1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Studie: Jeder Fünfte verzichtet aus…
  6. Thema

Nicht verpflichtend?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Nicht verpflichtend?

    Autor: Tesmont 13.06.14 - 22:45

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Da der Nutzer freundlicherweise Trojaner installiert,

    Dafür braucht der Trojaner den Nutzer nicht. Stichwort "Drive-by-Download".

    > schaltet sich dieser
    > beim nächsten Onlinebanking dazwischen und "Informiert" den Nutzer im Namen
    > der Bank, dass der Flickerkram kalibriert werden muss.

    Das ist das oben genannte Social-Engineering. Wenn der Nutzer aber über diese Betrugsmasche informiert ist (etwa durch Hinweise der Bank) und nur Überweisungen freigibt, die er selbst veranlasst, ist das kein Problem.

    > Merke: Defizite auf der Nutzerseite lassen sich nicht durch noch mehr
    > Technik erschlagen, die der Nutzer noch viel weniger überblickt.

    Nur das Trojaner an sich eben kein "Problem von Nutzerseite" sind, sondern ein technisches Problem und das wurde durch ChipTAN und der Abschaffung von iTAN gelöst.

  2. Re: Nicht verpflichtend?

    Autor: 1ras 13.06.14 - 23:49

    Tesmont schrieb:
    > > Da der Nutzer freundlicherweise Trojaner installiert,
    >
    > Dafür braucht der Trojaner den Nutzer nicht. Stichwort
    > "Drive-by-Download".

    Natürlich braucht der Trojaner den Nutzer, denn er hat das OS ausgewählt. Dazu später mehr.

    > Das ist das oben genannte Social-Engineering. Wenn der Nutzer aber über
    > diese Betrugsmasche informiert ist (etwa durch Hinweise der Bank) und nur
    > Überweisungen freigibt, die er selbst veranlasst, ist das kein Problem.

    Hinweise der Bank bringen garnichts, denn im genannten Beispiel kommt es durch den vermeintlichen Hinweis der Bank gerade dazu, dass der Nutzer die Anzeige ignoriert.

    Das Problem steht und fällt damit, wenn Nutzer Technik einsetzen welche sie nicht verstehen oder nicht verstehen/sich damit beschäftigen wollen. Das identische Problem kennen wir von Finanzprodukten, welche Kunden nicht verstehen und gehörig auf die Nase fallen.

    > Nur das Trojaner an sich eben kein "Problem von Nutzerseite" sind, sondern
    > ein technisches Problem und das wurde durch ChipTAN und der Abschaffung von
    > iTAN gelöst.

    ChipTAN kann kein Trojanerproblem lösen sondern nur den Angriffsvektor verändern, genau das habe ich mit meinem Beispiel aufgezeigt.

    Trojaner sind sehrwohl ein Problem der Nutzerseite. Wer ein System einsetzt für welches laut BSI alle 2 Sekunden eine neue Schädlingvariante erscheint, wo Symantecs Vizechef Brian Dye (Hersteller von Norton Antivirus) zugibt, dass Virenscanner 45% aller Angriffe überhaupt nicht erkennen, wo der Antivirus-Pionier Dr. Alan Solomon (bekannt von Dr Solomon's Antivirus Toolkit) zu Linux wechselt da er die Sinnhaftigkeit von Antiviren-Software anzweifelt und wo die European Network and information Security Agency jedes System als infiziert ansieht, handelt grob fahrlässig.

    Auf so einem System legt man keine persönlichen Daten ab und man benutzt es schon zweimal nicht für Geldgeschäfte oder andere wichtigen Dinge.

  3. Re: Nicht verpflichtend?

    Autor: Tesmont 14.06.14 - 01:23

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Das Problem steht und fällt damit, wenn Nutzer Technik einsetzen welche sie
    > nicht verstehen oder nicht verstehen/sich damit beschäftigen wollen. Das
    > identische Problem kennen wir von Finanzprodukten, welche Kunden nicht
    > verstehen und gehörig auf die Nase fallen.

