Wie sicher ist Online Banking?

[Ranmaru]

Bei einigen Banken kannst Du, statt des iTAN-Systems, auch WebSign (o.ä. Verfahren) verwenden, wenn Du das explizit sagst. Da bekommst Du dann ein Kartenlesegerät zugeschickt und mußt, um Transaktionen auszuführen, Deine Karte durchziehen und die Geheimnummer eingeben. Eben so, als würdest Du es an einem der Terminals in der Bank machen. Damit ist das Restrisiko, daß bei TAN/iTAN immer noch vorhanden ist, ausgeschlossen. Und selbst Phishing oder Keylogging würde nicht viel bringen, da ohne Deine Karte selber nichts funktioniert.

Ich hab so ein Gerät von der Deuschen Bank. Da gibt es zwar offiziell keine Unterstützung für OS X, allerdings kann man sich von der Herstellerseite des Kartenlesers Mac-Treiber besorgen und mit ein wenig Hacking hier und da kriegt man das Ding dann auch zum Laufen.

[Whiz-zarD]

Und selbst Phishing oder Keylogging würde nicht viel bringen, da ohne Deine Karte selber nichts funktioniert.

...

Naja, wenn man erstmal an die Kontonummer und geheimnummer rangekommen ist, kann man auch dann leicht eine Karte selbererstellen.
So machen sie es ja auch, wenn sie die Lesegeräte an den Automaten manipulieren.

[Ranmaru]

Die WebSign-Geheimnummer ist (zumindest bei der Deutschen Bank) eine andere als die PIN, die man am Automaten verwendet. Sie hat fünf Stellen und kann in den Optionen des Online Banking selber vergeben werden (wofür übrigens eine TAN gebraucht wird). Übrigens bietet die Deutsche Bank seit einiger Zeit auch den Service einer Wunsch-PIN an. An den großen Terminals in den Filialen kann man unter den Optionen, wo man u.a. auch Daueraufträge etc. einstellen kann, die PIN in eine beliebige vierstellige Zahl ändern.

Klar kann man theoretisch die Karten fälschen, aber das ist dann wohl schon ein etwas größeres Unterfangen als "mal eben" eine TAN abzufangen.

[Jesus_666]

Ich persönlich bevorzuge HBCI per SmartCard. Das Verfahren ist recht sicher: Als Verschlüsselung kommt AES (bei älteren Karten 3DES) zum Einsatz; gute Kartenleser (leider auch dementsprechend teuer) haben ein eigenes Tastenfeld; die HBCI-PIN ist von der Automaten-PIN verschieden; die Bankingsoftware spricht direkt mit dem HBCI-Server, der als IP-Adresse vorliegt (also kann der Angreifer kein DNS Spoofing betreiben)... Das einzige Manko ist, daß entsprechende Software nicht häufig ist, ist HBCI doch ein rein deutscher Standard.

Für OS X gibt es BankX und MacGiro, von denen ich in beiden Fällen nicht viel weiß, weil sie mir zu teuer sind (60, bzw. 50 Euro im Mindestfall; 100 bzw. 140 Euro für das Komplettpaket). Ich verwende momentan das von der Sparkasse gestellte (und trotzdem für 30 Euro freizuschaltende) StarMoney unter Windows 2000 in einer VirtualPC-VM.
Es gibt noch die Möglichkeit, GnuCash zu verwenden, allerdings muß man dafür Fink bemühen. Ich hatte bisher nicht viel Glück, aber ich habe auch einen PPC-Mac mit einer nicht ganz korrekt arbeitenden Version von Fink.

Frag' am besten mal deine Bank, welche Verfahren sie anbieten und was die jeweiligen Vor- und Nachteile sind. Falls du für GnuCash die Daten des HBCI-Server brauchst, so kann dich die technische Hotline der Bank sicher zu jemandem durchstellen, der Bescheid weiß. (IIRC kann GnuCash das aber mittlerweile von der Karte lesen.)

[Teelicht]

HBCI klingt gut, aber das wird noch warten müssen... Bei 90,- € Anschaffungspreis muss ich mir erst überlegen, ob ich mir das mal leisten werde. Laut MacGiro ist es auf der Sparkasse ja möglich.

Danke auf jeden Fall für die Tipps. Ich werde mich mal bei meiner Bank informieren =)

[dideldumm83]

Mache seit 2 Jahren OnlineB mit meinem iMac und nie ein Problem gehabt (sowie noch nie einen Virus oder sonstiges..)

Meine Freundin hat zwar enn PC, aber sie hatte auch noch nie Probs (dafür aber viren u.ä.)

[rgb]

Was den TAN angeht: ich habe von meiner Bank so ein kleins Gerät bekommen, wo ich einfach die Karte reinstecke und auf einen Knopf drücke, dann kommt ein TAN raus.

Also ich würde dir Internet Banking schon empfehlen, und wenn man gut aufpasst sollte es auch sicher sein.