Hallo,
ich benötige für eine Arbeit über Internetbanking Kriterien mit deren Hilfe sich die Sicherheit von Internetbanking-Angeboten überprüfen lässt.
Folgende Kriterien habe ich schon:
- Haben die Startseite und die Banking-Seite des Anbieters unterschiedliche IP-Adressen?
- wird der Host nicht mit Webseiten anderer Firmen bzw. Personen geteilt?
- SSL-Verschlüsselung?
- Wird JavaScript eingesetzt?
- Werden Cookies verwendet?
- Wird eine Firewall eingesetzt?
- Existieren unnötig offene Ports auf dem Server?
- ist die Adressleiste bei SSL-Verschlüsselung sichtbar?
- erfolgt die Authentifizierung nach anerkannten Standards?
Das sind nun alles Kriterien, die von außen überprüfbar sind.
Was wären weitere Kriterien, egal ob von außen überprüfbar oder nicht?
danke
sebastian
Hallo,
ich benötige für eine Arbeit über Internetbanking Kriterien
mit deren Hilfe sich die Sicherheit von
Internetbanking-Angeboten überprüfen lässt.
Folgende Kriterien habe ich schon:
(…)
Das sind nun alles Kriterien, die von außen überprüfbar sind.
Was wären weitere Kriterien, egal ob von außen überprüfbar
oder nicht?
danke
sebastian
Naja, was ist mit der internen Absicherung des Netzwerkes? Firewall, Intrusion Detection, Out-of-Band-Management, jegliche Verbindung zum Unternehmensnetzwerk (gibt’s welche, wenn ja, wie sind die abgesichert?), Absicherung der Infrastruktur (Strom, Feuer, Wasser etc.), Was ist generell mit der Ausfallsicherheit (gibt’s Redundanzen, wenn ja, welcher Art)?
Das ist so das, was mir grad einfällt…
Hallo DocValde,
es geht mir nur um die Anwendung „an sich“, nicht um das Intranet.
Es geht darum eine Anwendung für Internetbanking im Browser auf Ihre Sicherheit hin zu bewerten. Das Netzwerk interessiert mich nicht. Mit Firewall meine ich die Firewall die ev. vor dem Webserver, auf dem die Anwendung liegt, dafür sorgt dass niemand außer den eingerichteten Benutzern (bzw. den für Internetbanking freigeschalteten Kunden einer Bank) Zugriff auf das Internetbanking hat.
Danke für deine Antwort.
sebastian
Naja, was ist mit der internen Absicherung des Netzwerkes?
Firewall, Intrusion Detection, Out-of-Band-Management,
jegliche Verbindung zum Unternehmensnetzwerk (gibt’s welche,
wenn ja, wie sind die abgesichert?), Absicherung der
Infrastruktur (Strom, Feuer, Wasser etc.), Was ist generell
mit der Ausfallsicherheit (gibt’s Redundanzen, wenn ja,
welcher Art)?
Das ist so das, was mir grad einfällt…
Hallo DocValde,
es geht mir nur um die Anwendung „an sich“, nicht um das
Intranet.
Es geht darum eine Anwendung für Internetbanking im Browser
auf Ihre Sicherheit hin zu bewerten.
Na gut, dann hab ich noch die Fragen
- Welcher Krypto-Algorithmus wird bevorzugt für SSL verwendet?
- Wie sicher ist die Software geschrieben bzgl. Buffer Overflows o.ä. (Wobei das dan sowhl für den Webserver als auch für alle Anwendungen dahinter gilt)
zu bieten. Sorry, mehr fällt mir da nicht zu ein! 
- Haben die Startseite und die Banking-Seite des Anbieters
unterschiedliche IP-Adressen?
Naja…
- Wird eine Firewall eingesetzt?
Das ist von aussen nicht sicher beurteilbar. Die Frage nach dem Sachverstand drängt sich auf…
DocValde hat ja schon weitere Hinweise gegeben. Dennoch: eine sichere Administration eines Servers kann man nicht einfach per Checklsite abhaken. „Von aussen“ kann man Indizien sammeln, aber zu erkennen, daß die daten von dem Banking-WWW-Server unverschlüsselt über Internet ins Zentrale Rechenzentrum im anderenm Kontinent gespielt werden, ist praktisch unmöglich…
Sebastian