    So schwer ist das jetzt nicht zu verstehen: Dem was der PC anzeigt kann man nicht vertrauen. Vertrauen sollte man allein der Kontrollanzeige des ChipTAN-Generators. Das was dort anzeigt wird, wird auch tatsächlich ausgeführt.

    Aber ja, die Banken sollten die Nutzer besser über die Technik informieren, statt irgendwelche Marketing-Studien in Auftrag zu geben.

    > Trojaner sind sehrwohl ein Problem der Nutzerseite. Wer ein System einsetzt
    > für welches laut BSI alle 2 Sekunden eine neue Schädlingvariante erscheint,
    > wo Symantecs Vizechef Brian Dye (Hersteller von Norton Antivirus) zugibt,
    > dass Virenscanner 45% aller Angriffe überhaupt nicht erkennen, wo der
    > Antivirus-Pionier Dr. Alan Solomon (bekannt von Dr Solomon's Antivirus
    > Toolkit) zu Linux wechselt da er die Sinnhaftigkeit von Antiviren-Software
    > anzweifelt und wo die European Network and information Security Agency
    > jedes System als infiziert ansieht, handelt grob fahrlässig.
    >
    > Auf so einem System legt man keine persönlichen Daten ab und man benutzt es
    > schon zweimal nicht für Geldgeschäfte oder andere wichtigen Dinge.

    Nach wie vor setzen aber 90% der Nutzer Windows ein, daran können die Banken auch nichts ändern. Und ob die Viren-Situation anders wäre, wenn jetzt plötzlich 90% Linux einsetzen würden ist auch umstritten, da Linux wegen der geringen Verbreitung eben für Viren-Autoren im Moment einfach unattraktiv ist. Die "Heartbleed"-Lücke etwa hat ja gerade gezeigt, dass auch Open-Source-Systeme anfällig sein können.

  4. Re: Nicht verpflichtend?

    Autor: 1ras 14.06.14 - 02:52

    Tesmont schrieb:
    > So schwer ist das jetzt nicht zu verstehen: Dem was der PC anzeigt kann man
    > nicht vertrauen. Vertrauen sollte man allein der Kontrollanzeige des
    > ChipTAN-Generators. Das was dort anzeigt wird, wird auch tatsächlich
    > ausgeführt.

    "Aber die Bank hat doch gesagt, dass sie eine Kalibrierung vornehmen muss und die Anzeige deshalb nicht wichtig ist!"

    Entweder man weiß es, weil man sich mit dem Sicherheitssystem welches man einsetzten will befasst hat und braucht keine Hinweise durch die Bank, oder aber man weiß es wie viele Nutzer nicht weil man sich überhaupt nicht damit befassen will und dann kann die Bank noch so oft darauf hinweisen.

    > Aber ja, die Banken sollten die Nutzer besser über die Technik informieren,
    > statt irgendwelche Marketing-Studien in Auftrag zu geben.

    Das kann zwar generell nicht schaden, aber entscheidend ist das Verständnis des Nutzers und dieses setzt den Willen voraus, sich mit der Thematik beschäftigen zu wollen und der ist leider in den wenigsten Fällen vorhanden.

    > Nach wie vor setzen aber 90% der Nutzer Windows ein, daran können die
    > Banken auch nichts ändern. Und ob die Viren-Situation anders wäre, wenn
    > jetzt plötzlich 90% Linux einsetzen würden ist auch umstritten, da Linux
    > wegen der geringen Verbreitung eben für Viren-Autoren im Moment einfach
    > unattraktiv ist.

    Diese Begründung höre ich seit 17 Jahren, seit ich auf Linux umgestiegen bin und Leute darauf aufmerksam mache, dass Windows für den gewünschten Einsatzzweck ungeeignet da zu unsicher ist. Seitdem darf ich mir anhören es wäre nur eine Frage der Zeit bis Linux ebenso betroffen wäre und eine Umstellung könne man sich deshalb sparen. Ich benötige jedoch seitdem keinen Virensanner mehr und kann mich entspannt zurück lehnen, da das Angriffsrisiko verschwindend gering, praktisch nicht existent ist. Wetten, dass sich das Schauspiel die nächsten 17 Jahre genau so fortsetzen wird? Mit dem Unterschied, dass ich dann bereits 34 Jahre frei von Schadsoftware sein werde...

