Sicherheiten beim Postbank-Onlinebanking

Hallo,

ich benutze schon seit drei Jahren jetzt das Onlinebanking. Nur in den letzten Monaten und Tagen hörte und sah man, das das Onlinebanking nicht mehr sicher sein soll.
Letzte Woche sah ich im Fernsehen ein Bericht, wie junge Studenten mit leichtigkeit irgendwelche Programme zum ausspionieren der PIN und TAN programmierten. (??ZDF Plus-Minus??).
Auch im Film wurde eine Person genannt die nur ca 50 Euro überwiesen hatte, aber daraus wurden dann 3000 Euro und das ging an einem anderen Konto.
Wie kann ich sicher sein, wenn ich mich bei der Postbank einlogge, das das Geld dann auch an die richtige Perosn in richtiger Höhe überwiesen wird?
Ich Benutze immer folgenden Link (habe ich in Favoriten gespeichert)

https://banking.postbank.de/app/welcome.do

Wie funktionierte das Beispiel im Film? Ist das ein Trojaner, der mich ausspioniert? Mal ganz abgesehen von den E-Mail, die man erhalten soll, indem man aufgefordert wird seine TAN und PIN zu übersenden. Da die Bank niemals solche Aufforderungen an Kunden sendet.

Seit den ganzen Geschichten die man hört und liest, überweise ich jetzt nur noch per Brief (Post). Kostet nur lediglich etwas!

Was für Möglichkeiten habe ich, damit das Onlinebanking sicherer wird?
Worauf muss ich achten?

AntiVirus und Firewall habe ich selbstverständlich installiert. Und Update diese Programme auch Regelmäßig!

Ich hoffe jemand kennt sich in dieser Geschichte ein wenig aus, um mir ein paar Tipps zu geben!?!?

Danke im vorraus.

Gruß Sebastian

Ich Benutze immer folgenden Link (habe ich in Favoriten
gespeichert)

https://banking.postbank.de/app/welcome.do

Dann kann eigentlicht viel passieren.

Wie jetzt???

Ich Benutze immer folgenden Link (habe ich in Favoriten
gespeichert)

https://banking.postbank.de/app/welcome.do

Dann kann eigentlicht viel passieren.

Wie soll ich das jetzt verstehen???

Wie soll ich das jetzt verstehen???

Möglicherweise ist das Verfahren gemeint, das sich Indiziertes TAN-Verfahren nennt; nachzulesen unter dem Hinweis neue Sicherheitsfunktionen, https://banking.postbank.de/app/neuesiob.do
Es hört sich jedenfalls sehr ordentlich an.

Gruß!
Tino

Die I-Tan, genauso unsicher!!!
In dem Beispiel im Fernsehen (Plus-Minus) brachte die I-TAN keinen Schutz. Das Verfahren der Übertragung zur Bank hat sich nicht geändert. Es wird lediglich der User aufgefordert ein spezielle TAN von seiner Liste einzugeben. Das hindert niemand, das mein Rechner bei der Transaktion ausspioniert wird. Oder somit die Daten umgeleitet und abgeändert werden.

Also wie kann man sich davor Schützen, wenn es überhaupt eine Möglichkeit gibt???

Gruß Basti

Ich meine damit, dass du durch diese „Methode“ durch die üblichen Phisingtaktiken immun bist.
Meistens läuft das nämlich so ab, dass du eine angebliche E-Mail von deiner Bank bekommst, von der aus du auf eine Seite gehen sollst.

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

wenn ich den TV-Bericht der vergangenen Woche richtig interpretiere, dann ist der Online-Banking-Kunde genau dann im *Pfui-Wort*, wenn jemand a) in der/Deiner Telefonleitung hängt und die eingegebenen Daten abfängt und b) Dir glaubhaft vorgaukelt, dass Du auf der Original-Seite Deiner Bank bist.

Dann, und nur dann, hat er Deine Bankdaten, die PIN und die TAN für eine (!) Transaktion. Der Lauscher kann sich dann ein Mal einen Betrag bis -glaube ich- 3000 Euro überweisen.

Man sieht, die Wahrscheinlichkeit ist realtiv gering, jedenfalls nach meiner Meinung.

Es stellt sich auch die Frage, wie der Lauscher an ein eigenes Konto kommt, da muss er doch einen Personalausweis zur Kontoeröffnung vorlegen. Aber da bin ich vielleicht etwas zu naiv.

Gruss

Andreas

Hallo,

Auch hallo!

ich benutze schon seit drei Jahren jetzt das Onlinebanking.
Nur in den letzten Monaten und Tagen hörte und sah man, das
das Onlinebanking nicht mehr sicher sein soll.

Nun ja, zu 100% sicher war es noch nie :o)

Wie kann ich sicher sein, wenn ich mich bei der Postbank
einlogge, das das Geld dann auch an die richtige Perosn in
richtiger Höhe überwiesen wird?

Gar nicht.

Ich Benutze immer folgenden Link (habe ich in Favoriten
gespeichert)

https://banking.postbank.de/app/welcome.do

Und genau das ist das Problem. Es gibt genug Progrämmchen, die Links zum Banking in den Favoriten auf ihre Seite umleiten. Wenn du den IE nutzt, solltest du dich nach Alternativen umsehen (http://www.firefox-browser.de) und jedes Mal die Adresse selber von Hand eingeben.

Wie funktionierte das Beispiel im Film? Ist das ein Trojaner,
der mich ausspioniert?

Den Beitrag hab ich leider nicht gesehen :o(

Mal ganz abgesehen von den E-Mail, die
man erhalten soll, indem man aufgefordert wird seine TAN und
PIN zu übersenden. Da die Bank niemals solche Aufforderungen
an Kunden sendet.

Wer auf so eine Mail mit den korrekten Daten reagiert, sollte den Rechner ganz schnell ausschalten u verkaufen :o)

Seit den ganzen Geschichten die man hört und liest, überweise
ich jetzt nur noch per Brief (Post). Kostet nur lediglich
etwas!
Was für Möglichkeiten habe ich, damit das Onlinebanking
sicherer wird?

Bitte nicht falsch verstehen, aber jeder sollte sein GEHIRN EINSCHALTEN! Das ist ganz wichtig, denn wie du schon richtig geschrieben hast, mailt dir keine Bank der Welt mit der Bitte, dich über „nachfolgenden Link“ einzuloggen. Desweiteren sollte jeder Dateianhang aus unbekannter Quelle erst nach Rücksprache mit dem Absender geöffnet werden. Nicht zuletzt empfiehlt es sich, den Rechner stets u ständig auf dem neuesten Stand zu halten (Windoof-, Antiviren- u andere Updates). Recht hilfreich sind auch http://www.ntsvcfg.de u http://www.dingens.org.

Worauf muss ich achten?

s.o.

AntiVirus und Firewall habe ich selbstverständlich
installiert. Und Update diese Programme auch Regelmäßig!

Nicht nur diese Programme, Umstieg auf alternativen Browser, z.B. FireFox, Netscape oder Opera (falls noch nicht geschehen) sollte in Erwägung gezogen werden.

Ich hoffe jemand kennt sich in dieser Geschichte ein wenig
aus, um mir ein paar Tipps zu geben!?!?

Auskennen ist zuviel gesagt, aber ich denke mal, dass meine Schreiberei hilfreich ist.

Danke im vorraus.

Gruß Sebastian

Gruss

Mutschy

Einiges zur sicherheit:

1. update dein betriebssystem regelmäßig um sicherheitslücken zu schließen
2. aktuelle virensoftware, welche im hintergrunfd läuft
3. Installiere software die speziell trojaner, spyware… aufspürt (Ad-aware, Spybot-Search & Destroy) und scanne regelmäßig deinen rechner.
4. benutze nicht den internet explorer, alternativen wie mozilla, firefox, opera…sind sicherer. einen 100% schutz gibt es nicht, aber der internet explorer strotzt nur so vor sicherheitslücken.
5. wenn du schon unbedingt den internet explorer verwenden willst, schalte wenigstens Active-x aus.
   6)bei der postbank kannst du für online überweisungen ein limit eingeben, standartmäßig ist das auf 3000€ eingestellt, du kannst aber auch einen geringeren betrag eingeben. wenn du doch mal einen größeren betrag überweisen willst, kannst du das limit mit einer TAN wieder ändern.
   Setzte das limit für überweisungen über finanzsoftware auf 0€.

mfg roberto

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo,

Letzte Woche sah ich im Fernsehen ein Bericht, wie junge
Studenten mit leichtigkeit irgendwelche Programme zum
ausspionieren der PIN und TAN programmierten. (??ZDF
Plus-Minus??).
Auch im Film wurde eine Person genannt die nur ca 50 Euro
überwiesen hatte, aber daraus wurden dann 3000 Euro und das
ging an einem anderen Konto.

