugcken, d.h. sozusagen dioe Menschliche Sicherheit ohne Ruecksicht darauf, wie gut das Rechnersystem ist. So z.B.
  will das Teil mal eben alle TANs wissen, um sie
  „benutzerfreundlich“ abspeichern zu koennen, wie reagiert es auf
  falsche Tans, nach wievielen Fehlversuchen wird man ausgeloggt, genuegt ein Anruf ohne weitere Autentifizierung um das Limit hochsetzten zu lassen, etc. ?
  Wie lange dauert es, bis eine Zahlung via Kontoauszug auf Papier
  betsätigt wird, wie lange kann man Zahlungen zurueckrufen ?

• Dann kannst Du natuerlich mal die Sicherheit eurer Endgeräte hinterfragen. Ein trojanisches Pferd auf dem Computer von dem aus die Bank angesprochen wird, kann so ziemlich alles mit Eurem Geld machen. Abhilfe wuerde hier ein Chipkarenleser mit eigenem Display (Class III) schaffen.

• Die wohl spannenste Frage fuer eine Firma: Wer haftet im Fall
  eines Missbrauchs ? Wenn die Bank weitgehende Garantien uebernimmt, koennt ihr Euch darauf beschraenken am Ende des Monats nachzugucken, dass alles ok ist.

• Dann kannst Du natuerlich - in Absprache mit deinem Chef/der Bank richtig anfangen zu experimentieren. Ich war mal auf der
  Seite und habe gesehen, dass diese Cookies unterstuetzt. Was macht das Ding z.B. wenn man die Cookies von Hand verändert etc. etc.

• Letztendlich muss man aber sagen, dass Du keine Chance hast.
  Die Bank ist nur so sicher, wie die Schwachstelle, die bisher niemand gefunden hat. Du hast keine Ahnung, wie die Daten innerhalb der Bank weiterbearbeitet werden, wie sie vielleicht zwischen den Verschiedenen Rechenzentren der bank hin und hergeschoben werden (die Lufthansa ist mal aufgeflogen, weil sie
  auf firmeninternen Verbindungen (durchs Inet) Kreditkartennummern unverschluesselt uebetragen hat ).
  Du kannst bestenfallsprüfen, wie lang der Schluessel ist, der
  zur Datenuebertragung zur Bank benutzt wird und mal guken, ob Dein Zufallsgenerator spontan die selben TANs generiert .

MfG
Martin

Hi,

eigentlich fehlt mir noch genausoviel wie vor einem
monat. irgendwie scheint es mir nicht zu gelingen verständlich
auszudrücken worum es mir geht.

Mit den Antworten zum alten Artikel konnte ich nix anfangen.
Ich arbeite bei einer Bank und habe als beschäftigung die
Aufgabe bekommen, unser Internet-Banking hinsichtlich seiner
Sicherheit zu bewerten.

Wenn Du selber bei der Bank arbeitest, ist das Spiel natuerlich ein voellig anderes

Dann kannst Du dir natuerlich den Code direkt angucken und hast
die Moeglichkeit z.B. Testdepots einzurichten etc.

Hier stellen sich die Fragen wie folgt:

• Wie vertrauenswuerdig sind die Grundlagen, d.h. die Harware und
  das zugrundeliegende Betriebssystem (da stehst Du auch nicht besser da als ein Kunde)

• Wie reagiert das System auf ueberlast ?

• Ist dafuer gesorgt, dass auf dem Rechner wirklich nur die banking-Software laeuft ?

• Sind alle Datenuebertragungen Ende zu Ende verschluesselt ?

• Welche Personengruppen haben Zugriff auf das System, wer hat welche Rechte ?

• Glaubt euer System ans Sachen die in Cookies stehen, die in hidden-feldern uebetragen werden etc.

• welche Sprache setzt ihr fuer CGIs ein, ist da die neueste Version installiert und sind alle Sicherheitsfeatueres (tainting etc) aktiviert ?

• Werden alle Eingafeleder sorgfaeltig ueberprueft, oder kann man
  das Teil z.B. dadurch, dass man 10^20000 Euro ueberweisen will
  kaupttkriegen. Was passiert wenn ich negative Summen ueberweise ?

