Online Banking - Optimale Absicherung? Einstellungen

[Solution-Design]

Unabhängig des Verfahrens (nutze trotz Homebanking-Software immer noch allzu oft den Browser in der Sandbox), darf StarMoney als State of the Art angesehen werden. Schon alleine aufgrund des Promon-Schutzschildes.

Wenn Tastatureingaben erfolgen, verliert die Sicherheit.

[Gast_control_*]

Der gaukelt ihm beim nächsten Besuch des Online-Banking-Portals eine Nachricht seiner Bank vor, nach der er ein neues Sicherheitszertifikat auf sein Handy herunterladen sollte.

Wer macht denn sowas ...

Dazu soll das Opfer seine Handynummer eingeben, um per SMS den Link zum Download zugesendet zu bekommen.

Also bitte - das glaubt doch nicht mal meine Mama ...

Das Mobile Tan Verfahren scheint wohl ziemlich sicher zu sein - sofern der User nicht ein Vollpfosten ist ...

[Solution-Design]

Das Mobile Tan Verfahren scheint wohl ziemlich sicher zu sein - sofern der User nicht ein Vollpfosten ist ...

Wie viele Vollpfosten soll ich dir bringen?

[Gast_control_*]

Wie viele Vollpfosten soll ich dir bringen?

Wobei ich mir vorstellen könnte dass gewisse 50+ User auf sowas tatsächlich reinfallen ...

[markusg]

ich kann auch noch einige aufbieten, und ich glaube nicht mal das das unbedingt was mit der inteligenz der user zu tun hatt
auf jeden fall habe ich schon ne handvoll fälle wo diese taktik erfolgreich war.
http://www.spiegel.de/netzwelt/web/0,1518,771570,00.html
Besonders stark nahm das Abgreifen von Zugangsdaten, das sogenannte Phishing, im Zusammenhang mit Online-Banking zu. 2010 wurden dem BKA rund 5300 Fälle
gemeldet, 82 Prozent mehr als im Vorjahr. Dabei lag die durchschnittliche Schadenssumme bei rund 4000 Euro pro Fall. Sowohl Kempf als auch Ziercke appellierten
an die Verbraucher, beim Online-Banking auf neue Verfahren wie Chip-TAN umzusteigen. Es gebe verschiedene Trojaner, die speziell auf den deutschen Bankenmarkt
ausgerichtet seien.

also gibt schon einige die da reinfallen
ich könnte mir auch durchaus vorstellen das viel mehr leute betroffen währen, aber die banken hier scheinen da sehr gut aufzupassen.

Der Beitrag wurde von markusg bearbeitet: 05.12.2011, 21:45

[Gast_J4U_*]

Das Mobile Tan Verfahren scheint wohl ziemlich sicher zu sein - sofern der User nicht ein Vollpfosten ist ...

Das TAN-Verfahren ist auch sicher, wenn der User nicht ein Vollpfosten ist...

J4U

[Solution-Design]

Wobei ich mir vorstellen könnte dass gewisse 50+ User auf sowas tatsächlich reinfallen ...

Da kann ich dir auch genug 15+er bringen. Wobei die höhere Altersklasse, weitab der PC-Interessierten (ONUs genannt), vielleicht etwas gefährdeter ist. Ist schon unglaublich, dass es auch noch unbedarftes Leben außerhalb dieses Forums gibt. Gelle Aber das ist ein anderes Thema.

[Schattenfang]

Wobei die höhere Altersklasse, weitab der PC-Interessierten (ONUs genannt), vielleicht etwas gefährdeter ist.

Da bin ich mir nicht sicher. Wenn ich sehe wie unbedarft und uninformiert die Altersklasse 15-25 im Internet unterwegs ist, wird mir regelrecht schlecht. Da gibt es keine Hemmungen auf alles zu klicken. Und die kennen auch viel mehr Quellen, Websites etc.

PS.: Extra nur für Dich großgeschrieben

[Solution-Design]

PS.: Extra nur für Dich großgeschrieben

Entwickelst dich noch zu meinem Freund

[Peter 123]

Da ich gerade für meine Eltern den PC flott mache und sie gerne möglichst sicheres Online Banking wünschen, würde ich gerne wissen, was ihr so an Schutzmaßnahmen in Form von Software am laufen habt. Es sollte möglichst nichts kosten und einfach zu bedienen sein.

Ich schlage vor (und verwende selbst): "Sandboxie" (mit entsprechender Konfiguration ---> Das muss man einmal einrichten, bietet dann aber Schutz ohne weiteren größeren Aufwand.)

Ich mache Online-Banking in meiner allgemeinen Browser-Sandbox (die aber eben "verfeinert" konfiguriert ist und immer geleert wird, bevor ich die Bankseite öffne).

Wer gaaaanz sicher gehen will, kann sich auch eine spezielle Sandbox für Online-Banking anlegen, wie z.B. hier beschrieben*:
http://www.rokop-security.de/index.php?showtopic=18150

*) (Mittlerweile geht es sogar einfacher, weil man das inzwischen alles über das Konfigurationsmenü einstellen kann und sich nicht mehr mit der ini-datei herumplagen muss.)

Der Beitrag wurde von Peter 123 bearbeitet: 06.12.2011, 23:04

[molex]

Peter 123: Dank dir für den Link. Da Sandboxie hier schon öfter empfohlen wurde und in Bezug auf OB ziemlich Anfänger/DAU sicher zu sein scheint, werde ich das mal austesten.

[Solution-Design]

Noch mal kurz zur Erinnerung: Sandboxie ist kein Schutzprogramm. Es schützt nur dann, wenn der PC sauber ist. Unabhängig davon, wie gut oder schlecht, oder genau sich solche Sandboxen konfigurieren lassen. Ist der PC nicht sauber, hilft auch keine Sandbox.

Ein Tan-Verfahren mit Cardreader, dazu ein Homebanking-Programm wie StarMoney 8, inkl. dessen Schutzschilden, ist die bessere Wahl.

[molex]

Solution-Design: StarMoney hab ich probiert, das ist ihnen zu kompliziert von der Bedienung her. Das ist halt so bei Menschen die sich mit der PC Materie nicht weiter auseinander setzen wollen oder können. Da muß eben alles schnell und einfach gehen.

Das Sandboxie kein Schutzprogramm ist, sondern "nur" eine virtuelle Umgebung erzeugt ist mir schon klar. Bis jetzt hab ich aber keine Alternative gefunden.

[Solution-Design]

Dann solltest du ihnen Internet-Banking verbieten. Erzähle ihnen, wie schnell das gehackt werden kann, wie viel böse Viren es gibt, wie gefährlich alles ist, das ganze Internet verwanzt ist, ein Klick und das Konto ist leer. Dann lassen sie das

I'm so sorry, aber wenn ich höre, dass eine Software wie StarMoney zu kompliziert sein soll, dann steht Lernresistenz im Vordergrund. Da sollte der PC höchstens für Glückwunschkarten genutzt werden.

Entweder du setzt dich mit ihnen hin und erklärst alles ganz einfach, oder... Siehe meinen ersten Absatz. Ich selbst bin ja keine 20 mehr, daher versuche ich es immer erst mit Erklärungen. Man sieht mein Alter, hört somit zu. So nach dem Motto: Was der alte Kerl kann

Wenn ich merke, dass das alles keinen Sinn macht, dann... siehe erster Absatz

[Gast_uweli1967_*]

Bei uns macht meine Frau das Online Banking und Sie nutzt seit Sommer diesen Jahres auf Empfehlung der hiesigen Sparkasse einen TAN Generator von der Sparkasse der einmalig 10 Euro kostete. Ansonsten: Ihr Betriebssystem(XP SP3)ist aktuell(dafür bin ich zuständig)und das ist natürlich mit Virenschutz, Firewall und einen BehaviorGuard versehen. Sandbox(en)nutzen wir nicht.

