Linux 15.036 Themen, 107.107 Beiträge

Info für Online-Banking unter Linux

Acader / 36 Antworten / Baumansicht Nickles


Ich mache darauf aufmerksam das es sich bei diesen Thread um eine reine Info handelt und keine Werbung darstellen soll


Hallo Linuxer,

damit mehr Komfort und Sicherheit im Online Banking gegeben ist stellen viele Banken als auch die Sparkasse um, d.h. das bisherige TAN-Verfahren wird es ab 01.01.2012 nicht mehr geben.
Ab genannten Datum ist dann ein TAN-Generator oder noch viel besser ein Chipkartenleser mit einer speziellen HBCI-Chipkarte notwendig.
Unter Linux funktionieren allerdings die von z.B. der Sparkasse angebotenen Chipkartenleser nicht, da man mal wieder keine Treiber bzw. das dafür notwendige Plugin nicht zur Verfügung stellt.

Abhilfe dagegen schafft der von der Firma Reiner angebotene Chipkartenselser cyberJack RFID standard welcher unter den Distributionen Debian, Ubuntu und openSuSE einwandfrei funktioniert. Die Treiber und das Plugin muß man sich von dieser Webseite herunterladen.
Wenn man o.g. den Kartenleser bei matrica bestellt spart man durch die staatliche Förderung gar 25 € und bekommt zudem die Moneyplex Software gratis dazu.
Dieser Kartenleser funktioniert natürlich auch unter Windows.



MfG Acader



bei Antwort benachrichtigen
gelöscht_189916 Acader „Info für Online-Banking unter Linux“
Optionen

Hallo

Das ist gut zu wissen, auch wenn bei mir bereits seit geraumer Zeit Homebanking per HBCI läuft.

Fetzigerweise ist mir beim Lesen des Links zum Kartenleser im Zusammenhang mit diesem Thread aber noch etwas aufgefallen:

http://www.nickles.de/forum/linux-contra-monopole/2011/das-bsi-denkt-auch-an-linuxerianer-538817424.html

Es gibt nämlich seit 16.08.2011 auch eine Version für Opensuse (zwar offiziell nur 11.3, aber da das per Alien umgewandelte bei mir unter 11.4 läuft, sehe ich da kein Problem).
Selber habe ich allerdings auf meinen Hinweis keine Antwort vom BSI erhalten, ein Zusammenhang damit kann also auch nur Zufall sein;-)

https://www.ausweisapp.bund.de/pweb/filedownload/download_pre.do

https://www.ausweisapp.bund.de/pweb/cms/filedownload/versionshistorie_opensuse.jsp

Gruß
Thomas

bei Antwort benachrichtigen
gelöscht_84526 Acader „Info für Online-Banking unter Linux“
Optionen
Ab genannten Datum ist dann ein TAN-Generator oder noch viel besser ein Chipkartenleser mit einer speziellen HBCI-Chipkarte notwendig.

Ein Handy reicht auch..... :-))

SCNR
Gruß
K.-H.
bei Antwort benachrichtigen
Acader gelöscht_84526 „ Ein Handy reicht auch..... :- SCNR Gruß K.-H.“
Optionen
Ein Handy reicht auch

Es geht natürlich auch mit smsTAN oder chipTAN.
Würde ich aber nie nehmen weil HBCI-Kartenleser einfach komfortabler ist.
Sicherer als mit Handy ohnehin, wie man mir auf meiner Bank auch erklärte.


MfG Acader


bei Antwort benachrichtigen
gelöscht_84526 Acader „ Es geht natürlich auch mit smsTAN oder chipTAN. Würde ich aber nie nehmen...“
Optionen
Würde ich aber nie nehmen weil HBCI-Kartenleser einfach komfortabler ist.

Noch komfortabler, als mit der sms-TAN geht es ja nun wirklich nicht. Dauert keine 2 Sekunden, bis die TAN nach der Anforderung da ist, einmal eingeben, Auftrag "abschicken", fertig. Und man braucht nicht noch mehr Gedöns, als man ohnehin schon hat.

Über die Sicherheit will ich mich hier nicht auslassen. Jeder preist halt das, wo er am meisten dran verdient - und so einen Kartenleser bekommt man ja nicht umsonst. Ein Handy hat heute jeder, da kann die Bank nichts dran verdienen.....

