Online-Banking - Sicher?

Internet Internet Sicherheit
#1

Liebe Leutz,

ich bin drauf und dran, meine Bank zu wechseln.
In die engere Wahl kommt dabei auch die Postbank und zum ersten Mal im Leben denke ich auch über Online-Banking nach.
Bisher bin ich da sehr, sehr mißtrauisch.
Nun die Frage an euch Experten: Was ist von der neuen Technik „BestSign“ zu halten? Ist das besser (= sicherer) als die bisherigen TAN-Verfahren?
Nota bene: Es geht nicht darum, mir Bank ABC zu empfehlen, sondern um eure Meinung zur Sicherheit im Online-Banking und die Wahl des besten Verfahrens.

Vielleicht zum HIntergrund: ich bin beruflich PC + Web-Nutzer, aber da sitze ich hinter einer sehr cleveren IT-Abteilung.
Zu Hause habe ich WLAN und Laptop.
Der Router ist verschlüsselt, das Laptop mit einer lizensierten Avira-Version und Firewall geschützt, updates laufen automatisch und bei jedem Start.
Ansonsten bin ich bekennender Laie, aber auch nicht SO doof, daß ich jede mail und jeden Anhang gleich öffne :wink:
Konto würde v.a. für Auszüge und Prüfung von Bewegungen genutzt, „händische“ Überweisungen und Rechnungen habe ich kaum drei im Jahr, fast alles per Lastschrift / Dauerauftrag.

Herzlichen Dank für eure Mühe - und wenn´s das falsche Brett ist, bitte ich um Verschiebung.

RoyalFlush

#2

Hi,

bei der generellen Sicherheit im Internet bzw. Netzwerk und der lokalen Sicherheit wirst Du wissen, was zu tun ist.

Beim Online-Banking empfehle ich Dir, eine Bank zu wählen, die SMS-TAN unterstützt. - Das empfinde ich derzeit als sichere Methode. Selbst wenn das Banking-Passwort in falsche Hände gerät, kann man ohne Dein Handy nichts überweisen oder verändern, da dies eben nur mit der SMS-TAN möglich ist.

Ro

#3

Hallo Hallo,
also ich mache seit Jahren online Banking… würde dir auch empfehlen das TAN - Verfahren über Handy zu machen.
Wenn du eine Überweisung tätigst, bekommst du die TAN für diese per SMS auf dein Handy.

1 Like
#4

Hi,

Beim Online-Banking empfehle ich Dir, eine Bank zu wählen, die
SMS-TAN unterstützt. - Das empfinde ich derzeit als sichere
Methode.

bei Sicher heit geht es allerdings nicht um Empfindungen. Wie leicht ein Mobiltelephon zu entwenden ist muss ich sicher nicht erklären.
Dazu kommt die Problematik, daß immer mehr Nutzer Smartphones benutzen, welche scho Aufgrund des offenen System ein Einfalltor für Schädlinge bieten, welche prinzipiell auch die Kommunikation mit dem Bankserver belauschen und manipulieren können. Nicht umsonst untersagen etliche Banken das PIN-TAN-Verfahren mit Smartphones (bzw. schließen die Haftung aus).

Selbst wenn das Banking-Passwort in falsche Hände
gerät, kann man ohne Dein Handy nichts überweisen oder
verändern, da dies eben nur mit der SMS-TAN möglich ist.

Wen das tatsächlich der Vorteil wäre, dann wäre das Verfahren exakt genauso sicher wie das Verfahren mit TAN-Liste, denn ohne TAN von der Liste kann man ja auch nichts überweisen…

Gruß

osmodius

1 Like
#5

Hi,

natürlich kann man, wenn man alle Eventualitäten einschließt, niemals sicheres online-Banking betreiben. - Also zurück zum Papier-ÜW-Schein.

:wink:

Ro

#6

Hallo osmodius,

bei Sicher heit geht es allerdings nicht um Empfindungen. Wie leicht ein Mobiltelephon zu entwenden ist muss ich sicher nicht erklären

Natürlich kann ein Handy gestohlen werden oder verloren gehen, da hast du schon Recht. Allerdings müsste der Dieb oder der Finder des Handys dann auch den Benutzernamen (Kontonummer) des Handybesitzers kennen. Zusätzlich müsste der Dieb oder der Finder dann auch noch die Zugangs Pin zum Online Banking des Handybesitzers kennen.

Also wenn der Zufall es möchte dass der Dieb oder der Finder nicht nur das Handy, sondern auch noch beide Zugangsdaten zum Online Banking in die Hände bekommt, dann sind deine Bedenken natürlich berechtigt.

Wobei ich zugebe, dass ich die Situation des Online Bankings über Smartphones genauso unsicher einschätze wie du. Für mich käme deswegen Online Bankings über Smartphones generell nicht in Frage. Da spielt es dann auch keine Rolle welches TAN Verfahren genutzt wird.

Selbst wenn das Banking-Passwort in falsche Hände gerät, kann man ohne Dein Handy nichts überweisen oder verändern, da dies eben nur mit der SMS-TAN möglich ist.

Wen das tatsächlich der Vorteil wäre, dann wäre das Verfahren exakt genauso sicher wie das Verfahren mit TAN-Liste, denn ohne TAN von der Liste kann man ja auch nichts überweisen.

Bei den TAN Listen aus Papier soll es Nutzer gegeben haben, die diese Nummern aus Bequemlichkeit und Unwissenheit auf ihrem Rechner gespeichert haben. Das wäre dann natürlich eine (selbst gemachte) zusätzliche Risiko Quelle. Außerdem war es für kriminelle Kreise möglich durch Schadprogramme die von der Papier Liste eingegebene TAN abzufangen und für eigene Überweisungen zu benutzen.

Diese beiden Risiken bestehen bei der Mobil-TAN (im Gegensatz zur TAN Liste aus Papier) nicht mehr. Solche TAN kann man nicht auf den Rechner speichern, da man davon keinen Vorrat zur Verfügung hat. Und mit einer abgefangenen Mobil-TAN können kriminelle Kreise nichts anfangen, da diese TAN nur in Verbindung mit der vorher eingegebenen Kontonummer und mit dem vorher eingegebenen Betrag von der Bank als gültig akzeptiert wird.

Also erst wenn der Kontoinhaber z.B. eingegeben hat das 123,45 € auf Konto Nr. 987654321 überwiesen werden sollen, bekommt er von der Bank die TAN per SMS zugesendet. Wenn der Kontoinhaber diese TAN dann eingibt, und die TAN durch Schadprogramme in die falschen Hände gerät, kann nur dieser Betrag auf nur dieses Konto überwiesen werden. Somit wäre die TAN für andere (gefälschte) Überweisungen nutzlos.

Also ist dieses Verfahren doch um einiges sicher er (100% Sicherheit gibt es nicht) als das alte Verfahren mit der TAN Liste aus Papier.

Gruß
N.N

1 Like
#7

Hallo,

  • Also zurück zum
    Papier-ÜW-Schein.

Wobei diese Überweisungsmethode nur bei persönlich bekannten Bankmitarbeitern und eigenhändiger Abgabe wirklich sicher ist.

Als Legimation dient hier sonst nur die Unterschrift, die ist schlecht zu kontrollieren oder leicht nachzuahmen.

Gruß vonsales

#8

Danke für eure Kommentare, aber was ist mit dieser Frage:
„Was ist von der neuen Technik „BestSign“ zu halten? Ist das besser (= sicherer) als die bisherigen TAN-Verfahren?“
Da ich möglicherweise in Zukunft ebenfalls mit einem Schmartfohn gestraft sein werde (Firmenhandy) bin ich kein fan der SMS TAN.
*seufz* ich will mein 6310 wieder haben…

RF

#9

Hallo

Da ich möglicherweise in Zukunft ebenfalls mit einem
Schmartfohn gestraft sein werde (Firmenhandy) bin ich kein fan
der SMS TAN.
*seufz* ich will mein 6310 wieder haben…

Ein Smartphone ist nicht von vorneherein ungeeignet für SMS-Tan. Es kommt auf die Apps an die man sich draufholt. Lässt man die Finger von undurchsichtigen Apps ist es genauso sicher wie jedes andere Handy.

Es gibt mittlerweile Schadsoftware die speziell Bank-Sms abgreifen will. Die muss aber erst auch auf dem jeweiligen Rechner sein damit sie die Bankgeschäfte manipulieren kann, da die M-Tan nur kurz gültig ist. Wobei natürlich die Frage bleibt was man tun soll wenn die Empfängerdaten und der Betrag in der SMS nicht mit den selbst in Auftrag gegebenen übereinstimmen?

Bankgeschäfte vom gleichen Smartphone mit dem TAN-SMS empfangen werden ist in den Geschäftsbedingungen explizit ausgeschlossen, wer es trotzdem macht darf nicht auf Kulanz der Bank hoffen.

Man kann auch durchaus ein zweites Handy nur für die SMS Tans bereithalten, kostet nicht die Welt.

Gruß vonsales

#10

Hi RF, Lochkuchenhasser,
1988 fing ich mit Online-Banking an.
Zuerst mit einer Tanliste.
Später stieg ich auf HBCI um und bin immer noch dabei.
Für mich ist dieses System sicher, was auch die Stiftung Warentest sagt. Leider wird es von Banken wenig propagiert aus Kostengründen.
Rosie ist auch bei der Postbank und - für mich – dieses ominöse System am nutzend.
Ok, jedem sein Ding. Für mich ist HBCI das Optimale.
Wir haben hier einen MOD der Banker ist, frag ihn doch mal.
Wünsche dir das Richtige zu finden.
Schönen Gruß
Ratatouille
PS: HAbe nicht alle Antworten gelesen!!!

#11

Nachtrag
Aus einer Zeitung
HBCI: Sicher durch Chipkarte
Als weiteres Verfahren bieten viele Banken HBCI (Homebanking Computer Interface) an. Hierbei erhalten Sie eine Chipkarte, auf der ein spezieller Online-Banking-Schlüssel gespeichert ist. Jede Banktransaktion versieht die Karte so mit einer digitalen Unterschrift. Geldgeschäfte sind bei HBCI nur in Kombination mit Ihrer PIN und der Chipkarte möglich. Für die Verwaltung Ihrer Konten benötigen Sie außerdem eine Bank-Software.
Ärgerlich: Einige Banken verkaufen HBCI-Chipkartenleser zu überzogenen Preisen. Tipp: Ordern Sie in einem solchen Fall nur die Chipkarte bei Ihrer Bank und erwerben Sie das Lesegerät bei einem günstigeren Online-Händler.

1 Like
#12

Hallo,

können. Nicht umsonst untersagen etliche Banken das
PIN-TAN-Verfahren mit Smartphones (bzw. schließen die Haftung
aus).

könntest Du mir einige dieser „etlichen“ Kreditinstitute nennen?

Interessiert
C.

#13

Hallo,

die Sicherheit jedes Systems ist umgekehrt proportional zur Blödheit seines Anwenders. Wenn man keine Schädlinge auf sein System holt, seine TAN-Liste nicht mit seinem Namen versehen im Bus liegen läßt und seine Zugangsdaten nicht bei http://please.hackmyaccount.ru veröffentlicht, dann ist auch das angeblich antiquierte PIN-TAN-System absolut sicher.

Alle anderen Verfahren bieten vor allem mehr Komplexität und – nicht zuletzt - mehr Sicherheit für das Kreditinstitut. Mehr Sicherheit in dem Sinne, daß man - je geiler das Verfahren ist umso besser - darauf verweisen kann, daß das Verfahren sicher sei und der entstandene Schaden auf einen Fehler des Anwenders zurückzuführen sein muß.

Nach allem, was man hört, werden Mobiltelephone häufiger geklaut als TAN-Listen und wenn man beim BestSign-Verfahren einmal nicht richtig hinschaut, ist man auf jeden Fall gekniffen, während bei normalen schädlingsbedingten Vorfällen die Kreditinstitute den Schaden bisher immer ausgeglichen haben.

Kurzum: das PIN-TAN-System ist vollkommen ausreichend. Bestsign und andere Verfahren machen die Sache nicht unsicherer aber auch nicht unbedingt sicherer. Ich sehe allerdings für den Schadensfall die Wahrscheinlichkeit als höher an, daß das Kreditinstitut unter Hinweis auf die unfehlbare Sicherheit des Verfahrens einen eventuellen Schaden nicht oder nur teilweise übernimmt.

Gruß
C.

#14

liebe Experten.

Nachdem ich gestern bei den Gelben einer Kopie davon:
http://www.youtube.com/watch?v=-XEKfGNHBqg
begegnet bin …
Naja, gibt ja Alternativen.
Aber es wird wohl ein TAN-Verfahren werden.
Bloß das blöde Abtippen der Nummernliste und der PIN nervt. Egal, wenn ich´s einmal im Entwurfsordner des Postfachs habe, kann ich die Liste ja samt PIN in den Altpapiersammelkarton tun … :wink:)

RF

#15

können. Nicht umsonst untersagen etliche Banken das
PIN-TAN-Verfahren mit Smartphones (bzw. schließen die Haftung
aus).

könntest Du mir einige dieser „etlichen“ Kreditinstitute
nennen?

Wenn ich nicht irre, sämtliche Sparkassen (das sind schon etliche), aber auch diverse andere Banken. In der c’t stand dazu Mal was, auch die Verbraucherzentralen sollten Dir konkrete Geldinstitute nennen können. In jedem Fall sind es nicht einige wenige. Ob es eine Mehrzahl ist, kann ich nicht sagen. Ich tippe allerdings, daß erstaunlich viele Menschen die AGB nicht wirklich lesen und eine entprechende Regelung daher gar nicht kennen.

Gruß

osmodius

P.S.: Für die Sparkassen ist das recht einfach zu überprüfen http://www.google.de/#hl=de&q=smstan+smartphone+spar… , für ander Banken sollte das ähnlich klappen, allerdings muss man immer ein wenig suchen, bis man den entsprechnden Hinweis findet. Vorher kommt immer ein vollmundiges „super-duper online-überall-banking auch mit Ihrem Smartphone“.

#16

Ok, jedem sein Ding. Für mich ist HBCI das Optimale.

Ist auch noch immer die beste Spielart, allerdings mit einem Klasse-3-Gerät, also mit eigener Tastatur und Display.

Gruß

osmodius

#17

Richtig,
setzte ich auch vorraus. Di beste Wahl ist und bleibt RAINER (Reiner) als Kartenlesen.
Gruß
Ratatouille

#18

können. Nicht umsonst untersagen etliche Banken das
PIN-TAN-Verfahren mit Smartphones (bzw. schließen die Haftung
aus).

könntest Du mir einige dieser „etlichen“ Kreditinstitute
nennen?

Wenn ich nicht irre, sämtliche Sparkassen (das sind schon
etliche), aber auch diverse andere Banken.

Die Sparkassen untersagen nicht die Anwendung des PIN-TAN-Verfahrens mit einem mobilen Endgerät. Sie untersagen nur die Verwendung des gleichen Gerätes, auf das auch die SMS-TAN geschickt wird.

In der c’t stand
dazu Mal was, auch die Verbraucherzentralen sollten Dir
konkrete Geldinstitute nennen können.

Ich würde das aber gerne von Dir hören, denn Du hast die Behauptung aufgestellt.

In jedem Fall sind es
nicht einige wenige. Ob es eine Mehrzahl ist, kann ich nicht
sagen. Ich tippe allerdings, daß erstaunlich viele Menschen
die AGB nicht wirklich lesen und eine entprechende Regelung
daher gar nicht kennen.

Gerade, weil ich die AGB lese und kenne, bezweifle ich, daß es auch nur ein Kreditinstitut in Deutschland gibt, das die Verwendungung des PIN-TAN-Verfahrens auf mobilen Endgeräten untersagt. Daher meine Frage.

P.S.: Für die Sparkassen ist das recht einfach zu überprüfen
http://www.google.de/#hl=de&q=smstan+smartphone+spar… ,

Da geht es um das smsTAN-Verfahren, das etwas völlig anderes ist, als das Verfahren mit den TAN-Listen.

Gruß
C.

#19

Aber es wird wohl ein TAN-Verfahren werden.
Bloß das blöde Abtippen der Nummernliste und der PIN nervt.
Egal, wenn ich´s einmal im Entwurfsordner des Postfachs habe,
kann ich die Liste ja samt PIN in den Altpapiersammelkarton
tun … :wink:)

Du machst dir Gedanken über die Sicherheit von online-Banking und dann willst du deine TAN-Liste abtippen und mit der PIN in deinem Mailkonto abspeichern?
Warum faltest du das alles nicht gleich schön zusammen und steckst es zusammem in deine Geldbörse?

Im übrigen gibt es bei den Sparkassen und Volksbanken bei uns im Umkreis schon gar keine TAN-Listen mehr.
Entweder das kleine TAN-Gerätchen oder SMS.

Krümelchen

#20

Ich muss dem User Recht geben. Denn die Karte und der Kartenleser müssen genehmigt werden. Das heißt wenn ich mir einen Kartenleser (egal wo) kaufe, muss ich den erste mit der IC Nummer des Kartenlesers registrieren lassen. Sonst geht Garnichts, denn der könnte ja gestohlen sein. Wenn ein Kartenleser erst mal Registriert ist und ich den weiterverkaufen will muss ich die Registrierung Aufheben lassen. Das geht nur mit angaben des neuen Besitzer der den Kartenleser neu registrieren lassen muss. Die Karte von der Bank ist nicht Übertragbar. Das heißt (was die Meisten User nicht wissen) das die ID Nummer des Kartenlesers immer mit übertragent wird. Deswegen kann zum Beispiel keine Karte in einem anderen Kartenleser verwendet werden. Das bedeutet, wenn jemand in besitz einer fremden Karte ist, kann er damit nichts anhangen ohne den dazu registrierten Kartenleser. Dann ist da noch eine andere Sicherheit eingebaut, Die Software zum Beispiel Star Money muss ebenfalls Registriert werden.
Somit hab ich einiges an Sicherheit. Dann ist da noch die fünf Stellige Pin der Karte, die kann nur im Kartenleser eingegeben werden, nie im Rechner (Tastatur). Ob es noch ein anderes Verfahren gibt das sicherer ist weiß ich nicht. Mir ist jeden falls keins bekannt.