1. Foren
  2. Kommentare
  3. Politik/Recht
  4. Alle Kommentare zum Artikel
  5. › Kaspersky: Ein Viertel der…

Mit Geld spielt man nicht

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Mit Geld spielt man nicht

    Autor: KarimS 28.08.13 - 19:12

    Manche Leute, die im echten Leben sehr misstraurig sind und auf ihre Geldbörse und ihre EC-Karte sehr gut aufpassen, verhalten sich im Internet wie kleine Kinder.

    "Die Sparkasse schickt mir eine E-Mail, dass ich mein Konto autorisieren soll? Na klar, hier könnt ihr meine TAN-Liste haben."

    Es gibt Dinge, für die man nichts kann. Wie etwa manipulierte Automaten, aber im Internet kann man 95% der Gefahren leicht aus dem Weg gehen, indem man den gesunden Menschenverstand einschaltet und seinen Computer trojanerfrei hält.

  2. Re: Mit Geld spielt man nicht

    Autor: McCoother 28.08.13 - 19:20

    Ein sprechender Elch möchte meine Kreditkartennummer? Das finde ich fair..

    http://www.youtube.com/watch?v=IfXMN3VhikA

  3. Re: Mit Geld spielt man nicht

    Autor: tibrob 28.08.13 - 20:06

    "Trojanerfrei" halten ist schön gesagt. Wenn dein AV-Programm nichts mitteilt oder sich der Trojaner nicht auffällig verhält, so dass du ihn sofort bemerkst, kannst du relativ wenig machen.

    Auf der anderen Seite sollte aber bekannt sein, dass Banken niemals irgendwelche Daten zum Bankkonto per Email anfordern. Wenn die Bank etwas möchte, wird sie sich schon per Post in Verbindung setzen.

    Im Falle des im Artikel genannten "Phishing-Opfers" ist es wohl leider Pech und unflexibilität der Bank , die ich nach so einem Vorfall schnell wechseln würde. Auf der anderen Seite ist iTAN zumindest sicherer als das altbekannte TAN-Verfahren. Hmm ...

    Würde mich jetzt interessieren, was er (das Phishingopfer) beruflich macht. Kenne da so einige Knaller, die sich als IT-Gurus bezeichnen oder studierte Akademiker sind, aber häufiger auf so einen Blödsinn hereinfallen.

    Im Falle von Skimming würde ich auf Rückerstattung bestehen und zur Not bis zum Ende durchklagen. Deshalb hole ich Geld grundsätzlich nur an Bankautomaten, die Kameraüberwacht sind und sich "in" der Bank befinden. Hinterhofautomaten meide ich immer - auch wenn es manchmal unbequem ist.

  4. Re: Mit Geld spielt man nicht

    Autor: Trockenobst 28.08.13 - 20:19

    tibrob schrieb:
    --------------------------------------------------------------------------------
    > Kenne da so einige Knaller, die sich als IT-Gurus bezeichnen oder studierte
    > Akademiker sind, aber häufiger auf so einen Blödsinn hereinfallen.

    Ich habe einem Arzt bei der Diskussion zu dem Thema mal gefragt wann er der Bank denn seine Emailadresse gegeben hat - und wieso. Dann hat er kurz nachgedacht und meinte simpel "Ich bin da Gutgläubig, über so was denke ich nicht lange nach. Da wird die Mail schon seine Richtigkeit haben."

    Er, der "normale Mensch" kann sich nicht vorstellen, dass es einen Untergrund gibt der "ihn" tatsächlich Abzocken will. Er, der Niemand, der mit "solchen" Leuten nicht verkehrt.

    Ich habe ihn dann gesagt dass der Typ nur seine Email irgendwo gescannt hat und ihn gar nicht kennt. Der macht das mit einem Computer ein paar 100.000x pro Tag und Sucht die Dummen, die Uninformierten, die sich nicht an die Regeln der Bank halten.

    Der letzte Satz war dann "Ich will damit nichts zu tun haben. Wenn es passiert, dann passiert es eben". Genau diese Stumpfköpfe, egal wie "studiert", haben die Banken zu dem Handy-TAN Verfahren gezwungen.

    Da waren einfach zu viele Idioten die dann bei der Bank aufschlagen und fragen warum 5000¤ weg sind. Dann soll das "die Bank halt irgendwie regeln, hat er keine Zeit für den Scheiß. Und er braucht eine neue TAN Liste, die andere ist ja verbraucht"

    Ich bin mir sicher dass viele Banken hier zähneknirschend doch den Schaden beglichen haben damit diese Themen nicht der Presse aufschlagen. Diese Bank zum Glück nicht. Dafür darf man jetzt immer ein aufgeladenes Handy haben. Murx.

