Internet-Software, Browser, FTP, SSH 4.708 Themen, 38.981 Beiträge

Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?

dirk481 / 28 Antworten / Baumansicht Nickles

Hallo,
gestern habe ich vom Bundesamt für Sicherheit in der Informationstechnologie (Bürger-CERT) einen Newsletter bekommen, u.a. mit folgendem Inhalt:

"STOERENFRIEDE: Angriffe auf verschluesselte Browser-Sitzungen
Gefaehrliches Online-Banking
Ein "https" in der Browserzeile weist auf eine verschluesselte Verbindung hin. Sie soll etwa beim Online-Banking und Online-Shopping eine hoehere Sicherheitsstufe gewaehrleisten. Doch jetzt, so informiert das BUERGER-CERT [http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfrFkZmVyUbJA%253d%253d],
kann genau diese gesicherte Verbindung von Angreifern genutzt werden - zumindest dann, wenn die Verschluesselung auf dem Protokoll TLS-1.0 basiert (TLS: Transport Layer Security). In den Nachfolge-TLS-Versionen
1.1 und 1.2 ist diese Schwachstelle nicht mehr vorhanden, doch die meisten Browser unterstuetzen diese Versionen noch nicht. Durch die Schwachstelle koennen Angreifer eine gesicherte Browser-Sitzung uebernehmen. Laut BUERGER-CERT sind nach derzeitigem Kenntnisstand alle Browser betroffen. Deshalb sei kurzfristig mit Updates zu rechnen. Weil es fuer den Laien nicht ganz einfach ist, zu pruefen, welche Verschluesselungs-Variante verwendet wird, sollten alle Anwender generell, zurzeit aber besonders, folgende Sicherheitsmassnahmen beachten, um die Gefahr eines erfolgreichen Angriffs zu verringern: 1.
"https"-Verbindungen sollten mit einem frisch gestarteten Browser durchgefuehrt werden. 2. Waehrend einer gesicherten Sitzung sollten keine anderen Webseiten geoeffnet sein, also etwa in Tabs oder parallelen Fenstern. 3. Gesicherte Sitzungen (Online-Banking, -Shopping, Soziale Netzwerke etc.) sollten moeglichst kurz gehalten und durch aktives Ausloggen sowie Schliessen des Browser-Fensters beendet werden.
4. Java-Plugins im Browser sollten deaktiviert werden, weil die Angriffe auf die gesicherten Verbindungen nach derzeitigem Kenntnisstand die Java-Funktion benoetigen..."

Nun habe ich gerade mal alle Browser die ich verwende, überprüft. Bei Firefox 7, Google Chrome (neueste Version) und IE8.0 ist nur TLS-1.0 möglich.
Bei Opera 11.51 kann man hingegen unter Extras, Sicherheit, Sicherheitsprotokoll einstellen "TLS 1 aktivieren", "TLS 1.1.aktivieren, TLS 1.2 aktivieren". Daraufhin habe ich nun den Haken bei "TLS 1" rausgenommen und 1.1 und 1.2 angehakt.

Frage: ist diese Vorgehensweise so richtig/sinnvoll, oder muss man "TLS 1" doch (auch) aktiviert lassen? Und ist schon bekannt, wann Firefox und Chrome auch diese Möglichkeit anbieten?



bei Antwort benachrichtigen
gelöscht_301121 dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Hallo,

siehe hierzu auch: http://www.pcwelt.de/news/Sicherheit-Microsoft-untersucht-gefaehrliche-SSL-Luecke-3457634.html

Manchmal kann auch der "alte" Internet Explorer noch nützlich sein ...

Grüße
Michael

bei Antwort benachrichtigen
dirk481 gelöscht_301121 „Hallo, siehe hierzu auch:...“
Optionen

@mae-47: danke für den Hinweis!

Aber noch mal die Frage: Den Haken bei "TLS 1" rausnehmen und dafür "TLS 1.1 " und "TLS 1.2" anhaken, ist richtig?
Oder muss auch "TLS 1" aus irgendwelchen Gründen aktiviert bleiben?

Gruß, Dirk

bei Antwort benachrichtigen
gelöscht_35042 dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Ich frage mich wirklich, warum die User hier Onlinebanking nicht offline betreiben.

Was haben wir hier schon darüber diskutiert....

Gruß

bei Antwort benachrichtigen
dirk481 gelöscht_35042 „Ich frage mich wirklich, warum die User hier Onlinebanking nicht offline...“
Optionen

@luty: Wenn dies angeblich schon so oft diskuttiert wurde, stellt sich nur die Frage, warum zB Google bei
"TLS 1.1" site:www.nickles.de
nur diesen Thread findet. (Gleiches Ergebnis bei "TLS 1.2")
Und die ersten Meldungen des Bundesamtes zu der im Eingangs-Thread gestellten Frage datieren vom 24.9. und 29.9.11
Also was ist angeblich so "unschicklich" an der Frage???

bei Antwort benachrichtigen
gelöscht_35042 dirk481 „@luty: Wenn dies angeblich schon so oft diskuttiert wurde, stellt sich nur die...“
Optionen

An der Frage ist nichts unschicklich, wer aber Onlinebanking über einen Browser macht, darf sich nicht wundern und ist selbst dran schuld, wenn es passiert ist!

Ich selbst betreibe Onlinebanking, seit es Onlinebanking gibt und kämme nie auf die Idee, mich über das Netz in eine Bank einzuloggen, um Banking zu betreiben.

Ich und viele andere hier arbeiten mit HBCI und der passenden Hard- und Software und somit ist ein Verlust ausgeschlossen!

Gruß

bei Antwort benachrichtigen
dirk481 gelöscht_35042 „An der Frage ist nichts unschicklich, wer aber Onlinebanking über einen Browser...“
Optionen

Nun, ich betreibe auch Online-Banking und Brokerage seit ca. 15 Jahren und weiss in dem Zusammenhang auch, dass ein großer Teil der Banken NICHT HBCI anbietet.
Siehe zB hier: http://www.optimal-banking.de/info/hbci-banken.php
Wobei auffällt, dass die günstigsten Anbieter wie Comdirect, Netbank, Dab-bank und fast alle führenden Anbieter von Tagesgeldkonten (noch) NICHT HBCI anbieten.
Und da ich nicht einsehe, dass ich viel Geld verschwenden und irgendeiner Kreise-Sparkasse so und so viele Euro an Gebühren schenken soll, werde ich auch weiterhin bei den günstigsten (Gebühren) und angebotsstärksten (zB Tagesgeld) Banken mit dem sicherst möglichen Browser Onlinebanking beitreiben. Die 0,0001% höheres Risiko versuche ich dabei zu reduzieren, im dem ich technisch stets auf dem neuesten Stand bleibe. Und ob HBCI wirklich 100%igen Schutz bietet, ist auch noch die Frage.
Soweit zum Technischen.
Und was das Allgemeine anbelangt: hier wurde eine sachliche Frage zum Stichwort "TSL" und zum Opera-Browser gestellt. (siehe oben, wer Lesen kann hat Vorteile!).
Unqualifizierte und dümmliche Antworten von dir zum Thema On- oder Offline Banking waren nicht gefordert.
Wenn du keine Ahnung in Sachen Opera-Browser und/oder TSL hast, dann halte dich in Zukunft gefälligst geschlossen.
Ich weiß nicht was für Probleme du hast (midlife-crisis, oder bist du darüber schon hinaus?), aber ich habe weder Zeit noch Lust, mich noch weiter mit solchen unsachlichen und nicht themenbezogenen Beiträgen zu beschäftigen. Daher werde ich mich jetzt hier endgültig ausklicken Meinetwegen kannst du deinen Lebensfrust hier oder anderswo ausleben. Ich habs jedenfalls nicht nötig, mich noch weiter damit zu beschäftigen.
Auf Nimmerwiedersehen!

bei Antwort benachrichtigen
gelöscht_35042 dirk481 „Nun, ich betreibe auch Online-Banking und Brokerage seit ca. 15 Jahren und weiss...“
Optionen

Aber sonst geht es dir noch gut?

Na denn...

Dann mache mal weiter mit deiner Billig/Umsonst-Variante, passt schon...

Wir hier empfehlen jedenfalls jedem User, sich nicht über einen Browser einzuloggen?

Deine Headline hat ein Fragezeichen und offensichtlich hast du leichte Aussetzer, wenn man fachlich darauf antwortet!

bei Antwort benachrichtigen
Conqueror dirk481 „Nun, ich betreibe auch Online-Banking und Brokerage seit ca. 15 Jahren und weiss...“
Optionen

Das hat nichts mit unqualifizierter Antwort zu tun. Du darfst nicht von Dir auf andere schließen. Wer mit dem PC unsicher ist und kein Profi ist, der sollte kein Onlinebanking mit Browser machen. Auch die Variante mit Smartphone ist unsicher, da hier laut Vorgabe der Banken, mindestens ein 2.Handy von Nöten ist, also auch unsicher.

bei Antwort benachrichtigen
neanderix dirk481 „Nun, ich betreibe auch Online-Banking und Brokerage seit ca. 15 Jahren und weiss...“
Optionen
Unqualifizierte und dümmliche Antworten von dir zum Thema On- oder Offline Banking

Unqualifiziert und dümmlich sind nicht luttyys Beiträge sondern allein deine Reaktionen darauf.

Wenn du keine Ahnung in Sachen Opera-Browser und/oder TSL hast, dann halte dich in Zukunft gefälligst geschlossen.

du hast keinerlei ansprüche und schon gleich gar keine Forderungen zu stellen. Das Forum ist öffentlich und jeder, auch lutty, kann hier seine Meinung zu einem Thema kund tun.
Wenn dir das nicht passt, musst du dir eine andere Spielwiese suchen.

Zeit noch Lust, mich noch weiter mit solchen unsachlichen und nicht themenbezogenen Beiträgen zu beschäftigen

Warum schiebst du dann solche Beiträge hier rein?

Das lutty nicht das geschrieben hast, was du hören wolltest, ist nicht sein Problem.

Volker
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
fbeera dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Hier muss ich Lutty absolut recht geben...

HBCI macht die Sache leidlich sicher, wobei Nichts absolut sicher ist! Hier ist allerdings durch die Architektur das Zeitfenster für Angriffe recht klein, das ist beim klassischen Webinterface-Onlinebanking anders! Beim Onlinebankig via Webinterface ist man permanent bei der Bank via https eingelogged, beim HBCI Verfahren nur beim Abruf bzw. der Übertragung, und das sind nur Sekunden.
Die meisten Banken vergeben die Software für einer geringe Schutzgebühr incl. Update- und Fehlerbetreuung, ein Invest, der sich meiner Meinung nach lohnt.

Das Argument, das man dann Banking per HBCI nicht mehr von unterwegs durchführen kann, weil die Software statisch auf einem Gerät installiert ist, ist auch nicht mehr richtig: man kann die Software via USB Stick mitnehmen. Das ist der Sicherheit sicher nicht zuträglich, aber am sichersten ist immer noch Brain 1.0...

Banking via Webinterface würde ich persönlich nur von einem Linux-Gerät durchführen, da dort einfach die Anzahl der zur Ausspionage notwendigen Trojaner deutlich geringer ist (gegen 0...)

Wer Onlinebanking von einem Fremdgerät durchführt, sollte sich über nichts weiter wundern, selbst das eigene Gerät ist ja nicht risikofrei. Das Risiko muss aber jeder selber abwägen.

Ach ja: Risiko= Schwachstelle+Eintrittswahrscheinlichkeit, und da punktet HBCI enorm...

Gruß, Frank

bei Antwort benachrichtigen
winnigorny1 fbeera „Hier muss ich Lutty absolut recht geben... HBCI macht die Sache leidlich sicher,...“
Optionen

Und was ist mit TAN-Generatoren, die die TAN via Flickering generieren? - Da müßte schon ein Keylogger an Bord sein, oder? Und auch das müßte in einem winizigen Zeitfenster geschehen....

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
gelöscht_35042 winnigorny1 „Und was ist mit TAN-Generatoren, die die TAN via Flickering generieren? - Da...“
Optionen

Es gibt auch noch andere Möglichkeiten wie die T-Online-Software mit iTAN.

Das ist auf jeden Fall alles besser, als über das Netz mit einem Browser sich einloggen...

Gruß
luttyy

bei Antwort benachrichtigen
neanderix winnigorny1 „Und was ist mit TAN-Generatoren, die die TAN via Flickering generieren? - Da...“
Optionen

Soweit mir bekannt ist, sind auch die Verfahren

iTAN
Chip TAN
SMS-TAN

bereits geknackt bzw ist eine nicht nur theoretische Manipulationsmöglichkeit nachgewiesen.

Ich setze daher seit einigen jahren ausschliesslich auf HBCI, zumal ich nicht darauf angewiesen bin, auch von unterwegs Zugriff auf mein konto zu haben.

volker

Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
winnigorny1 neanderix „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden“
Optionen
Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
neanderix winnigorny1 „Und was sagst du/sagt ihr dazu:...“
Optionen

Das, was ich oben schon schrieb:
mTAN (= Mobile-TAN) ist bereits geknackt:
http://www.heise.de/security/meldung/Online-Kriminelle-verursachten-1-7-Millionen-Euro-Schaden-1127443.html

http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html

iTAN ist definitiv ebenfalls bereits geknackt,

http://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html

und auch das chipTAN comfort ist nicht sicher:
http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html


somit kann man ausnahmslos alle Aussagen indem von dir verlinkten PDF getrost ins reich der Fabel verweisen. soweit, der Sparkasse bewusste Falschaussage zu utnerstellen, will ich hier n o c h nicht gehen.

Volker

Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
winnigorny1 neanderix „Das, was ich oben schon schrieb: mTAN Mobile-TAN ist bereits geknackt:...“
Optionen

... OK!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
Olaf19 neanderix „Das, was ich oben schon schrieb: mTAN Mobile-TAN ist bereits geknackt:...“
Optionen
Ein in einem vorgeblichen PDF-Anhang verstecktes Schadprogramm niste sich auf den Rechner ein, um bei der nächsten Online-Überweisung einen anderen Betrag an einen anderen Empfänger zu überweisen. Der Schaden sei erst über den Kontoauszug bemerkbar.

Bei der Sparda-Bank wird mir *sofort* nach der Überweisung ein Kontoauszug auf dem Bildschirm angezeigt, ich würde den abweichenden Betrag sowie das falsche Konto also umgehend erkennen.

Danach hätte ich 30 Minuten Zeit, die Überweisung rückgängig zu machen, sprich: sie wird erst nach Ablauf dieser Frist ausgeführt.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Conqueror dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Onlinebanking sollte man gar nicht mit einem Browser machen sondern mit Kartenleser nach dem HBCI-Verfahren.

bei Antwort benachrichtigen
Bernds1 Conqueror „Onlinebanking sollte man gar nicht mit einem Browser machen sondern mit...“
Optionen

Hallo,

wie sicher sind Live CDs?

Gruß

bei Antwort benachrichtigen
InvisibleBot Bernds1 „Hallo, wie sicher sind Live CDs? Gruß“
Optionen

Es gibt unter den Live-CDs extra "Banking-Editionen" - irgendwelche Linux-Versionen die angeblich besonders sicher konfiguriert sind. Linux an sich ist schonmal keine schlechte Idee, weil die weitaus meisten Betrugsfälle beim Onlinebanking durch kompromittierte PCs (Trojaner) verursacht werden - das Problem hast Du mit Linux nicht. Außerdem lässt sich an den Einstellungen einer Live-CD nichts verändern und somit unsicher machen.

Das Problem dabei ist dass es ewig umständlich ist, jedesmal zum Banking den PC mit so einer CD zu booten. Also wenn Du sowas vorhast, solltest Du lieber auf eine virtuelle Lösung setzen, z.B. mit VM-Ware Player oder Virtual-PC. Die ISO-Dateien solcher Banking-CDs lassen sich damit auch direkt booten, dann sind es nur 2 Mausklicks statt den ganzen PC mit einer CD zu booten.

Abgesehen davon bevorzuge ich aber auch die HBCI mit Bankingsoftware - Lösung.

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
Bernds1 InvisibleBot „Es gibt unter den Live-CDs extra Banking-Editionen - irgendwelche...“
Optionen

Danke für die ausführliche Antwort!

bei Antwort benachrichtigen
gelöscht_305164 Bernds1 „Hallo, wie sicher sind Live CDs? Gruß“
Optionen
bei Antwort benachrichtigen
saheinknabeinroesleinstehn dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Nun ist das eingetreten was ich an anderen Foren so hasse: Jemand sucht (eventuell über Google) nach einem bestimmten Thema, und findet... nur Müll!!!

Sicherlich war des Threadstarters Reaktion auf Luttys Aussage ein wenig zu forsch, aber mussten sich nun andere ebenfalls auf das Niveau herablassen? Konnte man ihm nicht einmal ein klein wenig Gelegenheit geben die Luft abzukühlen statt gleich ins gleiche Horn zu blasen?
Statt das eigentliche Thema zu diskutieren und die Frage zu beantworten, hat man hier nun den gleichen Krams wie in unzähligen anderen Threads, wer was wie mit seiner Bank macht. Wahnsinnig interessant!

Hat nun jemand ne Antwort auf die eigentliche Frage?

bei Antwort benachrichtigen
winnigorny1 saheinknabeinroesleinstehn „Nun ist das eingetreten was ich an anderen Foren so hasse: Jemand sucht...“
Optionen

Ich denke, dass luttyy ganz oben in der 3. Antwort doch ganz klar gesagt hat, dass Banking mit dem Browser nie ganz sicher sein kann!?

Wo siehst du die Frage denn nun nicht beantwortet. - Das Nachfolgende ist - eng betrachtet - natürlich überflüssig; nichtsdestotrotz wurde eine gültige Antwort gegeben!!

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
saheinknabeinroesleinstehn winnigorny1 „Ich denke, dass luttyy ganz oben in der 3. Antwort doch ganz klar gesagt hat,...“
Optionen

Es ging mir jetzt nur um die TSL-Protokolle. Die Frage wurde noch immer nicht geklärt... oder ich hab es nun übersehen.

bei Antwort benachrichtigen
gelöscht_180069 winnigorny1 „Ich denke, dass luttyy ganz oben in der 3. Antwort doch ganz klar gesagt hat,...“
Optionen

Ich kenne von lutty nur qualifizierte Antworten; für dieses Niveau bin als allter, aber lernfähiger Kerl sehr dankbar.

bei Antwort benachrichtigen
gelöscht_323936 gelöscht_180069 „Ich kenne von lutty nur qualifizierte Antworten für dieses Niveau bin als allter, aber lernfähiger Kerl sehr dankbar.“
Optionen
von lutty nur qualifizierte Antworten

Der Thread zum Online-Banking liegt ja nun schon  reichlich viel Zeit zurück - und luttyy ließ am 26.03.2017 vermelden

.....meine fachlichen Aktivitäten hier bei Nickles eingestellt! 

Aber er guckt bestimmt manchmal noch zu...

Gruß,
Anne

bei Antwort benachrichtigen
gelöscht_180069 gelöscht_323936 „Der Thread zum Online-Banking liegt ja nun schon reichlich viel Zeit zurück - und luttyy ließ am 26.03.2017 vermelden ...“
Optionen

Danke für den Hinweis - schade drum. Ich war aufs Stichwort "Opera" angesprungen - dieser Browser macht mir nur Freude.

Gruß,

elbbatz

bei Antwort benachrichtigen