Wolfgang-12

Hallo Also gut, vielleicht sollte ich einfach mal damit beginnen, worum es mir ging. Ich selbst brauche im Grunde kein „besonders sicheres Banking“, mein Rechner ist gesichert, die Verbindung ist stabil, ich betreibe mein Homebanking nur von meinem Rechner zu Hause aus und mir ist es im Grunde gleich, welches Verfahren ich verwende. Nur: In meinem Verwandtenkreis gibt es einige ältere Leute und wenn die Krank sind oder vielleicht dauerhaft krank werden, dann haben die ggf. Probleme Ihre Bankgeschäfte noch per Internet zu machen. Meinen Eltern zum Beispiel haben ich und mein Bruder mit viel Zeit nun den Zugang zum Internet eingerichtet und erklärt und die haben sich auch schon ans Homebanking rangetraut. Aber da diese wegen Sehschwächen auch gerne die Vergrößerung des Bildschirms verändern ist zum Beispiel der Tan-Generator einfach nur eine Frickelslösung, die sie dann irgendwann genervt wieder aufgegeben haben. Wenn man eine Lösung sucht für Leute, die bereits viel Mühe darin verwenden, sich selbst zu helfen, dann – so war meine Auffassung – könnte ein solcher Chipkartenleser eine Möglichkeit sein. Da ich selbst aber ungerne etwas empfehle, was ich nicht selbst nutze, habe ich mir das Gerät gekauft und sogar die Bank gewechselt (nicht nur deswegen). Was ist das Hauptproblem bei diesen Dingen? Personen, die über 80 Jahre alt sind, das Internetten mit viel Mühe selbst erlernt haben oder eben beigebracht bekamen, die sind an einer Stelle verwundbar. Mit einem falschen Klick an die falsche Stelle, kann schnell eine Schadsoftware eingeschleust werden. Und dann können schnell Überweisungen trojanergesteuert umgelenkt werden. Ich brauche also ein Homebanking, das auch bei MitM-Angriffen zuverlässig arbeitet. Das sind im Grunde alle echten Zweigwegsysteme. Zu diesem gehören die SMS-Tan (Absicherung geht über die Handy-Verbindung) und genau besehen auch der Tan-Generator (Hier ist es eine Verbindung zur Kontokarte, die im Generator steckt). Chipkartenleser sind im Grunde ungeschützt gegen MitM-Atacken mit einer möglichen Ausnahme und das sind Geräte der Sicherheitsklasse 3. Es ist keine zwingenden Ausnahme, sondern nur eine mögliche Ausnahme. Damit die Geräte wirklich gegen MitM-Angriffe schützen, ist es wichtig, dass diese eine eigene https-Verbindung zum Bankrechner aufbauen. Sie dürfen also nicht von der wie auch immer aussehenden Software auf dem Rechner Vorgaben bekommen für das Display oder sogar die PIN-Antwort an diese Software senden. Ganz gleich, ob die Software auf dem PC nun der Browser ist oder die Banking-Software, wenn ich eine Überweisung tätigen will, dann endet das immer in der Aussage „Überweisung von <betrag> an <Empfänger> - <iban> - <bic>“. Diese Anfrage muss dann von der PC-Software an den Bankrechner gesendet werden und dann auf dem zweiten Kanal (mit einen anderen Schlüssel verschlüsselt!) an den am gleichen PC angeschlossenen Chipkartenleser. Die Antwort ist dann vom Chipkartenleser zu verschlüsseln und (ohne das der angeschlossene Rechner diese entschlüsseln kann) dann an den Bankrechner zu senden. Das ist wieder die klassische zwei Wege Meldung eines Auftrages. Geschieht die Verschlüsselung nicht auf dem Chipkartenleser, sondern auf der Banksoftware, dann braucht ein Angreifer nur das auf der Verschlüsselungskarte gespeicherte Zertifikat zu kopieren und die PIN abzufangen um volle Kontrolle aller angeschlossenen Konten zu bekommen. Gibt man die PIN in den Kartenleser ein, dann braucht man vielleicht keinen Keylogger-Standard, sondern einen Keylogger-Komfort, doch das war es dann auch. Bei der VR-Net-World-Software hatte ich nur den Verdacht, dass die angeschlossene Software, diesen zweiten Weg „abkürzt“ und das damit im Grunde nur eine geringere Sicherheitsklasse tatsächlich vorliegt. Nachdem ich Banking4W installiert hatte, war ich mir allerdings absolut sicher. Hier wurde bei einer Überweisung das Display des Kartenlesers überhaupt nicht genutzt. Hier war also offenkundig, dass diese Transaktion maximal mit der Sicherheitsklasse 1 durchgeführt war. Mit anderen Worten: Die Software, die man sich auf dem Rechner installiert, die entscheidet über die verwendete Sicherheitsklasse und das ist inakzeptabel. Damit kann keine der Geräte eine ernste MitM-Attacke abwehren. Wichtig wäre hier ein Abschalten, aller abwärtskompatiblen Funktionen. Beim Einlegen einer Signaturkarte kann und darf es zum Beispiel für den Anwender nicht möglich sein mit einer Softwarefunktion wie Chipcardmaster offengelegt das Zertifikat auszulesen und auf den Rechner zu kopieren. Die Möglichkeit bietet nur zweifachen Missbrauch. Sie ermöglicht der angeschlossenen Software einen auffälligen oder auch unauffälligen Betrieb in einer niedrigeren Sicherheitsklasse Sie ermöglicht dem MitM das Auslesen des Zertifikates. Es wäre Aufgabe eines Workshops, die Funktionenliste eines Chipkartenlesers durchzugehen um herauszufinden, welche Funktionen sinnvoll sind und bleiben sollten und welche eben nicht sinnvoll sind. Wer eine Signaturkarte inhaltlich lesen oder gar erstellen will, der kann ja einen Leser nehmen der Sicherheitsklasse 0. Wer aber sichere Transaktionen im Sinn hat, für den ist weniger mehr. Ich stufe daher nicht HBCI als „alten Hut“ ein, für mich ist der Kartenleser selbst sehr problematisch. Er offensichtlich ist nicht in der Lage, die Angriffe abzuwehren, für dessen Abwehr er gebaut wurde. Von daher gehe ich aktuell den Weg, dass ich mich wieder aus dem allem zurückziehe. Auch die eID-Funktion meines Personalausweises habe ich wieder gekündigt. Wie sagte es mir ein Banker? Dies sei zurzeit nicht deren aktuelles Tätigkeitsfeld, weil hier die Kriminellen nicht aktiv sind. Ich lese diese Antwort so: „Wenn die bei Ihnen eingebrochen haben, dann bessern wir schon nach.“ – Er hat mir allerdings nicht beantwortet, wer für den Schaden aufkommt. Damit ist die Sache für mich einfach. Ich ziehe mich zurück und warte auf die Einbruchswelle. Und ein bis zwei Jahre danach schaue ich dann mal wieder vorbei. Herzliche Grüße Wolfgang

