Hi,

ich bin mir nicht sicher, ob es ins Offtopic oder Computer Forum gehört, notfalls bitte verschieben.

Ich wollte mal wissen, wie sicher Online Banking mittlerweile ist? Hat da jemand Erfahrung oder Ahnung? Ich bin auf dem Gebiet ein totaler Noob, aber es klingt natürlich schon cool, wenn ich mein Geld plötzlich übers Internet überweisen kann usw. Außerdem arbeite ich auf Mac OS X, um Viren&Co brauch ich mir also keine Sorgen machen und ich gehöre auch nicht unbedingt zu den Leuten, die PIN Nummern in Webformulare eingeben...

Meint ihr, dass es sicher ist? Benutzt es jemand von euch? Kann man sowas empfehlen, oder sollte man lieber die Finger davon lassen?

Gruß, Mi

wenn dein browser die daten verschlüsselt (ssl, tsl usw) und du dir sicher sein kannst, keinen trojaner o.ä. installiert zu haben (was unter osx ja eher unwarscheinlich ist) ist es im prinzip sicher.
ein restrisiko bleibt natürlich duch phishing, sprich gefakte seiten, die genauso aussehen wie die normalen, nur eben deine pins usw. loggen.

in einem öffendlichen wlan (internetcaffe o.ä.) würde ich es auch sein lassen, seine bankgeschäfte zu tätigen, weil man dort die übertragenen daten ziemlich einfach abfangen kann.

Ich bnutzte es schon eine ganze Weile und ich finde es sehr praktisch. Beim Thema Sicherheit würde ich mir nicht allzu große Gedanken machen.

Jede größere Bank benutzt das TAN Verfahren, das heißt, du brauchst für jede gefährlichere Aktion deinen Benutzernamen, dein Passwort und eine Transaktionsnummer (TAN). Du kriegst von deiner Bank immer eine Listen von TANs, von denen du dann eine angeben musst, die du danach auch nicht mehr benutzten kannst. Wenn du alle Nummern einer Liste benutzt hast, bekommst du einfach eine Neue.

Die meisten Banken benutzten auch schon das iTAN Verfahren, vobei die TANs auf deiner Liste durchnummeriert sind und deine Bank dich dann bei einer Transaktion nach einer bestimmten TAN fragt.
Das heißt, Pishing bringt auch nicht mehr viel, denn die Leute, die deine Daten haben wollen, wissen ja nicht, welche TAN als Nächstes kommt und können somit nicht gezielt nachfragen. (Mal Abgesehen von einem Man in the middle Angriff.)

Und natürlich sind (wie schon erwähnt) die Bankseiten Verschlüsselt.

Ah, klingt beruhigend :) ja, meine Bank benutzt iTAN, nur wusste ich damit bis eben nicht viel anzufangen^^
Cool, scheint ja ziemlich sicher geworden zu sein

Bei einigen Banken kannst Du, statt des iTAN-Systems, auch WebSign (o.ä. Verfahren) verwenden, wenn Du das explizit sagst. Da bekommst Du dann ein Kartenlesegerät zugeschickt und mußt, um Transaktionen auszuführen, Deine Karte durchziehen und die Geheimnummer eingeben. Eben so, als würdest Du es an einem der Terminals in der Bank machen. Damit ist das Restrisiko, daß bei TAN/iTAN immer noch vorhanden ist, ausgeschlossen. Und selbst Phishing oder Keylogging würde nicht viel bringen, da ohne Deine Karte selber nichts funktioniert.

Ich hab so ein Gerät von der Deuschen Bank. Da gibt es zwar offiziell keine Unterstützung für OS X, allerdings kann man sich von der Herstellerseite des Kartenlesers Mac-Treiber besorgen und mit ein wenig Hacking hier und da kriegt man das Ding dann auch zum Laufen.

Und selbst Phishing oder Keylogging würde nicht viel bringen, da ohne Deine Karte selber nichts funktioniert.


Naja, wenn man erstmal an die Kontonummer und geheimnummer rangekommen ist, kann man auch dann leicht eine Karte selbererstellen.
So machen sie es ja auch, wenn sie die Lesegeräte an den Automaten manipulieren.

Die WebSign-Geheimnummer ist (zumindest bei der Deutschen Bank) eine andere als die PIN, die man am Automaten verwendet. Sie hat fünf Stellen und kann in den Optionen des Online Banking selber vergeben werden (wofür übrigens eine TAN gebraucht wird). Übrigens bietet die Deutsche Bank seit einiger Zeit auch den Service einer Wunsch-PIN an. An den großen Terminals in den Filialen kann man unter den Optionen, wo man u.a. auch Daueraufträge etc. einstellen kann, die PIN in eine beliebige vierstellige Zahl ändern.

Klar kann man theoretisch die Karten fälschen, aber das ist dann wohl schon ein etwas größeres Unterfangen als "mal eben" eine TAN abzufangen.

Ich persönlich bevorzuge HBCI per SmartCard. Das Verfahren ist recht sicher: Als Verschlüsselung kommt AES (bei älteren Karten 3DES) zum Einsatz; gute Kartenleser (leider auch dementsprechend teuer) haben ein eigenes Tastenfeld; die HBCI-PIN ist von der Automaten-PIN verschieden; die Bankingsoftware spricht direkt mit dem HBCI-Server, der als IP-Adresse vorliegt (also kann der Angreifer kein DNS Spoofing betreiben)... Das einzige Manko ist, daß entsprechende Software nicht häufig ist, ist HBCI doch ein rein deutscher Standard.

Für OS X gibt es BankX (http://www.application-systems.de/bankx/) und MacGiro, von denen ich in beiden Fällen nicht viel weiß, weil sie mir zu teuer sind (60, bzw. 50 Euro im Mindestfall; 100 bzw. 140 Euro für das Komplettpaket). Ich verwende momentan das von der Sparkasse gestellte (und trotzdem für 30 Euro freizuschaltende) StarMoney unter Windows 2000 in einer VirtualPC-VM.
Es gibt noch die Möglichkeit, GnuCash (http://www.gnucash.org/de/) zu verwenden, allerdings muß man dafür Fink bemühen. Ich hatte bisher nicht viel Glück, aber ich habe auch einen PPC-Mac mit einer nicht ganz korrekt arbeitenden Version von Fink.

Frag' am besten mal deine Bank, welche Verfahren sie anbieten und was die jeweiligen Vor- und Nachteile sind. Falls du für GnuCash die Daten des HBCI-Server brauchst, so kann dich die technische Hotline der Bank sicher zu jemandem durchstellen, der Bescheid weiß. (IIRC kann GnuCash das aber mittlerweile von der Karte lesen.)

HBCI klingt gut, aber das wird noch warten müssen... Bei 90,- € Anschaffungspreis muss ich mir erst überlegen, ob ich mir das mal leisten werde. Laut MacGiro ist es auf der Sparkasse ja möglich.

Danke auf jeden Fall für die Tipps. Ich werde mich mal bei meiner Bank informieren =)

Mache seit 2 Jahren OnlineB mit meinem iMac und nie ein Problem gehabt (sowie noch nie einen Virus oder sonstiges..)

Meine Freundin hat zwar enn PC, aber sie hatte auch noch nie Probs (dafür aber viren u.ä.):)

Was den TAN angeht: ich habe von meiner Bank so ein kleins Gerät bekommen, wo ich einfach die Karte reinstecke und auf einen Knopf drücke, dann kommt ein TAN raus.

Also ich würde dir Internet Banking schon empfehlen, und wenn man gut aufpasst sollte es auch sicher sein. ;)

Ich benutze auch seit n paar Jahren schon Online Banking mit dem stinknormalen PIN/TAN Verfahren und bin damit bisher auch ganz gut ausgekommen. Meine PIN steht nirgendwo, wo meine TANs liegen hab ich gerade selber keine Ahnung und wenn ich jemals auf eine Phishing Mail reinfallen sollte, habe ich es verdient, dass das Konto dann leer ist.

Kleine Frage noch zu HBCI: Braucht man die Karte auch, wenn man nur den Kontostand angucken möchte, oder nur für Transaktionen? Ersteres fände ich nämlich irgendwie unpraktisch...


in einem öffendlichen wlan (internetcaffe o.ä.) würde ich es auch sein lassen, seine bankgeschäfte zu tätigen, weil man dort die übertragenen daten ziemlich einfach abfangen kann.

Wenn der Cracker nicht den Private SSL Key der Bank hat, solltest du dir auch da keine Sorgen machen müssen. SSL verschlüsselt die Verbindung ja so, dass nur der Server die Daten auslesen kann. Wenn man da dann aber ne Meldung, dass das Zertifikat ungültig ist, einfach wegklickt, hat man selber Schuld...
Aber n VPN is immer besser in öffentlichen WLANs ;)

Kleine Frage noch zu HBCI: Braucht man die Karte auch, wenn man nur den Kontostand angucken möchte, oder nur für Transaktionen? Ersteres fände ich nämlich irgendwie unpraktisch...
Braucht man immer. Der gesamte Datenverkehr zwischen dir und der Bank wird über die Karte verschlüsselt. (BTW, am Automaten brauchst du für das Abfragen des Kontostands auch eine Karte, insofern ist HBCI da nicht gerade außerordentlich kompliziert.)

Wenn der Cracker nicht den Private SSL Key der Bank hat, solltest du dir auch da keine Sorgen machen müssen. SSL verschlüsselt die Verbindung ja so, dass nur der Server die Daten auslesen kann. Wenn man da dann aber ne Meldung, dass das Zertifikat ungültig ist, einfach wegklickt, hat man selber Schuld...
Aber n VPN is immer besser in öffentlichen WLANs ;)

Man sollte sich aber auch vergewissern, dass das komplette Online-Banking verschlüsselt wird (via SSL). Das kann man im Firefox (z.B.) schon daran sehen, ob das kleine Schloss in der Adressleiste rot angekreuzt ist.

Es gibt da nämlich eine gewisse große Bank, die die Entwicklung Ihrer Applikation fürs Banking komplett geoutsourced hat und in der sich div. nicht unbedingt vertrauenswürdige JavaScript-Einbindungen befinden. Hust.