Hallo,
gestern habe ich vom Bundesamt für Sicherheit in der Informationstechnologie (Bürger-CERT) einen Newsletter bekommen, u.a. mit folgendem Inhalt:
"STOERENFRIEDE: Angriffe auf verschluesselte Browser-Sitzungen
Gefaehrliches Online-Banking
Ein "https" in der Browserzeile weist auf eine verschluesselte Verbindung hin. Sie soll etwa beim Online-Banking und Online-Shopping eine hoehere Sicherheitsstufe gewaehrleisten. Doch jetzt, so informiert das BUERGER-CERT [http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfrFkZmVyUbJA%253d%253d],
kann genau diese gesicherte Verbindung von Angreifern genutzt werden - zumindest dann, wenn die Verschluesselung auf dem Protokoll TLS-1.0 basiert (TLS: Transport Layer Security). In den Nachfolge-TLS-Versionen
1.1 und 1.2 ist diese Schwachstelle nicht mehr vorhanden, doch die meisten Browser unterstuetzen diese Versionen noch nicht. Durch die Schwachstelle koennen Angreifer eine gesicherte Browser-Sitzung uebernehmen. Laut BUERGER-CERT sind nach derzeitigem Kenntnisstand alle Browser betroffen. Deshalb sei kurzfristig mit Updates zu rechnen. Weil es fuer den Laien nicht ganz einfach ist, zu pruefen, welche Verschluesselungs-Variante verwendet wird, sollten alle Anwender generell, zurzeit aber besonders, folgende Sicherheitsmassnahmen beachten, um die Gefahr eines erfolgreichen Angriffs zu verringern: 1.
"https"-Verbindungen sollten mit einem frisch gestarteten Browser durchgefuehrt werden. 2. Waehrend einer gesicherten Sitzung sollten keine anderen Webseiten geoeffnet sein, also etwa in Tabs oder parallelen Fenstern. 3. Gesicherte Sitzungen (Online-Banking, -Shopping, Soziale Netzwerke etc.) sollten moeglichst kurz gehalten und durch aktives Ausloggen sowie Schliessen des Browser-Fensters beendet werden.
4. Java-Plugins im Browser sollten deaktiviert werden, weil die Angriffe auf die gesicherten Verbindungen nach derzeitigem Kenntnisstand die Java-Funktion benoetigen..."
Nun habe ich gerade mal alle Browser die ich verwende, überprüft. Bei Firefox 7, Google Chrome (neueste Version) und IE8.0 ist nur TLS-1.0 möglich.
Bei Opera 11.51 kann man hingegen unter Extras, Sicherheit, Sicherheitsprotokoll einstellen "TLS 1 aktivieren", "TLS 1.1.aktivieren, TLS 1.2 aktivieren". Daraufhin habe ich nun den Haken bei "TLS 1" rausgenommen und 1.1 und 1.2 angehakt.
Frage: ist diese Vorgehensweise so richtig/sinnvoll, oder muss man "TLS 1" doch (auch) aktiviert lassen? Und ist schon bekannt, wann Firefox und Chrome auch diese Möglichkeit anbieten?
Internet-Software, Browser, FTP, SSH 4.708 Themen, 38.981 Beiträge
Hallo,
siehe hierzu auch: http://www.pcwelt.de/news/Sicherheit-Microsoft-untersucht-gefaehrliche-SSL-Luecke-3457634.html
Manchmal kann auch der "alte" Internet Explorer noch nützlich sein ...
Grüße
Michael
@mae-47: danke für den Hinweis!
Aber noch mal die Frage: Den Haken bei "TLS 1" rausnehmen und dafür "TLS 1.1 " und "TLS 1.2" anhaken, ist richtig?
Oder muss auch "TLS 1" aus irgendwelchen Gründen aktiviert bleiben?
Gruß, Dirk
Ich frage mich wirklich, warum die User hier Onlinebanking nicht offline betreiben.
Was haben wir hier schon darüber diskutiert....
Gruß
@luty: Wenn dies angeblich schon so oft diskuttiert wurde, stellt sich nur die Frage, warum zB Google bei
"TLS 1.1" site:www.nickles.de
nur diesen Thread findet. (Gleiches Ergebnis bei "TLS 1.2")
Und die ersten Meldungen des Bundesamtes zu der im Eingangs-Thread gestellten Frage datieren vom 24.9. und 29.9.11
Also was ist angeblich so "unschicklich" an der Frage???
An der Frage ist nichts unschicklich, wer aber Onlinebanking über einen Browser macht, darf sich nicht wundern und ist selbst dran schuld, wenn es passiert ist!
Ich selbst betreibe Onlinebanking, seit es Onlinebanking gibt und kämme nie auf die Idee, mich über das Netz in eine Bank einzuloggen, um Banking zu betreiben.
Ich und viele andere hier arbeiten mit HBCI und der passenden Hard- und Software und somit ist ein Verlust ausgeschlossen!
Gruß
Nun, ich betreibe auch Online-Banking und Brokerage seit ca. 15 Jahren und weiss in dem Zusammenhang auch, dass ein großer Teil der Banken NICHT HBCI anbietet.
Siehe zB hier: http://www.optimal-banking.de/info/hbci-banken.php
Wobei auffällt, dass die günstigsten Anbieter wie Comdirect, Netbank, Dab-bank und fast alle führenden Anbieter von Tagesgeldkonten (noch) NICHT HBCI anbieten.
Und da ich nicht einsehe, dass ich viel Geld verschwenden und irgendeiner Kreise-Sparkasse so und so viele Euro an Gebühren schenken soll, werde ich auch weiterhin bei den günstigsten (Gebühren) und angebotsstärksten (zB Tagesgeld) Banken mit dem sicherst möglichen Browser Onlinebanking beitreiben. Die 0,0001% höheres Risiko versuche ich dabei zu reduzieren, im dem ich technisch stets auf dem neuesten Stand bleibe. Und ob HBCI wirklich 100%igen Schutz bietet, ist auch noch die Frage.
Soweit zum Technischen.
Und was das Allgemeine anbelangt: hier wurde eine sachliche Frage zum Stichwort "TSL" und zum Opera-Browser gestellt. (siehe oben, wer Lesen kann hat Vorteile!).
Unqualifizierte und dümmliche Antworten von dir zum Thema On- oder Offline Banking waren nicht gefordert.
Wenn du keine Ahnung in Sachen Opera-Browser und/oder TSL hast, dann halte dich in Zukunft gefälligst geschlossen.
Ich weiß nicht was für Probleme du hast (midlife-crisis, oder bist du darüber schon hinaus?), aber ich habe weder Zeit noch Lust, mich noch weiter mit solchen unsachlichen und nicht themenbezogenen Beiträgen zu beschäftigen. Daher werde ich mich jetzt hier endgültig ausklicken Meinetwegen kannst du deinen Lebensfrust hier oder anderswo ausleben. Ich habs jedenfalls nicht nötig, mich noch weiter damit zu beschäftigen.
Auf Nimmerwiedersehen!
Aber sonst geht es dir noch gut?
Na denn...
Dann mache mal weiter mit deiner Billig/Umsonst-Variante, passt schon...
Wir hier empfehlen jedenfalls jedem User, sich nicht über einen Browser einzuloggen?
Deine Headline hat ein Fragezeichen und offensichtlich hast du leichte Aussetzer, wenn man fachlich darauf antwortet!
Das hat nichts mit unqualifizierter Antwort zu tun. Du darfst nicht von Dir auf andere schließen. Wer mit dem PC unsicher ist und kein Profi ist, der sollte kein Onlinebanking mit Browser machen. Auch die Variante mit Smartphone ist unsicher, da hier laut Vorgabe der Banken, mindestens ein 2.Handy von Nöten ist, also auch unsicher.
Unqualifiziert und dümmlich sind nicht luttyys Beiträge sondern allein deine Reaktionen darauf.
Wenn du keine Ahnung in Sachen Opera-Browser und/oder TSL hast, dann halte dich in Zukunft gefälligst geschlossen.
du hast keinerlei ansprüche und schon gleich gar keine Forderungen zu stellen. Das Forum ist öffentlich und jeder, auch lutty, kann hier seine Meinung zu einem Thema kund tun.
Wenn dir das nicht passt, musst du dir eine andere Spielwiese suchen.
Zeit noch Lust, mich noch weiter mit solchen unsachlichen und nicht themenbezogenen Beiträgen zu beschäftigen
Warum schiebst du dann solche Beiträge hier rein?
Das lutty nicht das geschrieben hast, was du hören wolltest, ist nicht sein Problem.
Volker
Hier muss ich Lutty absolut recht geben...
HBCI macht die Sache leidlich sicher, wobei Nichts absolut sicher ist! Hier ist allerdings durch die Architektur das Zeitfenster für Angriffe recht klein, das ist beim klassischen Webinterface-Onlinebanking anders! Beim Onlinebankig via Webinterface ist man permanent bei der Bank via https eingelogged, beim HBCI Verfahren nur beim Abruf bzw. der Übertragung, und das sind nur Sekunden.
Die meisten Banken vergeben die Software für einer geringe Schutzgebühr incl. Update- und Fehlerbetreuung, ein Invest, der sich meiner Meinung nach lohnt.
Das Argument, das man dann Banking per HBCI nicht mehr von unterwegs durchführen kann, weil die Software statisch auf einem Gerät installiert ist, ist auch nicht mehr richtig: man kann die Software via USB Stick mitnehmen. Das ist der Sicherheit sicher nicht zuträglich, aber am sichersten ist immer noch Brain 1.0...
Banking via Webinterface würde ich persönlich nur von einem Linux-Gerät durchführen, da dort einfach die Anzahl der zur Ausspionage notwendigen Trojaner deutlich geringer ist (gegen 0...)
Wer Onlinebanking von einem Fremdgerät durchführt, sollte sich über nichts weiter wundern, selbst das eigene Gerät ist ja nicht risikofrei. Das Risiko muss aber jeder selber abwägen.
Ach ja: Risiko= Schwachstelle+Eintrittswahrscheinlichkeit, und da punktet HBCI enorm...
Gruß, Frank
Und was ist mit TAN-Generatoren, die die TAN via Flickering generieren? - Da müßte schon ein Keylogger an Bord sein, oder? Und auch das müßte in einem winizigen Zeitfenster geschehen....
Es gibt auch noch andere Möglichkeiten wie die T-Online-Software mit iTAN.
Das ist auf jeden Fall alles besser, als über das Netz mit einem Browser sich einloggen...
Gruß
luttyy
Soweit mir bekannt ist, sind auch die Verfahren
iTAN
Chip TAN
SMS-TAN
bereits geknackt bzw ist eine nicht nur theoretische Manipulationsmöglichkeit nachgewiesen.
Ich setze daher seit einigen jahren ausschliesslich auf HBCI, zumal ich nicht darauf angewiesen bin, auch von unterwegs Zugriff auf mein konto zu haben.
volker
Und was sagst du/sagt ihr dazu:
https://www.ksk-sigmaringen.de/download/faq_chiptan.pdf?IFLBSERVERID=IF@@011@@IF
Das, was ich oben schon schrieb:
mTAN (= Mobile-TAN) ist bereits geknackt:
http://www.heise.de/security/meldung/Online-Kriminelle-verursachten-1-7-Millionen-Euro-Schaden-1127443.html
http://www.heise.de/security/meldung/Angriffe-auf-deutsche-mTAN-Banking-User-1221951.html
iTAN ist definitiv ebenfalls bereits geknackt,
http://www.heise.de/security/meldung/BKA-iTAN-Verfahren-keine-Huerde-mehr-fuer-Kriminelle-219497.html
und auch das chipTAN comfort ist nicht sicher:
http://www.heise.de/security/meldung/chipTAN-Verfahren-der-Sparkassen-ausgetrickst-866115.html
somit kann man ausnahmslos alle Aussagen indem von dir verlinkten PDF getrost ins reich der Fabel verweisen. soweit, der Sparkasse bewusste Falschaussage zu utnerstellen, will ich hier n o c h nicht gehen.
Volker
... OK!
Bei der Sparda-Bank wird mir *sofort* nach der Überweisung ein Kontoauszug auf dem Bildschirm angezeigt, ich würde den abweichenden Betrag sowie das falsche Konto also umgehend erkennen.
Danach hätte ich 30 Minuten Zeit, die Überweisung rückgängig zu machen, sprich: sie wird erst nach Ablauf dieser Frist ausgeführt.
CU
Olaf
Onlinebanking sollte man gar nicht mit einem Browser machen sondern mit Kartenleser nach dem HBCI-Verfahren.
Hallo,
wie sicher sind Live CDs?
Gruß
Es gibt unter den Live-CDs extra "Banking-Editionen" - irgendwelche Linux-Versionen die angeblich besonders sicher konfiguriert sind. Linux an sich ist schonmal keine schlechte Idee, weil die weitaus meisten Betrugsfälle beim Onlinebanking durch kompromittierte PCs (Trojaner) verursacht werden - das Problem hast Du mit Linux nicht. Außerdem lässt sich an den Einstellungen einer Live-CD nichts verändern und somit unsicher machen.
Das Problem dabei ist dass es ewig umständlich ist, jedesmal zum Banking den PC mit so einer CD zu booten. Also wenn Du sowas vorhast, solltest Du lieber auf eine virtuelle Lösung setzen, z.B. mit VM-Ware Player oder Virtual-PC. Die ISO-Dateien solcher Banking-CDs lassen sich damit auch direkt booten, dann sind es nur 2 Mausklicks statt den ganzen PC mit einer CD zu booten.
Abgesehen davon bevorzuge ich aber auch die HBCI mit Bankingsoftware - Lösung.
Danke für die ausführliche Antwort!
http://www.heise.de/software/download/ct_bankix/57557
Auch eine saubere Lösung:
http://www.sirrix.de/content/pages/BitBox
Nun ist das eingetreten was ich an anderen Foren so hasse: Jemand sucht (eventuell über Google) nach einem bestimmten Thema, und findet... nur Müll!!!
Sicherlich war des Threadstarters Reaktion auf Luttys Aussage ein wenig zu forsch, aber mussten sich nun andere ebenfalls auf das Niveau herablassen? Konnte man ihm nicht einmal ein klein wenig Gelegenheit geben die Luft abzukühlen statt gleich ins gleiche Horn zu blasen?
Statt das eigentliche Thema zu diskutieren und die Frage zu beantworten, hat man hier nun den gleichen Krams wie in unzähligen anderen Threads, wer was wie mit seiner Bank macht. Wahnsinnig interessant!
Hat nun jemand ne Antwort auf die eigentliche Frage?
Ich denke, dass luttyy ganz oben in der 3. Antwort doch ganz klar gesagt hat, dass Banking mit dem Browser nie ganz sicher sein kann!?
Wo siehst du die Frage denn nun nicht beantwortet. - Das Nachfolgende ist - eng betrachtet - natürlich überflüssig; nichtsdestotrotz wurde eine gültige Antwort gegeben!!
Es ging mir jetzt nur um die TSL-Protokolle. Die Frage wurde noch immer nicht geklärt... oder ich hab es nun übersehen.
Ich kenne von lutty nur qualifizierte Antworten; für dieses Niveau bin als allter, aber lernfähiger Kerl sehr dankbar.
von lutty nur qualifizierte Antworten
Der Thread zum Online-Banking liegt ja nun schon reichlich viel Zeit zurück - und luttyy ließ am 26.03.2017 vermelden
.....meine fachlichen Aktivitäten hier bei Nickles eingestellt!
Aber er guckt bestimmt manchmal noch zu...
Gruß,
Anne
Danke für den Hinweis - schade drum. Ich war aufs Stichwort "Opera" angesprungen - dieser Browser macht mir nur Freude.
Gruß,
elbbatz