Re: Sicherheit bei Online-Bankgeschaeften

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheit bei Online-Bankgeschaeften
From: Jörg Zimmermann <jz@xbuilding.de>
Date: Tue, 02 Aug 2011 23:51:12 +0200
Message-id: <[🔎] 4E387150.8020104@xbuilding.de>
In-reply-to: <[🔎] j19q39$1f0$1@dough.gmane.org>
References: <201107262156.16715.garafrut@web.de> <20110729111606.GA3109@pfmaster> <4E32A0CF.9050305@online.de> <201107291610.09871.Martin@lichtvoll.de> <4E3317CC.5050203@gmx.de> <[🔎] j19q39$1f0$1@dough.gmane.org>

Am 02.08.2011 23:27, schrieb Christian Stubbs:
> Axel Birndt <towerlexa@gmx.de> writes:
> 
>> Ich würde generell davon abraten Online Banking via Browser zu machen.
>> Für mich gibt es ausschließlich die Lösung via HBCI Chipkarte _und_
>> einem Chipkartenleser mit Tastatur! Wenn man also dem
>> Onlinebankingprogramm vertraut (das ist meiner Meinung nach die einzige

Das brauchst Du gar nicht.
Kartenleser Klasse eins, keine Tastatur, kein Display
Kartenleser Klasse zwei, eine Tastatur, kein Display
Kartenleser Klasse drei, eine Tastatur, ein Display

Selbst wenn Dein Onlinebankingprogram nicht vertrauenswürdig ist, die
Transaction wird im Display des Kartenlesers angezeigt und kann auch nur
über die Tastatur des Kartenlesers bestätigt werden. Die Transaction
wird dann im Kartenleser verschlüsselt. Dazwischen kann sonstwas liegen.
Vollkommen wurscht, weil die Daten dann schon verschlüsselt sind.

>> Schwachstelle, dann müßte jemand den Chipkartenleser manipulieren um das
>> System kompromittieren zu können.
>> Außerdem läuft mein Bankingprogramm in einer VM mit der ich
>> ausschließlich OnlineBanking mache.
> 
> Selbst wenn du deinem Bankingprogramm gundsätzlich vertraust, kann es
> immer noch durch Trojaner kompromittiert werden. Dann kann es deinem
> Kartenleser + Karte eine manipulierte Überweisung unterschieben, die du
> nicht überprüfen kannst, da selbst wenn der Kartenleser ein eigenes
> Display hat, dieses nur einen frei definierbaren Text anzeigt und nicht
> die tatsächlichen Überweisungsdaten.

So ein Unsinn.
Bei HBCI mit Kartenlesern der Klasse drei, wird der zu überweisende
Betrag im Display angezeigt wird.
Um die Überweisung dann durch zu führen, wird eine PIN eingegeben.
Deswegen muss der Kartenleser eine eigene Tastatur besitzen. Die PIN
kann nur auf dem Nummernblock des Lesegerätes eingegeben werden.
Die höhere Sicherheit basiert darauf, das die Transaction im Kartenleser
verschlüsselt wird. Dein PC sieht also nur noch verschlüsselte Daten.
Im Gegensatzt dazu, findet die Verschlüsselung der Transaction bei den
hier erwähnten Verfahren im PC des Benutzers statt.
Weil ein Schadsoftware auf dem PC grundsätzlich Zugriff auf die Hardware
erlangen kann, können hier Daten _vor_ der Verschlüsselung manipuliert
werden.
Zu Hardware zählen auch Tastatur und Monitor.

> Dagegen helfen SMS-TAN und "ChipTAN", dort werden nämlich in der SMS
> bzw. in dem Kartenleser nochmal die echten Überweisungsdaten angezeigt
> und die TAN ist nur für eine Überweisung mit diesen Daten gültig.

Daten per SMS zu versenden ist genauso sicher wie Daten per Postkarte zu
versenden.

> Da kann der Rechner dann komplett unsicher sein, die Sicherheit wird
> durch die prüfbaren Überweisungsdaten hergestellt. OK, Kontenbewegungen
> und ähnliches kann der Angreifer dann ausspähen, aber er kann nichts
> klauen.

G
-Jörg

Reply to:

Follow-Ups:
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Rico Koerner <rico@netbreaker.de>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Christian Stubbs <usenetmuelltonne@nurfuerspam.de>

References:
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Christian Stubbs <usenetmuelltonne@nurfuerspam.de>

Prev by Date: Re: Sicherheit bei Online-Bankgeschaeften
Next by Date: Re: Sicherheit bei Online-Bankgeschaeften
Previous by thread: Re: Sicherheit bei Online-Bankgeschaeften
Next by thread: Re: Sicherheit bei Online-Bankgeschaeften
Index(es):
- Date
- Thread