Sicheres Onlinebanking nur wie?

A

Amy11256

Neuling
Thread Starter
Mitglied seit
15.11.2008
Beiträge
13
Hallo,

ich möchte gerne auf Online Banking umstellen. Allerdings erscheint mir das immernoch sehr unsicher.

Ein großes Problem sehe ich in Trojaner.

Ich habe meine Festplatte in drei Bereiche aufgeteilt:

1 XP zum surfen

2 XP (für online gedacht)

3. Vista für Spiele usw.

Partition 2 soll nur fürs Onlinebanking genutzt werden.
Doch was ist wenn ich mir mit Partition1 einen VIrus einfange? Man kannt das doch: Man surft im Netz und durch einen falschen klick ist man auf einer Pornoseite oder sonst wo.

Momentan habe ich das Problem dass ich einen Trojaner auf der Festplatte habe. Antivir hat ihn in Quarantäne verschoben doch was heißt das?

Greift ein Trojaner oder Virus auf alle Partitionen zu oder nur auf die wo er "entstanden" ist?

Könnte ich jetzt sicher auf Part. 2 meine Geschäfte buchen?

Wie macht ihr das bzw. wie soll ich vorgehen?

Soll ich eine extra Platte nur fürs Onlinebanking kaufen?

Gruß Amy
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sobald man einen Trojaner hat, sitzt dieser im Arbeitsspeicher. Wie das bei zwei unabhängig voneinander gestarteten OS mit Bootmenü ist, kann ich nicht sagen. Glaube jedoch, dass es dann nur bei einem OS bleibt, also wenn in deinem Falle auf der 1. XP-Part. wäre, dann kommt er auch auf die 2., jedoch nicht auf die 3. von Vista.

Benutzt du ein Kartenlesegerät oder erfolgen alle Eingaben per Browser?
Eine Möglichkeit wäre, die Zugangsdaten per Bildschirmtastatur einzugeben mit Mausklicks, denn ein Trojaner schreibt gerne die Tastaturanschläge mit und sendet sie per Mail an den Urheber. Mit Mausklicks kann er aber nichts anfangen.

Probiere es aus: tippe OSK in die Zeile bei Ausführen :wink:

Die Verschiebung von AntiVir sollte sicher sein. Ansonsten lösche die Datei und starte den Rechner neu. Schaue dann nochmal nach Viren.

Eine extra Platte dafür halte ich für übertrieben und unnötig. Eine Sicherheit zum Schutz deiner Daten hast du nie. Also kann das auch auf einer bleiben.
 
Hallo,

nein ein Kartenlesegerät benutze ich nicht.

Ich habe bisher noch kein Onlinebanking gemacht. Ich habe ein Tagesgeldkonto eröffnet und möchte von dem Onlineverrechnungskonto (mit Überweisung eingezahlt) aufs TGK einzahlen.

tippe OSK in die Zeile bei Ausführen
Zum Vergrößern anklicken....

Ich stelle mich da vielleicht etwas blöd an aber wie meinst Du das?

Hat jede Onlinebank so eine Bildschirmtastatur?
 
Windows hat eine eingebaut Bildschirmtastatur, diese kannst du über den Befehl OSK aufrufen. on-screen keyboard ;)
 
Zuletzt bearbeitet:
dein vorgehen wird dir nichts nutzen.
benutz doch einfach eine linux livecd, z.b. ubuntu

die schiebst ins dvdlaufwerk, startest den rechner, dann tätigst du deine buchungen in linux, startest neu und arbeitest in windows weiter.
 
Sicheres Onlinebanking nur wie?
Zum Vergrößern anklicken....
Kurze Antwort: Echtes HBCI mit Chipkarte und externem Lesegerät der Klasse xyz (selbst nachgucken, es muß mindestens eins mit eigener Tastatur für die notwendigen Eingaben sein).

