Online Banking - Optimale Absicherung? Einstellungen

[Klopfer]

Wem das zuviel ist: Finger weg vom Online-Banking, Spaziergänge zur Bank.

Aber nur mit Bodyguard, denn man könnte ja auch auch auf dem Weg überfallen werden (von der Sturzgefahr ganz zu schweigen).

[markusg]

edit

Der Beitrag wurde von markusg bearbeitet: 08.12.2011, 15:21

[Peter 123]

Aber nur mit Bodyguard, denn man könnte ja auch auch auf dem Weg überfallen werden (von der Sturzgefahr ganz zu schweigen).

Ich kann mich Klopfers Ratschlag nur anschließen.

@ SLE:
Kurz gesagt zu deinen Einwänden und Empfehlungen:
Man kann es auch übertreiben mit dem Sicherheitsdenken und mit der pessimistischen Einschätzung darüber, was der gewöhnliche Nutzer alles falsch machen könnte.

Nur als Beispiel zum Phishing-Problem:
Natürlich schützt Sandboxie vor Phishing nicht. Molex hat aber nichts davon geschrieben, dass sich seine Eltern im Zustand fortgeschrittener Demenz befinden. Also ist ihnen wohl durchaus zuzutrauen, dass sie sich an folgenden simplen Ratschlag halten werden:

Der beste Schutz vor Phishing ist daher große Vorsicht bei einschlägigen E-Mails; Online-Shops und -Banken sollte man nicht durch den Klick auf Links in E-Mails aufsuchen, sondern immer selbst in das Adressfeld des Browsers eingeben oder zumindest abgespeicherte Favoriten/Bookmarks benutzen.

(http://www.heise.de/security/dienste/Phishing-403253.html)

- Soll diese Sandbox auch verhindern, dass man sich über das "Einfallstor Browser" Keylogger und Trojaner auf das System holt, die dann selbst in der Sandbox eingegebene Daten abfangen[,] müsste man sie permanent zum Browsen nutzen.

Problem: Die Einschränkungen stören hin und wieder beim gewöhnlichen Browsen - sind eben nicht so benutzerfreundlich.

Ich verwende sogar ein und dieselbe Sandbox für normales Browsen/Surfen und Online-Banking, weil sie ohnedies sehr restriktiv konfiguriert ist. Und ich bemerke üblicherweise überhaupt keine Beeinträchtigungen. Wenn wir jetzt beim Klischee der älteren und unerfahrenen Nutzer bleiben, so ist davon auszugehen, dass dieser Personenkreis im Internet ohnedies nicht viel mehr tun wird, als sich ein paar Webseiten anzusehen, vielleicht eine Flasche Rotwein oder ein Buch online zu bestellen und eben seine Bankgeschäfte via Internet abzuwickeln. Und das kann er alles problemlos auch mit einer restriktiv konfigurierten Sandbox.

Wesentlich erscheint mir, dass man Online-Banking - vorsichtshalber auch bei restriktiver Konfiguration der Sandbox - immer nur aus einer leeren (und damit jedenfalls sauberen) Sandbox heraus abwickeln sollte. Aber das ist auch ganz einfach zu bewerkstelligen - nämlich durch Aktivieren des automatischen Löschens in den Sandbox-Einstellungen:



Ich sehe dann keine Gefahr mehr, dass Trojaner oder Keylogger tätig werden könnten.
(Den Fall, dass es theoretisch einen Schädling geben könnte, der aus der Sandbox ausbricht, lassen wir jetzt bitte mal weg.)

Leert man die Sandbox dann permanent und startet sie neu vorm Banking?

Ja, genau das! Was ist daran gefährlich oder kompliziert oder (für den Durchschnittsnutzer) auch nur unbequem?

Der Beitrag wurde von Peter 123 bearbeitet: 08.12.2011, 16:09

[SLE]

Es ging mir nicht darum irgendwelche Leute herabzuwürdigen. Also lasse bitte so Unterstellungen, wie ich hätte etwas von "Zustand fortgeschrittener Demenz" geschrieben. Ich schrieb von gewöhnlichen Internetnutzern.

- So und Phinshing sollte noch immer die Gefahrenquelle Nummer 1 sein und auch die entsprechenden Mails sind leider oft sehr professionell gemacht. Ich würde das nie unterschätzen und mit übertriebenen Sicherheitsdenken hat es bei mir nichts zu tun
- Selbe restriktive Sandbox für Browsen und Banking? Plugins erlaubt, Jawa erlaubt? Dann ist einiges möglich.
- Immer mit einer leeren Sandbox starten: Sicher recht einfach. Aber das Gewohnheitstier...

Kurz: Banking über den Browser - nein, ich werde es normalen Benutzern nie empfehlen! Ob mit oder ohne Sandbox.

Der Beitrag wurde von SLE bearbeitet: 08.12.2011, 16:59

[Peter 123]

Es ging mir nicht darum irgendwelche Leute herabzuwürdigen.

Das weiß ich doch.

Also lasse bitte so Unterstellungen, wie ich hätte etwas von "Zustand fortgeschrittener Demenz" geschrieben.

Hast du natürlich nicht, und ich wollte es dir in keiner Weise unterstellen. Meine scherzhafte Bemerkung bezog sich lediglich darauf, dass man einem (auch älteren) Durchschnittsnutzer, der keine mentalen bzw. intellektuellen Einschränkungen aufweist, durchaus zutrauen kann, sich vor Phishing zu schützen (jedenfalls wenn man ihm einmal erklärt hat, dass er auf keine Links in e-Mails klicken soll etc.).

- So und Phinshing sollte noch immer die Gefahrenquelle Nummer 1 sein und auch die entsprechenden Mails sind leider oft sehr professionell gemacht. Ich würde das nie unterschätzen und mit übertriebenen Sicherheitsdenken hat es bei mir nichts zu tun

Siehe das vorhin Gesagte: Die Bankseite nicht von e-mails heraus öffnen; keine TANs oder Passwörter eingeben, wenn man in e-mails dazu aufgefordert wird; die Bank-URL selbst eintippen oder aus den Favoriten/Lesezeichen heraus öffnen. ---> Das sind doch simple Verhaltensregeln, durch die man sich zuverlässig gegen das Phishing schützen kann - ohne den Aufwand einer eigenen Software oder gar noch eines zusätzlichen Kartenlesegeräts.

- Selbe restriktive Sandbox für Browsen und Banking? Plugins erlaubt, Jawa erlaubt? Dann ist einiges möglich.

Damit sind wir aber schon wieder bei Klopfers Beispiel: Auch wenn ich das Geld selbst zur Bank bringe, könnte ich am Weg dorthin überfallen werden.
(Um mich von einem relevanten Risiko zu überzeugen, müsstest du noch näher beschreiben, welche konkreten Gefahren bei welcher konkreten Konfiguration bzw. welchen Plugins bestehen.)

- Immer mit einer leeren Sandbox starten: Sicher recht einfach. Aber das Gewohnheitstier...

Eben. Ich habe es mir angewöhnt, und es ist für mich zur Selbstverständlichkeit geworden. Und wie gesagt: Wenn man das automatische Löschen aktiviert hat, geschieht das ja sogar von alleine. Es besteht also dann nicht einmal die Gefahr, darauf zu vergessen.

[Schattenfang]

- So und Phinshing sollte noch immer die Gefahrenquelle Nummer 1 sein und auch die entsprechenden Mails sind leider oft sehr professionell gemacht.

die mail bekommen sie aber auch wenn sie programme wie starmoney nutzen.

ich bin in diesem thema ganz bei peter123. von einem infizierten rechner mache ich kein online-banking. auch nicht mit diesen programmen. ich glaube nicht dass der transfer wirklich sicher ist und das wird mir auch keiner versprechen können.
außerdem können kontonummern auch auf anderen webseiten eingegeben werden ohne dafür starmoney benutzen zu müssen. für mich ist das reine geldverschwendung. mal ehrlich, 40 euro für so ein "schutzschild"- totale abzocke in meinen augen.

die ganzen onus in meinem umfeld machen seit jahren online-banking über den sandboxed browser per direktlink. solche dubiosen mails werden eh zu 99% vom av weggehauen und wenn nicht dann rufen sie halt bei der bank an und fragen nach, ob die mail von denen kommt. das wird doch bei jeder bank tausendmal bei der freischaltung des bankings erklärt, wie emails aussehen müssen, von welchen absendern die stammen und dass man bei wichtigen dingen schriftlich benachrichtigt wird und nicht per mail.

[markusg]

und woher kommen dann die millionen schäden jedes jahr die beim online banking entstehen.
außerdem gibts ja auch trojaner die im hintergrund arbeiten, möchte mal als stichwort urlzone in den raum werfen, der die internet verbindung umleitet, gefälschte kontoauszüge anzeigt usw.
zu viel sicherheit, kanns doch nie geben, oder baut ihr aus euren autos die airbags aus, weil die möglichkeit gering ist das man sie jemals braucht, wohl kaum.
und wie hier schon gesagt wird, den vollen preis muss man eh nicht zahlen da die banken da nen teil übernehmen.

[Schattenfang]

zu viel sicherheit, kanns doch nie geben,

wenn ich für 40euro keinen mehrwert habe kann ich noch so viele software kaufen, das macht mich nicht sicherer, sondern nur ärmer.

[Gast_control_*]

Das ist Theorie - aber betrachten wir mal die häufigsten Bedrohungen beim Online-Banking:
- Phishing (Eingabe der Daten auf eine gefälschte Webseite, die der echten zum verwechseln ähnlich sieht)
- Trojaner und Keylogger (Abfangen der Eingaben über Drittsoftware)

100 % Zustimmung - Sandboxen sind gerade bezüglich Online-Banking maßlos überbewertet: Ich habe eh eine Sandbox installiert, mir kann nix passieren ...

Edit: Phishing passiert großteils nicht mehr per ominösen Mails sondern per geänderten DNS Einstellungen usw - man wird also bei Eingabe von www.beispielbank.de automatisch auf eine perfekte Kopie der Gauner umgeleitet

Der Beitrag wurde von control bearbeitet: 08.12.2011, 19:06

[markusg]

doch, weil hier der browser bei den direkt verbindungen raus fällt und umleitungen der verbindungen nicht mehr so einfach möglich sein sollte, da malware eher auf man in the browser atacken spezialisiert sind
natürlich nur wenn HBCI
oder FINTs unterstützt wird seitens der bank

Der Beitrag wurde von markusg bearbeitet: 08.12.2011, 19:05

[SLE]

Siehe das vorhin Gesagte: Die Bankseite nicht von e-mails heraus öffnen; keine TANs oder Passwörter eingeben, wenn man in e-mails dazu aufgefordert wird; die Bank-URL selbst eintippen ...Um mich von einem relevanten Risiko zu überzeugen, müsstest du noch näher beschreiben, welche konkreten Gefahren bei welcher konkreten Konfiguration bzw. welchen Plugins bestehen.)

Wenn ein Skript dich von postbank.de zu einer Fakezeite umleitet, die man nicht so schnell erkennt etc. Alles schon gegeben. Gerade mit Java (was lokal läuft) ist leider sehr viel möglich, ohne das der Nutzer es mitbekommt. Da hilft auch die "Achtung bei dubiosen Mails" Phishing Warnung nicht.

Wenn man das automatische Löschen aktiviert hat, geschieht das ja sogar von alleine. Es besteht also dann nicht einmal die Gefahr, darauf zu vergessen.

Solange man den Browser stets neustartet, und da nie Routine oder Faulheit einkehrt.

die mail bekommen sie aber auch wenn sie programme wie starmoney nutzen.

Wenn sie im Browser nichts eingeben, da sie eben Starmoney oder ein x-beliebiges Bankingprogramm nutzen sind die Mails und sämtlichen Phishingseiten egal.

von einem infizierten rechner mache ich kein online-banking. auch nicht mit diesen programmen. ich glaube nicht dass der transfer wirklich sicher ist und das wird mir auch keiner versprechen können.

Da hat hier niemand etwas anderes behauptet. Wer nicht konsequent alles unbekannte sandboxed und das Hirn einschaltet sichert aber eben nicht, dass dies so bleibt. Und dann hilft ihm der gesandboxte Banking-Browser unter Umständen auch nicht.
Und gerade bei solcher - meist kurzlebiger - Bankingmalware ist ein AV oft für den ...

Aber jeder wie er mag:
Ich bin als großer Verfechter von einer konsequenten Anwendung von Sandboxie - mittels vieler Sandboxen - bekannt (besser als jede sog. Securitysuite).
Dennoch: Ja ich bin der Meinung Sandboxie ist leider (noch?) nichts für ONV. Dann lieber DefenseWall.

Der Beitrag wurde von SLE bearbeitet: 08.12.2011, 19:24

[Solution-Design]

ich bin in diesem thema ganz bei peter123. von einem infizierten rechner mache ich kein online-banking.

Woher weißt du, ob ein PC mit Malware befallen ist, wenn das AV nichts meldet. HIPPs installiert? Eine, welche jede Aktivität meldet? So was wie MalwareDefender? RootKits, KeyLogger... Die Einfallquote über das Internet ist sicherlich höher, als über Wechseldatenträger. Aber auch diese gibt es noch. Und zu deinen OttoNormalbürgern in deinem Umfeld. Schön, dass sie mit Sandboxie keine Probleme haben. Ich dagegen wurde schon von Leuten angerufen, die mehr als nur Excel bedienen können. Erster Anruf beim Download aus dem Sandboxie-Browser

Nein, Sandboxie ist keine Alternative zu StarMoney mit PromonShield. Die Keylogger-Stabilität wurde schon mehrfach bewiesen. Zuletzt sogar in der Computerbild mit kostenfreien StarMoney 7.

OttoNormalos-Menschen können, ohne gleich dumm zu sein, Fehler machen. Meine bisherige Erfahrung sagt: Sie machen sie.

PS: Bei 3 von 10 Sandboxie-Kaufversionen war der Browser als erzwungener Start, aus der Sandboxie-Config herausgenommen. Dass schafft kein Dummer.

PPS: Gut finde ich den StarMoney-Zwang auch nicht. Jede kleine Änderung bei der Bank und eine neue Version muss her. Aber so ist es eben in der bösen Welt. Alle wollen nur dein Bestes. Dann gebe ich es lieber den Guten!

[Gast_uweli1967_*]

Das entwickelt sich hier fast wieder zu einem "Glaubenskrieg" was denn nun das Optimalste sei für Online Banking. Tatsache ist auch: Meine Frau macht seit ungefähr 2 Jahren Online Banking und schon immer ohne Starmoney und auch ohne Sandbox und bis heute wurde unser Konto noch nicht geplündert oder etwas abgebucht wo wir nicht wussten wer das war und seit Sommer eben nimmt Sie keine TAN Listen mehr sondern den TAN Generator von der Sparkasse. Vielleicht hatten wir bis jetzt auch Glück, aber ich behaupte auch das wir beide uns umsichtig im Internet bewegen und ich hab auch immer bei ihrem PC ein Auge darauf das ihre Schutzsoftware, Programme usw und das XP aktuell ist.

Der Beitrag wurde von uweli1967 bearbeitet: 08.12.2011, 20:26

[Gast_control_*]

Tatsache ist auch: Meine Frau macht seit ungefähr 2 Jahren Online Banking und schon immer ohne Starmoney und auch ohne Sandbox und bis heute wurde unser Konto noch nicht geplündert oder etwas abgebucht wo wir nicht wussten wer das war

Tatsache ist auch dass Alkoholiker oft jahrelang unfallfrei fahren ...

[Gast_uweli1967_*]

@control
Das ist ein Vergleich von dir Schon mal auf die Idee gekommen das auch sog. DAU's wie meine Frau wissen wie man sich umsichtig im Internet verhält

Der Beitrag wurde von uweli1967 bearbeitet: 08.12.2011, 20:33

[Gast_control_*]

Das ist ein Vergleich

Die Wahrscheinlichkeit dürfte in ähnlicher Relation stehen

Na gut, ich werde noch meine Überweisung durchführen und dann schlafen gehen

Der Beitrag wurde von control bearbeitet: 08.12.2011, 20:35

[Solution-Design]

Viele hier vergessen ihre doch sehr hohen Kenntnisse, bezüglich im vorsichtigen Umgang mit diesem Medium.

Wenn ich von sagen wir mal 300 Bekannten den Umgang damit sehe Auch wenn mir jetzt nicht bewusst ist, ob einem durch Malware Geld abgebucht wurde, so sind mir davon ca. 5 % bekannt, bei welchen der Online-Zugang zur Bank gesperrt wurde. Und das hat nichts mit Glauben zu tun.

[Schattenfang]

Woher weißt du, ob ein PC mit Malware befallen ist, wenn das AV nichts meldet.

naja, bei mir auf dem pc kann ich das schon ausschließen. aber beworben wurde damit starmoney, weil man selbst bei infiziertem pc sicher onlinebanking machen könnte. das wäre dann der einzige vorteil gegenüber sandboxie. doch genau das glaube ich in letzter instanz nicht.

PS: Bei 3 von 10 Sandboxie-Kaufversionen war der Browser als erzwungener Start, aus der Sandboxie-Config herausgenommen. Dass schafft kein Dummer.

wie meinst du das? vom nutzer rausgenommen? wenn ja, dann regel ich das immer über passwort. manchmal muss man zu seinem glück gezwungen werden

[Schattenfang]

Dann lieber DefenseWall.

ist dw nicht noch wesentlich komplizierter? oder hat sich da etwas verändert?

[SLE]

Das entwickelt sich hier fast wieder zu einem "Glaubenskrieg" was denn nun das Optimalste sei für Online Banking.

Wieso? Hier kamen bisher gute Argumente.

Tatsache ist auch: Meine Frau macht seit ungefähr 2 Jahren... TAN Generator von der Sparkasse. Vielleicht hatten wir bis jetzt auch Glück, aber ich behaupte auch das wir beide uns

Du erwähntest es bereits gestern in diesem Thread - warum nochmal?

umsichtig im Internet bewegen und ich hab auch immer bei ihrem PC ein Auge darauf das ihre Schutzsoftware, Programme usw und das XP aktuell ist.

Umsichtigkeit ist das eine, Sicherheitssoftware das andere, die Tatsache das nicht an jeder Ecke die bösen Hacker und Viren lauern (wie viele Hersteller weiß machen wollen) das Dritte.

Hier im Thread ging es aber um möglichst optimale Absicherung vor möglichen Gefahren. Und da ist deine Lösung IMO nicht dazuzuzählen, die Sandbox Variante ist viel sicherer, die mit zusätzlicher Software nochmals. Das ihr unverschont geblieben seid ist schön, sollte die Regel sein, sagt aber nicht aus, dass ihr optimal geschützt seid, oder das andere hier angesprochene Lösungen überflüssig wären.