1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. E-Commerce
  4. Geld

Homebanking: HBCI angeblich geknackt

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


  1. Homebanking: HBCI angeblich geknackt

    Autor: Golem.de 15.05.02 - 10:23

    Das Magazin stern hat eigenen Angaben zufolge zusammen mit Software-Experten erstmals die Homebanking-Technologie HBCI (Homebanking Computer Interface), die von Banken und Experten als besonders sicher gelobt wird, überlistet. Möglich wurde dies durch einen Trojaner, der entsprechende Daten auf Seiten des Users ausspäht.

    https://www.golem.de/0205/19798.html

  2. Re: Homebanking: HBCI angeblich geknackt

    Autor: Olaf Volmer 15.05.02 - 11:34

    Das ist mal wieder typisch. Erst werden wir belohnt, wenn wir online überweisen durch niedrige Überweisungsgebühren, und wenn man wirklich beklaut wird haftet man selbst! Weil, man ist ja selber schuld! Dank an die Grossmacht der Banken! Zurück zum Sparstrumpf, den Zinsen bekommen wir selten, aber zahlen dürfen wir!

  3. Re: Homebanking: HBCI angeblich geknackt

    Autor: joshuwa 15.05.02 - 12:03

    Was soll dass denn für eine tolle news sein????
    Mit einem trojaner wurden die Daten "mitgeschrieben"! - na?! und was ist dabei geknackt?

    ich denke dass heutzutage ziemlich viele Deppen, und vor allem
    Nulldunst "Explosiv + Panikamche" Redakteuere, irgendwem etwas beweisen müssen.

    Wenn ich in die Wohnung meines Nachbarn einbreche und mich an seinen Computer setzte, vorher die Chipkarte aus der Schublade hole, die PIN vom Zettel nebendran ablese
    und mir dann das ganze Geld überweise, habe ich HBCI dann auch geknackt ?

    Denkt mal drüber nach was die Redakteuere einen Müll verzapfen (dabei muss man studiert haben!) und damit ein derzeit wirklich sicheres System wie HBCI in den Dreck ziehen!

    gruss
    josh

  4. Re: Homebanking: HBCI angeblich geknackt

    Autor: Nicolaos Larissis 15.05.02 - 12:40

    Es ist ja mittlerweile schon bekannt, dass durch entsprechende Trojaner die PIN-Nr. problemlos ausgespäht werden kann. Was hat diese Tatsache jedoch mit HBCI zu tun?
    HBCI steht für Home Banking Computer Interface. Ein Spezifikation dieses Interface's gibt es unter diversen Internet-Seiten, unter anderem auch in der Seite www.hbci.de. Dort kann man entnehmen das HBCI ein Protokoll ist und nichts anderes. HBCI hat mit den angewanden Sicherheitsverfahren eigentlich nichts zu tun. Sogenannte Segmente im HBCI-Verfahren werden verschluesslt bzw. signiert, das war's aber schon.
    Die Kombination zwischen PIN-Nr. und einem privaten Schlüssel soll dem Kunden einen gewissen Grad an Sicherheit geben. Wie kann dies aber erreicht werden?
    Wie oben erwähnt, lässt sich eine PIN schnell ausspähen, also reicht diese alleine nicht aus.
    Der private Schlüssel sollte auf jeden Fall auf einem Medium liegen, auf dem er nicht verfielfertigt werden kann. Sprich auf Festplatte (wie bei PGP) oder auf Diskette (was leider noch viele Banken machen - persönlich finde ich das grob fahrlässig) macht der private Schlüssel keinen Sinn. Allein die Chipkarte bietet den nötigen Gard an Sicherheit.
    Jedoch sollte man seine Chipkarte im Chipkartenleser nur währende seiner Aktivitäten (z.B. Internet-Banking) benutzen und bei Beendigung dieser wieder vom Leser entnehmen. Prinzipiell wäre es möglich, dass bei einer ausgespähten PIN auf Kosten des eigenen Kontos Transaktionen von dritten vorgenommen werden können, wenn sich die Chipkarte noch im Kartenleser befindet.
    Meine persönliche Meinung, es wird zu viel Panikmache betrieben. Die Banken und sonstige Anbieter von Internetlösungen sollten Ihre Kunden zum einem besser informieren, zum anderem gemeinsam Standards definieren und durchsetzen die dem Kunden auch das höchste Maß an Sicherheit und Flexibilität bieten. Es gibt immer noch genügend innovative Unternehmen die im Umfeld der Sicherheit hervorragende Produkte und Dienstleistungen anbieten.

  5. Re: Homebanking: HBCI angeblich geknackt

    Autor: Andi 15.05.02 - 12:52

    Danke!!!
    Dem ist nichts hinzuzufügen ausser vielleicht, daß es heutzutage eigentlich selbstverständlich sein sollte, seinen PC mittels Virenscanner bzw. -wächter und Personal-Firewall gegen solche Hacker zu schützen!
    Gruss
    Andi

  6. Re: Homebanking: HBCI angeblich geknackt

    Autor: strucki 15.05.02 - 12:55

    danke für den beitrag - trifft den punkt.

  7. Re: Homebanking: HBCI angeblich geknackt

    Autor: laengle 15.05.02 - 13:00

    Wieso dürfen Medienvertreter eigentlich ständig ungestraft in fremde Systeme eindringen und wenn ich so was mach werd ich gleich verknackt?

    Demnächst vergewaltigen diese scheiß Pressefuzzis noch auf der offenen Straße irgendwelche zufällig anwesenden Frauen und behaupten nachher sie hätten nur die "Innere Sicherheit" in diesem Land getestet, oder was?

  8. Re: Homebanking: HBCI angeblich geknackt

    Autor: joshuwa 15.05.02 - 13:03

    Danke für die nette unterstützung

    es geht mir mittlerweile wirklich dezent auf den Nerv
    wie "Experten" mit aller Gewaöt versuchen Sicherheitslücken zu
    erfinden um Panik zu machen.

    Da hätte ich vielleicht noch nen passende "Sicherheitslücke",
    habe ich soeben erfunden :

    Wenn ich Windows 2000 oder NT mittels Strg+Alt+Entf
    sperre, dann kann trotzdem JEDER im Büro (einschl. Laien-Putzfrau!)
    meine teuren CD ROMs aus dem CD ROM laufwerk nehmen, kopieren
    und wieder zurücklegen! Das Laufwerk ist komplett offen wie ein Scheunentor! :)
    ACHTUNG GROSSE SICHERHEITSLÜCKE !
    ich gründe gleich ne security dot com AG !

    bitte nicht ernstnehmen !!
    gruss,
    josh

  9. Re: Homebanking: HBCI angeblich geknackt

    Autor: joshuwa 15.05.02 - 13:06

    Hi langle,

    weil sie so von ihrer eigenen Unfähigkeit irgendetwas richtig machen zu können
    auf andere ablenken können! Der schwarze Peter wäre ja in deinem Beispiel
    Herr Schilly, oder ? :)

    gruss
    josh

  10. Re: Homebanking: HBCI angeblich geknackt

    Autor: Jan 15.05.02 - 13:32

    Nanana,
    was man den Journalisten und 'Experten' vorwerfen kann, ist, dass sie die Zusammenhänge auch falsch dargestellt haben. Aber das haben die Banken genauso getan.
    HBCI schützt nun mal bloss die Übertragung der Daten und nicht die Endsysteme. Es wurde aber in der Presse und den Kunden als Gesamtsicherheitslösung für Bankverkehr verkauft, was es nicht ist. Das dieses Onlinebanking mittels Trojaner angreifbar ist, war schon immer bekannt, die Bedrohung wurde nur ignoriert, weil sie eher theoretisch war. Nun gibt es eine Implementierung, und alles schreit auf.
    Die Schwachstelle ist nicht HBCI, sondern das Endsystem (Windows, Linux, egal). Und solange das Endsystem kein dediziertes Gerät ist, wird es nie sicher genug werden.

    HBCI ist unter diesen Bedingungen in Punkto Sicherheit sogar noch ein Rückschritt zu TANs, weil ein Angreifer mit dem einmal ausgespähten Schlüssel alles machen kann (bis dieser gesperrt wird), während eine TAN wirklich nur einmal verwendet werden kann ( also wird der mögliche Schaden begrenzt)

  11. Re: Homebanking: HBCI angeblich geknackt

    Autor: AndiM 15.05.02 - 13:35

    Von wegen geknackt ... das HBCI selber wurde nicht geknackt, sondern das Problem liegt am User. Selber schuld wer seine Passwörter auf der Festplatte speichert. Mit einem Trojaner kommt man so immer an seine Informationen, sei es HBCI oder das Passwort für den Internetzugang ;-)

  12. Re: Homebanking: HBCI angeblich geknackt

    Autor: Martin 15.05.02 - 13:40

    Hi!

    Dem was joshuwa schreibt kann ich nur zustimmen. Doch dass HBCI in Punkto Sicherheit ein Rückschritt ist kann ich nicht sagen. Das Problem ist der Kartenleser, wenn man einen Leser Klasse 2 oder besser 3 verwendet, hat auch ein Trojaner keine Chance mehr. Dann sagen die Redakteure aber weider es ist so kompliziert einen Kartenleser anzuschliessen. Es gibt halt zwei Dinge die sich gegenseitig ausschlissen Sicherheit<->DAU.

    Klar das ein System wie Windows etc. angreifbar ist und auch immer sein wird.

    Die Autohersteller verkaufen ja auch Airbags aber garantieren nicht ob die wirklich helfen.

    Im Übrigen hat das gleiche Szenario schon vor mindest einem Jahr der Ratgeber Technik gebracht. Ist also nur kopiert.....

    Tschau
    Martin

  13. Re: Homebanking: HBCI angeblich geknackt

    Autor: joshuwa 15.05.02 - 13:41

    Hi Jan

    da geb ich dir natürlich recht....aber wenn man es auf die Spitze treiben will kann
    ich den kompletten Daten Verkehr auf einen anderen server umleiten, dann
    bekomme ich halt so die TAN und kann mit dieser komplett alles überweisen.
    Was mich halt nur nervt ist vielleicht die Überschrift: HBCI angeblich geknackt.

    das "angeblich" ist zwar drin, aber für viele Enduser bricht doch so eine Welt zusammen.
    Statt zu schreiben, wie man sich vor soetwas schützen kann, wird nur Panik gemacht.
    Dabei arbeiten irgendwelche "Experten" mit Redakteuren zusammen und schaden damit
    der ganzen Entwicklung. Es gibt immer Mittel und Wege an Geld ranzukommen.
    Ich kann zur Bank gehen und dort das Sparbuch meines Nachbarn vorlegen oder einen Überweisungsschein mit fremder Kontonummer ausfüllen.
    Nach einem Ausweis wurde ich nie gefragt, selbst beim Abheben mit Sparkassenkarte an der
    Sparkassen-Kasse nicht.
    ich kann auch zB als Angestellter einer Tankstelle zu unheimlich vielen
    Kreditkartennummern kommen....aber das scheint niemanden zu interessieren!

    gruss
    josh

  14. Re: Homebanking: HBCI angeblich geknackt

    Autor: Homebanker 15.05.02 - 13:43

    Gäähn. Der hier geschilderte Angriff wurde bereits im Januar von Ratgeber Technik (ARD) auf das PIN/TAN-Verfahren vorgeführt. Wenn das Endgerät des Bankkunden durch Trojaner nicht sicher ist, hilft auch kein HBCI.

    Tips: Sicherheitsmedium (Chipkarte/Diskette) raus, wenn nicht homegebankt wird.

    Ein aktueller Virenscanner kann Trojaner aufspüren.

    Ein Klasse 3-Chipkartenleser kann bei der PIN-Eingabe nicht abgehört werden.

    Tip an die Stern-Leute: Besser Recherchieren oder zusperren!!!

  15. Re: Homebanking: HBCI angeblich geknackt

    Autor: Andi 15.05.02 - 13:44

    Grundsätzlich richtig, ausser, das man HBCI garnicht knacken kann! Es ist nämlich lediglich einProtokoll in dem Formate für die Übertragung von Banking-Transaktionen definiert sind (siehe auch Beitrag von Nicolaos Larissis - 15.05. 12:40).
    Man kann höchstens ein z.B. für das HBCI-Banking verwendetes Verschlüsselungsverfahren knacken, und das ist dem Stern definitiv nicht geglückt.
    Aber man sieht daran mal wieder wie mit gefährlichem Halbwissen eine unglaubliche und unbegründete Panik verbreitet werden kann.

  16. Re: Homebanking: HBCI angeblich geknackt

    Autor: olligee 15.05.02 - 14:05

    Kartenleser schön und gut... die Deutsche Bank 24 zB bietet überhaupt keine Chipkarten und auch keine Disketten mehr an! Man ruft als Kunde im Callcenter an, bekommt ein paar Tage später ein Zettel, mit irgendwelchen Hashwerten und lässt dann vom Bankingprogramm den Schlüssel erzeugen und auf der Platte speichern. Da liegt er dann irgendwo rum (ich habe keine Ahnung wo oder wie...) und kann bequem abgegriffen werden... tolle Sicherheit!

    grusz
    olli

  17. Re: Homebanking: HBCI angeblich geknackt

    Autor: jga_de 15.05.02 - 14:11

    [...]
    > ich kann auch zB als Angestellter einer Tankstelle zu unheimlich vielen
    > Kreditkartennummern kommen....aber das scheint niemanden zu interessieren!

    So isses! Aber das waer' ja auch zu einfach. Da wuerde niemand sagen:
    "schau her, was wir doch fuer kluge Journalisten-Experten haben!"

    Warum haben sich die "Knacker" eigentlich mit ihrem Koennen nicht einfach
    ein paar Euro gemacht, still und heimlich? Nein, es war viel lukrativer
    eine reisserische Story im Stern zu drucken. Bringt mehr.

    Da haben sich vor Jahren nach vielen Muehen die Banken endlich auf
    einen gemeinsamen Standard geeinigt, der, wie sich heute herausstellt,
    schon viel zu kompliziert im Handling ist, dass er von der Masse
    ueberhaupt angenommen wird, alles im Interesse der Sicherheit, weil
    man ja wusste, dass so ein paar Extra-Schlaue daherkommen wuerden.

    Warum hat sich denn von den fast 50 verschiedenen Online-Zahlungsverfahren
    bisher kein einziges richtig durchsetzen koennen? Entweder ist es
    einfach und akzeptabel im Handling, dann ist es zu unsicher. Oder es ist
    sicher, dann wird es nicht akzeptiert, weil zu kompliziert. Wo ist die
    Mitte? Wie soll das weitergehen und welche Rolle wollen die Journalisten
    dabei zukuenftig spielen?

    Juergen Gaertner

  18. Re: Homebanking: HBCI angeblich geknackt

    Autor: Andi 15.05.02 - 14:12

    Das ist allerdings nicht i.O.
    Wenigstens die Möglichkeit die Schlüssel auf Diskette zu speichern sollte gegeben sein. Eine Speicherung auf Festplatte ist das gefährlichste was man machen kann.

  19. Re: Homebanking: HBCI angeblich geknackt

    Autor: Jan 15.05.02 - 14:25

    jga_de schrieb:
    > Warum haben sich die "Knacker" eigentlich mit
    > ihrem Koennen nicht einfach
    > ein paar Euro gemacht, still und heimlich? Nein,
    > es war viel lukrativer
    > eine reisserische Story im Stern zu drucken.
    > Bringt mehr.
    Hatt vielleicht schon jemand, nur da ja HBCI 'sicher' ist, konnte nur der Kunde die Überweisungen machen, also lügt er, wenn er behauptet, jemand hätte sein Konto leergeräumt...

    > Da haben sich vor Jahren nach vielen Muehen die
    Ich kann darin nicht viel Mühe entdecken. Man kann sowas aber auch unnötig komplizieren.

    > zu unsicher. Oder es ist
    > sicher, dann wird es nicht akzeptiert, weil zu
    > kompliziert.
    Ich behaupte mal, es gibt kein sicheres Online-Zahlungsystem, weil alle auf Betriebsystemen aufsetzen, die nicht sicher sind. Das ist das Grundübel der Sache.

  20. Re: Homebanking: HBCI angeblich geknackt

    Autor: Jan 15.05.02 - 14:43

    Kartenleser hin oder her, solange das Betriebsystem Trojaner beherbergen kann, hat man ein potentielles Sicherheitsleck.
    Bsp am Klasse 2 Leser: der Trojaner fängt die zu signierende Nachricht ab und ersetzt sie durch eine eigene. Schlüssel und PIN werden ja dann vom Nutzer/Smartcard geliefert, in dem Glauben, die eigene Nachricht signiert zu bekommen.
    Beim Klasse 3 Leser funktioniert das schon nicht mehr so, sofern der zu signierende Text vom Nutzer am Lesegerät gegengeprüft wird. Funktioniert eine Anwendung so nicht, wieder Pech.
    Der Klasse 4 Leser geht schon eher in die Richtung dediziertes Gerät, da brauchts ja fast kein PC mehr.

  1. Thema
  1. 1
  2. 2
  3. 3

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. Heinrich-Heine-Universität, Düsseldorf
  3. ERGO Group AG&#39;, Düsseldorf
  4. lizengo GmbH & Co. KG, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Latitude 7220 im Test Das Rugged-Tablet für die Zombieapokalypse
  2. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  3. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen

Schenker Via 14 im Test: Leipziger Langläufer-Laptop
Schenker Via 14 im Test
Leipziger Langläufer-Laptop

Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
Ein Test von Marc Sauter

  1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
  2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
  3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch