Re: Sicherheit bei Online-Bankgeschaeften

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: Sicherheit bei Online-Bankgeschaeften
From: Michael Hierweck <team@edv-serviceteam.net>
Date: Mon, 01 Aug 2011 16:42:09 +0200
Message-id: <[🔎] 4E36BB41.3070903@edv-serviceteam.net>
In-reply-to: <[🔎] 4E36B424.4000309@netbreaker.de>
References: <201107262156.16715.garafrut@web.de> <20110729111606.GA3109@pfmaster> <4E32A0CF.9050305@online.de> <201107291610.09871.Martin@lichtvoll.de> <4E3317CC.5050203@gmx.de> <hk1R0-7bb-9@gated-at.bofh.it> <4e35a17a$0$7612$9b4e6d93@newsspool1.arcor-online.net> <[🔎] CAN3KjqVe=PWRO+OJ28f9QdmEKme-oYRBzJXLFKXZJ_CDTKE37w@mail.gmail.com> <[🔎] 4E36B424.4000309@netbreaker.de>

On 01.08.2011 16:11, Rico Koerner wrote:
> Am 01.08.2011 10:23, schrieb ppgeruro:
>>         Und wie sieht es mit der SMS-Tan aus?
>>
>>
>> ....das würde ich nicht machen, weil SMS ja auch oft nicht zeitnah
> 
> höchstens wenn das Handy schlechten Empfang hat, aber sonst der nächsten
> 10s.
> 
>> ankommen und abgefangen werden könnten oder durch eine entsprechende App
>> evtl. umgeleitet werden könnten oder oder oder....
> 
> Wenn man die Überweisung vom Browser des Smartphones macht, gibt es
> vielleicht ein Angriffspotential, weil es dasselbe Endgerät ist.
> Aber gleichzeitig die Internetleitung des Computers und das Telefonnetz
> des Handys zu kontrollieren, ist wohl sehr unwahrscheinlich.

Obwohl wir damit schon bei den trickreicheren Angriffen wären, würde es
wohl genügen, wahlweise das Smartphone oder den PC zu "übernehmen" und
bei nächsten Verbinden der beiden Partner den entsprechenden Partner.
(Beispiel: Trojaner infinziert iTunes und beim nächsten
App-Download/Datenabgleich das iPhone). Dann wären beide Geräte durch
eine Attacke kompromittiert und Handy-TAN geknackt.

http://computer.t-online.de/zitmo-zeus-mutant-infiziert-smartphone-und-klaut-mtan-/id_43001418/index

Das skizzierte ich kürzlich einem für Online-Banking-Sicherheit
zuständigen Mitarbeiter einer Bank und dieser stimmte grundsätzlich zu.

Der Grund nicht flächendeckend mit Chipkarte/Signaturkarte zu arbeiten,
ist nach seiner Aussage folgender: Die wenigsten Privatkunden wären
bereit, für vergleichsweise teure Klasse 3-Kartenleser Geld zu bezahlen.

Michael

-- 
EDV-Serviceteam Annika & Michael Hierweck GbR
Egerstraße 53, 44225 Dortmund (Germany)
http://www.edv-serviceteam.net

Reply to:

Follow-Ups:
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Michael Limburg <mlimb@gmx.de>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Rico Koerner <rico@netbreaker.de>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Axel Birndt <towerlexa@gmx.de>

References:
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: ppgeruro <ppgeruro@googlemail.com>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Rico Koerner <rico@netbreaker.de>

Prev by Date: Re: Sicherheit bei Online-Bankgeschaeften
Next by Date: Re: Sicherheit bei Online-Bankgeschaeften
Previous by thread: Re: Sicherheit bei Online-Bankgeschaeften
Next by thread: Re: Sicherheit bei Online-Bankgeschaeften
Index(es):
- Date
- Thread