Gruß
K.-H.
bei Antwort benachrichtigen
gelöscht_189916 gelöscht_84526 „ Noch komfortabler, als mit der sms-TAN geht es ja nun wirklich nicht. Dauert...“
Optionen

Hallo

Ein Handy hat heute jeder, da kann die Bank nichts dran verdienen.....

Das richtet sich wieder nach der jeweiligen Bank, aber soweit ich weiß, wird für die Einrichtung eine Gebühr erhoben und die SMS kostet auch jedesmal, auch wenn es nur ein paar Cent sind, bei häufiger Nutzung läppert sich das auch mit der Zeit.

Den Kartenleser bezahle ich einmal und kann dann auch mit anderen Banken/Konten HBCI nutzen, muß dort natürlich auch einmalig die Kartengebühr entrichten, diese ist aber bei uns niedriger als die für das smsTAN-Verfahren.
Je nach Anwendungsfall ist also das Eine oder das Andere sinnvoller und als Homebankingsoftware steht immerhin das freie Gnucash für beide Anwendungsfälle zur Verfügung statt des Bankings über den Browser.

Gruß
Thomas

bei Antwort benachrichtigen
soppiy gelöscht_189916 „Hallo Das richtet sich wieder nach der jeweiligen Bank, aber soweit ich weiß,...“
Optionen

Ich habe neben HBCI auch SMS Tan bei meiner Sparkasse, und bei mir kosten die SMS keinen Cent, trotzdem nehme die SMS Tan nur im Fall das ich von unterwegs was zahlen muß, HBCI ist mir immer noch am sichersten.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
mawe2 gelöscht_84526 „ Noch komfortabler, als mit der sms-TAN geht es ja nun wirklich nicht. Dauert...“
Optionen
Ein Handy hat heute jeder, da kann die Bank nichts dran verdienen.....

Doch, natürlich. Man nimmt einfach Gebühren für die SMS.

Man kann den Banken sicherlich vieles vorwerfen, eines aber ganz sicher nicht: Mangelnde Phantasie, wie Geld verdient werden kann!

Btw.: Ist es tatsächlich so, dass alle Banken zum Ende des Jahres das TAN-Verfahren abschaffen? Gibt es sowas wie ein Gesetz dafür? Oder entscheidet das jede Bank individuell? Meine Bank hat mich jedenfalls über solche Pläne noch nicht informiert.

Gruß, mawe2
bei Antwort benachrichtigen
mawe2 Nachtrag zu: „ Doch, natürlich. Man nimmt einfach Gebühren für die SMS. Man kann den Banken...“
Optionen
Ist es tatsächlich so, dass alle Banken zum Ende des Jahres das TAN-Verfahren abschaffen?

Ich hab gerade von meiner Bank die Information bekommen, dass keine Änderungen des iTAN-Verfahrens geplant sind. Eine Abschaffung zum Jahresende findet nicht statt.

Gruß, mawe2
bei Antwort benachrichtigen
Acader mawe2 „ Ich hab gerade von meiner Bank die Information bekommen, dass keine Änderungen...“
Optionen
Ist es tatsächlich so, dass alle Banken zum Ende des Jahres das TAN-Verfahren abschaffen?

Ich habe nicht geschrieben alle Banken sondern viele Banken
Kann mir aber denken das in bälde andere Banken da auch nachziehen werden.
Wenn es dich momentan nicht betrifft brauchst du dir auch noch keine Gedanken machen.
HBCI ist jedenfalls sicherer als alles andere und erfüllt auch weitere Funktionen.


MfG Acader



bei Antwort benachrichtigen
mawe2 Acader „ Ich habe nicht geschrieben sondern Kann mir aber denken das in bälde andere...“
Optionen

Ich hatte den Satz das bisherige TAN-Verfahren wird es ab 01.01.2012 nicht mehr geben. eben falsch interpretiert.

Die (undifferenzierte) Information, dass das TAN-Verfahren zum Ende des Jahres abgeschafft wird, habe ich jedoch an verschiedenen anderen Stellen auch schon gelesen und mich immer gewundert, dass meine Bank noch nichts davon berichtet. Durch eine kurze Anfrage bei der Bank hat sich das nun zunächst geklärt: Das TAN-Verfahren wird zum Ende 2011 nicht abgeschafft.

Gruß, mawe2

bei Antwort benachrichtigen
Acader mawe2 „Ich hatte den Satz eben falsch interpretiert. Die undifferenzierte Information,...“
Optionen
Das TAN-Verfahren wird zum Ende 2011 nicht abgeschafft.