• Mit welchem Verfahren werden die TANS erzeugt ?

• Kann der Kunde auf einem zweiten Weg (Telephon, SMS)
  unabhaengig von seinem Computer Kontoinformationen erhalten.

• Sind die Mitarbeiter gegen Social-Hacks ausgebildet ?

• wie hoch sind die Garantien des ssl- zertifikatanbieters ?

• Welche Plausibilitaetspruefungen nimmt das System vor ?

• Gibt es eine Intrusion detection ?

• Gibt es einen Notfallplan ?

• Kann man (wollte ich immer schonmal ausprobieren ) die maximal zulaessige Uberweisungssumme durch einrichten und nach eibnmaliger Ausfuehrung Loeschen eines Dauerauftrages umgehen ?

• Vielleicht kannst Du ja auch mal Kontakt zum BSI (ww.bsi.de) aufnehmen. Die bieten glaube ich inzischen Zertifizierungen an.
  dazu gehoert bestimmt auch ein Sicherheitshandbuch fuer Leute, die sich spaeter mal
  zertifizieren lassen wollen.

MFG
Martin

Als Vorlage dient mir dazu eine
Ausgabe der „Finanztest“ bei der die Internet-Banking-Angebote
von Direktbanken gestestet wurden. Daher habe ich auch einige
Kriterien nach denen ich unser HTML-Banking beurteilen soll.

Das ist natürlich z. B. ob SSL verwendet wird. Ist leicht zu
erkennen an der Adresszeile („https://“), oder ob Java-Script
verwendet wird, oder ob das HTML-Banking auf einem eigenen
Rechner läuft (Ping). Das sind nur zu wenig Kriterien. Und das
sind dann alles Kriterien die jeder überprüfen kann. Was wären
weitere? Was kann ich bez. der internen Sicherheit des
HTML-Bankings schreiben (zu diesen Kriterien kann ich mich
innerhalb der Bank informieren)? Es geht wohlgemerkt um
HTML-Banking, d. h. PIN/TAN-Verfahren und kein HBCI.

danke
sebastian

ich habe von meiner Arbeit aus die Aufgabe ein
Internetbanking-Angebot auf seine Sicherheit hin zu
überprüfen.

Jetzt überlege ich mir Kriterien nach denen ich als Kunde ein
Internetbanking-Angebot nach seiner Sicherheit bewerten kann.

Erstmal geht es mir um die Kriterien die von außen, also vom
Benutzer selbst, untersucht werden können.

Erinnert mich schwer an Dein Posting vom 21.02.2002:
„Sicherheitskriterien für Internetbanking?“
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…

Was fehlt Dir denn noch an Informationen?

CU
Markus

Ich arbeite bei einer Bank und habe als beschäftigung die
Aufgabe bekommen, unser Internet-Banking hinsichtlich seiner
Sicherheit zu bewerten. Als Vorlage dient mir dazu eine
Ausgabe der „Finanztest“ bei der die Internet-Banking-Angebote
von Direktbanken gestestet wurden. Daher habe ich auch einige
Kriterien nach denen ich unser HTML-Banking beurteilen soll.

Das ist natürlich z. B. ob SSL verwendet wird. Ist leicht zu
erkennen an der Adresszeile („https://“)

Bei der Sparkasse Bonn geht das zufällig. Was aber machst Du bei einem Frameset, in dem nicht alle Frames das gleiche Protokoll verwenden? In der Adresszeile könnte https stehen, obwohl ein Frame nicht verschlüsselt. Ebenso kann die Adresszeile http ausweisen, der entscheidende Frame jedoch https verwenden.

Was kann ich bez. der internen Sicherheit des
HTML-Bankings schreiben (zu diesen Kriterien kann ich mich
innerhalb der Bank informieren)?

Wie ist der Webserver für das Internetbanking ins LAN der Bank/ des Rechenzentrums eingebunden?
Welchen Weg nehmen die Transaktionen, nachdem sie den Homebanking-Server verlassen haben?
Untersuchen würde ich dies bis zu der Schnittstelle, wo Transaktionen aus Internetbanking und aus anderen Quellen zusammenfließen.
Kriterien sind hier wiederum:

• wird verschlüsselt?
• erfolgt die Kommunikation in einem abgeschlossenen Netz?
• sind die beteiligten Systeme auch vor physischem Zugriff geschützt?