Ich hab irgendwo gehört, dass man wenn man sich anmelden will, als erstes eine falsche Pin eingeben soll, wird man dann weitergeleitet, weiß man, dass das Banking nicht sicher ist…aber ob das stimmt, weiß ich nicht…

Gruß,

Elke

Logik hilft!

In dem Beispiel im Fernsehen (Plus-Minus) brachte die I-TAN
keinen Schutz. Das Verfahren der Übertragung zur Bank hat sich
nicht geändert. Es wird lediglich der User aufgefordert ein
spezielle TAN von seiner Liste einzugeben. Das hindert
niemand, das mein Rechner bei der Transaktion ausspioniert
wird. Oder somit die Daten umgeleitet und abgeändert werden.

Ich glaube, Du hast den Link nicht gelesen oder nicht verstanden. Es geht nicht darum, welcher Datenverkehr mitgeschnitten werden kann. Vielmehr ist es so, dass die erste TAN in Richtung Postbank eine weitere TAN anfordert, die nur dem Inhaber der TAN-Liste vorliegen kann. In dem Augenblick, wenn die Postbank die zweite TAN anfordert, ist die erste bereits „verbrannt“. Eine erneute Benutzung ist nicht möglich. Wenn die bösen Buben sie mitschneiden, haben sie nichts davon, weil sie die zweite nicht kennen, die von der Postbank angefordert wird. Wenn sie die erste TAN blockieren und nicht bis zur Postbank weiterleiten, kann keine zweite angefordert werden. Die Transaktion findet nicht statt. Wenn sie die zweite TAN blockieren, erhält die Postbank nach dem Empfang der ersten keine gültige zweite. Und ohne die zweite TAN ist die erste nichts wert. Denn letztlich hat keine TAN ohne die andere einen Wert.

Gruß!
Tino

Hallo Sebastian

In dem Beispiel im Fernsehen (Plus-Minus) brachte die I-TAN
keinen Schutz. Das Verfahren der Übertragung zur Bank hat sich
nicht geändert. Es wird lediglich der User aufgefordert ein
spezielle TAN von seiner Liste einzugeben. Das hindert
niemand, das mein Rechner bei der Transaktion ausspioniert
wird. Oder somit die Daten umgeleitet und abgeändert werden.
Also wie kann man sich davor Schützen, wenn es überhaupt eine
Möglichkeit gibt???

Es gibt keine wirklich praktikable Lösung im Moment. Wenn es eine
sogenannte „man in the middle“ Attacke gibt dann hast du kaum ein
Chance. Wie diese Attacke eingeleitet wird ob über eine Pishing
Mail oder einen Virus/Trojaner spielt keine Rolle.

Alle deine Daten, die du an die Bank sendest, werden (über den Mann
in der Mitte) geleitet. Er füllt somit deinen Überweisungträger
nach seinen eigenen Wünschen aus. Die Rückfrage nach der TAN
(iTAN) wird von ihm an dich vermittelt und du gibst die benötigte
TAN ein. Somit hat er „böse“ Mann alle Daten die er braucht um
eine (wirklich nur eine) Überweisung zu tätigen.

Gruß
Stefan

Hallo,

Vielmehr ist es so, dass die erste
TAN in Richtung Postbank eine weitere TAN anfordert, die nur
dem Inhaber der TAN-Liste vorliegen kann.

Das wäre mal was neues, daß man jedesmal zwei Tans braucht. Kannst Du mal zeigen, wo das steht?

In dem Augenblick,
…
andere einen Wert.

Ich habe das Verfahren etwas anders verstanden als Du: für jede Transaktion wird nicht irgendeine, sondern eine bestimmte Tan der Liste angefordert. Dadurch sinkt die Wahrscheinlichkeit, daß durch eine PhishingMail eine passende Tan ausgespäht wird. Das ist alles.

Zum zweiten hast Du die Möglichkeit des Angriffs nicht verstanden:
der Kunde baut keine Verbindung zum Rechner der Bank auf, sondern unbemerkt zum Rechner eines Hackers. Dieser baut dann gleichzeitig(!) eine Verbindung zur Bank auf und gibt die Daten des Kunden an die Bank weiter - natürlich mit kleinen Änderungen. Sowohl Bank als auch Kunde merken davon nichts. Es wird eine reguläre Tan verwendet, nur eben nicht für die Transaktion, die der Kunde vornehmen wollte. Übrigens ändert natürlich auch die Verwendung mehrerer Tans für eine einzelne Transaktion gar nichts. Und möglich wird das ganze z.B. durch Einsatz eines Trojaners, der z.B. die Host-Datei auf dem KundenPC manipuliert. Und das funktioniert sogar dann, wenn der Kunde selber die Bankadresse eingibt oder aus seiner Linkliste auswählt, nicht nur beim Anklicken eines Links in einer Mail.
Gruß
Axel

I-Tan, so wurde es gemacht
Bei plusminus wurde meines wissens das itan verfahren wie folgt geknackt
über einen trojaner o.ä. kommt der betrüger in den besitz einer TAN.
aber wenn dieser betrüger nun versucht normal übers internet eine überweisung zu tätigen schlägt diese fehl,da ja beim itan-verfahren eine bestimmt tan angefordert wird.
ABER dennoch gibt es eine andere möglichkeit:
der betrüger geht nicht übers interner unter www.postbank.de …, sondern benutzt eine übliche finanzsoftware. wenn man überweisungen hierüber ausführt funktioniert das itan verfahren noch nicht (nach auskunft der postbank erst früjahr 2006). d.h. er kann seine erbeutete tan frei einsetzen.
abhilfe schafft man aber, wenn man das überweisungslimit für finanzsoftware bei der postbank auf 0€ setzt.

mfg roberto

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

HBCI / FinTS !
Hallo Namensvetter,

wie Du lesen konntest, sind selbst die ausgeklügelsten PIN/TAN-Verfahren knackbar, sobald sich jemand in die Mitte dazwischenhängt, in Deine Richtung „Bank“ und in Richtung der Bank „Kunde“ spielt und dabei Deine Überweisungsdaten in seinem Sinne verändert.

Die einzige mir bekannte Methode, das mit Sicherheit auszuschließen, ist die Verwendung des Electronic Bankings nach dem HBCI-Standard (Home Banking Computer Interface), neuerdings FinTS genannt, und dieses mit einer Chipkarte und einem Class II oder Class III Chipkartenleser.

Hier werden die Aufträge mit dem öffentlichen Schlüssel der Bank verschlüsselt, so dass nur die Bank sie wieder entschlüsseln kann und mit dem privaten Schlüssel des Kunden signiert. Dieser Schlüssel verlässt dabei niemals die Chipkarte, er wird also nicht in den Rechner übertragen, die Erzeugung der Signatur findet auf der Karte statt. Die PIN, mit der die Karte „geöffnet“ wird, wird bei Class II und III Lesern am Leser selbst und nicht über die Tastatur des Computers eingegeben. dabei wird der Leser vorrübergehend vom Rechner getrennt, so dass auch kein Trojaner hier mitlauschen kann (aus diesem Grund sind auch einfachere Leser ohne Tastatur nicht mehr akzeptabel).

Der „Mann in der Mitte“ kann die Nachrichten nicht verändern, ohne das dadurch bei der Bank die Signaturprüfung fehlschlägt und der Auftrag abgelehnt wird, mal abgesehen davon, dass das sinnvolle Ändern einer verschlüsselten Nachricht eh schon unmöglich ist.

Die EINZIGE Möglichkeit, dieses Verfahren noch zu knacken: Ein Trojaner installiert sich auf dem Kundenrechner und verändert den Zahlungsauftrag, BEVOR er signiert wird, aber so, dass der Kunde nichts davon bemerkt. Dazu müsste ein Trojaner sämtliche Sicherheitsmechanismen des HBCI-Clients aushebeln und das Programm sehr genau kennen. Möglich, aber aus meiner Sicht unwahrscheinlich.

Leider bieten nur wenige Banken HBCI mit Chipkarte an. Einige Sparkassen und Volksbanken bieten ein HBCI mit PIN/TAN an, aber das hat natürlich nicht diesen Sicherheitsgewinn.

Ich weiß von folgenden Banken, die HBCI/FinTS mit Chipkarte anbieten: Hypovereinsbank, Commerzbank, Deutsche Bank, Dresdner Bank, Hauck & Aufhäuser, und es gibt noch ein paar weitere kleinere Privatbanken.

Grüße
Sebastian