Alle Banken werden das auch nicht zugleich tun, zu einem späteren Zeitpunkt aber bestimmt.
Meine Nachfrage bei meiner Bank, warum man überhaupt diese Umstellung vollzieht, d.h. das bisherige Sicherungsverfahren iTAN deaktiviert, ergab die Antwort: Mangelnde Sicherheit beim Umgang mit den TAN's. Ich meine für den richtigen Umgang mit seinen TAN's als auch deren Handhabung ist doch letztendlich der Nutzer selbst verantwortlich.
Ich betreibe Online-Banking seit Bestehen und hatte in Verbindung mit entsprechender Software (früher unter Windows mit StarMoney und seit einigen Jahren unter Linux mit Moneyplex) nie Probleme gehabt. Sicherlich auch die meisten Nutzer nicht.
Aber wie das nun mal so ist gab es eben auch unvorsichtige Anwender (in welcher Form auch immer) und somit hatte man gleich eine gute Begründung parat.
Das große Geld damit machen ohnehin nur die Banken, denn die Umstellung bezahlt letztendlich der Kunde.



MfG Acader



bei Antwort benachrichtigen
mawe2 Acader „ Alle Banken werden das auch nicht zugleich tun, zu einem späteren Zeitpunkt...“
Optionen
Ich meine für den richtigen Umgang mit seinen TAN's als auch deren Handhabung ist doch letztendlich der Nutzer selbst verantwortlich.

Das denke ich auch.

Und ob die Leute zukünftig eine Chipkarte statt einer TAN-Liste unsicher anwenden, ist egal. Die Begründung ist also sinnlos.

Gruß, mawe2
bei Antwort benachrichtigen
Olaf19 Acader „ Alle Banken werden das auch nicht zugleich tun, zu einem späteren Zeitpunkt...“
Optionen
Alle Banken werden das auch nicht zugleich tun, zu einem späteren Zeitpunkt aber bestimmt.

Ich würde das sogar ausdrücklich begrüßen.

Danke für diesen sinnvollen und informativen Thread. Ich werde mich demnächst einmal bei meiner Sparda-Bank erkundigen, ob die dieses neue Verfahren zukünftig auch unterstützen.

Schade übrigens, dass es von Moneyplex keine Mac-Version gibt. Aber Linux ist auch okay.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Acader gelöscht_84526 „ Noch komfortabler, als mit der sms-TAN geht es ja nun wirklich nicht. Dauert...“
Optionen
Noch komfortabler, als mit der sms-TAN geht es ja nun wirklich nicht

Nee, da haste mich verkehrt verstanden.
Mit HBCI haste einfach ganz andere Möglichkeiten:
lese z.B. auch hier nach.
Der Kartenleser kostet nur wenige Euro, weniger als vier Maß Bier beim Oktoberfest in München.
Ein gutes Handy kostet da erheblich mehr und könnte eine richtige Einladung für Häcker werden.
Ist aber ein anderes Thema.


MfG Acader




bei Antwort benachrichtigen
schoppes gelöscht_84526 „ Ein Handy reicht auch..... :- SCNR Gruß K.-H.“
Optionen
Ein Handy reicht auch..... :-))

Dann müsste ich im Winter auf der Straße stehen, weil ich im Haus keinen Empfang habe.
Nee, das ist nichts für mich.

;-)
Erwin
"Früher war alles besser. Sogar die Zukunft." (Karl Valentin)
bei Antwort benachrichtigen
neanderix gelöscht_84526 „ Ein Handy reicht auch..... :- SCNR Gruß K.-H.“
Optionen
Ein Handy reicht auch..... :-))

Das stimmt zwar, allerdings zahlst du - zumindest bei einigen Banken, u.a. der Sparkasse - für jede an dich verschickte TAN.
Lohnt sich also nur bei einigen wenigen Transaktionen.
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
Yogi7 Acader „Info für Online-Banking unter Linux“
Optionen

Hallo Acader,

allgemein empfinde ich es als sehr dreist, wenn die Banken die Kosten für ihr Unsicherheitssystem dem Kunden übertragen.
Meine Bank schaffte auch im April die TANs ab. Nun bin ich wieder Handarbeiter bis Jahresende.

Jürgen

bei Antwort benachrichtigen
Acader Yogi7 „Hallo Acader, allgemein empfinde ich es als sehr dreist, wenn die Banken die...“
Optionen
allgemein empfinde ich es als sehr dreist, wenn die Banken die Kosten für ihr Unsicherheitssystem dem Kunden übertragen

Ehrlich gesagt hast du vollkommen Recht.
Zumindest sollte dem Kunden ein Standard- Chipkartenleser zum Nulltarif angeboten werden und auch die Einrichtungsgebühr entfallen.
Die Linuxer würden aber auch da wieder ins Leere schauen. Die speziellen Produkte der Banken sind nur für Windows gemacht.


MfG Acader


bei Antwort benachrichtigen
soppiy Acader „ Ehrlich gesagt hast du vollkommen Recht. Zumindest sollte dem Kunden ein...“
Optionen

Ist ja auch klar warum, jede normale Firma richtete sich mit seinen Angeboten nach der Mehrheit und nicht nach der Minderheit aus, und unbestritten ist doch Windows deutlich weiter verbreitet als Linux. Ich habe auch Linux auf meinem Rechner, aber die meisten geschäftliche Dinge erledige ich nach wie vor mit Windows in meinem Falle mit Windows 7.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
Acader soppiy „Ist ja auch klar warum, jede normale Firma richtete sich mit seinen Angeboten...“
Optionen
jede normale Firma richtete sich mit seinen Angeboten nach der Mehrheit und nicht nach der Minderheit

Damit sind wir wieder an einem bestimmten Punkt und es wird Zeit umzudenken.
Und das es geht zeigen doch auch schon eine Menge Firmen.
Gerade alles was mit Netzwerken und Internet usw zu tun hat ist der Anteil von Linux gar nicht mal mehr so gering und das hat auch seine Berechtigung.


MfG Acader




bei Antwort benachrichtigen
soppiy Acader „ Damit sind wir wieder an einem bestimmten Punkt und es wird Zeit umzudenken....“
Optionen

Richtig, in den Firmen in den den ich tätig war waren meistens die E-Mail Server aber auch Telefonserver auf Linux oder Unix Basis, was schon einige Vorteile mit sich brachte.

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
Hugo20 Acader „Info für Online-Banking unter Linux“
Optionen
..Unter Linux funktionieren allerdings die von z.B. der Sparkasse angebotenen Chipkartenleser nicht, da man mal wieder keine Treiber bzw. das dafür notwendige Plugin nicht zur Verfügung stellt...

Was für einen Treiber, bzw. was für ein Plugin???

So weit ich weiß brauchst Du doch lediglich das Teil für kurze Zeit an den Bildschirm halten, bis der dann die Signale, die da in diesem Fensterchen flitzen, eingelesen hat.
Wenn Du also normal ON-Line-Banking im wie auch immer-Browser unter Linux machen kannst, dann kannste das doch auch mit jedem Spasskassen- oder Voba- oder was auch immer-Gerät.
Grüßle
hugo
„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
gelöscht_84526 Hugo20 „ Was für einen Treiber, bzw. was für ein Plugin??? So weit ich weiß brauchst...“
Optionen

Hi,

es geht hier um die Chipkartenleser, nicht um die TAN-Generatoren. Das sind zwei unterschiedliche Geräte....

Gruß
K.-H.

bei Antwort benachrichtigen
Hugo20 gelöscht_84526 „Hi, es geht hier um die Chipkartenleser, nicht um die TAN-Generatoren. Das sind...“
Optionen

Der war richtig Klasse X:D

Guckst Du mal zurück auch den Ursprung dieses Threads

..damit mehr Komfort und Sicherheit im Online Banking gegeben ist stellen viele Banken als auch die Sparkasse um, d.h. das bisherige TAN-Verfahren wird es ab 01.01.2012 nicht mehr geben.
Ab genannten Datum ist dann ein TAN-Generator oder noch viel besser ein Chipkartenleser mit einer speziellen HBCI-Chipkarte notwendig. ...


Da wird genau das beschrieben, auf was ich eingegangen bin.
Mit der Umstellung auf diese Chip-Karten stellen die Banken doch auch gleich auf dieses neue Verfahren um.
Also weg vom Magnetstreifen und hin zum Chip.
Teilweise sogar mit derben und teuren Einschränkungen wie, "weg vom weltweiten MAESTRO-System."

Was also bitteschön ist für Dich nun der Unterschied -in diesem Zusammenhang- zwischen einem Chipkartenleser und nem TAN-Generator...???
Kann da grad nicht ganz folgen...