Es geht wohlgemerkt um
HTML-Banking, d. h. PIN/TAN-Verfahren und kein HBCI.

Okay, dann vergiss die Frage nach HBCI aus meinem vorangegangenen Posting.

CU
Markus

Die URL ist: https://sib.sonline.de/Sparkassen/sparkasse-bonn

Was kann man aus der Login-Seite alles erkennen?

Das SSL-Zertifikat von sib.sonline.de wurde ausgestellt von
Verisign. Das ist bequem für den Nutzer (die Browser enthalten
idR. ein Root-Zertifikat von Verisign). Verisign ist in der
Vergangenheit aber auch des öfteren aufgrund mangelhafter
Authentifizierungsmechanismen aufgefallen. So wurden
Zertifikate für nicht autorisierte Personen ausgestellt.

Das verwendete Zertifikat wurde mit der höchsten von Versign
angebotenen Authentifizerungsstufe ausgestellt (Class 3).
Leider sind auch die Root-zertifikate für Class 1 und Class 2
in den Browsern vorinstalliert, sodass ein Nutzer hier
zunächst keinen Unterschied feststellen würde. Ein Angreifer
würde dann beispielsweise die schwache Authentifizierung der
niedrigeren Klassen ausnutzen.

Eine so große Organisation wie der Verbund der Sparkassen
sollte sich eine vertrauensvollere Zertifizierungsstelle
leisten.

Als Server wird verwendet:
IBM_HTTP_Server/1.3.12.3 Apache/1.3.12 (Unix)

Zumindest keine Bank, die hier den MS IIS einsetzt!

Die Sitzung im Internetbanking wird nach einer Leerlaufzeit
automatisch geschlossen. Eine sinnvolle Massnahme, die es
längst nicht überall gibt.

Das Internetbanking lässt sich übrigens testen mit folgenden
Zugangsinformationen:
Kontonummer: 123455
Zugangs-PIN: 12346
Transaktionsnummer (TAN): jede beliebige 6-stellige Zahl

hab ich mal probiert.
Ein problem ist mir aufgefallen:

Wenn man die Rückgabewerte der Auswahlboxen (konkret: Kontostand)
von Hand manipliert, glaubt der Server die Manipulation und versucht daraus
eine URL zu basteln (die dann ins nichts fuehrt), das muss nicht
zu einem echten Sicherheitsproblem werden, sollte aber nicht sein.

MfG
Martin

danke für eure antworten!!!
danke für eure antworten,

mir sind jetzt noch einige gute ideen eigefallen. ich glaub ich komme damit jetzt endlich schneller voran…

sebastian

[Flame]: Sicherheit beim Internetbanking

ich habe von meiner Arbeit aus die Aufgabe ein
Internetbanking-Angebot auf seine Sicherheit hin zu
überprüfen.

KEINE JOB-ANGEBOTE ODER HAUSAUFGABEN-ERLEDIGUNG!

Steht da oben jedenfalls…

Jetzt überlege ich mir Kriterien nach denen ich als Kunde ein
Internetbanking-Angebot nach seiner Sicherheit bewerten kann.

Es geht also darum, was der Kunde sieht (und nicht wie sicher das wirklich ist?

Klasse.

Ganz große.

Naja, wenn Dir so garkeine Kriterien einfallen: Ein Online-Banking, was partout mit dem IE nicht funktioniert wäre schon ein gutes Stück für den Kunden sichtbare Sicherheit. Eure Firewall, die auf „DENY“ steht, könnt ihr allen Anwendern von Zonealarm übrigens mit „Stealth-mode-security-level“ anpreisen. Das ist die Elite der Internetnutzer und wenn die sehen, wie toll sicher sich Euer Banking anfühlt, dann ist ja der nächste Computer-BILD-Test schon quasi gewonnen.

eigentlich fehlt mir noch genausoviel wie vor einem
monat.

Seit einem Monat keine neuen Ideen? Und das in Deinem Job? Huh!

irgendwie scheint es mir nicht zu gelingen verständlich
auszudrücken worum es mir geht.

Allmählich ahnen wir das Desaster. „Wir“ konnten es bislang nicht ganz glauben.