Lange Version vielleicht morgen...
 
man kann es auch übertreiben...

online banking ist mittlerweile für den normalen hausgebrauch sicher genug. das wahrscheinlichste mittel, dass ein anderer an deine login-daten kommt, ist wohl eine gefakte bank-login-maske, auf der du deine daten eingibst. wenn du dir die seite aber als link abspeicherst und dir merkst, dass beim login nie nach TAN usw gefragt wird, sollte aber nichts passieren. selbst wenn jemand (wie auch immer) deine zugangsdaten heraus gefunden hat, fängt er nicht wirklich etwas damit an. er kann sich dann deinen kontostand ansehen...toll. für eine überweisung braucht er einen gültigen TAN/TAC und die bekommt auch niemand über einen trojaner. denn sobald du den TAC eingegeben hast und auf ok gedrückt hast, ist der TAN für jede weitere eingabe ungültig.

wenn da wirklich so viele sicherheitslücken bestehen würden, würde man mit sicherheit genug davon in den medien lesen. einzelfälle wird es natürlich immer wieder geben, aber wenn leute meinen, dass sie sich auf irgendwelchen dubiosen seiten mit bankdaten und fünf gültigen TAN einloggen müssen, sind sie selbst schuld.
 
So, ich melde mich auch mal zu einem solchen Thema zu Wort.

Es gibt User die haben x-verschiedene Betriebssyssteme drauf, starten dann über eine Boot CD und laden wiederum eine VM um dann darüber Online Banking zu machen.
Solch ein Blödsinn.

Seien wir doch ehrlich, das reine Online Banking ist mehr als nur sicher. Egal ob nur über PIN, Chip oder was auch immer. Denn die Verbindung findet verschlüsselt statt und da kann aus meiner Sicht nichts passieren.

Wo was geschehen kann ist beim Einloggen.
Da kann man auf eine gefälschte Seite umgeleitet werden, gibt die Daten da ein und schon hat der böse die Daten und kann sich einloggen.

Ein Keylogger nützt da schon mal gar nichts, was soll er loggen? Das Passwort das beim nächsten mal schon wiede ungültig ist?
Nein, er müsste schon mit einer gefälschten Startseite aufwarten.

Dann kommen wir zum Schutz des Rechners. Solange dieser nicht ausreichend geschützt ist (richtige Virensoftware und Firewall) macht man es jedem bösen buben leicht.
Also lieber dafür sorgen dass das System sicher ist. Dann ist die Gefahr dass man auf eine gefälschte Startseite kommt gleich null.

Und so leid es mir tut, aber diese Gratis Dinger von Viren Software ist für mich halt einfach nichts richtiges. Ok, klar, nicht jeder kann es sich leisten, dann hat es schon seinen Sinn. Aber was spricht dagegen den Rechner von Zeit zu Zeit mal mit einer richtigen Version zu scannen?
Kaspersky bietet Online Scansoftware an oder die Möglichkeit die Demoversion runterzuladen und diese mit der aktuellsten Virendefinition laufen zu lassen. Es gibt nur eine Einschränkung in der Nutzungsdauer.

ASUS User sollten mal auf der Mainboard CD nachschauen. Eine Zeitlang (weiss nicht ob es noch immer so ist) gab es dort Kaspersky. Bei ASUS selber kann man dann den Key erneuern - GRATIS.

Und was den Trojaner angeht der nur die Tastatur Eingaben überträgt, ja den soll es auch geben. Ein ehemaliger Kumpel von mir hat vor 8 Jahren schon ein Tool gehabt dass er auf einem fremd Rechner einschleusen konnte, dass nicht auffiel und nicht nur Tasteneingaben sondern auch den Bildschirm Inhalt filmte und übertrug. Somit nützt die Bildschirmtastatur rein gar nichts, wenn der Trojaner auch den Bildschirminhalt filmt.

Also, lasst die Paranoia zu Hause.
Haltet lieber das System mit richtiger Software sauber und schaut beim Einloggen darauf dass ihr auch auf der richtigen Webseite seid.