„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
gelöscht_84526 Hugo20 „Der war richtig Klasse X:D Guckst Du mal zurück auch den Ursprung dieses...“
Optionen

Das ist ein TAN-Generator:


Das ist ein Chipkartenleser:


Der TAN-Generator besitzt keine Anschlussmöglichkeit an den Computer. Damit wird lediglich ein Strichcode ausgelesen, welcher von der Bank auf dem Bildschirm deines Rechners - also auf dem Monitor - generiert wird. Über diesen Strichcode generiert der TAN-Generator eine TAN - und zwar (nochmal für dich) ohne dass er mit dem Rechner verbunden ist! Da ist es vollkommen egal, welches System da läuft, der TAN-Generator ist überhaupt nicht mit dem Rechner verbunden, da braucht man demzufolge auch keine Treiber.

Beim Chipkartenleser ist das ganz anders. Da wird die Chipkarte in das Lesegerät eingeführt und das Lesegerät ist über ein Kabel (USB) mit dem Rechner verbunden. Demzufolge braucht man da natürlich für das Gerät einen Treiber. Und den bekommt man eben nicht für alle Geräte für alle Systeme!

Den Unterschied zwischen beiden Geräten sollte man schon kennen, wenn man darüber große Vorträge halten will.....

Gruß
K.-H.

bei Antwort benachrichtigen
Acader Hugo20 „ Was für einen Treiber, bzw. was für ein Plugin??? So weit ich weiß brauchst...“
Optionen
Was für einen Treiber, bzw. was für ein Plugin???

Gemeint ist damit der Chipkartenleser um dessen Funktionalität in vollen Umfang zu nutzen.
Ohne den richtigen Treiber funktionieren diese Geräte überhaupt nicht.
Zur Ansteuerung des Kartenlesers muß das notwendige Plugin noch installiert werden. Z.B. in der Kontaktverwaltung für die entsprechende Bank.
Deshalb darauf achten das die richtigen Treiber dafür angeboten werden wie z.b. hier

Wenn Du also normal ON-Line-Banking im wie auch immer-Browser unter Linux machen kannst

Online-Banking im Web-Browser ist aus Sicherheitsgründen nicht zu empfehlen.
Genau deshalb gab es schon genügend Ärger für die Nutzer.
Deshalb stets eine Finanzsoftware nutzen. Ich persönlich bevorzuge Moneyplex.

Wie mir eine IT Mitarbeiterin der Sparkasse mittelte funktioniert der angebotene eigene TAN-Generator nicht unter Linux.
Kam für mich aber ohnehin nicht in Frage.


MfG Acader


bei Antwort benachrichtigen
Hugo20 Acader „ Gemeint ist damit der Chipkartenleser um dessen Funktionalität in vollen...“
Optionen
..Wie mir eine IT Mitarbeiterin der Sparkasse mittelte funktioniert der angebotene eigene TAN-Generator nicht unter Linux.

Dann sollte sich diese IT-Mitarbeiterin, bevor Sie so etwas vom Stapel lässt, nochmal gründlich informieren!!!!

Hier, zur Verdeutlichung, mal der Ablauf:
-Auf dem Bildschirm erscheint nun eine sog. animierte Grafik. Führen Sie Ihre SparkassenCard in den TAN-Generator ein und drücken Sie die Taste „F“.

-Halten Sie den TAN-Generator an den Bildschirm auf die animierte Grafik. Die Daten werden nun über die lichtempfindlichen Kontakte auf der Rückseite übertragen.

-Auf dem Display des TAN-Generators werden Ihnen nun nochmals die wichtigsten Daten Ihres Auftrages angezeigt. Prüfen Sie die Daten (bei einer Überweisung z. B. Kontonummer, Betrag) auf ihre Richtigkeit und bestätigen Sie sie mit der Taste „ok“, anschließend wird Ihnen die extra für diesen Auftrag errechnete TAN angezeigt.

-Stimmen die Daten überein, können Sie den Auftrag am PC mit der angezeigten TAN freigeben. Fertig!


Und das funktioniert in JEDEM Browser. Egal ob Winzigweich, Linux, Unix oder weiß der Geier.

Was den Chip-Karten-Leser angeht...
Na das ist so ne Sache. Extra Hardware, die ich einstöpseln und mit Treibern herumlaborieren muss.
Außerdem noch Software dazwischen von nem DRITTEN.
DAS ist etwas was ICH z.B. sicher nicht machen würde. :-D

Mal davon ab, dass es von meinen Banken gar nicht angeboten wird.
Da gibt es nur die Wahl zwischen SMS-Tan und Tan-Generator und sonst nix.

Seien wir doch mal ehrlich; der einzige Grund weshalb die Banken diesen Schritt -weg vom Papierbogen, hin zum Generator- gemacht haben, ist doch der, dass man den ursächlich auslösenden Kundenauftrag -z.B. einen Überweisungsauftrag- für einen kurzen Zeitraum festhält und an eine ganz bestimmte Transaktionsnummer koppelt. Um Schlussendlich zu verhindern, dass ein Dritter dazwischenfunkt.
Für andere Aufträge wäre das "Abfangen", wie bisher schon manchmal passiert, einer solchen TAN sinn- und zwecklos.
„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
Acader Hugo20 „ Dann sollte sich diese IT-Mitarbeiterin, bevor Sie so etwas vom Stapel lässt,...“
Optionen
Dann sollte sich diese IT-Mitarbeiterin, bevor Sie so etwas vom Stapel lässt, nochmal gründlich informieren!!!!

Eigentlich sollte sie aber wissen was sie ihren Kunden da sagt.
Ich als Kunde muß ihr es ja glauben, da ich es nicht vorher ausprobieren kann.
Aber wie geschrieben kam ein Generator für mich ohnehin nicht in Frage.
Nutzt du den eigenen Generator der Sparkasse unter Linux ?
Wenn ja dann glaube ich dir das.

Außerdem noch Software dazwischen von nem DRITTEN
Mal davon ab, dass es von meinen Banken gar nicht angeboten wird

Muß es auch nicht.
Es gibt wohl z.Z. für Linux nichts Besseres als Moneyplex.

Und das funktioniert in JEDEM Browser

Über den Browser Online-Banking zu betreiben ist aber auch ein gewisses Risiko, zumindest für Leute welche sich da mit den Gegebenheiten des Browsers egal ob unter Windows oder Linux nicht gut auskennen. Es steht außer Zweifel das gerade da die meisten Hackerzugriffe bei Unachtsamkeit passieren.
Ich meine jeder sollte auch für sich entscheiden in welcher Form er Online-Banking nutzt.
Mit einer Finanzsoftware hat man ja auch noch andere Möglichkeiten.
Wenn man nur relativ wenig mit Geldüberweisungen zu tun hat, benötigt man diese vielleicht auch nicht unbedingt.


MfG Acader





bei Antwort benachrichtigen
Hugo20 Acader „ Eigentlich sollte sie aber wissen was sie ihren Kunden da sagt. Ich als Kunde...“
Optionen
Über den Browser Online-Banking zu betreiben ist aber auch ein gewisses Risiko...

Eben nicht mehr!!!

Wie schon vorher geschrieben. Die zu diesem EINEN von DIR ausgelösten Request erzeugte TAN ist nur und ausschließlich für diese EINE Transaktion verwendbar.

Auch wenn Deine Möhre total virenverseucht wäre -kein Problem-, denn der "Hacker" könnte bestenfalls die Tan abgreifen, aber nix mehr damit anstellen.

Wenn Du z.B. nach dem generieren der Tan, mittels Generator, zu lange wartest mit der Eingabe, dann ist diese auch schon wieder futsch und Du musst eine neue anfordern.

Grüßle
hugo
„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
Systemcrasher Hugo20 „ Eben nicht mehr!!! Wie schon vorher geschrieben. Die zu diesem EINEN von DIR...“
Optionen
Auch wenn Deine Möhre total virenverseucht wäre

Was haben denn Geschlechtskrankheiten mit Onlinebanking zu tun?

Oder ist Onlinebanking wörtlich zu nehmen? Banken auf dem Strich, Stricherbanken oder wie?

:grübel:
Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Olaf19 Hugo20 „ Eben nicht mehr!!! Wie schon vorher geschrieben. Die zu diesem EINEN von DIR...“
Optionen
Die zu diesem EINEN von DIR ausgelösten Request erzeugte TAN ist nur und ausschließlich für diese EINE Transaktion verwendbar.

Das ist richtig, nur ist es schon vorgekommen, dass arglose User auf einer Phishing-Seite ihre TAN eingegeben haben und die Überweisung dann ganz woanders hingegangen ist als geplant.

Da ist natürlich ein gerüttelt Maß an eigener Fahrlässigkeit im Spiel, zeigt aber, dass auch dieses System nicht absolut sicher ist.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
mawe2 Olaf19 „ Das ist richtig, nur ist es schon vorgekommen, dass arglose User auf einer...“
Optionen
Da ist natürlich ein gerüttelt Maß an eigener Fahrlässigkeit im Spiel, zeigt aber, dass auch dieses System nicht absolut sicher ist.

Lassen wir mal die "Fahrlässigkeit" weg: HTTPS ist nicht mehr vertrauenswürdig!

http://www.heise.de/security/meldung/CA-Hack-Noch-mehr-falsche-Zertifikate-1334098.html

Man kann also bei der Nutzung dieses Protokolls nicht mehr mit Sicherheit sagen, wen man am anderen Ende "an der Strippe" hat. Damit ist eine völlig neue Situation entstanden, die eine sichere Kommunikation über das Internet noch fragwürdiger als je zuvor macht.

Gruß, mawe2
bei Antwort benachrichtigen
Hugo20 Olaf19 „ Das ist richtig, nur ist es schon vorgekommen, dass arglose User auf einer...“
Optionen
... nur ist es schon vorgekommen, dass arglose User auf einer Phishing-Seite ihre TAN eingegeben haben und die Überweisung dann ganz woanders hingegangen ist als geplant.

Gerade das ist doch der Witz am neuen Verfahren. Ein "Phisher" ist nicht mehr in der Lage dazwischen zu funken, geschweige denn eine TAN -wie bisher vom Papierbogen- Zweck zu entfremden.

Spielen wir das Ganze doch einfach mal an einem praktischen Beispiel durch.

MITM (Man-in-the-Middle)
Da hockt also einer -bildlich gesprochen- innerhalb der Strecke zu Deinem Institut auf der Lauer.

Der eigentliche Ablauf bei ner Überweisung:
Du startest die Connection und gibst Deine Daten in der Überweisungsmaske ein.
Wenn Du fertig mit eingeben bist, dann haust Du auf den Knopf und sagst:"Gib alles".
Kurz darauf erscheint ein blinkendes Bildchen vor Deinen Augen und Du hälst den TAN-Generator, in welchen zu zuvor Deine Chip-Bankkarte gesteckt hast, vor das Bildchen und drückst auf "F".
Der TAN-Generator liest die Daten aus diesen Lichtblitzen und meldet, wenn alles OK ist, nach kurzer Zeit, dass Du weitermachen kannst.
"Er" zeigt Dir Empfängerkonto, Empfängerbankleitzahl und den Betrag an, was DU jeweils mit OK bestätigen musst.
Erst DANN bekommst DU die eigens für diese eine Transaktion generierte (errechnete) Transaktionsnummer angezeigt, die Du anschließend in die Freigabemaske eingibst.
Du drückst auf Enter und bekommst die Bestätigung, dass der Auftrag entgegengenommen wurde.
Ende

Wo, und an welcher Stelle hätte der Phisher ne Möglichkeit einzugreifen, bzw. die Kohlen umzuleiten?
Ich seh da ehrlich gesagt keine.

Denn, gesetzt den Fall, Du würdest schon beim Versuch Deine Banking-Seite aufzurufen, umgeleitet, dann hätte die Phishing-Seite keinerlei Möglichkeit, irgendwelche "abgegriffenen" Daten -im Anschluss- bei Deiner echten Hausbank unterzubringen.

UND genau da liegt der riesige Unterschied zum bisherigen Papierbogen.
Denn da musste sich die Bank einfach drauf verlassen das es passt. Aber da war ja schon ne ganz gewaltige Hürde eingebaut, da bereits dort -im Dialogverfahren- nach Prüfungsanforderung von Dir, nach einer ganz bestimmten Nummer auf dem TAN-Bogen gefragt wurde.

Aber gehen wir jetzt ruhig noch nen Schritt weiter und konstruieren mal nen Fall in dem ein "böser Bube" (soll auch böse Mädels geben :-D) Deine EC-Karte in die Finger bekommt.
Er hat also die Karte. Was Ihm in dem Falle noch fehlt, sind Deine ON-Line-Ident-Nummer und Deine ON-Line-PIN.(Den TAN-Generator können wir mal vernachlässigen)

An dieser Stelle frage ich mich, wie es einem, der ja für gewöhnlich eher im Ural oder in Timbuktu sitzt, an alle drei dieser Dinge gleichzeitig gelangen soll; ohne dass DU Ihn dabei unterstützt hast. ;)
Bzw. bevor Du den Kartenverlust bemerkt und bei der Bank Deines Vertrauens diese sperren lassen hast.

Genau genommen wälzen die Banken auch einen gut Teil der Verantwortung auf den "mündigen" Kunden ab, in dem die nun sagen:"Wenn der Kunde die Karte nicht verlustig meldet, dann isses auch sein Bier, wenn nachher damit Schindluder getrieben wird. Basta."

Meiner -persönlichen- Ansicht nach, vollkommen zurecht.

Grüßle
hugo
„Autovertreter verkaufen Autos. Versicherungsvertreter verkaufen Versicherungen. Und Volksvertreter?“(Stanislav Teroylec, polnischer Aphoristiker)
bei Antwort benachrichtigen
Olaf19 Hugo20 „ Gerade das ist doch der Witz am neuen Verfahren. Ein Phisher ist nicht mehr in...“
Optionen
Wo, und an welcher Stelle hätte der Phisher ne Möglichkeit einzugreifen, bzw. die Kohlen umzuleiten? Ich seh da ehrlich gesagt keine.

Uns beiden fehlt einfach nur die kriminelle Energie :-) Ganz ehrlich, manchmal glaube ich, diese Typen könnten auch wie Jesus über das Wasser laufen, wenn sie es nur wollten.

Nein, in dem von dir geschilderten Beispiel kann auch ich keine Lücke entdecken, die ein Phisher erfolgreich nutzen könnte. Deswegen schrieb ich weiter oben schon an Acader, dass ich die Einführung des neuen Verfahrens grundsätzlich begrüße und mich freuen würde, wenn auch meine Sparda-Bank bald dabei mitmacht.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Hibbing Hugo20 „ Gerade das ist doch der Witz am neuen Verfahren. Ein Phisher ist nicht mehr in...“
Optionen

@Hugo -

Muß Dir voll Recht geben - dieses Chip-TAN-Verfahren ist sehr, sehr sicher. Ich muß auch bei der Bank dieses CHIP-TAN-Verfahren anmelden, diese Anmeldung ist nur für mich gültig. Ein anderer kann da mit meiner EC-Karte keine zweite Anmeldung bei meiner Hausbank machen. Zudem müßte der Man in the Middle die Überweisung von meinem Rechner. mit sämtlichen Überweisungsdaten, auf dem Weg zum Zentralrechner an die Bank abfangen. Dazu muß er noch die Überweisung manipulieren und auf ein anderes Konto amlenken - aber bei der geringsten Manipulation an den Daten verweigert Chip-Tan die Ausführung der Transaktion. Und für diese Sicherheit bin ich gerne bereit für den Kartenleser 10 Euro zu löhnen.

Funktioniert übrigens herrvorragend unter Suse-Linux mit dem Firefox-Browser, ebenso mit dem Iphone und der passenden Banken-App dazu.

Irgendwann wird die Sparkasse das auch anbieten müssen - das liegt auch viel an den Banken selber ob das CHIP-TAN-Verfahren bei diesem Institut funzt oder nicht.

An diesem CHIP-TAN-Verfahren wird sich so mancher Hacker die Tastatur ausbeissen....

Gruß HB

bei Antwort benachrichtigen
Acader Hibbing „@Hugo - Muß Dir voll Recht geben - dieses Chip-TAN-Verfahren ist sehr, sehr...“
Optionen
Irgendwann wird die Sparkasse das auch anbieten müssen

Wieso irgendwann ?
Das Angebot Online-Banking mit smsTAN, Online-Banking mit chipTAN oder noch besser Online-Banking mit HBCI-Chipkarte gibt es bei der Sparkasse bereits seit Juli 2011.
Wie ich jedoch schon geschrieben hatte funktioniert der HBCI-Kartenleser welchen die Sparkasse bereit stellt nicht unter Linux. Deshalb den von der Firma Reiner nehmen, Mit dem TAN-Generator habe ich bisher sehr unterschiedliche Meinungen gehört. Unter Opera als auch Chromium gibt es da gewisse Probleme. Kam für mich aber ohnehin nicht in Frage da ich mich für HBCI entschieden hatte. Ausführliche Angaben erteilt jede Bank.


MfG Acader


bei Antwort benachrichtigen