Der Beitrag wurde von uweli1967 bearbeitet: 07.12.2011, 23:40

[Peter 123]

Solution-Design's Aussagen gehören meiner Meinung nach so kombiniert:

Ist der PC nicht sauber, hilft auch keine Sandbox.

Dann solltest du ihnen Internet-Banking verbieten.

---> So passt das.

Alles andere sind übertriebene Schauergeschichten ...

Erzähle ihnen, wie schnell das gehackt werden kann, wie viel böse Viren es gibt, wie gefährlich alles ist, das ganze Internet verwanzt ist, ein Klick und das Konto ist leer. Dann lassen sie das

... kombiniert mit der - unzureichend begründeten - Vorliebe für eine ganz bestimmte Methode:

Ein Tan-Verfahren mit Cardreader, dazu ein Homebanking-Programm wie StarMoney 8, inkl. dessen Schutzschilden, ist die bessere Wahl.

Wieso ist das die bessere Wahl?

Die Situation ist recht einfach zu bewerten:
- Wenn der Rechner verseucht ist, sollte man von Online-Banking auf dem betreffenden Computer überhaupt die Finger lassen. (Darin stimme ich mit Solution-Design natürlich überein.)
- Wenn der Rechner aber sauber ist, dann ist Sandboxie eine (nach menschlichem Ermessen) sichere Schutzmaßnahme für Online-Banking (unter 2 Voraussetzungen: die Sandbox sollte restriktiv konfiguriert sein [z.B. so, wie es "subset" im Link oben beschrieben hat], und man darf nicht darauf vergessen, die Bank-Webseite dann auch tatsächlich in der Sandbox zu öffnen ).

Wer sich den Aufwand mit Cardreader und zusätzlichen Programmen wie StarMoney 8 antun möchte, der soll das machen. Aber nötig ist das meines Erachtens nicht, um ausreichende Sicherheit beim Online-Banking zu haben.

(Außerdem hat Sandboxie ja den angenehmen "Neben"-Effekt, dass man sich damit beim Surfen im Internet ganz allgemein wirkungsvoll schützen kann [also nicht nur beim Online-Banking].)

Der Beitrag wurde von Peter 123 bearbeitet: 08.12.2011, 00:26

[Solution-Design]

Wer sich den Aufwand mit Cardreader und zusätzlichen Programmen wie StarMoney 8 antun möchte, der soll das machen. Aber nötig ist das meines Erachtens nicht, um ausreichende Sicherheit beim Online-Banking zu haben.

Du gehst zu sehr von dir aus und kennst zu wenige lernresistente Menschen. Ich habe gestern erst wieder jemanden getroffen, der mir von einem Programm erzählte... Ich sagte nur: "Schön, jetzt bist du am PC wenigstens nicht mehr allein".

Edit: Man kann einen PC fast perfekt absichern, aber die Dummheit findet Wege.

Der Beitrag wurde von Solution-Design bearbeitet: 08.12.2011, 05:20

[Gast_uweli1967_*]

Manche Leute wissen gar nicht wie leichtsinnig die sind. Die sitzen an einem XP Rechner der vermutlich noch nicht einmal das SP3 installiert hat und auf dem veraltete Programmversionen installiert sind sowie die Updatefunktion von Avira Free(welche Version es genau ist weiß ich nicht)wohl ausgeschaltet wurde weil das Windows Sicherheitscenter auf dem PC immer anzeigt der Virenschutz sei nicht aktuell. Und mit solch einem PC(ich will mir gar nicht vorstellen wie veraltet das System wirklich ist)wird bei den Leuten(die ich persönlich kenne)auch Online Banking gemacht und online eingekauft

[drei-finger-joe]

Ich mache Online-Banking über die Webseite der Bank (chipTAN-Verfahren). Fürs Online-Banking benutze ich ein ausgemustertes Notebook. Auf diesem Notebook befindet sich neben dem OS nur noch der Browser mit allen notwendigen Plugins, ein AV und Sandboxie (alles stets aktuell). Dieses Notebook benutze ich ausschließlich fürs Online-Banking! Das sollte paranoid genug sein. Ein altes Notebook kostet nicht (viel) mehr als ein Kartenleser und Software und die Bedienung bleibt für Lernresistente einfach.

[SLE]

Wenn der Rechner aber sauber ist, dann ist Sandboxie eine (nach menschlichem Ermessen) sichere Schutzmaßnahme für Online-Banking (unter 2 Voraussetzungen: die Sandbox sollte restriktiv konfiguriert sein ...

Das ist Theorie - aber betrachten wir mal die häufigsten Bedrohungen beim Online-Banking:
- Phishing (Eingabe der Daten auf eine gefälschte Webseite, die der echten zum verwechseln ähnlich sieht)
- Trojaner und Keylogger (Abfangen der Eingaben über Drittsoftware)

Nun nehmen wir den Durchschnittsuser, der kein DAU ist aber auch kein Freak. Völlig neutral.
Du gibst ihm jetzt eine stark restriktive Sandbox, die selbst zur Laufzeit vor in ihr laufenden Keyloggern und Trojanern schützt. Weil eben nur der Browser laufen darf und auch nur der aufs Internet zugreifen darf, gleichzeitig eingeschräkte Rechte etc..

Was nun?:
- Bei Phishing (was von Browser und/oder AV noch nicht erkannt wird) hat der unerfahrene Nutzer auch hier verloren. Halt Murks beim Banking mit Browser. Da spielt es keine Rolle ob die Fake-Webseite in der Sandbox läuft oder nicht.

- Soll diese Sandbox auch verhindern, dass man sich über das "Einfallstor Browser" Keylogger und Trojaner auf das System holt, die dann selbst in der Sandbox eingegebene Daten abfangen müsste man sie permanent zum Browsen nutzen.

Problem: Die Einschränkungen stören hin und wieder beim gewöhnlichen Browsen - sind eben nicht so benutzerfreundlich.

Folgen:
Man nutzt diese Sandbox entweder nicht immer (so kann man sich Müll dauerhaft auf echte System holen, wo dann später auch Sandboxie nicht immer hilft) oder lockert die Einschränkungen nach und nach (Geht ja leider mit den neuen Sandboxie Versionen zu schnell: "Klick auf diese Zeile um xy zu erlauben...").
Man läuft also im zweiten Fall mindestens zur Laufzeit Gefahr auch bei Trojanern und Keyloggern: Leert man die Sandbox dann permanent und startet sie neu vorm Banking?
Zu gefährlich für Durchschnittsuser. Von mehreren Sandboxen will ich gar nicht sprechen.

Von daher auch meine Empfehlung für das Online-Banking bei gewöhnlichen Nutzern:
1.) Banking nur an einem eigenen Rechner.
2.) Banking NIE über den Browser. Dann ist Phishing Geschichte.
3.) Nutzen einer speziellen Bankingsoftware: Starmoney halte ich für empfehlenswert (Gibt es bei den meisten Banken für ca. 30€). Programm hat zusätzlich noch einen eigenen Schutz vor Keyloggern, man kann die Sicherheit noch erhöhen über externe Eingabegeräte mit Cardreader.
4.) Vernünftiges AV und Verhalten, damit der PC vor Trojanern sauber bleibt.

Starmoney zu kompliziert?
1.) Dann erstens so einrichten, dass nur das benötigte angezeigt wird: Weg mit Wertpapieren etc. so bleibt nur Kontoübersicht, Verwaltung, Überweisung etc. übrig.
2.) Handbuch lesen lassen. Das Programm ist sehr einfach und intuitiv zu bedienen.

Wem das zuviel ist: Finger weg vom Online-Banking, Spaziergänge zur Bank.