  5. Re: Mit Geld spielt man nicht

    Autor: borg 29.08.13 - 07:19

    Man sollte nicht immer so einfach auf die "Idioten" schimpfen. Wenn man in anderen Lebensbereichen durch selbstverschulden geschädigt wird, dann wird der Schädiger verfolgt und es wird versucht, den Schaden zurückzuzahlen (Unterschrift dem "netten" Herrn vor der Haustüre, mit steckendem Schlüssel an der Tankstelle geklautem Auto). Selbst wer sich am Telefon gutgläubig und dumm abzocken lässt, hat ein Recht auf Wiedergutmachung.
    Aber am Computer wird regelmässig die Beweislast umgedreht. Und das, obwohl die Banken Onlinebanking in nicht wenigen Fällen dem Kunden regelrecht aufdrängten bzw. durch überteuerte Gebühren für das klassische Bankgeschäft, Filialschliessungen etc. als einzige Alternative erscheinen lassen. Dann sollten sie wenigstens auch die Risiken für leichtsinniges Verhalten der Kunden tragen. Beim früheren falschen Papier-Brief oder Rechnung klärte sich dies spätestens am Schalter, wenn der Mitarbeiter sagte: "Das Schreiben ist nicht von uns". Bei einer eMail ist dies nicht mehr der Fall.
    Wer übrigens ein Antivirenprogramm auf dem Rechner verlässt sich auf dies. Ver es immer aktuell hält, hat als Dau sein möglichstes getan. Wenndann ein Trojaner trotzdem Bankschaden anrichtet, sollte die Bank sich den Schaden vom Trjoaner-Hersteller holen und nicht auf den geschädigten Kunden abwälzen.

  6. Re: Mit Geld spielt man nicht

    Autor: 0xDEADC0DE 29.08.13 - 08:41

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    > Wenn es passiert, dann passiert es eben". Genau diese Stumpfköpfe, egal
    > wie "studiert", haben die Banken zu dem Handy-TAN Verfahren gezwungen.

    Unsinn, das Hand-TAN-Verfahren ist nur eines von vielen und es ist allemal besser als dein blöder Zettel, auf dem GÜLTIGE TANs stehen, von jedem einsehbar, der legalen aber auch illegalen Zugang zu deiner Wohnung hat. Ein Einbrecher freut sich drauf, wenn er sie am PC zufällig liegen sieht.

    > Dafür darf man jetzt immer ein aufgeladenes Handy haben. Murx.

    Der Murx findet wohl eher woanders statt... Es gibt auch eTAN und auch noch gänzlich andere Varianten. Wenn du gezwungen wirst dein Handy zu nutzen, bist du selbst schuld.

  7. Re: Mit Geld spielt man nicht

    Autor: Citrixx 29.08.13 - 10:27

    Trockenobst schrieb:
    --------------------------------------------------------------------------------
    >
    > Der letzte Satz war dann "Ich will damit nichts zu tun haben. Wenn es
    > passiert, dann passiert es eben". Genau diese Stumpfköpfe, egal wie
    > "studiert", haben die Banken zu dem Handy-TAN Verfahren gezwungen.

    Nein, das mTAN-Verfahren hat man eingeführt, weil iTAN generell nicht mehr sicher ist, da moderne Trojaner direkt den Browser angreifen und während des Online-Bankings unbemerkt deine Überweisungsdaten mit denen der Angreifer ersetzen, ohne das du davon etwas mitbekommst.

    Bei mTAN werden daher zur Kontrolle die bei der Bank tatsächlich eingegangenen Überweisungsdaten in der SMS mitgeschickt. Wobei es inzwischen aber auch schon wieder Trojaner gibt, die versuchen jetzt auch das Handy/Smartphone zu infizieren oder die Angreifer versuchen sich die Handy-Rufnummer portieren zu lassen.

    Am besten nutzt man daher Verfahren mit speziellen Siganturgeräten mit eigenem Display zur vom PC unabhängigen Kontrolle der Überweisungsdaten wie ChipTAN, PhotoTAN, BestSign oder HBCI mit SECODER-Erweiterung.

    borg schrieb:
    --------------------------------------------------------------------------------
    > Ver es immer aktuell hält, hat als Dau sein möglichstes getan. Wenndann ein
    > Trojaner trotzdem Bankschaden anrichtet, sollte die Bank sich den Schaden
    > vom Trjoaner-Hersteller holen und nicht auf den geschädigten Kunden
    > abwälzen.

