Wie sieht sicheres Onlinebanking aus?

E

enkore

0
Vor kurzem ging es ja mal wieder durch alle Medien: "Cybercrime nimmt zu", "So-und-so-viele tausend Accounts sind einer Fistingattacke zum Opfer gefallen" usw.

Die Frage die ich mir jetzt stelle ist, wie kann man heute - rein objektiv betrachtet - sicheres Onlinebanking betreiben?
Das TAN Verfahren hat ja sowieso ausgedient. iTAN bietet zwar besseren Schutz, ist aber auch nicht das gelbe vom Ei.
Jetzt gibt es ja diese smartTAN Geräte (Diese kleinen Dinger die man an den Bildschirm hält) und HBCI.

Bei HBCI bringt es ja nichts, wenn man einen Klasse 1 Leser benutzt, weil ja da der Computer meine PIN mitkriegt, und damit auch jeder Trojaner sie abfangen kann. Außerdem hat ein Klasse 1 Leser kein Display, deswegen kann ein Trojaner gleich alles fälschen.
Bei einem Klasse 2 Leser hat der zwar eine Tastatur und ein Display, aber keine eigene Logik. Daher im Grunde das gleiche Problem wie beim Klasse 1 Leser, nur dass es hier für den Trojaner aufwändiger ist die Informationen zu fälschen.
Der Klasse 3 Leser bringt ja eine eigene Logik mit. Hier ist es für einen Trojaner also (erstmal) nicht möglich Daten zu replizieren oder zu verändern.
Der Klasse 4 Leser hat ja noch eine eigene Identifikationskarte. Ist aber unüblich oder zu teuer.

Über die genaue Funktionsweise von diesen smartTan dingern ist ja nicht soviel bekannt. Aber im Grunde machen die ja nichts weiter als alle Daten und irgendwas von der Karte in einen Topf zu werfen und einen Hash daraus zu berechnen.
Frage: Wenn ein Trojaner meine Onlinebankingzugangsdaten klaut, kann $böser_hacker doch auch einfach mit seinen eigenen smartTan-Gerät seine eigenen TANs generieren!? Er braucht doch nur irgendeine Information von der Karte. Und wenn das der Name des Kunden, das Ablaufdatum oder sowas ist, ist es ja nicht gerade sehr schwer diese Information zu klauen.
 
Original von csde_rats

Über die genaue Funktionsweise von diesen smartTan dingern ist ja nicht soviel bekannt. Aber im Grunde machen die ja nichts weiter als alle Daten und irgendwas von der Karte in einen Topf zu werfen und einen Hash daraus zu berechnen.
Frage: Wenn ein Trojaner meine Onlinebankingzugangsdaten klaut, kann $böser_hacker doch auch einfach mit seinen eigenen smartTan-Gerät seine eigenen TANs generieren!? Er braucht doch nur irgendeine Information von der Karte. Und wenn das der Name des Kunden, das Ablaufdatum oder sowas ist, ist es ja nicht gerade sehr schwer diese Information zu klauen.
Zum Vergrößern anklicken....

Ich denke, dass die SmartTan Geräte relativ sicher sind wenn die Erstinbetriebnahme im 'Sicheren Zustand' erfolgt, da die hashing algos der Geräte hier über einen IV initialisiert werden, und somit sehr entrope Daten liefern. Zusätzlich gibt es dieses 'Bildschirmflickering', welches denke ich mal über eine swf produziert wird und optisch von den Geräte interpretiert wird. Hier müsste ein trojaner schon die swf optisch interpretieren, was denke ich noch schwerer zu interpretieren wäre als ein captcha.....also das war mho
 
Wobei mir derzeit kein Fall einfallen würde, bei dem HBCI ausgenutzt werden konnte.

BTW:
Es war eine Phishing-Attacke, auch wenn das ZDF da anderer Meinung war und eine nicht jugendfreie Art eines Angriffes nennt :D
 
@lightsaver/Fisting:
Das habe ich mit Absicht so geschrieben ;D

@lightsaver/HBCI:
Naja bei einem Klasse 1 Leser werden doch alle Daten plus PIN im PC verarbeitet und auch IM PC signiert. Oder liege ich da falsch? Da kann doch jeder popelige Trojaner was verändern...

@friday0D:
Die verwenden einen IV? Wusste ich nicht.
Zumindest bei der Sparkasse ist das Flackern (womit btw. die KTO/BLZ usw. übertragen werden) ein GIF was per JavaScript in der Größe angepasst wird.
 
