Hallo ich frage mich im moment ob sich SSL-Zertifikate überhaupt noch lohnen, sie steuern zwar auf Sicherheit hin aber sollte man im Internet nicht vielleicht allgemein eine Vorschrifft einführern das Internetseiten höhere Sicherheitsstandarts haben müssen. Ich bin auf das Thema eher durch zufall gekommen als ich auf die Seite http://www.psw.net/ gestossen bin. Was denkt ihr? Ich mach mir halt gedanken da Bekannte von mit Online-Banking als 100% sicher einstufen.
Lohnen mit Sicherheit, SSL ist schon als Verschlüsselungsverfahren sehr sicher. Andererseits, es gibt auch SSL-Zertifikate, für kostenlos (für Firmen nicht unbedingt empfehlenswert)oder aber man stellt sich halt selbst sein eigenes Zertifikat aus.
Solange der Benutzer das Zertifikat akzeptiert ist alles in Butter, wenn nicht, na, dann kann er halt nicht auf die Seite unter Verwendung einer Verschlüsselung, was man ihm aber verbieten kann.
btw. Ich habe meine Bank bezüglich smsTAN und ChipTAN eine Absage erteilt, weil beides nicht meinen Sicherheitskriterien entspricht. Ich benutze das HBCI-Verfahren, da ich do meien Security-Key vom Lesegerät getrennt in der Tasche mit schleppen kann, quasi am Mann.
Mit dem ChipTAN-Verfahren ist das kaum zurealisieren und smsTAN ist nicht nur zu unsicher, es kann auch nicht gewährleistet werden, das überall MObilfunkempfang und Internetzugang gleichzeitig und auf einem sicheren Verbindungswege sichergestellt ist.
Soviel zu Sicherheit beim Online Banking, SSL kann da durchaus mithalten.
Hi,
da ca. alle 14 Tage eine SSL-Zertifizierungsfirma gehackt wird, ist die Frage durchaus berechtigt.
http://www.heise.de/newsticker/meldung/Weitere-Anzei…
Gruss, FZ
Hallo ich frage mich im moment ob sich SSL-Zertifikate
überhaupt noch lohnen,
Was verstehst Du unter „lohnen“? Für die CAs*?!?
sie steuern zwar auf Sicherheit hin
aber sollte man im Internet nicht vielleicht allgemein eine
Vorschrifft einführern das Internetseiten höhere
Sicherheitsstandards haben müssen.
Eine höhere Sicherheit als Toaster? Taschenrechner?
Ein SSL-Zertifikat hat erst einmal nichts mit der Sicherheit eines Webservers zu tun (falls Du diesen meinst), sondern mit der Verschlüsselung der Übertragung. Wenn jemend an einem der beiden Enden oder als Man-in-the-middle mithört, dann bringt SSL naturgemäß nichts, da die Daten an diesen Stellen ja entschlüsselt sind. Die SSL-Verschlüsselung (eigentlich ja TLS) ist, mit Ausnahme von Szenarien die eher theoretischer Natur sind, sicher.
Problematisch ist, daß es in der Vergangenheit Einbrüche in CAs gegeben hat, wobei Zertifikate in deren Namen erstellt wurden für Domänen, deren Inhaber die Einbrecher nicht sind.
Da jeder Browser eine größer Anzahl an vertrauenswürdigen CAs mit deren Root-Zertifikaten mitbringt, nimmt der Brwoser von diesen CAs erstellte Zertifikate als sicher an. Der Nutzer denkt, er sei tatsächlich mit Anbieter A verbunden, da das Zertifikat dies signalisiert. Tatsächlich ist er aber mit B verbunden, dem Bösewicht.
Das Problem sind also Zertifikate mit einer falschen Validität, nicht das Protokoll oder die Webserver an sich.
Ich bin auf das Thema eher
durch zufall gekommen als ich auf die Seite
http://www.psw.net/ gestossen bin. Was denkt ihr? Ich mach mir
halt gedanken da Bekannte von mit Online-Banking als 100%
sicher einstufen.
100%ige Sicherheit gibt es nur in Sachen Tod.
Gruß
osmodius
*CA = Certifaication Authority, Organisation welche SSL-Zertifikate aussteltt
Klingt, wie wenn sich die Aigner zum Thema äußert
aber sollte man im Internet nicht vielleicht allgemein eine
Vorschrifft einführern das Internetseiten höhere
Sicherheitsstandarts haben müssen.
Es ist eine sehr deutsche Reaktion, irgendwelchen Bedrohungen darüber entgehen zu wollen, indem man einfach mal ein Gesetz beschließt.
Und als Bedrohung werden insbesondere solche Risiken empfunden, die man nicht einschätzen kann, weil man sie nicht versteht.
Das mit dem Gesetz klingt erst mal gut, ist aber absolut schwachsinnig, weil es das Problem gar nicht lösen kann. Genauso könnte man Autounfälle verbieten.
Die Idee, deshalb jetzt auf SSL zu verzichten, ist so sinnvoll wie die Abschaffung von Airbags, weil es trotzdem steigende Toteszahlen gibt.
Ja, es gibt organisatorische Schwächen im Konzept.
Aber es gibt auch schon Ansätze, wie man diesen Schwächen durch neue Konzepte begegnen kann.
Aber schon jetzt ist klar: Auch mit neuen Konzepten werden Kriminelle auch in 5, 10 oder 20 Jahren neue Methoden finden, um Lücken auszunutzen.
Ciao, Allesquatsch
Hi,
Auch mit neuen Konzepten werden Kriminelle auch in 5, 10 oder 20 :Jahren neue Methoden finden, um Lücken auszunutzen.
Mag sein, das grössere Problem sind aber die CAs, die es nicht schaffen, ihre eigenen Systeme abzusichern, aber „Sicherheit“ verkaufen.
Dazu kommen die Billigheimer, wo man auch ein Zertifikat für 127.0.0.1 erwerben kann. Und die, die von den Geheimdiensten betrieben werden (Achtung Verschwörungstheorie… 
)
Leider sind wir mangels Alternativen auf SSL angewiesen.
Gruss FZ
Hallo,
Leider sind wir mangels Alternativen auf SSL angewiesen.
SSL ist schon okay, aber die Frage, wem will ich bei der Zertifizierung vertrauen ist recht schwer zu beantworten. Schonmal nachgesehen, was der Browser da für Institutionen mitbringt?
Sebastian
Hi,
Ich benutze das HBCI-Verfahren, da ich do meien
Security-Key vom Lesegerät getrennt in der Tasche mit
schleppen kann, quasi am Mann.
Mit dem ChipTAN-Verfahren ist das kaum zurealisieren und
über SMS Tan müssen wir nicht reden, das ist Blödsinn, aber kannst du mir näher erklären, was du für Probleme bei ChipTAN siehst und was du mit dem Security-Key meinst?
Gruß
rantanplan
Ist korrekt, was Ihr sagt.
Aber für uns hier eher ein akademisches Problem, da man für einen erfolgreichen Angriff sich auch noch in die Infrastruktur oder das DNS hacken muss. Gefährlich eher im Iran und auf Arbeit 
Die in der Fachpresse vorgeschlagenen Ansätze sind aber ganz gut, um die Bedrohung abzuwehren und die Wurzelzertifikate erkannter Angriffe auch recht schnell widerrufen worden.
Ciao, Allesquatsch
Bitte seriös bleiben
Hallo,
da ca. alle 14 Tage eine SSL-Zertifizierungsfirma gehackt
wird, ist die Frage durchaus berechtigt.
http://www.heise.de/newsticker/meldung/Weitere-Anzei…
Zitat: „in den letzten vier Monaten mindestens vier Certificate Authorities (CAs) kompromittiert…“
Aus einmal im Monat machst Du mal eben alle 14 Tage.
Das entspricht einer Verdopplung. Hältst Du das für eine seriöse Argumentation?
Gruß
S.J.
2 Like
Der Token, sprich das Zertifikat, für die Identifizierung wird im Lesegerät gespeichert.
Bei Verlust eines authorisierten Lesegerätes ist also auch gleich der gültige Token mit weg.
Neben den Kontodaten ist dann nur noch der passende PIN-Code notwendig. Damit sind wir dann wieder beim Status der alten TAN-Liste.
Nicht zu b´vergessen, das der Kunde beim Online Banking noch immer den schwarzen Peter hat. Durch Einführung der quasi Sicherheitsfunktionen smsTAN und ChipTAN wird das sogar noch schwere mit der Nachweispflicht des Kunden.
Denn auch ein aktueller Virenscanner schützt nicht wirklich vor einer passenden Schadsoftware, die sich zwischen die Geräte und dem Bankzugriff einklinkt.
Hallo,
Aber für uns hier eher ein akademisches Problem, da man für
einen erfolgreichen Angriff sich auch noch in die
Infrastruktur oder das DNS hacken muss.
DNS kaputtzumachen ist so toll schwer auch nicht. Stichwort Cache Poisoning oder auch DNSChanger …
Gefährlich eher im
Iran und auf Arbeit
Oder im Hotel-WLAN, oder , oder, oder …
Gruß,
Sebastian
Im Ernst, nicht alle 14 Tage, sondern nur alle 4 Wochen? Ich lach mich schlapp…
Wenn man die Dunkelziffer einbezieht, war meine aus der Luft gegriffene Vermutung also gar nicht so falsch.
Gruss FZ
Auch diese Aussage ist nicht korrekt.
Es wurden 4 CA’s in 4 Monaten eingebrochen, das bedeuten nicht, das der Abstand dann einen Monat beträgt. Der Abstand kann durchaus vier Monate betragen, es kann auch alle 2 Monate geschehen sein, das lässt sich aus der Aussage nicht entnehmen.
Man könnte auch daraus schlussfolgern, je mehr CA’s es gibt um so größer ist die Wahrscheinlichkeit eines Einbruches und daher sollte die Anzahl der Stammzertifizierungsstellen drastisch reduziert werden. Wobei es nicht einmal sichergestellt ist, das bei Stammzertifizierungsstellen eingebrochen wurde, es können durchaus auch Zwischenzertifizierungsstellen betroffen gewesen sein.
Traue keiner Statistik, die Du nicht selbst gefälscht hast, kann ich dazu nur sagen.
Oder im Hotel-WLAN, oder , oder, oder …
Stimmt. Dem entgehe ich aber, wenn ich nur einen VPN-Kanal aufbaue, über den dann alles weitere läuft.
Ciao, Allesquatsch
Nicht nach aktueller Rechtsprechung
Nicht zu b´vergessen, das der Kunde beim Online Banking noch
immer den schwarzen Peter hat. Durch Einführung der quasi
Sicherheitsfunktionen smsTAN und ChipTAN wird das sogar noch
schwere mit der Nachweispflicht des Kunden.
Wie kommst Du denn zu dieser Idee. In Deutschland ist die Rechtsprechung da sehr eindeutig pro Kunde. Nur wenn dem Kunden Fahrlässigkeit nachgewiesen werden kann, kann die Bank den Kunden in die (Mit-)Haftung nehmen. (Kein Virenscanner, mehrere TANs beim Phishing verloren, Nutzung trotz Warnung der Bank)
Normalerweise übernehmen Banken die direkten Verluste und machen Vergleiche.
Du verwechselst das vielleicht mit der PIN am Geldautomaten. Hier ist die Rechtsprechung (zumindest früher) immer davon ausgegangen, dass die PIN nicht ohne Mitwirkung des Kunden verloren gehen kann.
Beim ChipTAN wüsste ich noch keine bekannt gewordenen Praxisfälle. Aber bei mTAN sind einige in der Praxis erfolgreiche Angriffe bekannt.
Ciao, Allesquatsch
Hi,
Der Token, sprich das Zertifikat, für die Identifizierung wird
im Lesegerät gespeichert.
bei ChipTAN wird nichts im Lesegerät gespeichert, die Tan wird auf dem Chip deiner EC Karte generiert, welches Lesegerät du dafür nutzt ist irrelevant.
Bei Verlust eines authorisierten Lesegerätes ist also auch
gleich der gültige Token mit weg.
Bei ChipTAN ist der Verlust des Lesergerätes unproblematisch.
Neben den Kontodaten ist dann nur noch der passende PIN-Code
notwendig. Damit sind wir dann wieder beim Status der alten
TAN-Liste.
Dies ist der Fall beim Verlust der EC Karte, nicht des Lesegerätes. Hier gilt allerdings, dass man die EC Karte sperren kann. Viel wichtiger ist aber, dass damit Online Angriffe, wie etwa Phishing, verhindert werden können. Das Problem ist ja gerade, dass die Menschen Online Banking betreiben wollen, sich aber nicht tiefergehend mit dem PC auskennen (warum sollten sie auch). Auf EC Karten oder Bargeld aufpassen kriegen die meisten Menschen jedoch recht erfolgreich hin bzw können dieses Risiko gut abschätzen. Mit ChipTAN wird das Risiko beim Online Banking also wieder auf den reelen Verlust der EC Karte zurückgeführt und kann somit vom Anwender gut abgeschätzt und kontrolliert werden, während der Angreifer reel einen Diebstahl begehen muss und nicht aus dem Ausland heraus online Konten leerräumen kann.
Denn auch ein aktueller Virenscanner schützt nicht wirklich
vor einer passenden Schadsoftware, die sich zwischen die
Geräte und dem Bankzugriff einklinkt.
Bei ChipTan gebe ich die Überweisungsdaten in den TAN Generator ein, ohne dass dieser eine Verbindung zum Computer hat. Anschließend generiert meine EC Karte eine TAN, die nur für diese Überweisung gültig ist. Wie genau soll sich da eine Schadsoftware zwischen das Gerät und den Bankzugriff (was soll das eigentlich sein?) einklinken?
Gruß
rantanplan
Hi,
Der Token, sprich das Zertifikat, für die Identifizierung wird
im Lesegerät gespeichert.bei ChipTAN wird nichts im Lesegerät gespeichert, die Tan wird
auf dem Chip deiner EC Karte generiert, welches Lesegerät du
dafür nutzt ist irrelevant.
Dann frage mal deinen freundlichen Bankberater bei der Hotline, der hat mir das sehr genau erklärt. Das Lesegerät muss erst einmal authentifiziert werden, es können auch mehrere Signaturen für unterschiedliche Banken und Kunden darin abgelegt werde.
Bei Verlust eines authorisierten Lesegerätes ist also auch
gleich der gültige Token mit weg.Bei ChipTAN ist der Verlust des Lesergerätes unproblematisch.
Stimmt nicht ganz, das neue Gerät muss erst wieder authentifiziert werden, so lange ist das ursprüngliche Gerät ein Sicherheitsrisiko.
Neben den Kontodaten ist dann nur noch der passende PIN-Code
notwendig. Damit sind wir dann wieder beim Status der alten
TAN-Liste.Dies ist der Fall beim Verlust der EC Karte, nicht des
Lesegerätes. Hier gilt allerdings, dass man die EC Karte
sperren kann. Viel wichtiger ist aber, dass damit Online
Angriffe, wie etwa Phishing, verhindert werden können. Das
Problem ist ja gerade, dass die Menschen Online Banking
betreiben wollen, sich aber nicht tiefergehend mit dem PC
auskennen (warum sollten sie auch). Auf EC Karten oder Bargeld
aufpassen kriegen die meisten Menschen jedoch recht
erfolgreich hin bzw können dieses Risiko gut abschätzen. Mit
ChipTAN wird das Risiko beim Online Banking also wieder auf
den reelen Verlust der EC Karte zurückgeführt und kann somit
vom Anwender gut abgeschätzt und kontrolliert werden, während
der Angreifer reel einen Diebstahl begehen muss und nicht aus
dem Ausland heraus online Konten leerräumen kann.
Was hat das jetzt mit der Problematik zu tun.
Warum sie das sollten? - Damit sie von der Bank nicht über den Löffel barbiert werden und sich auch vor vielen Dingen schützen.
Das ist wieder typisch, keine Bedienungsanleitungen für den Fernseher lesen und ohne Führerschein fahren, das kommt etwa auf das selbe hinaus.
Es ist auch überhaupt nicht notwendig sich tiefer greifend mit seiner Software auseinanderzusetzen. Einige wenige Grundregeln reichen völlig aus um einigermaßen sicher im Internet arbeiten zu können.
Im Zeifelsfall kann man sich überall, völlig kostenfrei informieren und weiterbilden. Wer es nicht tut hat selbst schuld.
Phishing ist kein wirkliches Problem, das ist mit etwas Verstand problemlos zu bewältigen.
Denn auch ein aktueller Virenscanner schützt nicht wirklich
vor einer passenden Schadsoftware, die sich zwischen die
Geräte und dem Bankzugriff einklinkt.Bei ChipTan gebe ich die Überweisungsdaten in den TAN
Generator ein, ohne dass dieser eine Verbindung zum Computer
hat. Anschließend generiert meine EC Karte eine TAN, die nur
für diese Überweisung gültig ist. Wie genau soll sich da eine
Schadsoftware zwischen das Gerät und den Bankzugriff (was soll
das eigentlich sein?) einklinken?
Schon einmal etwas von einem Device Driver gehört?
Es ist ein leichtes einen Treiber in in die Netzwerkverbindung mit einzuhängen, das ist nicht viel anders als bei einem Keylogger.
Deine Theorie würde dann ja auch erklären, warum denn smsTAN bereits geknackt wurde, oder? Das Progrämmchen hängt sich auch dazwischen, und wenn die erste TAN als fehlerhaft zurückgewiesen wird, was dann?
War das jetzt ein Fehler oder nur die Aufforderung eine zweite TAN für ein Schadprogramm zu generieren?
Gruß
rantanplan
Hi,
Der Token, sprich das Zertifikat, für die Identifizierung wird
im Lesegerät gespeichert.bei ChipTAN wird nichts im Lesegerät gespeichert, die Tan wird
auf dem Chip deiner EC Karte generiert, welches Lesegerät du
dafür nutzt ist irrelevant.Dann frage mal deinen freundlichen Bankberater bei der
Hotline, der hat mir das sehr genau erklärt. Das Lesegerät
muss erst einmal authentifiziert werden, es können auch
mehrere Signaturen für unterschiedliche Banken und Kunden
darin abgelegt werde.
vielleicht sollten wir uns mal darauf einigen, worüber wir reden. Ich reden vom ChipTAN Verfahren, wie es bei Sparkassen, Volksbanken und der Postbank im Einsatz ist. Bei diesem Verfahren ist der TAN Generator vollkommen austauschbar, da alle Kryptooperationen vom Chip der EC-Karte vorgenommen werden. Zumindest mit einem Sparkassen Generator habe ich das auch schon ausprobiert und es funktioniert sowohl ein Generator mit mehreren Konten, als auch ein Konto mit mehreren Generatoren.
Bei Verlust eines authorisierten Lesegerätes ist also auch
gleich der gültige Token mit weg.Bei ChipTAN ist der Verlust des Lesergerätes unproblematisch.
Stimmt nicht ganz, das neue Gerät muss erst wieder
authentifiziert werden, so lange ist das ursprüngliche Gerät
ein Sicherheitsrisiko.
Wie gesagt, für das Verfahren der oben genannten Banken ist das so nicht korrekt. Hier liegt die geheime Information des Kunden im nicht auslesbaren Speicher der EC Karte.
Neben den Kontodaten ist dann nur noch der passende PIN-Code
notwendig. Damit sind wir dann wieder beim Status der alten
TAN-Liste.Dies ist der Fall beim Verlust der EC Karte, nicht des
Lesegerätes. Hier gilt allerdings, dass man die EC Karte
sperren kann. Viel wichtiger ist aber, dass damit Online
Angriffe, wie etwa Phishing, verhindert werden können. Das
Problem ist ja gerade, dass die Menschen Online Banking
betreiben wollen, sich aber nicht tiefergehend mit dem PC
auskennen (warum sollten sie auch). Auf EC Karten oder Bargeld
aufpassen kriegen die meisten Menschen jedoch recht
erfolgreich hin bzw können dieses Risiko gut abschätzen. Mit
ChipTAN wird das Risiko beim Online Banking also wieder auf
den reelen Verlust der EC Karte zurückgeführt und kann somit
vom Anwender gut abgeschätzt und kontrolliert werden, während
der Angreifer reel einen Diebstahl begehen muss und nicht aus
dem Ausland heraus online Konten leerräumen kann.Was hat das jetzt mit der Problematik zu tun.
Warum sie das sollten? - Damit sie von der Bank nicht über den
Löffel barbiert werden und sich auch vor vielen Dingen
schützen.
Das ist wieder typisch, keine Bedienungsanleitungen für den
Fernseher lesen und ohne Führerschein fahren, das kommt etwa
auf das selbe hinaus.
Es ist auch überhaupt nicht notwendig sich tiefer greifend mit
seiner Software auseinanderzusetzen. Einige wenige Grundregeln
reichen völlig aus um einigermaßen sicher im Internet arbeiten
zu können.
Im Zeifelsfall kann man sich überall, völlig kostenfrei
informieren und weiterbilden. Wer es nicht tut hat selbst
schuld.
Phishing ist kein wirkliches Problem, das ist mit etwas
Verstand problemlos zu bewältigen.
Für Phishing mag das gelten, Schadsoftware vom eigenen Computer abzuhalten ist da nicht ganz so einfach. Ich habe sowohl vom Studium, als auch beruflich denke ich einen recht guten Background was IT-Sicherheit betrifft und ich würde es nicht ausschließen, dass ich mir irgendwann Schadsoftware auf dem PC einfange. Da reicht es ja vollkommen aus mal ein Update nicht gemacht zu haben.
Wenn man heute Online Banking anbieten möchte, dann muss die TAN Generierung auf einem externen Gerät stattfinden, welches nicht kompromitiert werden kann. Auf einen nicht kompromitierten PC beim Anwender zu hoffen ist schlichtweg naiv. Genau aus diesem Grund ist der Weg hin zu ChipTAN richtig.
Denn auch ein aktueller Virenscanner schützt nicht wirklich
vor einer passenden Schadsoftware, die sich zwischen die
Geräte und dem Bankzugriff einklinkt.Bei ChipTan gebe ich die Überweisungsdaten in den TAN
Generator ein, ohne dass dieser eine Verbindung zum Computer
hat. Anschließend generiert meine EC Karte eine TAN, die nur
für diese Überweisung gültig ist. Wie genau soll sich da eine
Schadsoftware zwischen das Gerät und den Bankzugriff (was soll
das eigentlich sein?) einklinken?Schon einmal etwas von einem Device Driver gehört?
Es ist ein leichtes einen Treiber in in die Netzwerkverbindung
mit einzuhängen, das ist nicht viel anders als bei einem
Keylogger.
Und was soll der dann machen, wenn die ganze Tan Erzeugung auf meiner EC Karte stattfindet und die TAN nur für die von mir gewünschte Überweisung gültig ist? Skizzier mir doch bitte mal einen Angriff auf ChipTan, der so funktionieren soll (immer vorausgesetzt der Anwender wendet das Verfahren korrekt an und kontrolliert Betrag und Kontonummer auf dem Display des Tan Generators).
Deine Theorie würde dann ja auch erklären, warum denn smsTAN
bereits geknackt wurde, oder? Das Progrämmchen hängt sich auch
dazwischen, und wenn die erste TAN als fehlerhaft
zurückgewiesen wird, was dann?
War das jetzt ein Fehler oder nur die Aufforderung eine zweite
TAN für ein Schadprogramm zu generieren?
Solange der Anwender in der SMS kontrolliert, ob die Empfängerkontonummer und der Betrag korrekt ist, kann er dem Schadprogramm die TAN gerne mitteilen. Kontrolliert er dies nicht, ist er selber schuld. Das Problem bei mTan ist bloß, dass das Handy im Gegensatz zu der EC-Karte und dem TAN Generator eben heutzutage nicht mehr als vertrauenswürdig eingestuft werden kann.
Gruß
rantanplan