    Was Golem im Artikel nicht erwähnt hat ist, dass nach dem Urteil des Bundesgerichtshofs die Gesetzeslage noch einmal zu Gunsten der Kunden geändert wurde. Inzwischen haftest du nur noch bei grober Fahrlässigkeit (früher reichte bereits einfache Fahrlässigkeit aus). Wobei das in diesem speziellen Fall vielleicht sogar auch der Fall gewesen wäre, da die Bank die Kunden vorher auf ihrer Onlinebanking-Website ausdrücklich vor solchen Phishing-Attacken gewarnt hatte:

    http://www.welt.de/print/die_welt/finanzen/article106223053/Kunden-haften-beim-Onlinebanking.html



    1 mal bearbeitet, zuletzt am 29.08.13 10:32 durch Citrixx.

  8. Re: Mit Geld spielt man nicht

    Autor: zonk 29.08.13 - 10:40

    Danke ;)
    +1

  9. Re: Mit Geld spielt man nicht

    Autor: baltasaronmeth 29.08.13 - 10:46

    Das sind auch genau die Leute, die Geld und Anwälte haben, um sich in so einer Situation ganz auf ihre traditionellen Schutzmaßnahmen verlassen zu können. Ob der Arzt da unrecht hat, ist sogar Einstellungsfrage: Wenn die Bank mir ein System anbietet, verlange ich, dass die Bank das System entsprechend sicher gestaltet. Ein einfaches "geben SIe ihre TAN niemals heraus" ist da einfach nicht genug.

    Ich habe derzeit kein Onlinebanking. Meine Bank ist zum Glück in fünf Minuten zu Fuß erreichbar (den Berg runter, hoch sind es dann fünfzehn) und hat ein Selbstbedienungsterminal. Da daneben direkt Post, Bäckerei, Metzgerei und Gemüseladen sind, ist sichergestellt, dass ich dort regelmäßig vorbeikomme. Jetzt sind als Sicherheitslücken nur noch die EC-Karte, die dazugehörige PIN, sowie die deprimierend schwache Authentifizierung am Telefon.

    Das ist übrigens noch krasser, als jedes Phishing im Internet. Ich war früher bei der Spardabank und hatte ein Telefonpasswort, dass so komplex war, dass ich es immer vergessen hatte, wenn ich einmal im Jahr anrufen wollte, um was zu klären. Die nette Dame (es war immer eine nette Dame) bot mir dann an, mich anderweitig zu Authentifizieren. Nach Abgleich einiger Stammdaten hatte ich dann administrativen Vollzugriff auf meine Bankgeschäfte. Die fraglichen Stammdaten bestanden allesamt aus Informationen, die man aus einem durchschnittlichen Profil bei einem social network erfahren könnte. Es wurde nicht einmal nach der Kartennummer oder Personalausweisnummer gefragt, das würde immerhin einen Diebstahl vorraussetzen.

    Jetzt gibt es bei Banken ja diese Kästchen, in die man die EC-Karte reintut, eine Matrix vom Bildschirm scannt und dann einen Code errechnet bekommt. So verlagert man das Problem weiter auf die EC-Karte, die man vermutlich wieder ständig mit sich herumschleppt. Sind die Geräte dann individuell oder gibt es nur ein Modell und die Arbeit erledigt die Karte? Wer weiß das schon, bei der Bank konnte man mir diese Information nicht geben. Es wurde mir nur geraten, wenn ich denn sowas habe, nur mein eigenes zu nehmen. Dann hat man mir iTan angeboten. Erst auf Nachfrage hat man mir gesagt, dass der Sicherheitsaspekt bei iTan ganz davon abhängt, ob mein Mobiltelefon frei von Malware sei und ob ich es ständig im Auge habe. Vermutlich ist es wie beim Auto: Wird nachgewiesen, dass ich zum Tatzeitpunkt keine Bildschirmsperre installiert hatte, habe ich keinen Anspruch auf Entschädigung.

    Wieder bei der Sparda, ein paar Jahre zurück: Mir ist aufgefallen, dass ich meine TAN immer zweimal eingeben muss und beim ersten mal immer eine Fehlermeldung bekomme. Ich dachte erst an den allseits beliebten Mittelsmann und habe es dann an mehreren Rechnern, mehreren Internetanschlüssen und mit mehreren Browsern probiert. Immer das gleiche (wie man an der Stelle vielleicht vermutet hätte). Also rief ich den Telefonsupport an ("Wenn Sie Ihr Passwort vergessen haben, stelle ich Ihnen jetzt einige Fragen... Ich verbinde Sie mit der Technik"), schilderte mein Problem und beschrieb, was ich schon zum Test getrieben hatte. Antwort des Technikers: "Wissen Sie, was ich denke? Sie geben die TAN einfach immer erstmal falsch ein." Natürlich, wie sollte es anders sein? Kann ja nur daran liegen, dass ich selbst beim Testen so unaufmerksam bin, dass ich jedes zweite (respektive: erste) Mal die TAN falsch eingebe.

    Ich verstehe, warum Leute ihre Sicherheit auf die Bank abwälzen wollen: Die bieten Technik an, die hinten und vorne angreifbar ist und erwarten dann vom Kunden, sich anderweitig über die Risiken zu informieren. Und wenn ich Sicherheitssoftware kaufe und verwende und der Betreiber (oder gar der Reseller) damit wirbt, dass man damit sicher ins Netz gehen kann, dann ist es fast egal, was im Kleingedruckten steht, dann erwarte ich, dass das so ist oder man im Schadensfall haftet.

    Wer haftet denn bei Sicherheitsverletzungen? Beispiel: Ein Dienstleister vom Hersteller bringt einen USB-Stick mit einem Update für ein Gerät, welches von der IT zwar nicht gewartet wird, allerdings Teil des Firmennetzwerks ist. Auf dem Gerät läuft Herstellersoftware, sowie eine zweifelhaft aktuelle Version von Windows. Der Dienstleister geht direkt in die Abteilung (hat ja einen Termin gemacht) und bespricht mit der Abteilungschefin das weitere Vorgehen. Dabei wird, ohne viel Tamtam, der USB-Stick mit dem Update einfach mal in das Gerät geschoben und das Update eingeleitet. In Folge dessen entsteht ein Problem an dem Gerät, der Dienstleister ist überfordert (kein Techniker), endlich wird die IT dazugerufen. Nach kurzem Begutachten stellt sich heraus, dass das Gerät nun infiziert ist, als Ursache ermittelt man den USB-Stick von Dienstleister.

    Wer trägt nun die Verantwortung? Der Hersteller liefert die Software, der Dienstleister spielt sie auf einen Datenträger auf und der Mitarbeiter in der Abteilung hat die Anweisung, ALLE Datenträger, die nicht von der IT stammen, zuerst von der IT prüfen zu lassen, bevor sie ins Labornetz eingeführt werden. Wen kackt man an? Am Besten alle? In dem Fall ging es gut aus: Die Infektion hat sich nicht verbreitet, die MA musste ein Auffrischungsseminar zum Thema Sicherheit über sich ergehen lassen (obwohl die sonst auch mit jeder CD zu uns gerannt ist, also Unwissen war das nicht), und der Hersteller hat uns einen eigenen Experten - dieses mal keinen Disponenten - zur Schadenskontrolle geschickt. Gesamtschaden: Ein Arbeitstag für den IT-Hampelmann vom Dienst, ein Tag Geräteausfall und ganz viel Papierkram.

  10. Re: Mit Geld spielt man nicht

    Autor: 1ras 29.08.13 - 10:54

    0xDEADC0DE schrieb:
    > Unsinn, das Hand-TAN-Verfahren ist nur eines von vielen und es ist allemal
    > besser als dein blöder Zettel, auf dem GÜLTIGE TANs stehen, von jedem
    > einsehbar, der legalen aber auch illegalen Zugang zu deiner Wohnung hat.
    > Ein Einbrecher freut sich drauf, wenn er sie am PC zufällig liegen sieht.

    Und was soll er damit anfangen, wenn er sich ohne PIN nichtmal einloggen kann?

    > > Dafür darf man jetzt immer ein aufgeladenes Handy haben. Murx.
    >
    > Der Murx findet wohl eher woanders statt... Es gibt auch eTAN und auch noch
    > gänzlich andere Varianten.

    eTAN ist je nach Implementierung unsicher und wird auch nicht von jeder Bank angeboten.

    > Wenn du gezwungen wirst dein Handy zu nutzen, bist du selbst schuld.

    Absolut nicht, der Vorposter hat völlig recht mit seiner Aussage. iTAN wurde wegen den Deppen eingestellt die auch mal 10 TAN's am Stück eingeben ohne dabei ihr Hirn zu aktivieren. Ich habe seit der Einstellung von iTAN die Wahl zwischen mTAN und chipTAN. Also die Wahl zwischen

    1. mTAN und ein eigenes, immer aufgeladenes Handy neben den PC zu legen (mit einer nicht kontrollierbaren Umgebung wie einem Smartphone willst du ja ohnehin kein mTAN machen wenn du klug bist).

    2. chipTAN und gleich mit dazu eine zweite EC-Karte von der Bank besorgen, denn üblicherweise befindet sich die EC-Karte im Geldbeutel und du musst schon in einer relativ kleinen Wohnung leben, wenn sich der Geldbeutel regelmäßig in Reichweite des PCs befindet. Dann kannst wahlweise jedesmal eine cryptische Nummer abtippen oder dich mit Flickering herumplagen.

    3. Alle paar Monate die Bank wechseln bis auch die letzte iTAN eingestellt hat und jedesmal die Kreditwürdigkeit samt Historie aufs Spiel setzen.