    Ich hoffe zwar inständig, dass Linux nie 90% Marktanteil im Desktopbereich haben wird, da sich eine Monopolstellung für die Nutzer immer negativ auswirkt, jedoch ist es keineswegs gesagt, dass die Schädlingsproblematik ähnlich anwachsen würde wie unter Windows. Es ist sogar eher unwahrscheinlich, man muss sich nur zum Vergleich die ganzen anderen Marktbereiche anschauen in denen Linux bereits stark vertreten und oftmals sogar Marktführer ist.

    > Die "Heartbleed"-Lücke etwa hat ja gerade gezeigt, dass auch Open-Source-
    > Systeme anfällig sein können.

    Das ist eines der beliebten Totschlagargumente, nur in Wirklichkeit muss man eine Gefahrenabschätzung durchführen. Wenn ich 99,99% des Risikos eines Angriffs vermeiden kann, dann - mache ich nichts, lehne mich zurück und sage mir: "Wird schon nichts passieren." - Ernsthaft?

  5. Re: Nicht verpflichtend?

    Autor: Tesmont 14.06.14 - 05:10

    1ras schrieb:
    --------------------------------------------------------------------------------
    > "Aber die Bank hat doch gesagt, dass sie eine Kalibrierung vornehmen muss
    > und die Anzeige deshalb nicht wichtig ist!"

    Nicht, wenn die Bank ein paar Wochen vorher im Online-Banking den Sicherheitshinweis ausgegeben hat, dass man dem PC nicht vertrauen kann und es jetzt Viren gibt, die den Nutzer etwa mit einer "Fake-Kalibrierung" dazu überreden wollen Geld zu überweisen.

    > Das ist eines der beliebten Totschlagargumente, nur in Wirklichkeit muss
    > man eine Gefahrenabschätzung durchführen. Wenn ich 99,99% des Risikos eines
    > Angriffs vermeiden kann, dann - mache ich nichts, lehne mich zurück und
    > sage mir: "Wird schon nichts passieren." - Ernsthaft?

    Dasselbe könnte man von den Leuten sagen, die heutzutage immer noch iTAN-Listen statt ChipTAN verwenden wollen.

  6. Re: Nicht verpflichtend?

    Autor: 1ras 15.06.14 - 05:35

    Tesmont schrieb:
    --------------------------------------------------------------------------------
    > Nicht, wenn die Bank ein paar Wochen vorher im Online-Banking den
    > Sicherheitshinweis ausgegeben hat, dass man dem PC nicht vertrauen kann und
    > es jetzt Viren gibt, die den Nutzer etwa mit einer "Fake-Kalibrierung" dazu
    > überreden wollen Geld zu überweisen.

    Ach, jetzt sollen wir ihr doch wieder vertrauen? Langsam sollte dir das Dilemma klar werden.

    Das ist dann also die Bankrotterklärung der ChipTAN, die Ersten hat es dann offenbar schon erwischt, wenn bereits die Bank vor der Masche warnt. Eine Warnung kann immer erst hinterher erfolgen und hat etwa die selbe Trefferquote wie Virenscanner (wir erinnern uns an die 45%).

    > Dasselbe könnte man von den Leuten sagen, die heutzutage immer noch
    > iTAN-Listen statt ChipTAN verwenden wollen.

    Wenn das Risiko einen Trojaner auf dem Rechner zu haben bei praktisch 0 liegt, ist ChipTAN schlicht überflüssig.

    Um wieder auf das Thema zurück zu kommen, ich frage mich deshalb auch wie im Artikel von nicht verpflichtend die Rede sein kann, wenn zahlreiche Banken iTAN aus dem Programm genommen haben.

  7. Re: Nicht verpflichtend?

    Autor: Tesmont 15.06.14 - 21:00

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Tesmont schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Nicht, wenn die Bank ein paar Wochen vorher im Online-Banking den
    > > Sicherheitshinweis ausgegeben hat, dass man dem PC nicht vertrauen kann und
    > > es jetzt Viren gibt, die den Nutzer etwa mit einer "Fake-Kalibrierung" dazu
    > > überreden wollen Geld zu überweisen.
    >
    > Ach, jetzt sollen wir ihr doch wieder vertrauen? Langsam sollte dir das
    > Dilemma klar werden.

    Nein, sie sollen dem Rechner eben NICHT vertrauen. Das die Banken diese Info über ihre Internetseiten verbreiten, ändert daran nichts.

    > > Dasselbe könnte man von den Leuten sagen, die heutzutage immer noch
    > > iTAN-Listen statt ChipTAN verwenden wollen.
    >
    > Wenn das Risiko einen Trojaner auf dem Rechner zu haben bei praktisch 0
    > liegt, ist ChipTAN schlicht überflüssig.

    Und wenn man ChipTAN hat und sich nur an dessen Anzeige hält, ist eine Umstellung auf Linux überflüssig. (Wobei zudem ChipTAN auch bei 90% Verbreitung immer noch funktionieren würde, bei Linux ist das mit der Virensicherheit eben fraglich.)

    > Um wieder auf das Thema zurück zu kommen, ich frage mich deshalb auch wie
    > im Artikel von nicht verpflichtend die Rede sein kann, wenn zahlreiche
    > Banken iTAN aus dem Programm genommen haben.

    Die meisten großen Banken haben zwar iTAN ausgemustert, bieten aber für Kunden, die sich unbedingt das Geld für eigenständige Sicherheitshardware sparen wollen Handy-basierte Systeme wie mTAN oder QR-TAN an (wurde in diesem Thread sogar schon erwähnt: https://forum.golem.de/kommentare/security/studie-jeder-fuenfte-verzichtet-aus-sicherheitsgruenden-auf-onlinebanking/nicht-verpflichtend/83463,3765750,3765874,read.html#msg-3765874).

  8. Re: Nicht verpflichtend?

    Autor: 1ras 16.06.14 - 00:02

    Tesmont schrieb:
    > Nein, sie sollen dem Rechner eben NICHT vertrauen. Das die Banken diese
    > Info über ihre Internetseiten verbreiten, ändert daran nichts.

    Der Nutzer soll also nicht glauben, was sein Rechner anzeigt. Logischerweise schließt dies alle Meldungen der Bank mit ein. Ist hald blöd, wenn man seinem eigenen Equipment nicht vertrauen kann.

    > Und wenn man ChipTAN hat und sich nur an dessen Anzeige hält, ist eine
    > Umstellung auf Linux überflüssig.

    Und für einen Linux-Nutzer ist eine Umstellung auf ChipTAN oder mTAN überflüssig, er wird aber trotzdem dazu verpflichtet.

    Ich würde mir ja trotzdem sehr gut überlegen ob ich es wollte, dass Dritte vollständigen Zugang zu allen meinen Geldgeschäften und allen anderen sensiblen Daten haben, selbst dann wenn diese keine Überweisungen abschöpfen können.

    > (Wobei zudem ChipTAN auch bei 90% Verbreitung immer noch funktionieren würde,
    > bei Linux ist das mit der Virensicherheit eben fraglich.)

    Wenn du schon Anhänger der Theorie bist, dass Angriffe erst in signifikanter Zahl stattfinden wenn eine bestimmte Verbreitung überschritten wurde, dann wird es dir ja wohl klar sein, dass darunter genügend ChipTAN-Nutzer sein werden, die mit dem von mir genannten Beispiel problemlos abgezockt werden können. Anders herum wird ein Schuh daraus, ChipTAN ist dann nur deshalb noch nicht großflächig auffällig geworden, weil noch genügend andere Systeme existieren.

    > Die meisten großen Banken haben zwar iTAN ausgemustert, bieten aber für
    > Kunden, die sich unbedingt das Geld für eigenständige Sicherheitshardware
    > sparen wollen Handy-basierte Systeme wie mTAN oder QR-TAN an (wurde in
    > diesem Thread sogar schon erwähnt: forum.golem.de#msg-3765874).

    Also verpflichten Sie einem zur Umstellung.

  9. Re: Nicht verpflichtend?

    Autor: Tesmont 16.06.14 - 21:20

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Tesmont schrieb:
    > > Nein, sie sollen dem Rechner eben NICHT vertrauen. Das die Banken diese
    > > Info über ihre Internetseiten verbreiten, ändert daran nichts.
    >
    > Der Nutzer soll also nicht glauben, was sein Rechner anzeigt.
    > Logischerweise schließt dies alle Meldungen der Bank mit ein. Ist hald
    > blöd, wenn man seinem eigenen Equipment nicht vertrauen kann.

    Nur das die Sicherheitswarnung auch schon vor der Infektion angezeigt wird.

    > > (Wobei zudem ChipTAN auch bei 90% Verbreitung immer noch funktionieren würde,
    > > bei Linux ist das mit der Virensicherheit eben fraglich.)
    >
    > Wenn du schon Anhänger der Theorie bist, dass Angriffe erst in
    > signifikanter Zahl stattfinden wenn eine bestimmte Verbreitung
    > überschritten wurde, dann wird es dir ja wohl klar sein, dass darunter
    > genügend ChipTAN-Nutzer sein werden, die mit dem von mir genannten Beispiel
    > problemlos abgezockt werden können.

    Es ging um die technische Sicherheit der ChipTAN-Geräte im Vergleich zur technischen Sicherheit von Linux-PCs.

    > > Die meisten großen Banken haben zwar iTAN ausgemustert, bieten aber für
    > > Kunden, die sich unbedingt das Geld für eigenständige Sicherheitshardware
    > > sparen wollen Handy-basierte Systeme wie mTAN oder QR-TAN an (wurde in
    > > diesem Thread sogar schon erwähnt: forum.golem.de#msg-3765874).
    >
    > Also verpflichten Sie einem zur Umstellung.

    Das "verpflichteten die Nutzer jedoch nicht" im Artikel bezog sich auf den Kauf spezieller Sicherheitshardware. Wer jedoch ein Handy/Smartphone hat, kann dem eben mit mTAN/QR-TAN ausweichen.

  10. Re: Nicht verpflichtend?

    Autor: 1ras 16.06.14 - 21:48

    Tesmont schrieb:
    > Nur das die Sicherheitswarnung auch schon vor der Infektion angezeigt
    > wird.

    Ottonormalnutzer kann nicht einschätzen welche Informationen von der Bank stammen und vertrauenswürdig sind und welche nicht. Außerdem kann er nicht wissen, wann "vor der Infektion" ist.

    > Es ging um die technische Sicherheit der ChipTAN-Geräte im Vergleich zur
    > technischen Sicherheit von Linux-PCs.

    Nein, es geht nicht um die theoretische Sicherheit sondern einzig und allein um die praktische Sicherheit.

    > Das "verpflichteten die Nutzer jedoch nicht" im Artikel bezog sich auf den
    > Kauf spezieller Sicherheitshardware. Wer jedoch ein Handy/Smartphone hat,
    > kann dem eben mit mTAN/QR-TAN ausweichen.

    Praktisch sieht es so aus, dass man mTAN nicht auf einem Smartphone machen möchte und ein dediziertes Handy mit SIM benötigt. Wer zudem Überweisungen mit seinem Smartphone durchführen möchte ist sogar vertraglich verpflichtet, mTAN auf einem separaten Gerät durchzuführen. Von wegen nicht verpflichtend.

  11. Re: Nicht verpflichtend?

    Autor: Tesmont 17.06.14 - 23:35

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Tesmont schrieb:
    > > Nur das die Sicherheitswarnung auch schon vor der Infektion angezeigt
    > > wird.
    >
    > Ottonormalnutzer kann nicht einschätzen welche Informationen von der Bank
    > stammen und vertrauenswürdig sind und welche nicht. Außerdem kann er nicht
    > wissen, wann "vor der Infektion" ist.

    Ist doch ganz einfach:

    Der Nutzer glaubt der Bank -> ab dem Zeitpunkt der Meldung sollte er den PC-Anzeigen nicht mehr vertrauen

    Der Nutzer vertraut dem PC sowieso nicht -> Problem direkt gelöst

    > > Es ging um die technische Sicherheit der ChipTAN-Geräte im Vergleich zur
    > > technischen Sicherheit von Linux-PCs.
    >
    > Nein, es geht nicht um die theoretische Sicherheit sondern einzig und
    > allein um die praktische Sicherheit.