Mit den Antworten zum alten Artikel konnte ich nix anfangen.

Warum nicht?

Ich arbeite bei einer Bank und habe als beschäftigung die
Aufgabe bekommen, unser Internet-Banking hinsichtlich seiner
Sicherheit zu bewerten.

Bist Du Dir sicher, daß Du der Mann dazu bist? Hast Du Deinen Chef um Erlaubnis gefragt, Dich „mal so“ im Internet umzuhören?

Als Vorlage dient mir dazu eine
Ausgabe der „Finanztest“ bei der die Internet-Banking-Angebote
von Direktbanken gestestet wurden.

Geil. Also zweite Wahl nach Computerbild.

Daher habe ich auch einige
Kriterien nach denen ich unser HTML-Banking beurteilen soll.

Gut, Finanttest wird also als Sicherheits-Consulting-Fachmagazin von deutschen Banken eingesetzt.

*grusel*

Das ist natürlich z. B. ob SSL verwendet wird. Ist leicht zu
erkennen an der Adresszeile („https://“),

Nun ja. Und daß man ein Passwort eintippen muss, sollte auch irgendwie noch erwähnt werden, nicht?

oder ob Java-Script
verwendet wird,

Gut.

oder ob das HTML-Banking auf einem eigenen
Rechner läuft (Ping).

Bitte?! Könnten die Banken mal bitte Leute mit einem Ahnungsminimum einstellen? Danke.

Das sind nur zu wenig Kriterien. Und das
sind dann alles Kriterien die jeder überprüfen kann.

Geht es Euch um Kosmetik? Das ehrt Euch nicht. Seid ihr tatsächlich die Sparkasse Bonn?

Ihr könntet Sicherheitsprobleme an der Wurzel packen, aber das hat natürlich fast nur Nachteile:

· Man muß tatsächlich Ahnung haben.
· Es macht Arbeit.
· Es ist deutklich arbeitsintensiver als HTML-Kosmetik
· Man kann nicht irgendwelche Leute aus Webforen zum daddeln losschicken, sondern muß selber Leistung erbringen.
· der Kunde merkt das nicht unbedingt. Ausbleibende Katastrophen sind ja kein bewertbarer Pluspunkt…

Was wären
weitere? Was kann ich bez. der internen Sicherheit des
HTML-Bankings schreiben

Ja: welchen Weg sensiebel daten nehmen und wie sie abgesichert sien. Nun, ich kenne Eure Softwar eerstaunlicherweise nicht. Euer Konzept dahinter auch nicht.

Frage deshalb so unbeantwortbar.

Also, ich finde das echt erschreckend, mit wie wenig Sachverstand und wieviel Wille zu Kosmetik an den Internetbankingsystemen der Banken herumgebastelt wird. Es sind ja schon eine Menge gtgemeinter Tis gegeben worden, die ich in der Zusammenschau des Frager-Know-Hows aber eher für kontraproduktiv halte.

Besser ein für den Kunden erkennbar unsicheres System als Fassadenpolitur ohne Ahnung von Peilung und vergurkte Sicherheitskonzepte, die sensible Kundendaten unter das sich sicher fühlende Volk streuen.

Sebastian

Warum Verisign, war: Nachtrag

Das SSL-Zertifikat von sib.sonline.de wurde ausgestellt von
Verisign. Das ist bequem für den Nutzer (die Browser enthalten
idR. ein Root-Zertifikat von Verisign). Verisign ist in der
Vergangenheit aber auch des öfteren aufgrund mangelhafter
Authentifizierungsmechanismen aufgefallen. So wurden
Zertifikate für nicht autorisierte Personen ausgestellt.

richtig, es gab im letzten jahr einen fall, wo jemand ein code-signing cert fuer mickysoft unbefugt ausgestellt bekam. wurde prompt revoked. weitere faelle sind mir allerdings nicht bekannt.

http://www.nipc.gov/warnings/advisories/2001/01-006.htm

Das verwendete Zertifikat wurde mit der höchsten von Versign
angebotenen Authentifizerungsstufe ausgestellt (Class 3).
Leider sind auch die Root-zertifikate für Class 1 und Class 2
in den Browsern vorinstalliert, sodass ein Nutzer hier
zunächst keinen Unterschied feststellen würde. Ein Angreifer
würde dann beispielsweise die schwache Authentifizierung der
niedrigeren Klassen ausnutzen.

hierzu sollte man sich allerdings die verschiedenen verisign ca’s und ihre beziehungen etwas genauer anschauen:

http://www.verisign.com/repository/ca-ra.html

hieraus kann man recht leicht sehen, dass die verschiedenen verisign ca’s der klassen 1 und 2 gar keine serverzertifikate signieren koennen (mal abgesehen von den OnSite Full Public Customer-Specific CAs, die aber in keinem Browser der Welt defaultmaessig drin sind…). in meinem ie6 zweitbrowser(vielleicht werde ich die tage mal im testfeld in der bank die browsersammlung diesbezueglich begutachten) sind folgerichtig die verschiedenen class 1 und 2 verisign ca’s nicht als herausgeber fuer servercerts geschluesselt.

Eine so große Organisation wie der Verbund der Sparkassen
sollte sich eine vertrauensvollere Zertifizierungsstelle
leisten.

erst mal, wen schlaegst du denn da vor?
das problem von banken ist ausserdem (ok, es sollte sich langsam erledigen, gruende siehe unten) folgendes: bis zum 14.1.2000 gab es us exportgesetze, die den export starker kryptographie aus den usa generell verboten. dies galt leider auch fuer web-browser, so dass fuer die damals populaeren modelle (internet exploder und netscare) bei 64 bit das ende der fahnenstange war. da 64 bit auch damals schon als ein wenig unsicher angesehen wurde (letztendlich der grund fuer die lockerung - man wollte es der us softwareindustrie nicht laenger zumuten, im ruf zu stehen nur „potentiell unsichere“ produkte verkaufen zu koennen), gab es eine ausnahme: us-firmen und internationale banken durften mit kunden in (beinah) aller welt staerkere verschluesselung verwenden. dies wird durch ein spezielles serverzertifikat namens global server id erreicht, dass browserversionen ab ie bzw. ns 3 zum sogenannten encryption step-up (aka server gated cryptography in m$-sprech) veranlasst: nachdem der server im ssl handshake seine global server id vorgezeigt hat, wird ein cipher-renegotiate mit staerkeren moeglichen ciphers ausgeloest.
dummerweise gab es diese global server id’s bis vor kurzem nur von verisign, seit eingen monaten ist auch thawte in diesem geschaeft. dies ist der grund, warum in vielen faellen einfach die procedures noch besagen, bei verisign zu kaufen…
mit dem ausssterben der letzten exportbrowser (bis ie 4 und ns 4.xx) sollte sich diese notwendigkeit mit der zeit erledigen, obwohl man gar nicht glaubt, mit was die leute so online-banking betreiben…

Als Server wird verwendet:
IBM_HTTP_Server/1.3.12.3 Apache/1.3.12 (Unix)

Zumindest keine Bank, die hier den MS IIS einsetzt!

gut, aber recht alt. riecht nach websphere, das ganze…

Die Sitzung im Internetbanking wird nach einer Leerlaufzeit
automatisch geschlossen. Eine sinnvolle Massnahme, die es
längst nicht überall gibt.

echt? oh weh…

Das Internetbanking lässt sich übrigens testen mit folgenden
Zugangsinformationen:
Kontonummer: 123455
Zugangs-PIN: 12346
Transaktionsnummer (TAN): jede beliebige 6-stellige Zahl

also mir scheint, die pin ist auch egal und dass das irgendwie ne demo ist, die nicht auf die wirkliche applikation zugreift…

Noch eine Frage:
Muss es unbedingt das Internetbanking sein? Die Sparkasse Bonn
bietet auch Homebanking via HBCI mit Chipkarte an. Vorteil:
keine lästigen TAN-Listen, stattdessen Chipkarte als
Sicherheitsmedium. Abgesehen davon können hierbei viele
Aktionen offline durchgeführt werden, wenn z.B. ein Produkt
wie StarMoney verwendet wird.

sicherer ist hbci potentiell schon (allerdings nur, wenn ein klasse 3 kartenleser benutzt wird, so dass die pin am lesereigenen keypad eingegeben wird, nachdem man sich vorher im ebenfalls lesereigenen display von der korrektheit der zu signierenden transaktionsdaten ueberzeugt hat). leider ist der hbci standard nur auf girotransaktionen ausgelegt, effektengeschaefte sind nicht vorgesehen. es gibt da zwar proprietaere erweiterungen diesbezueglich (sprich, manche kochen ihr eigenes sueppchen), aber laengst nicht bei jeder bank (manche erwaegen sogar, hbci, wenn ueberhaupt vorhanden, sanft entschlafen zu lassen) und mit der benutzung von 3rd party software wie starmoney ist es in dem bereich dann auch essig.

joachim

Sicherheit Forensystem
Waren das jetzt zwei verschiedene Sebastiane ? (Sebastians ?)
Seit man nicht mehr auf den Namen klicken kann, um die Visitenkarte zu lesen, weiss man das nicht mehr ?

Oder hat da jemand den 1. Sebastian gefaked ?

Was die allgemeine Sicherheitsfrage angeht:
Ich habe - nachdem ich den Minifehler in dem Testaccount gesehen habe, die Sparkasse auf diesen und auf die hier stattfindende
Diskussion hingewiesen, da ich der Meinung bin, dass nirgends
Sicherheitsrelevante informationen über ein Unternehmen diskutiert werden sollten, ohne dass die Betroffenen die Chance haben, schnell darauf zu reagieren (ausser MS - auch wenn hier bisher natürlich nichts wirklich interessantes aufgetaucht ist.

Wenn das jetzt mit Deiner (Sebastian 1) Evaluation deren (eures ?)
Sicherheitssystems interferiert, tut mir das leid, aber die hätten
es (wenn sie gut sind ?) durch das Ausweten des Referers (wenn man
denn über Deinen Link geht) sowieso gesehen.

MfG
Martin

Ok, ich habs gesehen
Es sind zwei verschiedene.
Und das klicken auf die Namen funktioniert auch wieder
Keine Ahnung, warum das auf einmal verschunden war.

MfG
ML

Hallo Martin,

ich finde es vollkommen in Ordnung, dass du die Sparkasse auf den „Minifehler“ hingewiesen hast. Wir haben uns hier ja über nichts unternehmensinternes unterhalten. Bei der Bonner Sparkasse bin ich nicht beschäftigt.

Und ich finde dass sich der „andere Sebastian“ seine unnötigen Kommentare hätte sparen können. Der weiss gar nichts über mich oder meine Arbeit und glaubt dass er zu allem einen kommentar abgeben müsste. Kommentare die nicht einmal was mit der eigentlichen Frage zu tun haben.

sebastian

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

IT-Sicherheit
[Full Quote entfernt]

Hallo Martin,

Und ich finde dass sich der „andere Sebastian“ seine unnötigen
Kommentare hätte sparen können. Der weiss gar nichts über mich
oder meine Arbeit und glaubt dass er zu allem einen kommentar
abgeben müsste. Kommentare die nicht einmal was mit der
eigentlichen Frage zu tun haben.

sebastian

Naja… man mag von Sebastians Art halten, was man will, meistens hat er in der Sache recht.

Fakt ist: Für die Sicherheit eines Online-Banking-Angebotes sollten Experten zuständig sein. Experten im Bereich IT-Security. Ich kenne Dich und Dein Know-How natürlich nicht, aber allein die Ausbildung zum Informatik-Kaufmann macht Dich sicher nicht dazu, ganz und gar nicht. Und das rumsurfen in diesem Forum auch nicht. Um das alles beurteilen zu können, sind extrem profunde Kenntnisse in Betriebssystemen und IP vonnöten, wie Sebastian schon sagte, man muß tatsächlich den genauen Weg jeglicher Daten verfolgen und ALLE beteiligten Systeme auf Herz und Nieren untersuchen. Man braucht ein Konzept, eine Securitypolicy und ihre penible Umsetzung. Abschließend lässt man am besten noch einen Penetrationstest über sich ergehen, von einer namhaften Firma in dem Bereich. Nochmal, ohne Dir allzu nahe treten zu wollen: Ich _glaube_, diese Aufgabe ist ne Nummer zu groß für Dich.

Gruß,

Doc.