  11. Re: Mit Geld spielt man nicht

    Autor: Citrixx 29.08.13 - 11:05

    baltasaronmeth schrieb:
    --------------------------------------------------------------------------------
    > Jetzt gibt es bei Banken ja diese Kästchen, in die man die EC-Karte
    > reintut, eine Matrix vom Bildschirm scannt und dann einen Code errechnet
    > bekommt. So verlagert man das Problem weiter auf die EC-Karte, die man
    > vermutlich wieder ständig mit sich herumschleppt.

    Wie du oben geschrieben hast, machst du das doch auch jetzt schon.

    > Sind die Geräte dann
    > individuell oder gibt es nur ein Modell und die Arbeit erledigt die Karte?

    Die "Arbeit" erledigt die Karte, auf welcher der geheime Kundenschlüssel gespeichert ist. Damit wird dann die Überweisung, deren Details vorher noch einmal vollständig zur Kontrolle auf dem Display des Generators angezeigt werden (außer bei Sammelüberweisungen - die sollte man daher nicht nutzen), signiert und aus dem Ergebnis die TAN gebildet. Den Generator kann man beliebig wechseln, er muss nur der Versionsnummer von ChipTAN entsprechen, die die Bank nutzt (aktuell ist HHD 1.4).

    > Wer weiß das schon, bei der Bank konnte man mir diese Information nicht
    > geben.

    Dann sind die aber schlecht informiert.

    > Dann hat man mir iTan angeboten. Erst auf Nachfrage hat man mir
    > gesagt, dass der Sicherheitsaspekt bei iTan ganz davon abhängt, ob mein
    > Mobiltelefon frei von Malware sei und ob ich es ständig im Auge habe.

    Ich glaube du meinst in dem Fall dann "mTAN" und nicht "iTAN".

  12. Re: Mit Geld spielt man nicht

    Autor: 1ras 29.08.13 - 11:13

    borg schrieb:
    --------------------------------------------------------------------------------
    > Man sollte nicht immer so einfach auf die "Idioten" schimpfen. Wenn man in
    > anderen Lebensbereichen durch selbstverschulden geschädigt wird, dann wird
    > der Schädiger verfolgt und es wird versucht, den Schaden zurückzuzahlen
    > (Unterschrift dem "netten" Herrn vor der Haustüre, mit steckendem Schlüssel
    > an der Tankstelle geklautem Auto).

    Und bei Internetbetrug ist es genau das Selbe. Nur genau so wenig wie du ein gestohlenes Auto wiedersehen wirst wenn es sich erstmal in Polen oder Tschechien befindet, wirst du dein Geld wiedersehen, wenn es sich erstmal im Ausland befindet.

    Oder ersetzt dir etwa BMW den Schaden, wenn dir dein BMW gestohlen wird? Nichtmal die Versicherung wird ihn dir ersetzen, wenn du grob fahrlässig gehandelt hast. Warum erwartest du dann, dass dir in einem solchen Fall die Bank den Schaden ersetzt?

    > Wer übrigens ein Antivirenprogramm auf dem Rechner verlässt sich auf dies.
    > Ver es immer aktuell hält, hat als Dau sein möglichstes getan. Wenndann ein
    > Trojaner trotzdem Bankschaden anrichtet, sollte die Bank sich den Schaden
    > vom Trjoaner-Hersteller holen und nicht auf den geschädigten Kunden
    > abwälzen.

    Alle 2 Sekunden erscheint eine neue Variante eines Windows-Schadprogramms (Zahlen laut BSI). Es ist dumm zu glauben, dass dich ein Antivirenprogramm davor zuverlässig schützen kann. Wer sich in einem Hochrisikobereich aufhält - und wer Windows einsetzt tut das nunmal - wird schon bereit sein müssen einen Teil des Risikos zu tragen, das ist in anderen Lebensbereichen nicht anders.

  13. Re: Mit Geld spielt man nicht

    Autor: Citrixx 29.08.13 - 11:15

    1ras schrieb:
    --------------------------------------------------------------------------------
    > > Wenn du gezwungen wirst dein Handy zu nutzen, bist du selbst schuld.
    >
    > Absolut nicht, der Vorposter hat völlig recht mit seiner Aussage. iTAN
    > wurde wegen den Deppen eingestellt die auch mal 10 TAN's am Stück eingeben
    > ohne dabei ihr Hirn zu aktivieren.

    Ne, iTAN wurde wegen sowas eingestellt:

    http://www.zdnet.de/41539982/polizei-schnappt-internationale-bande-von-online-konto-hackern/

    Heutzutage fragt dich niemand mehr nach irgendwelchen TANs, die du eintippen sollst, sondern es wird im Hintergrund gewartet bis du selbst mal wieder eine Überweisung tätigst.