    Praktisch ist das Verfahren auch sicher, wenn man eben nur der Anzeige am TAN-Generator vertraut.

    > > Das "verpflichteten die Nutzer jedoch nicht" im Artikel bezog sich auf den
    > > Kauf spezieller Sicherheitshardware. Wer jedoch ein Handy/Smartphone hat,
    > > kann dem eben mit mTAN/QR-TAN ausweichen.
    >
    > Praktisch sieht es so aus, dass man mTAN nicht auf einem Smartphone machen
    > möchte und ein dediziertes Handy mit SIM benötigt.

    Da dein PC wegen Linux deiner Meinung nach ja 100% virensicher ist, musst du dir über die Sicherheit von mTAN keine Gedanken machen, da die Angreifer ja neben dem Zugriff auf das Handy auch noch die Online-Banking Login-Daten vom PC brauchen.

    > Wer zudem Überweisungen
    > mit seinem Smartphone durchführen möchte ist sogar vertraglich
    > verpflichtet, mTAN auf einem separaten Gerät durchzuführen. Von wegen nicht
    > verpflichtend.

    Gut, in dem Fall kann es tatsächlich schwierig werden. mTAN ist dort aber aus Sicherheitsgründen gesperrt, weil damit genau wie bei iTAN eben der Kontrollkanal wegfallen würde.

  12. Re: Nicht verpflichtend?

    Autor: 1ras 18.06.14 - 00:28

    Tesmont schrieb:
    > Der Nutzer glaubt der Bank -> ab dem Zeitpunkt der Meldung sollte er den
    > PC-Anzeigen nicht mehr vertrauen

    Du hast das Henne-Ei Problem nicht verstanden. Da der Nutzer einen infizierten PC hat, wird die Bank nie eine Meldung anzeigen können, welche nicht vom Trojaner manipuliert oder unterbunden werden kann.

    > Praktisch ist das Verfahren auch sicher, wenn man eben nur der Anzeige am
    > TAN-Generator vertraut.

    Na da verweise ich doch mal auf die Pressemitteilung von RedTeam Pentesting: https://www.redteam-pentesting.de/en/publications/Pressemitteilung-chipTAN-comfort/-pressemitteilung-online-banking-erfolgreicher-angriff-gegen-chiptan-comfort-verfahren

    Auf den Trojaner der die Test-Überweisung umsetzt: http://www.heise.de/security/meldung/Online-Banking-Trojaner-hat-es-auf-chipTAN-Nutzer-abgesehen-1701184.html

    Sowie auf den Trojaner der dafür eine Fehlüberweisung vorgaukelt: http://www.heise.de/security/meldung/Trojaner-gaukelt-Fehlueberweisung-vor-1874691.html

    In der Praxis ist das ChipTAN-Verfahren nicht dazu in der Lage, Betrugsfälle beim Online-Banking zu verhindern.

    Auch wenn ich mich wiederhole:
    Merke: Defizite auf der Nutzerseite lassen sich nicht durch noch mehr Technik erschlagen, die der Nutzer noch viel weniger überblickt.

    > Da dein PC wegen Linux deiner Meinung nach ja 100% virensicher ist

    Das hat nichts mit meiner Meinung zu tun. Wie viele Fälle kennst du denn bei denen ein Linux-Nutzer Mithilfe eines Trojaners um Geld beim Online-Banking gebracht wurde?

    > musst du dir über die Sicherheit von mTAN keine Gedanken machen, da die
    > Angreifer ja neben dem Zugriff auf das Handy auch noch die Online-Banking
    > Login-Daten vom PC brauchen.

    Sind wir jetzt also schon so weit, dass du die generelle Sinnhaftigkeit des TAN-Verfahrens in Frage stellst.

