Internet-Software, Browser, FTP, SSH 4.683 Themen, 38.648 Beiträge

Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?

dirk481 / 28 Antworten / Flachansicht Nickles

Hallo,
gestern habe ich vom Bundesamt für Sicherheit in der Informationstechnologie (Bürger-CERT) einen Newsletter bekommen, u.a. mit folgendem Inhalt:

"STOERENFRIEDE: Angriffe auf verschluesselte Browser-Sitzungen
Gefaehrliches Online-Banking
Ein "https" in der Browserzeile weist auf eine verschluesselte Verbindung hin. Sie soll etwa beim Online-Banking und Online-Shopping eine hoehere Sicherheitsstufe gewaehrleisten. Doch jetzt, so informiert das BUERGER-CERT [http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfrFkZmVyUbJA%253d%253d],
kann genau diese gesicherte Verbindung von Angreifern genutzt werden - zumindest dann, wenn die Verschluesselung auf dem Protokoll TLS-1.0 basiert (TLS: Transport Layer Security). In den Nachfolge-TLS-Versionen
1.1 und 1.2 ist diese Schwachstelle nicht mehr vorhanden, doch die meisten Browser unterstuetzen diese Versionen noch nicht. Durch die Schwachstelle koennen Angreifer eine gesicherte Browser-Sitzung uebernehmen. Laut BUERGER-CERT sind nach derzeitigem Kenntnisstand alle Browser betroffen. Deshalb sei kurzfristig mit Updates zu rechnen. Weil es fuer den Laien nicht ganz einfach ist, zu pruefen, welche Verschluesselungs-Variante verwendet wird, sollten alle Anwender generell, zurzeit aber besonders, folgende Sicherheitsmassnahmen beachten, um die Gefahr eines erfolgreichen Angriffs zu verringern: 1.
"https"-Verbindungen sollten mit einem frisch gestarteten Browser durchgefuehrt werden. 2. Waehrend einer gesicherten Sitzung sollten keine anderen Webseiten geoeffnet sein, also etwa in Tabs oder parallelen Fenstern. 3. Gesicherte Sitzungen (Online-Banking, -Shopping, Soziale Netzwerke etc.) sollten moeglichst kurz gehalten und durch aktives Ausloggen sowie Schliessen des Browser-Fensters beendet werden.
4. Java-Plugins im Browser sollten deaktiviert werden, weil die Angriffe auf die gesicherten Verbindungen nach derzeitigem Kenntnisstand die Java-Funktion benoetigen..."

Nun habe ich gerade mal alle Browser die ich verwende, überprüft. Bei Firefox 7, Google Chrome (neueste Version) und IE8.0 ist nur TLS-1.0 möglich.
Bei Opera 11.51 kann man hingegen unter Extras, Sicherheit, Sicherheitsprotokoll einstellen "TLS 1 aktivieren", "TLS 1.1.aktivieren, TLS 1.2 aktivieren". Daraufhin habe ich nun den Haken bei "TLS 1" rausgenommen und 1.1 und 1.2 angehakt.

Frage: ist diese Vorgehensweise so richtig/sinnvoll, oder muss man "TLS 1" doch (auch) aktiviert lassen? Und ist schon bekannt, wann Firefox und Chrome auch diese Möglichkeit anbieten?



bei Antwort benachrichtigen
fbeera dirk481 „Online-Banking: aus Sicherheitsgr. nur noch Opera verwenden?“
Optionen

Hier muss ich Lutty absolut recht geben...

HBCI macht die Sache leidlich sicher, wobei Nichts absolut sicher ist! Hier ist allerdings durch die Architektur das Zeitfenster für Angriffe recht klein, das ist beim klassischen Webinterface-Onlinebanking anders! Beim Onlinebankig via Webinterface ist man permanent bei der Bank via https eingelogged, beim HBCI Verfahren nur beim Abruf bzw. der Übertragung, und das sind nur Sekunden.
Die meisten Banken vergeben die Software für einer geringe Schutzgebühr incl. Update- und Fehlerbetreuung, ein Invest, der sich meiner Meinung nach lohnt.

Das Argument, das man dann Banking per HBCI nicht mehr von unterwegs durchführen kann, weil die Software statisch auf einem Gerät installiert ist, ist auch nicht mehr richtig: man kann die Software via USB Stick mitnehmen. Das ist der Sicherheit sicher nicht zuträglich, aber am sichersten ist immer noch Brain 1.0...

Banking via Webinterface würde ich persönlich nur von einem Linux-Gerät durchführen, da dort einfach die Anzahl der zur Ausspionage notwendigen Trojaner deutlich geringer ist (gegen 0...)

Wer Onlinebanking von einem Fremdgerät durchführt, sollte sich über nichts weiter wundern, selbst das eigene Gerät ist ja nicht risikofrei. Das Risiko muss aber jeder selber abwägen.

Ach ja: Risiko= Schwachstelle+Eintrittswahrscheinlichkeit, und da punktet HBCI enorm...

Gruß, Frank

bei Antwort benachrichtigen
... OK! winnigorny1