  14. Re: Mit Geld spielt man nicht

    Autor: 0xDEADC0DE 29.08.13 - 11:38

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Und was soll er damit anfangen, wenn er sich ohne PIN nichtmal einloggen
    > kann?

    Wieso sollte das der Fall sein? Man hat bei eTANs auch einen normalen Account, der fällt nicht weg. Oder was meinst du?

    > eTAN ist je nach Implementierung unsicher und wird auch nicht von jeder
    > Bank angeboten.

    Was meinst du mit "unsicher"? Mit eTAN meinte ich eigentlich System, mit Generator UND Karte, also auch chipTan. Siehe auch Wiki... leider gibt es da wohl auch welche ohne, die meinte ich nicht.

    Und wenn eine Bank so was nicht anbietet, dann wechselt man einfach!

    > Absolut nicht, der Vorposter hat völlig recht mit seiner Aussage. iTAN
    > wurde wegen den Deppen eingestellt die auch mal 10 TAN's am Stück eingeben
    > ohne dabei ihr Hirn zu aktivieren. Ich habe seit der Einstellung von iTAN
    > die Wahl zwischen mTAN und chipTAN. Also die Wahl zwischen

    Nein, das ist falsch. Es wurde eingestellt, weil durch Phisining oder Trojanern dem Nutzer vorgegaukelt wurde, dass sein aktuell eingegebener iTAN bereits verbraucht sei. Was aber nicht der Fall war. Somit konnten die Betrüger mit diesem iTAN dann selbst Geld verschieben.

    > 1. mTAN und ein eigenes, immer aufgeladenes Handy neben den PC zu legen
    > (mit einer nicht kontrollierbaren Umgebung wie einem Smartphone willst du
    > ja ohnehin kein mTAN machen wenn du klug bist).

    Wer klug ist, nutzt keinen Dienst, der abhörbar ist...

    > 2. chipTAN und gleich mit dazu eine zweite EC-Karte von der Bank besorgen,
    > denn üblicherweise befindet sich die EC-Karte im Geldbeutel und du musst
    > schon in einer relativ kleinen Wohnung leben, wenn sich der Geldbeutel
    > regelmäßig in Reichweite des PCs befindet. Dann kannst wahlweise jedesmal
    > eine cryptische Nummer abtippen oder dich mit Flickering herumplagen.

    Ich wette meine Wohnung ist größer als deine, meinen Geldbeutel finde ich trotzdem immer. Nummern einzugeben ist ja wohl sehr schwer, gut, dass die Kontonummer keine solche ist. Flickering? No problem.

    > 3. Alle paar Monate die Bank wechseln bis auch die letzte iTAN eingestellt
    > hat und jedesmal die Kreditwürdigkeit samt Historie aufs Spiel setzen.

    Ja, das ist für dich das Beste. ^^

  15. Re: Mit Geld spielt man nicht

    Autor: 0xDEADC0DE 29.08.13 - 11:43

    baltasaronmeth schrieb:
    --------------------------------------------------------------------------------
    > Jetzt gibt es bei Banken ja diese Kästchen, in die man die EC-Karte
    > reintut, eine Matrix vom Bildschirm scannt und dann einen Code errechnet
    > bekommt. So verlagert man das Problem weiter auf die EC-Karte, die man
    > vermutlich wieder ständig mit sich herumschleppt. Sind die Geräte dann
    > individuell oder gibt es nur ein Modell und die Arbeit erledigt die Karte?

    Richtig, chipTAN. Die Karte alleine reicht aber nicht aus, man benötigt auch noch die Zugangsdaten fürs Onlinebanking-Konto. Und wer die nicht hat, kann mit der Karte und dem genormten (nehme ich mal an) Gerät nicht viel anfangen. Außerdem: Bei Diebstahl/Verlust ist man verpflichtet seine Karte unverzüglich zu sperren. Damit sollte dann auch kein OnlineBanking mehr möglich sein, falls doch ist man aus dem Schneider und die Bank haftet, da man die Karte ja hat sperren lassen, unter der Nummer 116 116 geht das auch recht fix und man kann das auch wieder rückgängig machen, falls die Karte nur verlegt worden ist.

  16. Re: Mit Geld spielt man nicht

    Autor: baltasaronmeth 29.08.13 - 15:22

    Ja, ich lagere heute schon die Sicherheitsrisiken auf die EC-Karte aus. In dem Fall aber eröffnet die Karte einen weiteren Angriffsvektor, der mit einer TAN-Liste, die zuhause im Safe liegt, nicht entsteht.

    Danke für die Info mit dem Lesegerät!