  13. Re: Nicht verpflichtend?

    Autor: Tesmont 18.06.14 - 22:35

    1ras schrieb:
    --------------------------------------------------------------------------------
    > Tesmont schrieb:
    > > Der Nutzer glaubt der Bank -> ab dem Zeitpunkt der Meldung sollte er den
    > > PC-Anzeigen nicht mehr vertrauen
    >
    > Du hast das Henne-Ei Problem nicht verstanden. Da der Nutzer einen
    > infizierten PC hat, wird die Bank nie eine Meldung anzeigen können, welche
    > nicht vom Trojaner manipuliert oder unterbunden werden kann.

    Die Meldung steht da ja auch schon vor der Infektion. Außerdem löschen die Trojaner keine Warnmeldungen, sondern erfinden Social Engineering Geschichten.

    > > Praktisch ist das Verfahren auch sicher, wenn man eben nur der Anzeige am
    > > TAN-Generator vertraut.
    >
    > Na da verweise ich doch mal auf die Pressemitteilung von RedTeam
    > Pentesting: www.redteam-pentesting.de

    Dort geht es um Sammelüberweisungen, nicht um normale Überweisungen. Bei diesen werden aus Platzgründen mit Absicht keine Überweisungsdetails (sondern, nur der Betrag) angezeigt. Sollte man daher aber in der Tat besser nicht verwenden, da man sonst nicht alle Infos hat.

    > Auf den Trojaner der die Test-Überweisung umsetzt: www.heise.de
    >
    > Sowie auf den Trojaner der dafür eine Fehlüberweisung vorgaukelt:
    > www.heise.de

    Ähm, das sind genau die Social Engineering Dinger, um die es hier die ganze Zeit geht.

    > > Da dein PC wegen Linux deiner Meinung nach ja 100% virensicher ist
    >
    > Das hat nichts mit meiner Meinung zu tun. Wie viele Fälle kennst du denn
    > bei denen ein Linux-Nutzer Mithilfe eines Trojaners um Geld beim
    > Online-Banking gebracht wurde?

    Es ging um die Frage, ob das immer noch so wäre, wenn alle Welt plötzlich Linux statt Windows einsetzen würde (abgesehen davon, dass die Banken die Kunden niemals dazu bringen könnten nur wegen Online-Banking ihr komplettes Betriebssystem zu wechseln).

    > > musst du dir über die Sicherheit von mTAN keine Gedanken machen, da die
    > > Angreifer ja neben dem Zugriff auf das Handy auch noch die Online-Banking
    > > Login-Daten vom PC brauchen.
    >
    > Sind wir jetzt also schon so weit, dass du die generelle Sinnhaftigkeit des
    > TAN-Verfahrens in Frage stellst.

    DU stellst doch die ganze Zeit die Sinnhaftigkeit von TAN-Verfahren in Frage, weil Linux allein für die Sicherheit ja bereits ausreichen würde. Und wenn dem so ist, kann dir die Sicherheit von mTAN dann egal sein.



    1 mal bearbeitet, zuletzt am 18.06.14 22:37 durch Tesmont.

  14. Re: Nicht verpflichtend?

    Autor: 1ras 18.06.14 - 23:46

    Tesmont schrieb:
    > Die Meldung steht da ja auch schon vor der Infektion. Außerdem löschen die
    > Trojaner keine Warnmeldungen, sondern erfinden Social Engineering
    > Geschichten.

    Langsam wirds lächerlich, zukünftig warnen die Banken dann schon bevor der Trojaner geschrieben wurde und legen gleichzeitig fest, was Trojaner dürfen und was nicht.

    > Dort geht es um Sammelüberweisungen, nicht um normale Überweisungen. Bei
    > diesen werden aus Platzgründen mit Absicht keine Überweisungsdetails
    > (sondern, nur der Betrag) angezeigt. Sollte man daher aber in der Tat
    > besser nicht verwenden, da man sonst nicht alle Infos hat.

    Dann darf ich dich nochmal zitieren: "Praktisch ist das Verfahren auch sicher, wenn man eben nur der Anzeige TAN-Generator vertraut."

    > Ähm, das sind genau die Social Engineering Dinger, um die es hier die ganze
    > Zeit geht.

    Es sind erfolgreiche Angriffe auf ein fehlerhaftes Gesamtsystem.

    > > > Da dein PC wegen Linux deiner Meinung nach ja 100% virensicher ist
    > >
    > > Das hat nichts mit meiner Meinung zu tun. Wie viele Fälle kennst du denn
    > > bei denen ein Linux-Nutzer Mithilfe eines Trojaners um Geld beim
    > > Online-Banking gebracht wurde?
    >
    > Es ging um die Frage

    Du hast aber schon gelesen was ich zitiert habe?

    > ob das immer noch so wäre, wenn alle Welt plötzlich Linux statt Windows
    > einsetzen würde

    Darüber können wir auch die nächsten 17 Jahre weiter spekulieren, ich habe meine Wette ja bereits abgegeben.

    > (abgesehen davon, dass die Banken die Kunden niemals dazu bringen könnten
    > nur wegen Online-Banking ihr komplettes Betriebssystem zu wechseln).

    Ach das geht ganz schnell, kann man ja irgendwo in den AGB verstecken, möglichst verklausuliert, damit es der Nutzer nicht sofort merkt.

    > DU stellst doch die ganze Zeit die Sinnhaftigkeit von TAN-Verfahren in
    > Frage, weil Linux allein für die Sicherheit ja bereits ausreichen würde.
    > Und wenn dem so ist, kann dir die Sicherheit von mTAN dann egal sein.

    Ich habe zu keinem Zeitpunkt das TAN-Verfahren in Frage gestellt. Du bist wohl einfach nur zu jung um verstehen zu können, warum Alfred Richter vor 38 Jahren die TAN erfunden und eingeführt hat. Kleiner Tip: Nicht damit der Nutzer seine PIN am öffentlichen schwarzen Brett aushängt und sich einzig auf die TAN verlässt. Diese Utopie ist erst Jahrzehnte später aufgekommen.



    2 mal bearbeitet, zuletzt am 18.06.14 23:50 durch 1ras.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. RZV Rechenzentrum Volmarstein GmbH, Wetter (Ruhr), Berlin, Bielefeld
  2. ITERGO Informationstechnologie GmbH, Düsseldorf
  3. ADG Apotheken-Dienstleistungsgesellschaft mbH, Regensburg
  4. Fraunhofer-Zentrum für Internationales Management und Wissensökonomie IMW, Leipzig

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€ (Bestpreis! zzgl. Versand)
  2. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
Raumfahrt
Mehr Geld für die Raumfahrt reicht nicht aus

Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Space Rider Neuer Anlauf für eine eigene europäische Raumfähre
  2. Vega Raketenabsturz lässt Fragen offen

Von De-Aging zu Un-Deading: Wie Hollywood die Totenruhe stört
Von De-Aging zu Un-Deading
Wie Hollywood die Totenruhe stört

De-Aging war gestern, jetzt werden die Toten zum Leben erweckt: James Dean übernimmt posthum eine Filmrolle. Damit überholt in Hollywood die Technik die Moral.
Eine Analyse von Peter Osteried


    1. Valve: Half-Life schickt Alyx in City 17
      Valve
      Half-Life schickt Alyx in City 17

      Zwischen dem ersten und dem zweiten Half-Life sind Spieler im Vollpreisspiel Half-Life Alyx als Widerstandskämpferin unterwegs - laut Valve mit jedem PC-basierten Virtual-Reality-Headset.

    2. Mobilfunk: Trump will Apple als Ausrüster für 5G in den USA
      Mobilfunk
      Trump will Apple als Ausrüster für 5G in den USA

      Apple soll laut US-Präsident Trump den nationalen Notstand für die Telekommunikation beenden und 5G-Ausrüster werden. Der iPhone-Hersteller hat darauf bisher nicht reagiert.

    3. Lime: E-Scooter-Anbieter stellt Kunden Bußgelder in Rechnung
      Lime
      E-Scooter-Anbieter stellt Kunden Bußgelder in Rechnung

      Mit dem E-Scooter bei Rot über die Ampel fahren kostet zwischen 60 und 180 Euro. Das und mehr müssen die Kunden von Lime künftig selbst bezahlen.


    1. 20:02

    2. 18:40

    3. 18:04

    4. 17:07

    5. 16:47

    6. 16:28

    7. 16:02

    8. 15:04