Ach ja, aus meiner Sicht passieren hier die meisten Fehler weil Leute auf Email Antworten die gefälscht sind. Man gibt ja so gerne seine privaten Daten an fremde weiter :-)
 
ür eine überweisung braucht er einen gültigen TAN/TAC und die bekommt auch niemand über einen trojaner. denn sobald du den TAC eingegeben hast und auf ok gedrückt hast, ist der TAN für jede weitere eingabe ungültig.
Zum Vergrößern anklicken....
Entsprechende Szenarien wurden schon 2005 beschrieben:
http://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt

Ich weiß nicht welche "Medien" ihr verfolgt, aber es wurde durchaus darüber berichtet - nicht nur bei Freaks wie der c't oder dem CC2, sondern auch bei ARD/HR/WDR.
Aber zum Glück passiert sowas ja nicht in echt?
 
Oh ja... und wie oft sind solche "Attacken" in freier Wildbahn vorgekommen?

Schon einmal darüber nachgedacht, dass solche "Magazine", wie z.B. Akte, Wiso etc. einem jede Menge Räuberpistolen auftischen. Es muss ja auch interessant sein ...

Entweder nutzt man HBCI oder halt das iTan Verfahren ...
 
Zuletzt bearbeitet:
******* schrieb:
Natürlich das kommt die ganze Zeit vor!
Zum Vergrößern anklicken....

Meine Aussage bezog dich auf KGM11s Artikel zum umgehen des iTan Verfahrens mittel einer "man in the middle attack". Und das kommt bestimmt nicht die ganze Zeit vor.

HBCI oder halt das iTan bieten ja auch nicht alle Banken (kostenlos) an.
Zum Vergrößern anklicken....

iTan und ähnliche Verfahren gehören bei den meisten deutschen Banken und Sparkassen zum Standard.

HBCI ist meistens mit einmaligen Kosten verbunden. (HBCI Karte und Lesegerät + Software, sollte zwischen 50 und 100 € liegen)

Mir sind in freier Wildbahn nur Fälle bekannt, bei denen der Kunde bereitwillig seine halbe TAN Liste und die Zugangsdaten abgetippt hat, natürlich auf einer manipulierten Seite. Dass dann auch kein indiziertes Tan Verfahren hilft ist klar.

Außerdem haben die Banken die Kunden selten auf ihren Schäden sitzen lassen, es sei denn man weißt ihnen ein solches Verhalten wie oben nach :)
 
Zuletzt bearbeitet:
also ich nutze seit jahren online banking und hatte damit noch nie probleme
und seit es diese tan nummern gibt wo der rechenr jedesmal ne andere abfragt bringt es niemandem was die nummern ab zu fangen
 
KGM11 schrieb:
Entsprechende Szenarien wurden schon 2005 beschrieben:
http://www.redteam-pentesting.de/advisories/rt-sa-2005-014.txt

Ich weiß nicht welche "Medien" ihr verfolgt, aber es wurde durchaus darüber berichtet - nicht nur bei Freaks wie der c't oder dem CC2, sondern auch bei ARD/HR/WDR.
Aber zum Glück passiert sowas ja nicht in echt?
Zum Vergrößern anklicken....
2005 ist ja sehr aktuell. da gibt es mittlerweile sicher keine entsprechenden gegenmaßnahmen...

natürlich gibt es solche fälle, aber fast immer aus dem grund, dass unachtsam mit den daten umgegangen wurde. TAN/TAC wurden dann in einer mail angegeben oder irgendwo eingegeben, wo sie nicht hin gehören.
 
2005 ist ja sehr aktuell.
Zum Vergrößern anklicken....
Das ist ja der gerade der Punkt. Da oben gibts ein tolles Beispiel: Bob.Digs Bank hat anscheinend noch nicht mal von TAN auf iTAN umgestellt? Hallo?

da gibt es mittlerweile sicher keine entsprechenden gegenmaßnahmen...
Zum Vergrößern anklicken....
Die da wären?
Es gibt andere Verfahren - mTAN, eTAN-Plus, vTAN und wie sie nicht alle heißen. Hilft nur nichts wenn sie nicht angeboten und benutzt werden.

natürlich gibt es solche fälle, aber fast immer aus dem grund, dass unachtsam mit den daten umgegangen wurde. TAN/TAC wurden dann in einer mail angegeben oder irgendwo eingegeben, wo sie nicht hin gehören.
Zum Vergrößern anklicken....
Natürlich gibt es auch solche Merkbefreiten noch in ausreichender Anzahl. Aber die Behauptung war "Trojaner auf dem Rechner können mir beim Online-Banking mit TANs nix". Antwort: Ein ausführlicher Proof-of-Concept existiert seit Jahren, das eigentliche Konzept der MitM-Angriffe ist noch viel älter. Wer wirklich glaubt, daß sich niemand in der Praxis damit beschäftigt, möge sich mal über den Funktionsumfang von Silentbanker, Sinowal und ähnlichen Konstruktionen informieren.
 