    Ja, mTan, nicht iTan!

  17. Re: Mit Geld spielt man nicht

    Autor: baltasaronmeth 29.08.13 - 15:24

    Das stimmt. Nach dem Anruf ist man raus aus der Haftung.

  18. Re: Mit Geld spielt man nicht

    Autor: 1ras 29.08.13 - 18:33

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > 1ras schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und was soll er damit anfangen, wenn er sich ohne PIN nichtmal einloggen
    > > kann?
    >
    > Wieso sollte das der Fall sein? Man hat bei eTANs auch einen normalen
    > Account, der fällt nicht weg. Oder was meinst du?

    Les dir durch was du selbst geschrieben hast und worauf ich geantwortet habe!

    > > eTAN ist je nach Implementierung unsicher und wird auch nicht von jeder
    > > Bank angeboten.
    >
    > Was meinst du mit "unsicher"? Mit eTAN meinte ich eigentlich System, mit
    > Generator UND Karte, also auch chipTan. Siehe auch Wiki... leider gibt es
    > da wohl auch welche ohne, die meinte ich nicht.

    eTAN != chipTAN

    > > Absolut nicht, der Vorposter hat völlig recht mit seiner Aussage. iTAN
    > > wurde wegen den Deppen eingestellt die auch mal 10 TAN's am Stück
    > eingeben
    > > ohne dabei ihr Hirn zu aktivieren. Ich habe seit der Einstellung von
    > iTAN
    > > die Wahl zwischen mTAN und chipTAN. Also die Wahl zwischen
    >
    > Nein, das ist falsch. Es wurde eingestellt, weil durch Phisining oder
    > Trojanern dem Nutzer vorgegaukelt wurde, dass sein aktuell eingegebener
    > iTAN bereits verbraucht sei. Was aber nicht der Fall war. Somit konnten die
    > Betrüger mit diesem iTAN dann selbst Geld verschieben.

    Haha, und was denkst du hat die Intelligenzbestie dazu bewogen 10 iTANs am Stück einzugeben wenn nicht Phishing?

    Auch die neuen Verfahren werden die Probleme nicht lösen können, die ersten Missbrauchsfälle treten ja bereits auf. Dummheit kann man nun mal nicht durch technische Maßnahmen verhindern. Es bringt exakt garnichts wenn bei einer mTAN oder chipTAN die Kontonummer und der Betrag nochmals angezeigt werden, wenn dem Nutzer nicht im entferntesten klar ist, dass die Sicherheit des Verfahrens damit steht und fällt, dass er die angezeigten Daten auch nochmals kontrolliert. Und den Nutzern ist dies nicht klar. Nicht umsonst gibt es bereits Missbrauchsfälle wo Nutzer diese Daten einfach ignoriert haben, weil es ihnen in einer Phishing-Mail so gesagt wurde.

    Man kann durch technische Verfahren die Komplexität eines Vorgangs beliebig erhöhen, Dummheit lässt sich dadurch jedoch nicht verhindern.

    > > 1. mTAN und ein eigenes, immer aufgeladenes Handy neben den PC zu legen
    > > (mit einer nicht kontrollierbaren Umgebung wie einem Smartphone willst
    > du
    > > ja ohnehin kein mTAN machen wenn du klug bist).
    >
    > Wer klug ist, nutzt keinen Dienst, der abhörbar ist...

    Thema verfehlt.

    > > 2. chipTAN und gleich mit dazu eine zweite EC-Karte von der Bank
    > besorgen,
    > > denn üblicherweise befindet sich die EC-Karte im Geldbeutel und du musst
    > > schon in einer relativ kleinen Wohnung leben, wenn sich der Geldbeutel
    > > regelmäßig in Reichweite des PCs befindet. Dann kannst wahlweise
    > jedesmal
    > > eine cryptische Nummer abtippen oder dich mit Flickering herumplagen.
    >
    > Ich wette meine Wohnung ist größer als deine, meinen Geldbeutel finde ich
    > trotzdem immer. Nummern einzugeben ist ja wohl sehr schwer, gut, dass die
    > Kontonummer keine solche ist. Flickering? No problem.

    Wette verloren da ich nicht in einer Wohnung wohne. Es geht nicht darum ob man seinen Geldbeutel findet, sondern dass er in dem Moment in dem man eine Transaktion durchführen möchte nicht in Reichweite ist, da er in einem völlig anderen Raum am anderen Ende des Hauses gelagert wird und nicht neben dem PC.

    > > 3. Alle paar Monate die Bank wechseln bis auch die letzte iTAN
    > eingestellt
    > > hat und jedesmal die Kreditwürdigkeit samt Historie aufs Spiel setzen.
    >
    > Ja, das ist für dich das Beste. ^^

    Du scheinst mir ein recht einfältiger Zeitgenosse zu sein (Übersetzung eines im süddeutschen Sprachraum geläufigen Wortes, mit dem Golem so seine Probleme hat).

  19. Re: Mit Geld spielt man nicht

    Autor: Citrixx 30.08.13 - 08:25

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Es bringt exakt garnichts wenn bei
    > einer mTAN oder chipTAN die Kontonummer und der Betrag nochmals angezeigt
    > werden, wenn dem Nutzer nicht im entferntesten klar ist, dass die
    > Sicherheit des Verfahrens damit steht und fällt, dass er die angezeigten
    > Daten auch nochmals kontrolliert.

    Die Banken sollten darauf in der Tat deutlicher hinweisen. Trotzdem ist ChipTAN besser, da der Nutzer hier überhaupt erst einmal die Möglichkeit hat zu überprüfen, ob die Transaktionsdaten durch einen Trojaner manipuliert wurden oder nicht. Bei iTAN merkt man das erst, wenn das Geld weg ist und man sich das nächste mal seinen Kontoauszug bei der Bank ausdrucken lässt.

  20. Re: Mit Geld spielt man nicht

    Autor: 1ras 31.08.13 - 02:27

    Wer einen Trojaner auf seinem Rechner hat, hat bereits verloren. Viele Nutzer vertrauen sogar Phishing-Mails, wahrscheinlich ist der Trojaner sogar über eine Mail auf den Rechner gelangt. Der Webseite der Bank werden sie noch viel eher vertrauen. Also genau der Webseite die der Trojaner jederzeit manipulieren kann. Da hilft auch keine chipTAN oder mTAN und auch kein Informationsschreiben der Bank welches über die Sicherheitsfunktionen der chipTAN und mTAN informiert. Das Schreiben überfliegt der Kunde ohnehin nur oberflächlich, da er sich mit der Technik die er nutzt ja nicht näher auseinandersetzen will.

    Der Trojaner muss nichts weiter tun als die vertrauenswürdige Webseite der Bank soweit manipulieren, dass Sie den Nutzer überredet, die von chipTAN und mTAN angezeigten Daten zu ignorieren.

    Hierbei sind der Phantasie keine Grenzen gesetzt. Der Trojaner könnte beispielweise den Nutzer über ein bedauerliches technisches Problem informiert, wodurch es zur Anzeige fehlerhafter Daten bei chipTAN und mTAN kommt. Natürlich stellt er dem Kunden dabei gleich noch einen Freibreif aus, die fehlerhaften Daten bis zur Behebung des Problem zu ignorieren. Dann noch ein paar Floskeln wie z.B. eine Zusicherung, dass Überweisungen selbstverständlich weiterhin korrekt und sicher ausgeführt werden usw.

    Und schwups ist das chipTAN und mTAN-Verfahren für vielen Kunden ausgehebelt. Zur Freude der Bank bleibt dabei der Kunde auf den Kosten sitzen. Bei iTAN wäre die Bank hingegen in der Haftung gewesen.

    Sicherheit ist nunmal ein Konzept welches alle Komponenten gleichermaßen umfassen muss und kann nicht durch punktuelle technische Maßnahmen einzelner Komponenten erreicht werden. Der Nutzer ist eine dieser Komponenten. Sein PC und das verwendete Betriebssystem eine weitere.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Robert Koch-Institut, Berlin Mitte
  2. ITSG Informationstechnische Servicestelle der Gesetzlichen Krankenversicherung GmbH, Heusenstamm (Home-Office möglich)
  3. ING Deutschland, Nürnberg
  4. BfS Bundesamt für Strahlenschutz, Salzgitter

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Jobs: Feedback für Freelancer
IT-Jobs
Feedback für Freelancer

Gutes Feedback ist vor allem für Freelancer rar. Wenn nach einem IT-Projekt die Rückblende hintenüberfällt, ist das aber eine verschenkte Chance.
Ein Bericht von Louisa Schmidt

  1. IT-Freelancer Der kürzeste Pfad zum nächsten Projekt
  2. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Core i7-1185G7 (Tiger Lake) im Test: Gut gebrüllt, Intel
Core i7-1185G7 (Tiger Lake) im Test
Gut gebrüllt, Intel

Dank vier äußerst schneller CPU-Kerne und überraschend flotter iGPU gibt Tiger Lake verglichen zu AMDs Ryzen 4000 eine gute Figur ab.
Ein Test von Marc Sauter

  1. Tiger Lake Überblick zu Intels 11th-Gen-Laptops
  2. Project Athena 2.0 Evo-Ultrabooks gibt es nur mit Windows 10
  3. Ultrabook-Chip Das kann Intels Tiger Lake