Also überall, wo ich in letzter Zeit mit HBCI zu tun hatte, wurden Lesegeräte mit mindestens Klasse 2 vorausgesetzt.
Dort soll es zwar auch noch eine Angriffsmöglichkeit geben, diese liegt aber nicht bei der Signierung selbst, sondern im Homebanking-Programm. Ein Trojaner müsste dieses Programm manipulieren, um eine Überweisung zu fälschen. Dem Benutzer müsste es dabei die Daten vorgaukeln, die der Benutzer eingegeben hat. Zu Klasse 1 habe ich jetzt nichts weiter gesucht, da dies wohl ebenfalls theoretisch angreifbar sein wird
 
Naja also ist Klasse2 auch nicht sicher. Die haben ja kein eigenes Display wo stehen könnte, welche Kontonummer usw. benutzt wird.

Weiterhin:
Allerdings bestehen auch in diesem Verfahren noch Risiken: Ein Angreifer könnte das verwendete Homebanking-Programm manipulieren, so dass dieses statt des angezeigten und erteilten Auftrags heimlich, also für den Benutzer zunächst nicht nachvollziehbar, einen veränderten Auftrag signiert und an den Server der Bank sendet. Die Bank wird den Auftrag ausführen, da er ja korrekt signiert wurde.
Der Kartenleser ist nämlich nicht an der Verschlüsselung der eigentlichen Überweisung beteiligt, sondern verschlüsselt lediglich die vom Homebanking-Programm erzeugte Signatur der Überweisung. Dies stellt noch eine Schwäche des Systems dar. Genauso wie die meisten Homebanking-Methoden ist Homebanking per HBCI und Kartenleser also nur unter der Annahme sicher, dass das verwendete Homebanking-Programm auf dem PC nicht durch Angreifer manipuliert werden konnte.
Zum Vergrößern anklicken....

Daher kann bei HBCI jeder popelige Trojaner die Überweisungen fälschen. HBCI fällt damit schonmal unter den Tisch.
Die Frage ist jetzt: Wenn ein Trojaner Zugriff auf alle Daten des Kunden hat, aber nicht auf die Karte, kann er dann einfach einen smartTAN Generator simulieren und so machen was er will?
Oder wird ein Merkmal bei smartTAN herangezogen, was nur der Bank bekannt ist, und daher nur auf der Karte und bei der Bank gespeichert ist. (Privater Key der Karte?) Das wäre dann die einzige(!) Sicherung.
 
Soweit ich weiss wird die Chip-ID der Geldkarte herangezogen. Zumindest liest ein Smart-TAN-Generator davon diverse Daten ein und nutzt diese zur Generierung der TAN. Insofern ist die Karte notwendig um eine TAN zu generieren.
 
Also ein Verfahren, was ich derzeit als sicher einstufen würde wäre folgendes:

Vom BSI wird ein Live-System speziell für das Onlinebanking angeboten. Dabei ist es nicht möglich, schreibend auf das System zuzugreifen -> kein Trojaner kann sich einschleichen. Das in Verbindung mit MTan, bei dem dann noch sowohl Empfänger als auch Betrag komplett angezeigt werden müssen, dürfte eigentlich nicht zu überwinden sein.

Interessant dürfte ein ähnliches System auch für HBCI sein, dann müsste aber der Softwarehersteller ein entsprechendes Live-System mit anbieten. Damit wäre dann nämlich auch die Schwachstelle bei Klasse 2 Geräten behoben.

Ich finde solche Überlegungen aber immer interessant, da man schnell sieht, dass Sicherheit und möglichst leichte Handhabung oft nicht wirklich vereinbar sind.
 
Es gibt ja auch Hibiscus, das läuft auch unter Linux und unterstützt HBCI.
Die einzig wirklich sichere Möglichkeit scheint entweder HBCI oder MTAN über ein auf eine CD/DVD/... gebrannte Linuxdistro zu sein.

Ja lightsaver, genau das finde ich daran auch immer wieder sehr interessant. Meistens läuft alles Prinzipmäßig sehr sichere auf eine Linuxdistro auf einer CD hinaus.
 
Man kann auch eine Virtualisierung nutzen, die bei jedem Booten von einem nicht-beschreibbaren Image quasi einen Null-Zustand des Systems inkl. der darin enthaltenen Software herstellt. Anstatt also "nur" ein Onlinebanking-Programm zu starten, startet man dieses Programm in einer VM, die von einem Read-Only-Medium kommt. Damit benötigt man keinen Reboot. Ist meine persönliche Vorgehensweise und ich stufe sie mal als relativ sicher gegen Software-Manipulation ein. Man müsste die CD in meinem Laufwerk austauschen, ohne dass ich es merke.
 
Original von lightsaver
Vom BSI wird ein Live-System speziell für das Onlinebanking angeboten. Dabei ist es nicht möglich, schreibend auf das System zuzugreifen -> kein Trojaner kann sich einschleichen. Das in Verbindung mit MTan, bei dem dann noch sowohl Empfänger als auch Betrag komplett angezeigt werden müssen, dürfte eigentlich nicht zu überwinden sein.
Zum Vergrößern anklicken....

Ich finde so eine live cd toll, ich frage mich ernsthaft warum die Banken nicht ernsthaft solche Distributionen herausgeben. Dies sollte zumindest im Bereich Privatkunden wesentlich kostengünstiger sein als das andere Zeugs. Außerdem könnten die Banken Ihre schönen Logos reinpacken und das Betriebssystem unter eigenem Namen Verkaufen, wäre doch toll für die, naja.

@csde_rats: Dieser Tangenerator, den ich habe, musste bei Erstinbetriebnahme durch einen Erstschlüssel initialisiert werden. Das Flickering hab ich noch nicht benutzt, allerdings wenn es gifs sind, wären diese weitaus einfacher zu interpretieren. Sind das dann geradlienige,einfarbige Strichcodes oder vergleichbares die da flackern oder was ?
 
Original von friday0D
Ich finde so eine live cd toll, ich frage mich ernsthaft warum die Banken nicht ernsthaft solche Distributionen herausgeben. Dies sollte zumindest im Bereich Privatkunden wesentlich kostengünstiger sein als das andere Zeugs. Außerdem könnten die Banken Ihre schönen Logos reinpacken und das Betriebssystem unter eigenem Namen Verkaufen, wäre doch toll für die, naja.
Zum Vergrößern anklicken....

Nur ein Wort: Bequemlichkeit!
Den meisten Leuten wäre es zu aufwendig, das zu nutzen. Die sehen nicht ein, den Rechner nur mal fürs Banking neu zu starten. Und auch Einstellungen sind da nicht unbedingt trivial, vor allem in Verbindung mit Wlan. Kannst dir ja mal 2-3 unterschiedliche Notebooks und Rechner nehmen und einfach mal die erwähnte CD vom BSI zum Laufen bringen, dann wirst du sehen was ich meine. Das bekommt der normale Benutzer oft nicht hin.

Die Idee mit der Virtualisierung finde ich da auch noch ganz gut, aber auch das wäre für viele wohl noch immer zu viel Aufwand
 
Ich behaupte aber einfach mal, dass ein Trojaner auf dem Wirtsrechner der Virtualisierungslösung trotz Virtualisierung die Zugangsdaten abhören kann.

Kann man den eigenen smartTAN Generator eigentlich auch mit anderen Konten (=Karten) als der eigenen einsetzen?
 
Original von csde_rats
Ich behaupte aber einfach mal, dass ein Trojaner auf dem Wirtsrechner der Virtualisierungslösung trotz Virtualisierung die Zugangsdaten abhören kann.
Zum Vergrößern anklicken....
Das kommt auf das zugrundeliegende System an. Ich behaupte mal, dass er das bei OpenVZ nicht schafft.

Original von csde_rats
Kann man den eigenen smartTAN Generator eigentlich auch mit anderen Konten (=Karten) als der eigenen einsetzen?
Zum Vergrößern anklicken....
Ja, kann man. Es wäre viel zu aufwendig für jeden Kunden einen eigenen Generator herzustellen.
 
Ich bin Onlinebankinguser(privat) der ersten Stunde und zwar per Web. Gab noch nie Probleme.
Vielleicht liegt Sicherheit auch ein bischen am darunterliegenden Betriebssystem ;)

Das kommt auf das zugrundeliegende System an. Ich behaupte mal, dass er das bei OpenVZ nicht schafft.
Zum Vergrößern anklicken....
Das Hostsystem kann immer gucken was ueber die Karte geht. Deswegen ist ja eines der grossen Übel im Reich der Virtualisierung der Mangel an sicheren Hostsystemen und Virtualisierungen allgemein.
 
Wenn du ne Taste auf der Tastatur drückst läuft das ja zwangsweise übers Hostsystem, wo unser Trojaner sitzt. Der kriegt das also auch bei einer Virtualisierungslösung mit.
 
Die Verschlüsselung der Daten bei einer SSL-Verbindung findet aber schon im Gast-System statt. Insofern bringt ein Abhören der Netzwerkpakete ja recht wenig. Das Host-System müsste also die Daten direkt im RAM abfangen, wobei die meisten Virtualisierungslösungen bereits geschützte Speicherbereiche aufbauen, auf die selbst das Host-System nur begrenzt zugreifen kann.

Edit: Gegen Keylogger gibt's Software-Tastaturen.
 
Siehe Edit. :) Achja... und natürlich Passwort-Manager, die ohne umständliche Eingaben auskommen und einfach die Eingabefelder ausfüllen. ;)
 
Okay.
Jetzt haben wir alles was wir brauchen, um sicheres Onlinebanking auf einem Total virenverseuchten System durchzuführen. :)

/edit: Von wegen das Forum schläft ein: 16:16, 16:24, 16:25, 16:25, 16:26, 16:27
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben