Hallo zusammen,
ich habe eine Frage zu einer banking-Software von Computerbild.
Es handelt sich um Sichere Bank 2010 aus Heft 2/2010.
Ich bin leider sehr unerfahren im Umgang mit Online-Banking. Nutze es aber bei meiner Hausbank.
Jedes mal mit einem flauen Gefühl im Magen.....
Diese Software wird auf einem USB-Stick installiert und startet den rechner ohne auf Windows zuzugreifen.
Natürlich sagt CB, dass dieses Programm sehr sehr sicher ist, hört sich Alles sehr gut an (für einen Laien).
Ist das wirklich so?
Ich sag schon mal: Danke für eure Hilfe!
Archiv Contra Nepp 3.045 Themen, 42.321 Beiträge
Es ist sicherer, da kein Zugriff vom Betriebssystem besteht. Da nur Verbindungen zu den Banken möglich sind, ist dies quasi wie früher BTX.
MOIN Conqueror,
.....ach ja.....das gute, alte BTX, die guten alten Akkustik Koppler......
das waren noch Zeiten....(seufz^^).....
Grüsse
Hellawaits
Ich kenne dieses Programm nicht, klingt aber so als wäre es einfach ein Browser auf einem Linux-System, richtig? Die sind schon relativ sicher - abhängig von dem Verfahren dass Du nutzt. (PIN/TAN, iTAN etc.)
Das zur Zeit sicherste Verfahren ist HBCI, das ist aber mit Kosten verbunden. Du benötigst dazu einen Cardreader der Sicherheitsklasse 3 (ca. 50€), eine HBCI-Karte von Deiner Bank (kostet bei meiner Bank 10€) und eine Bankingsoftware mit HBCI-Support. (z.B. StarMoney für ca. 40€, gibt aber auch kostenlose Programme)
Dann hast Du denselben Sicherheitsstandard, mit dem auch die Banken untereinander Geld austauschen - und brauchst Dir nur noch eine Geheimzahl zu merken, keine umständlichen TAN-Listen mehr.
Hey christoph43,
um gelegentlich eine Überweisung zu tätigen oder mal den Dauerauftrag umzustellen ist das CB System absolut tauglich und rel. sicher. Auf jeden Fall besser als per Browser über die Webseite der Bank die Geschäfte abzuwickeln.
Wenn Du öfter Bankgeschäfte online machen möchtest oder Dein Bauch zu mehr Sicherheit rät, empfehle ich Dir wirklich auf HBCI umzusteigen. Alles Andere mit PIN und TAN oder iTAN oder mit HANDY ist MIST!
Bei meiner Bank gab es übrigens einen teil subventionierten Kartenleser der Klasse 3 und ein verbilligtes StarMoney (zusammen 60€). Frag doch mal bei Deinem Bänker.
Gruß Ralf
Hallo, hier mal der Passus der Citibank:
"Warum nutzt die Citibank nicht das so genannte "HBCI" (Homebanking Interface)?
Die SSL Kodierung ist ein Verschlüsselungsverfahren auf hohem Niveau und bietet eine mit dem HBCI-Verfahren vergleichbare Sicherheit. Für Sie als Kunde bedeutet die Verwendung des HBCI-Verfahren jedoch einen deutlichen Mehraufwand: So müssten Sie einen so genannten "digitalen Schlüssel" auf einer Chipkarte oder Diskette immer griffbereit haben sowie ein entsprechendes Lesegerät installieren. Wir aber sind bemüht, Citibank Online nicht nur sicher, sondern auch einfach zu halten."
Hahaha...
gruss
schweizer
Jaja, die Citybank... Wenn es irgendwo einen Bankenskandal oder sonstwas auffälliges gab, z.B. kundenunfreundliches Verhalten, stand die Citybank immer noch in der ersten Reihe.
Aber der Passus ist echt klasse, die versuchen den Kunden einen klaren Nachteil als Vorteil zu verkaufen. Wahrscheinlich um sich irgendwo 3Mark50 zu sparen - die Kunden können doch dafür blechen.
Bei anderen Banken gibts Homebanking nur per HBCI - aus guten Gründen.
Hie mal meinen Beitrag zur City-Bank!
Die Citybank in Deutschland war früher die KKB (Kundenkreditbank). Einer der schlimmsten Banken, die es je in Deutschland gab. Die finanzierten die Handelsvetreter die von Tür zu Tür zogen und Wachmaschinen, Staubsauger und sonstiges teures Zeug den Leuten zu abnormen Preisen verkauften.
Wenn keine Bank mehr Kredite finanzierte, bei der KKB überhaupt kein Problem! Zig-tausende von Leuten wurden in den Ruin, sprich Offenbarungseid getrieben.
Wer mal heute den Namen City-Bank verfolgt der merkt, dass in jeder Bankenschweinerei die City-Bank mit vertreten ist. Verlangt die mit die höchsten Zinsen und ist rigoros, wenn es Rückzahlungen gerade bei Hypothekenzinsen geht. Das Häuschen kommt garantiert unter den Hammer...
Es ist ein großer Bogen um die Eingänge von dieser Bank zu empfehlen!
Gruß
luttyy
Luttyy, ich will die Citibank nicht verteidigen, aber was die Deutsche Bank sich in den letzten Jahren geleistet hat, ist auch nicht gerade schlecht. Und die Bayrische Landesbank, und und und. Dafür zahlen wir alle! Und unsere Kinder mit!
Früher sind die Leute eben freiwillig reingefallen und haben Kredite aufgenommen. Heute wird den Banken das Geld von den Steuern in den Hals geschoben. Wenn ich darübe nachdenke das ich gute 3500,- euro Finanzhilfe an das deutsche Bankenwesen gezahlt habe. Und meine Frau auch und meine Kinder jeweils ebenfalls...
ciao
schweizer
Habs auch mal getestet. Problem ist die Wlan Erkennung, da man vom USB Stift booten muss. Das Programm erkennt nicht einmal meinen Fritz Stick. Also: Vergessen
Ist meine meinung.
Gruß
Mein Erfahrungsbericht:
Seit ca. 7 Jahren mache ich OLB mit TAN. Anfangs noch mit festen TANs, die der Reihe nach abgearbeitet wurden. Später dann mit von den Banken pro Tätigkeit separat zugewiesenen TANs (durchnummeriert von 1 - 100). Bisher habe ich noch nie ein ungutes Gefühl gehabt.
Es sind allerdings auch einige Dinge zu beachten:
Nie auf Links in Bank-eMails klicken, da alle ausnahmslos Phishing, weil meine Banken mich noch nie ange-emailt haben. Immer von der Bankwebseite auf den Banking-Server zugreifen (geht bei meiner jetzigen Bank eh nur so). Niemals aus den Favoriten/Bookmarks von Browsern heraus auf die Bankseiten zugreifen, da diese durch Schadprogramme geändert werden könnten.
Somit halte ich OLB mit zugewiesenen TANs pro Tätigkeit für einen normalskeptischen User für sicher genug, zumal ich mich noch zuvor mit meiner Kontonummer und einem Kundenpasswort sowie einer Art stetig wechselndem Captcha einloggen muss.
Begründung:
Die Bank sagt mir, welche TAN ich für die aktuelle Tätigkeit nutzen soll. Diese TAN ist dann sofort für andere Tätigkeiten gesperrt (und gilt als verbraucht) und ist somit für Phisher uninteressant.
Mein Fazit:
Bei meiner Bank zurzeit sicher genug für Otto Normalo.
Wozu dann noch HBCI oder spezielle Software?
Es sei denn, man hat täglich etliche unterschiedliche Überweisungen etc. zu tätigen.
redred2x
Das ist ja in Ordnung!
Die großen Banken akzeptieren aber nur noch HBCI und jetzt?
Gruß
Tja, da nutzt die "CB Sichere Bank 2010" aber auch nix, oder?
Und wenn ich für die Hardware bei meiner Bank zahlen müsste, damit ich OLB machen kann, dann würde ich die schon fragen, ob die noch alle Latten am Zaun haben und ggf. wechseln.
Ich bin der Kunde (und auch Mitinhaber), dann haben die gefälligst das zu tun, was die Mehrheit will. Und die will bestimmt kein HBCI, da für den mobilen Einsatz zu umständlich.
Ich schlepp doch nicht immer meinen HBCI-Kram mit, damit ich von unterwegs mal der Bank einen Auftrag erteilen kann. Den TAN-Zettel kann man in der Geldbörse deponieren bzw. ggf. daheim anrufen und sich die TAN durchgeben lassen.
HBCI kommt mir nicht ins Haus. Es sei denn mangels Alternativen und nur ohne (Zu-)Zahlung von Hardwarekosten meinerseits.
redred2x
Aha!
Na gut, wenn du natürlich so wichtige Überweisungen hast, dass du die unterwegs machen musst, habe ich dafür Verständnis.....
Und den deutschen Banken werde ich mal dem Marsch blasen, dass sie sich erlauben, nur mit dem sichersten Verfahren Onlinebanking zuzulassen!
Gruß
Hallo zusammen,
jetzt erst entdecke ich diesen Thread und würde mich gern beteiligen.
Seit einigen Tagen weiß ich von dem Computerbild-Programm "Sichere Bank 2010" und würde es evtl. anwenden, wenn ich mich in Sachen Sicherheit verbessern kann.
Derzeit nutze ich Starmoney mit iTan-Verfahren. Die Websites der Banken besuche ich aus Vorsichtsgründen nie.
Mein Girokonto ist bei der Sparkasse, ob die HBCI haben, weiß ich nicht. Kann es erst am Montag herausfinden.
Zusätzlich habe ich die Höhe der Überweisungen noch mit 200 Euro limitiert. Selbst ich kann online keine höheren Beträge überweisen und muß dann zum Schalter.
Ich bin 73, Rentner mit nur einer Mindestrente und habe wahrlich keine Reichtümer, aber eben ein paar Spargroschen.
Viele Freunde raten mir vom Online-Banking ab, um ganz auf der sicheren Seite zu sein.
Aber gehbehindet und ohne Auto wären für mich die Wege zur Sparkasse sehr umständlich.
So will ich auf das Online-Banking nicht verzichten.
Zu diesem Thema habe ich schon einen eigenen Thread angefangen, weil ich von diesem hier nichts wußte.
http://www.nickles.de/forum/viren-spyware-datenschutz/2010/sichere-bank-2010-538654349.html
Um evtl. noch andere Meinungen zu erfahren, poste ich das hier zusätzlich.
Grüße von Lupus
Dazu wurde alles gesagt. Wenn die Bank HBCI hat, dann mache das und ferddich...
Gruß
luttyy
Danke luttyy.
Nun habe ich es herausgefunden: Meine Sparkasse hat HBCI.
Ich will nächste Woche alles dazu einleiten.
Bisher habe ich null Ahnung von Kartenlesern."Cardreader Sicherheitsklasse 3" käme wohl in Frage. Wie ich den bekomme, weiß ich noch nicht. Gibt die Bank dazu Auskünfte?
Gruß
Lupus
https://www.chipkartenleser-shop.de/shop/rsct/
Der zweite von oben....
Gruß
luttyy
Warum den zweiten? Der dritte ist günstiger und kann auch HBCI, siehe hier:
http://www.starmoney.de/?id=cyberejacksecoder
Es geht immer billiger!
Ich rede nur über Hardware die ich selbst habe und auch benutze...
Ich ziehe jedenfalls meinen vor, da ich öfters Kartenwechsel mache und die Kontakte der Chipkarten eben sehr geschont werden. Ausserdem kann ich noch Geld damit auf die Karte laden!
Das kann der dritte auch alles.
Aber ich verstehe nicht so ganz, was die Kontakte der Chipkarten damit zu tun haben? Ich stecke die Karte auch nur rein wenn ich sie brauche, für die Kontakte ist das dieselbe Belastung wie bei einem Kartenwechsel. Die Kontakte Deine EC-Karte werden auch jedesmal belastet, wenn Du damit Geld aus dem Automaten angelst.
Es ist klar dass Du Teile empfiehlst, die Du selbst kennst - das macht wohl jeder hier. Aber das sollte kein Grund sein etwas Besseres zu ignorieren...
Ich kann dir mal Cardreader zeigen, die die Kontakte der SD-Karten auf die Dauer fast durch schleifen.
Von ignorieren kann überhaupt keine Rede sein. wenn du das denn genau weißt...
Ausserdem finde ich die Tasten von dem von dir empfohlenen zu fummelig, gerade wenn man schon älter ist. So ist das eben...
Die ganze Homebanking Sache ist löchrig wie ein Schweizer Käse, egal ob man mit iTAN oder HBCI arbeitet.
Hier mal ein paar Sachen zum Nachdenken:
- Alles muss irgendwann mal durch den Arbeitsspeicher des Rechners, auch der Schlüssel einer HBCI Karte.
- Windows, aber wirklich nur Windows, lässt es zu das Programm X Programm Y auf die Flossen schauen kann. Und irgendwann taucht auch die PIN mal im Klartext im Speicher auf, zur Not schnappt man sich IDA Pro und schaut nach wann.
- Es braucht nur einen der mal einen Wurm schreibt, übrigens sicher schon existent, welcher die gesamte HBCI Kommunikation mit lauscht und sich dann zu Hause mit nem AVR seine eigene Kartenkopie braut.
Und was kann ich als Normal-User dagegen tun?
Auf Home-Banking ganz verzichten?
Auf Windows verzichten?
Sind die Millionen Menschen, die sich damit befassen und diejenigen, die es nutzen, alle zu blöd, weil sie auf diese Überlegungen nicht gekommen sind?
Du machst mich ratlos.
Grüße von Lupus
Außerdem:
Dass es hundertprozentige Sicherheit nicht gibt, darüber herrscht ja allgemein Einigkeit.
Ich kann nur versuchen, das Optimale und jeweils Aktuelle anzuwenden, damit ich nicht in die Hände von Gaunern falle.
Auch mein Nachbar, der niemals OnlineBanking betreiben würde, kann mit seinen Banknutzungs-Methoden das Opfer von Kriminellen werden.
Gruß Lupus
Nicht viel... Beten währe mal ein Anfang.
Auf Home-Banking ganz verzichten?
Nö...
Auf Windows verzichten?
Zumindest für Anwendungen und wichtige Daten würde ich das bejahen.
Windows ist bei mir seid gut 10 Jahren nur noch zum zocken drauf, für alles andere ärgere ich mich gerne mit den kleinen Macken des Linuxalltags rum, die sind nämlich lächerlich wenn ich mir die Macken von Windows ansehe.
- Es braucht nur einen der mal einen Wurm schreibt, übrigens sicher schon existent, welcher die gesamte HBCI Kommunikation mit lauscht und sich dann zu Hause mit nem AVR seine eigene Kartenkopie braut,
Panikmacherei von eine wahrscheinlichen Linuxjünger!
Es geht nicht nur um den PIN sondern auch der Hash-Wert der eigenen Chip-Karte muss genau mit dem hinterlegten Hash-Wert auf dem Konto stimmen. Und den lese ich dann auch über IDA Pro ( wenn du schon so wilde Theorien verbreitest, solltest du erklären was das ist) aus. Doll.....
Und die nächste Wespe in meinem Haus ist eine getarnte Drohne vom CIA und manipuliert meine Kiste.
Panikmache? Nö. Nur jemand der gerne zum Nachdenken anregt.
Soll jeder das benutzen was seine Arbeit erledigt, man sollte sich nur über die Nachteile des jeweiligen Werkzeuges im Klaren sein.
Es geht nicht nur um den PIN sondern auch der Hash-Wert der eigenen Chip-Karte muss genau mit dem hinterlegten Hash-Wert auf dem Konto stimmen.
Und wo liegt das Problem?
Vorgehensweise:
- User hat aus irgend einer Quelle ohne es zu wissen einen Wurm drauf.
- User logt sich mit seiner Karte bei der Bank ein und wurschtelt da rum und logt sich wieder aus.
- Wurm logt die Kommunikation mit und sendet sie seinem Erbauer.
- Erbauer baut sich aus dem Logfile eine Karte die datentechnisch auf dem selben Stand ist, logt sich damit ein und zieht sein Ding ab.
- User wundert sich dann erstmal wieso seine Karte abgelehnt wurde und ist fürs erste um Betrag X ärmer.
Da der Erbauer mit hoher Wahrscheinlichkeit in $Ostblockstaat und das Zielkonto bei einer Scammerfreundlichen Bank besteht sieht man sein Geld nie wieder, höchstens aus "Kulanz" der eigenen Bank.
Und den lese ich dann auch über IDA Pro ( wenn du schon so wilde Theorien verbreitest, solltest du erklären was das ist) aus. Doll.....
Mit diesem Disassembler schaut Joe Hacker nach wie die Verschlüsselung funktioniert und wo im Speicher er seinen Bot auslesen lassen muss.
Übrigens bringen einem diese ganz tollen Features wie das ExecuteOnly Bit garnichts, FPGAs sind bezahlbar geworden, die flanscht Joe Hacker an den Arbeitsspeicher und ließt dann einfach aus. Der FPGA kommt noch mit an die CPU damit diese währenddessen geparkt wird.
Und die nächste Wespe in meinem Haus ist eine getarnte Drohne vom CIA und manipuliert meine Kiste.
aluhut.jpg
Und in Afrika ist Muttertag!
Nachdenken kann man über alles, aber solange diese System für die Globalplayer dieser Welt gut ist, langt es auch für mich und meine Paranoia.
Sollte HBCI doch noch irgendwann geknackt werden, bin ich mir sicher, dass wir das sofort wissen und dann bringe ich die Kohle persönlich mit Bodyguard zu meinen Lieferanten...
- User hat aus irgend einer Quelle ohne es zu wissen einen Wurm drauf.
- User logt sich mit seiner Karte bei der Bank ein und wurschtelt da rum und logt sich wieder aus.
- Wurm logt die Kommunikation mit und sendet sie seinem Erbauer.
- Erbauer baut sich aus dem Logfile eine Karte die datentechnisch auf dem selben Stand ist, logt sich damit ein und zieht sein Ding ab.
- User wundert sich dann erstmal wieso seine Karte abgelehnt wurde und ist fürs erste um Betrag X ärmer.
Du weißt aber schon, wie HBCI funktioniert, oder? Anhand Deiner Auflistung denke ich mal, eher nicht. Der kyptographische Schlüssel und die PIN der HBCI-Karte können vom PC aus nicht gelesen werden - und tauchen daher auch nie im Arbeitsspeicher auf. Die Kommunikation zu belauschen bringt auch nix, weil die komplett verschlüsselt abläuft - und selbst wenn es gelingt den Schlüssel zu knacken dann nie in Echtzeit. Genau das wäre aber nötig um die Kommunikation zu manipulieren. Aus einem geknackten Datenstrom eine HBCI-Karte zu simulieren geht auch nicht - siehe oben.
Der einzige mögliche Ansatzpunkt ist ein Angriff auf die Bankingsoftware selbst. Die müsste komplett ausgehebelt werden, durch Eingriffe in die Verschlüsselung, Abfangen und Manipulation der eingegebenen Daten - alles in Echtzeit, versteht sich. Das ist bisher ein rein theoretisches Problem, weil das noch keiner gemacht bzw. geschafft hat.
Panikmache um Rentner zu erschrecken und Windos kriegt auch noch was ab...
Krude Theorien.
Darf ich mich Deinen Gedanken und denen von InvisibleBot anschließen?
Ich verstehe von dem Fachchinesisch ja nicht mal die Hälfte.
Wenn mir so was um die Ohren geknallt wird, bin ich nur verwirrt und fühle mich hilflos satanischen Hintergrund-Riesenmächten ausgeliefert, die ich kleiner Wicht unmöglich überlisten kann.
Natürlich schlafen die Gangster nicht und es ist wohl immer ein Hase- und Igel-Wettlaufr zwischen den Banken und den Hackern.
Aber irgendwo muss ich doch darauf vertrauen können, dass für meine Interessen auch viele Leute unterwegs sind.
Grüße von Lupus
Jetzt mache mal dein HBCI und freue die über dein "Haben" auf deinem Konto.
Das wird auch noch lange so bleiben, ausser du gibst die Kohle selbst aus...:))
Gruß
luttyy
Aus rein technischer Sicht kann ich nicht beurteilen, ob deine Bedenken angebracht sind. Nehmen wir an, du hättest Recht - wären das dann aber nicht nur Argumente gegen HBCI?
Beim iTAN-Verfahren gebe ich ja nur meine Kontonummer, eine Online-PIN sowie ein Captcha ein. Selbst wenn jemand meine Online-PIN erlauschen kann - die iTANs stehen nur gedruckt auf Papier und liegen bei mir zuhause, da ist nichts in irgendeinem Arbeitsspeicher oder gar auf Festplatte.
Wie gesagt, ich bin in diesen Dingen nur technischer Laie, fühle mich bei iTAN aber ziemlich sicher.
CU
Olaf
das ist das eine. Das andere ist, dass ich wirklich wenig Geld habe.Ich muss auf den Preis der Dinger gucken.
Aber Ihr helft mir sehr mit Euren Beiträgen.
Grüße von Lupus
Den Rest musst du entscheiden.
Ganz wichtig, frage deine Bank was dich die Chipkarte kostet. In der Regel einmalig 10€.
Es gibt aber Banken die langen richtig hin und verlangen alle 2 Jahre neue Gebühren wegen angeblich neuer Karte.
Einmal eine Karte und die langt für alle Zeiten!
Gruß
luttyy
Das ist wirklich wichtig.
Deine Tipps sind richtig gut.
Aber auch von anderen kam viel Hilfe.
Von "Sichere Bank 2010" habe ich mich nun völlig verabschiedet.
Gruß, Lupus
Wenn Du am Montag bei Deiner Bank reinschneist, frag mal ob die auch schon das Secoder-Verfahren unterstützen. Das ist der neueste Standard, prinzipell noch sicherer und flexibler als HBCI.
Das mach ich.
Die werden sich wundern, was ich plötzlich alles weiß.
Danke.
Hallo miteinander!
So. Bei meiner Sparkasse habe ich mich für HBCI angemeldet. Jetzt gehen die Formalitäten los.
Die Chipkarte kostet 8 Euro und muß aller vier Jahre erneuert werden. Ein einmaliger Kauf ist nicht möglich.
Sie bieten den Kartenleser CyberJack Sicherheitsstufe 2 für 48 Euro an.
CyberJack secoder ist momentan nicht zu haben.
Die Dame meinte, dass der erste völlig für meine Zwecke genügt. Die Sicherheitsstufe 3 habe nichts mit der eigentlichen Sicherheit zu tun. Da gäbe es nur zusätzlich ein Display und einige Funktionen im Bankverkehr, die momentan noch gar nicht möglich sind. Aber Ende des Monats sei auch dieses Modell wieder zu haben, es sei aber etwas teurer (60 Euro)
Die Formalitäten mit der HBCI-Einrichtung würden sich ohnehin noch etwas hinziehen, ich könnte es mir also in Ruhe überlegen.
Ich bin froh, hier so gut beraten worden zu sein und danke Euch allen.
Viele Grüße
Lupus
Ich würde auf den Kartenleser mit Display warten, da hier die Rückmeldungen von der Bankingsoftware erscheinen, was du jetzt machen sollst und du auch verfolgen kannst, ob du deine Geheimnummer vollständig eingeben hast.
Das sind zwar nur Sternchen, aber anhand der Anzahl siehst du das ganz genau!
Gruß
luttyy
Die Rückmeldungen sind bei der Sparkasse noch nicht möglich. Das Display bleibt vorest immer leer.
Das wird sich aber bestimmt in nächster Zeit ändern. Ich habe mich nochmals erkundigt.
Die Spakasse rät mir auch, auf den Kartenleser mit Display zu warten, dann sei ich auf jeden Fall für die Zukunft gut gerüstet.
So werde ich es machen.
Gruß
Lupus
Es geht nicht um die Rückmeldung der Sparkasse, sondern des Bankingprogrammes.
Starmoney z. B. sagt, dass ich jetzt bitte die Geheimnummer eingeben soll und meckert auch, wenn diese falsch ist usw.
Aber es geht natürlich auch ohne.
An diesem Displaykartenleser ist auch interessant, dass es dafür regelmäßig Firmwareupdates gibt. Ob es das für die anderen gibt, weiß ich nicht...
Gruß
luttyy
Na ja möglicherweise habe ich da etwas verwechselt.
Ich habe Starmoney Version 7und kann mich ja wieder melden, wenn ich alles zusammen habe und ans Einrichten gehe.
Dann werde ich abe einen neuen Thead aufmachen. Dieser hier wird wohl langsam zu lang.
Danke nochmals und Grüße!
Lupus