1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Onlinebanking: Bankbetrüger klauen…

HBCI ??

  1. Thema

Neues Thema Ansicht wechseln


  1. HBCI ??

    Autor: AntiMac 25.10.13 - 12:51

    Ich wage mal zu behaupten das HBCI sicherer ist.
    Oder kennt jemand da ein Sicherheitsproblem?

    (Natürlich mit externen Eingabegerät und Karte)



    1 mal bearbeitet, zuletzt am 25.10.13 12:52 durch AntiMac.

  2. Re: HBCI ??

    Autor: Citrixx 25.10.13 - 13:00

    AntiMac schrieb:
    --------------------------------------------------------------------------------
    > Ich wage mal zu behaupten das HBCI sicherer ist.

    Nur mit Secoder-Kartenleser. Dieser wird zur Zeit aber nur von einem Bank-Rechenzentrum in Deutschland unterstützt (VR-Banken der GAD).

    > Oder kennt jemand da ein Sicherheitsproblem?

    Beim herkömmlichen HBCI signierst du die Überweisung blind mit deinem Kartenleser. Ein Trojaner könnte also (so wie bei den Angriffen auf die TAN-Listen aus Papier) deine Überweisungsdaten im Hintergrund gegen andere ersetzen, während du diese dann unbemerkt mit der PIN-Eingabe auf deinem Kartenleser bestätigst.

    siehe auch: http://de.wikipedia.org/wiki/Homebanking_Computer_Interface#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkartenlesern

    Daher ist das normale HBCI von der technischen Seite her sogar unsicherer als mTAN und ChipTAN, da dort die tatsächlich bei der Bank eingegangenen Überweisungsdaten noch einmal zur Kontrolle in der mTAN-SMS mitgeschickt bzw. im Display des TAN-Generators angezeigt werden.



    1 mal bearbeitet, zuletzt am 25.10.13 13:05 durch Citrixx.

  3. Re: HBCI ??

    Autor: GrenSo 25.10.13 - 13:04

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > AntiMac schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich wage mal zu behaupten das HBCI sicherer ist.
    >
    > Nur mit Secoder-Kartenleser, dieser wird zur Zeit aber nur von einem
    > Rechenzentrum in Deutschland unterstützt (VR-Banken der GAD).
    >
    > > Oder kennt jemand da ein Sicherheitsproblem?
    >
    > Beim herkömmlichen HBCI signierst du die Überweisung blind mit deinem
    > Kartenleser. Ein Trojaner könnte also (so wie bei den Angriffen auf die
    > TAN-Listen aus Papier) deine Überweisungsdaten im Hintergrund gegen andere
    > ersetzen, während du diese dann unbemerkt mit der PIN-Eingabe auf deinem
    > Kartenleser bestätigst.
    >
    > siehe auch:
    > de.wikipedia.org#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkarten
    > lesern
    >
    > Daher ist das normale HBCI von der technischen Seite her sogar unsicherer
    > als mTAN, da dort die tatsächlich bei der Bank eingegangenen
    > Überweisungsdaten noch einmal zur Kontrolle in der mTAN-SMS mitgeschickt
    > werden.

    Also wenns um die Sicherheits beim Onlinebanking geht ist und bleibt in meinen AUgen EBICS bzw. das bereits meist abgestellte FTAM ungeschlagen.

  4. Re: HBCI ??

    Autor: Citrixx 25.10.13 - 13:08

    GrenSo schrieb:
    --------------------------------------------------------------------------------
    > Also wenns um die Sicherheits beim Onlinebanking geht ist und bleibt in
    > meinen AUgen EBICS bzw. das bereits meist abgestellte FTAM ungeschlagen.

    EBICS ist nur ein Protokoll. Was hilft das gegen Trojaner auf deinem Rechner??

  5. Re: HBCI ??

    Autor: tibrob 25.10.13 - 13:14

    Och nö, schon wieder so eine Debatte. HBCI gibt's seit Jahren - Mittelstand nutzt es und die Masse hat's nicht angenommen.

    Punkt. Nächstes Thema.

  6. Re: HBCI ??

    Autor: GrenSo 25.10.13 - 13:16

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > EBICS ist nur ein Protokoll. Was hilft das gegen Trojaner auf deinem
    > Rechner??

    Gegen einen Trojaner nichts, doch ich kenne bisher keinen Trojaner der einen EBICS-Schlüssel fäschen oder manipulieren konnte. Zudem muss jeder einzelne Schlüssel von der Bank freigegeben werden und werden gesperrt, sobald kleinste Auffälligkeiten im Schlüssel ersichtlich sind.

  7. Re: HBCI ??

    Autor: Citrixx 25.10.13 - 13:18

    tibrob schrieb:
    --------------------------------------------------------------------------------
    > Och nö, schon wieder so eine Debatte. HBCI gibt's seit Jahren - Mittelstand
    > nutzt es und die Masse hat's nicht angenommen.

    Wozu auch? ChipTAN-Generator gibt es für einen Bruchteil des Geldes und ist, solange so gut wie keine Bank die Secoder-Erweiterung für HBCI unterstüzt, obendrein auch noch sicherer.

  8. Re: HBCI ??

    Autor: Citrixx 25.10.13 - 13:22

    GrenSo schrieb:
    --------------------------------------------------------------------------------
    > Citrixx schrieb:
    > ---------------------------------------------------------------------------
    > > EBICS ist nur ein Protokoll. Was hilft das gegen Trojaner auf deinem
    > > Rechner??
    >
    > Gegen einen Trojaner nichts

    Tja und das ist dann schon das Problem.

    >, doch ich kenne bisher keinen Trojaner der
    > einen EBICS-Schlüssel fäschen oder manipulieren konnte.

    Braucht man auch gar nicht sobald man direkten Zugriff auf das System hat und das ist im Privatkundenbereich eben inzwischen das größte Problem.

  9. Re: HBCI ??

    Autor: GrenSo 25.10.13 - 13:26

    Citrixx schrieb:
    --------------------------------------------------------------------------------
    > Braucht man auch gar nicht sobald man direkten Zugriff auf das System hat
    > und das ist im Privatkundenbereich eben inzwischen das größte Problem.

    Daher sollte auch bei keinen PC mit dem man Onlinebanking betreibt brain.exe fehlen. ;)

  10. Re: HBCI ??

    Autor: 0xDEADC0DE 25.10.13 - 13:38

    GrenSo schrieb:
    --------------------------------------------------------------------------------
    > Daher sollte auch bei keinen PC mit dem man Onlinebanking betreibt
    > brain.exe fehlen. ;)

    Boah, immer wieder dieser Bullshit. Was hilft dir deine tolle brain.exe, wenn du dir über ein direkt verseuchte Webseite (wie aktuell php.net) oder indirekt über eingebette Werbung einen Trojaner eingefangen hast? Da versagt dein brain.exe, so wie dein Virenscanner, wenn er es (noch) nicht kennt.

    Da hilft nur ein angepasstes, besser abgesichertes System. Am besten komplett ohne Schreibrechte, wie c't bankix mit Datenträger mit funktionierendem Schreibschutzschalter. Die Banking-Einstiegsseite als Startseite sorgt dann für einen extrem unwahrscheinlichen Vireneinfang, sicher ist aber nichts 100%ig.

  11. Re: HBCI ??

    Autor: FaLLoC 25.10.13 - 13:58

    GrenSo schrieb:
    --------------------------------------------------------------------------------

    > Daher sollte auch bei keinen PC mit dem man Onlinebanking betreibt
    > brain.exe fehlen. ;)

    Tja, das Problem ist nur, dass großzügig geschätzt der Anteil der Bevölkerung mit für dieses Thema ausreichend leistungsfähiger brain.exe deutlich unter 10% liegen dürfte.

    --
    FaLLoC

  12. Alternative zu HBCI?

    Autor: FaLLoC 25.10.13 - 14:05

    Citrixx schrieb:
    --------------------------------------------------------------------------------

    > Wozu auch? ChipTAN-Generator gibt es für einen Bruchteil des Geldes und
    > ist, solange so gut wie keine Bank die Secoder-Erweiterung für HBCI
    > unterstüzt, obendrein auch noch sicherer.

    Komisch, bei allen drei Banken, bei denen ich Konten habe, habe ich anstandslos HBCI nutzen können. Und ich hatte keine davon deswegen ausgewählt.

    Gibt es abseitz von HBCI die Möglichkeit, Kreditkarten- und Bankenübergreifend mehrere Konten gemeinsam zu führen? So mit bankenübergreifender Kategorisierung und Auswertung?

    --
    FaLLoC



    1 mal bearbeitet, zuletzt am 25.10.13 14:05 durch FaLLoC.

  13. Re: Alternative zu HBCI?

    Autor: Citrixx 25.10.13 - 14:12

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Citrixx schrieb:
    > ---------------------------------------------------------------------------
    > > Wozu auch? ChipTAN-Generator gibt es für einen Bruchteil des Geldes und
    > > ist, solange so gut wie keine Bank die Secoder-Erweiterung für HBCI
    > > unterstüzt, obendrein auch noch sicherer.
    >
    > Komisch, bei allen drei Banken, bei denen ich Konten habe, habe ich
    > anstandslos HBCI nutzen können. Und ich hatte keine davon deswegen
    > ausgewählt.

    Du musst zwischen HBCI und der Secoder-Erweiterung für HBCI unterscheiden. Erst diese macht HBCI so sicher wie ChipTAN.

    http://de.wikipedia.org/wiki/Kartenleseger%C3%A4t#Der_Secoder-Standard

  14. Re: HBCI ??

    Autor: GrenSo 25.10.13 - 14:42

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > GrenSo schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Daher sollte auch bei keinen PC mit dem man Onlinebanking betreibt
    > > brain.exe fehlen. ;)
    >
    > Boah, immer wieder dieser Bullshit. Was hilft dir deine tolle brain.exe,
    > wenn du dir über ein direkt verseuchte Webseite (wie aktuell php.net) oder
    > indirekt über eingebette Werbung einen Trojaner eingefangen hast? Da
    > versagt dein brain.exe, so wie dein Virenscanner, wenn er es (noch) nicht
    > kennt.
    >
    > Da hilft nur ein angepasstes, besser abgesichertes System. Am besten
    > komplett ohne Schreibrechte, wie c't bankix mit Datenträger mit
    > funktionierendem Schreibschutzschalter. Die Banking-Einstiegsseite als
    > Startseite sorgt dann für einen extrem unwahrscheinlichen Vireneinfang,
    > sicher ist aber nichts 100%ig.

    Punkt Nr. 1: brain.exe heißt auch, dass man mit dem PC fürs Onlinebanking nicht jeden *Scheiß* im Internet machen muss oder alles anklicken was lustig blinkt
    Punkt Nr. 2: Onlinebanking gibts bei mir nur auf Linux-Maschine
    Punkt Nr. 3: Beim Onlinebanking ist NICHTS wirklich sicher
    Punkt Nr. 4: Auch bei einem System ohne Schreibrechte, also Nutzung einer Live-CD, ist man auch nicht vor Schadsoftware sicher, da es auch welche gibt die nur flüchtig im RAM sitzt... womit wir wider bei Punkt Nr. 1 sind.

  15. Re: HBCI ??

    Autor: Kalasinben 25.10.13 - 14:55

    HBCI/FinTS gilt bis heute als sicher und ist meines Wissens nach noch nicht kompromittierbar. Schade das es nicht angenommen wurde, ich fands gut.

    Vom Taxifahrer beschissen? Ab jetz nich mehr http://bit.ly/19jEWHb

  16. Re: HBCI ??

    Autor: GrenSo 25.10.13 - 14:58

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Tja, das Problem ist nur, dass großzügig geschätzt der Anteil der
    > Bevölkerung mit für dieses Thema ausreichend leistungsfähiger brain.exe
    > deutlich unter 10% liegen dürfte.


    Wem sagst du das. Gibt ja auch noch genügend Menschen die auf den einfachsten Onlineschwindel herreinfallen, wie es dieses z.B. beim Wohnungsmarkt gibt, wo der Eigentümer im Ausland sitzt und man die Kaution und 1. Miete im Voraus zahlen soll. Hab ich auch schon in ähnler Form bei Tieren bzw. Tiervermittlung so im Netz gelesen.

  17. Re: HBCI ??

    Autor: 0xDEADC0DE 25.10.13 - 15:10

    GrenSo schrieb:
    --------------------------------------------------------------------------------
    > Punkt Nr. 1: brain.exe heißt auch, dass man mit dem PC fürs Onlinebanking
    > nicht jeden *Scheiß* im Internet machen muss oder alles anklicken was
    > lustig blinkt

    Dieser Punkt ist längst auf ALLE Webseiten ausweitbar, man muss mittlerweile keinen "Scheiß" im Internet machen oder alles anklicken, es reicht wenn man eine seriöse Seite wie php.net oder auch golem.de besucht.

    > Punkt Nr. 2: Onlinebanking gibts bei mir nur auf Linux-Maschine
    > Punkt Nr. 3: Beim Onlinebanking ist NICHTS wirklich sicher
    > Punkt Nr. 4: Auch bei einem System ohne Schreibrechte, also Nutzung einer
    > Live-CD, ist man auch nicht vor Schadsoftware sicher, da es auch welche
    > gibt die nur flüchtig im RAM sitzt... womit wir wider bei Punkt Nr. 1 sind.

    Richtig, daher auch mein Tip damit AUSSCHLIEßLICH während der Session Online Banking zu betreiben. Dann kann kaum was schief gehen, es sei denn, die Online Banking Seite selbst wurde kompromitiert. Dann hilft keiner der Punkte noch was.

  18. Re: HBCI ??

    Autor: 0xDEADC0DE 25.10.13 - 15:12

    GrenSo schrieb:
    --------------------------------------------------------------------------------
    > Wem sagst du das. Gibt ja auch noch genügend Menschen die auf den
    > einfachsten Onlineschwindel herreinfallen, wie es dieses z.B. beim
    > Wohnungsmarkt gibt, wo der Eigentümer im Ausland sitzt und man die Kaution
    > und 1. Miete im Voraus zahlen soll. Hab ich auch schon in ähnler Form bei
    > Tieren bzw. Tiervermittlung so im Netz gelesen.

    Das hat mit "brain.exe" aber nichts zu tun, solche Schweine (sorry für meine Ausdrucksweise) nutzen die Verzweiflung der Menschen schamlos aus. So wie auch die Enkeltrickbetrüger. Die denken dann: Entweder diese Wohnung, oder ich muss wieder ewig suchen und die Zeit läuft mir davon. Ich kann das nachvollziehen, und oft wird man dann auch hingehalten und mit falschen oder gefälschten Infos abgespeißt.

  19. Re: HBCI ??

    Autor: Citrixx 25.10.13 - 18:01

    Kalasinben schrieb:
    --------------------------------------------------------------------------------
    > HBCI/FinTS gilt bis heute als sicher und ist meines Wissens nach noch nicht
    > kompromittierbar.

    Kompromitierbar ja (siehe: http://de.wikipedia.org/wiki/Homebanking_Computer_Interface#Verbesserungen_der_Sicherheit_durch_Nutzung_von_Chipkartenlesern ) in der Praxis gibt es bislang aber noch keine Malware, wegen der geringen Verbreitung des System. (Das kann sich aber natürlich jederzeit ändern, technisch ist HBCI so sicher wie iTAN - Trojaner auf dem PC reicht und das System ist umgangen.)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior IT Systems Engineer Backup (w/m/d)
    noris network AG, Nürnberg, München, Aschheim, Berlin (Home-Office)
  2. Mitarbeiter Arbeitszeitmanagement / Projektleitung (w/m/d)
    Medizinische Einrichtungen des Bezirks Oberpfalz - medbo KU, Regensburg, Parsberg, Wöllershof
  3. SAP S4 HANA / ABAP Developer (w/m/d)
    Dürr IT Service GmbH, Bietigheim-Bissingen
  4. Absolvent (m/w/d) für die Softwareentwicklung
    Planets Software GmbH, Dortmund

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 424,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de