Hallo Isoleucin Also erst mal Danke für die Tipps. Inzwischen habe ich mir mal die Banking4W-Software angesehen und hier praktisch das gleiche Problem festgestellt wie bei der anderen Software. Nur ist hier das Problem noch viel offenkundiger. Also: Die Idee ist ein Gerät, dass über Tastatur verfügt und ein Display mit dem man einen Auftrag über einen 2. Weg absichern kann. Bei dieser Software allerdings findet eine Überweisung mit dem hier genannten Gerät in folgender Weise statt. Ich gebe die Daten für den Überweisungsauftrag auf klassische Art am Rechner ein. Ich werde aufgefordert am Kartenleser die Pin einzugeben. Dann wird ohne weiteres Zutun die Überweisung vorgenommen. Normalerweise würd ich annehmen: Ich fülle das Überweisungsformular am Rechner aus. Ich bekomme am Kartenleser die Aussage gezeigt "Überweisung von <Betrag> auf <Konto> der <Bank>?" und gebe dann erst die PIN ein. Und dann erst wird die Zahlung/Überweisung ausgeführt. Diese besagte Software jedenfalls nutzt den Chipkartenleser nur als erweiterte Tastatur. Eine wirkliche zusätzliche Sicherheit jedenfalls wird hier nicht geboten. Im Grunde hätte ich hier auch einen Leser der Klasse 0 kaufen oder einfach das Zertifikat auf meinem Rechner installieren und die Pin per Tastatur eingeben können. Herzliche Grüße Wolfgang

Einen wunderschönen guten Tag Ich bin Endandwender und habe mir das Gerät eigentlich gekauft, weil mich die Beschreibung überzeugte. Im Grunde war es das, was ich im Bereich des Homebankings immer gesucht habe. Es war ein Gerät mit eingener Tastatur und eigener Anzeige, dass mir auf einem 2. Kanal helfen sollte, einen Bankauftrag zu bestätigen. Ich weiß, das hat man mit dem Tan-Generator im Grunde auch, doch der funktioniert auf meinem Rechner einfach nur sehr frickelig. Ich war seinerzeit bei der Bank A und ich war zunehmend unzufrieden auch mit der Hotline und wollte ohnehin wechseln. Nachdem ich dann gelesen habe, dass HBCI offenbar das Format war, dass unterstützt werden sollte, habe ich mir eine Bank gesucht, die HBCI kann, und wollte dann Homebanking mit HBCI machen. Nun habe ich erst nach dem Wechsel der Bank erfahren, dass HBCI nicht mit dem Browser zusammen läuft, sondern dass noch eine Zusatzsoftware nötig ist. Das Problem dieser Zusatzsoftware ist weniger der Preis (unter 100 Euro), sondern mehr das die wirklich spartanische Dokumentation, die ständigen Abstürze und der ungepflegte Zustand. So ist diese Software noch nicht umgestellt auf SEPA. Darüber hinaus habe ich den Verdacht, dass mein Secoder nicht mit der Bank kommuniziert, sondern mit dieser frickeligen Software, was im Grunde ein unterlaufen des Sicherheitsstandards ist. Im Zusammenhang mit dieser Software liegt also eher die Sicherheitsklasse 0 vor, als die Sicherheitsklasse 3. Mit anderen Worten: Den Leser habe ich nun, doch wo ist die Homebankingsoftware, die der Sicherheitsklasse 3 genügt? Wie kommt man daran? Herzliche Grüße Wolfgang Uhr