Eine Live-CD ist eine sichere Lösung, wenn, wie schon geschrieben, für den benutzten WLAN-Adapter ein Treiber dabei ist. Man kann auch einfach eine VM aufsetzen und diese fürs Online-Banking nutzen. Ich persönlich mach es genau anders rum: VM zum Surfen und richtigen PC für Online-Banking, Bestellungen usw.
 
Hi,

danke für Eure Antworten. Ich habe ein Tagesgeldkonto bei der Netbank, die bietet iTan an.

Ich nutze fürs Onlinebanking jetzt nur den PC meiner Mutter. Den habe ich gerade frisch formatiert. Windows XP mit SP3 drauf. Dazu noch Antivir, Spybot und ZOnealarm.

Meine Mutter spielt da eigentlich nur mal ein paar billig Spiele drauf.

Ich werde Onlinebanking wohl nur einmal im Monat oder so nutzen. Es geht mir darum Geld wenn Girokonto aufs TGK oder andersum zu tranferieren.
 
sorry alo das es noch banken gibt die e-tan oder ähnliches nicht anbieten ist ziemlich ärmlich

eventuell würde ich mir mal überlegen ob ich die bank wechsel bevor ich mir nur extra fürs online banking nen extra rechner bau oder ne extra festplatte mit nem eigenen betriebssystem fürs online banking einbaue
 
Hi,

erstmal frohes neues Jahr.

Die Netbank hat ITan nicht Etan. Ich denke iTan ist neben mTan das beste was zurzeit Standard ist, oder?

Ich wollte den Rechner meiner Mutter ohnehin formatieren und alle neu machen. Der Vorteil ist jetzt halt dass er frisch und ohne Viren ist und nur fürs surfen genutzt wurde.

Daher habe ich das mal ausgenutzt. Außerdem surft meine Mutter in letzter Zeit eh nicht.
 
Hi,
das sicherste bleibt leider HBCI mit Card-Reader und Banking-Programm. Weil hier die Daten bei dir verschlüsselt und signiert werden und dann nur die entsprechende Gegenstelle die Daten verarbeiten kann. Wenn jemand die Daten abfängt kann er wenig damit anfangen.

Seit auf der 25C3 am 30.12.08 gezeigt wurde wie verwundbar SSL ist, würde ich HBCI bevorzugen. Bei dieser Art von Angriff nützt dann auch keine VM-Ware oder Live-CD. Diese sind auch nutzlos wenn per CSRF im Router einfach Routen einfach geändert werden und man plötzlich ganz wo anders landet als man es meint. Für einige wird das alles sicherlich Paranoia sein, nur es zeigt was möglich ist und wo drüber man sich eventuell mal Gedanken machen sollte. Ansonsten heißt es am Ende wieder "Das hat mir keiner gesagt, davon wusste ich nichts.". ;)

SSL Thematik
http://www.heise.de/security/25C3-E...as-SSL-Zertifikatsystem--/news/meldung/121005

CSRF
http://www.heise.de/security/Einfallstor-Browser--/artikel/115254/2

Etwas von Focus Money, der Chip und Reiner SCT zur Thematik
http://www.reiner-sct.com/aus_fuer_hacker/e-book/
 
Anmelden, um zu antworten.

Ähnliche Themen

maloy
Womit surft es sich sicherer, mit Linux oder Windows ?
Antworten
15
Aufrufe
1K
SimonX200
S
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
patrickbuhr
[User-Review] MSI MPG 271QRXDE QD-OLED
Antworten
11
Aufrufe
763
patrickbuhr
patrickbuhr
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh