Welche Bank bietet welche Homebankingverfahren an?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 11:38 Uhr  ·  #41
Wenn du den Thread mit aufnehmen willst, kennzeichne mein vorhergehendes Posting mit Challenge PIN bitte als Ironie :)

So war es gemeint.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 13:26 Uhr  ·  #42
Das mit dem User finde ich eine ganz gute Idee weil man meinen Vergleich immer von verschieden Standpunkten betrachten beziehungsweise meine Gewichtung auseinandernehmen kann :-).
Zudem habe ich keine Quellen an denen ich meine Gewichtung festmachen kann. Beispiel Phishing Pint Tan, ITan. Ich bräuchte noch irgendwas mit denen ich meine Behauptungen untermauere.
Nur muss ich bei der Gewichtung Verfahren-Sicherheitsrisiken auf jedenfall auch die einzelnen Verfahren einfließen lassen da ich am Ende einen Vorschlag machen will welches System noch eingeführt werden könnte und wie teuer es ungefähr ist dieses umzusetzen.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Im wunderschönen Ahrtal
Beiträge: 2077
Dabei seit: 04 / 2004
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 14:23 Uhr  ·  #43
Versuchs doch mit einem Koordinatensystem: x-Achse Sicherheitslevel; y-Achse z.B. Technischer Aufwand oder DAU-Verständlichkeit. Da die Produkte eingezeichnet, kann jeder für sich selbst entscheiden, welches Produkt er (Kunde oder Bank) nutzen bzw. anbieten will.
Das Grundproblem "Was ist sicher - was ist praktisch - was kostet das??" und die damit verbundene Bewertung der Verfahren werden wir hier nicht lösen können, weil es einfach keine allgemeingültige Antwort gibt. Wenns die gäbe hätten wir weltweit einen Bankingstandard...

CU
Frank
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 14:37 Uhr  ·  #44
Zitat geschrieben von Quietstorm
so war das natürlich nicht gemeint :oops:
ich weiß nur nicht wie das ankommt wenn ich als Quelle ein Forum angebe
ist nicht schlimm, ich kann es verstehen. Da aber inzwischen einige Banken auf uns verlinken, kannst du uns ruhig die Quelle angeben, finde ich.
Da sich hier die Fachleute weitestgehend anonym tummeln könn(t)en, erhältst du m.E. eher eine "echte" Meinung, als wenn du z.B. eine Bank befragst, die möglicherweise aufgrund von anderen Überlegungen ein Verfahren präferiert.
Und: Wer die Seriösität der Quelle bezweifelt, kann sich ohne Aufwand hier anmelden und unsere Qualität kontrollieren.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: tief im Süden
Beiträge: 1046
Dabei seit: 07 / 2003
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 16:15 Uhr  ·  #45
Zitat geschrieben von Captain FRAG
Wenn du den Thread mit aufnehmen willst, kennzeichne mein vorhergehendes Posting mit Challenge PIN bitte als Ironie :)

So war es gemeint.


Klar, deine Darstellung war ironisch gemeint, doch im allgemeinen gebe ich diesem Verfahren schon eine Chance, wenn man nicht ganz auf hardwarebasierte Verfahren (Chipkarte, Signaturkarte o.ä.) setzen will.

Hier noch eine kurze Erklärung: Wikipedia-Beitrag
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 31.03.2006 - 22:05 Uhr  ·  #46
ich werd mir das mal alles durch den Kopf gehen lassen und morgen versuchen eine grobe Bewertung Verfahren-Risiken zu erstellen. Ich bedanke mich schonmal für die vielen Vorschläge und würde mich freuen wenn sich dann jemand mal meine Aufstellung anschauen könnte...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 01.04.2006 - 13:52 Uhr  ·  #47
Phishing

Bevor ich einen genauen Vergleich aufstelle wollte ich erstmal alle wichtigen Fakten auflisten. Über postitive und negative Gedanken würde ich mich freuen. Danke

Pin Tan

- SSL Verschlüsselt
- für unerfahrene User hohes Sicherheitsrisiko
- Für sensibilisierte User besteht kaum Sicherheitsrisko

ITan

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da es relativ unwahrscheinlich ist das gerade diese Pin/ITan bei der nächsten Transaktion abgefragt wird
- Für sensibilisierte User kaum Sicherheitsrisko

Mobile Tan (Tan per Sms)

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da die Tan per Sms zugesandt wird und nur für die aktuelle Onlinebankingsession gültig ist

Smart Tan Tan

- SSL Verschlüsselt
- Für unerfahrene User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.

E-Pad (Eingabe erfolgt nicht über Tastatur sondern über Maus, interaktive Tastatur Monitor)

- SSL Verschlüsselt
- es wird das einfache Pin Tan Verfahren genutzt
- bietet keinen extra Schutz vor Phishing

HBCI-Pin-Tan

- SSL Verschlüsselt
- Für unerfahrene User besteht geringeres Risiko zum einfachen Pin-Tan Verfahren da Sie nicht gewöhnt sind die Tan online einzugeben sondern ihre Homebankingsoftware nutzen
- Für sensibilisierte User besteht kaum Sicherheitsrisiko

HBCI (Diskette, USB Stick, Chipkarte)
- DDV oder RDH
- keine Tan verfügbar zum „abfischen“
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 01.04.2006 - 22:43 Uhr  ·  #48
Hallo Storm,
das Wort "unerfahrene" stört mich ein bisschen. Bei der aktuellen Situation würde ich hier eher das Wort "leichtsinnige" setzen wollen. Dazu gehören dann die User, die sich nicht ausreichend um Updates kümmern (Betriebssystem/Browser/Firewall/Virenscanner, etc.) oder auf "dumme" Phishing-Angriffe reinfallen würden. Nach meiner pessimistischen Schätzung sind das leider > 50%.


Und das würde ich auftrennen:
HBCI (Diskette, USB Stick)
- geringes Risiko durch trojanische Pferde bei Windowsusern da Schlüsselkopie möglich
- keine Tan verfügbar zum „abfischen“
- Gewöhnung an Homebanking-Software schafft zusätzlichen Schutz

HBCI Chipkarte
- sehr, sehr geringes Risiko bei Lesern ab Kl.2, da keine Kopie erstellt werden kann und 3x falsche PIN zur Zerstörung der Karte führt
- Gewöhnung an Homebanking-Software schafft zusätzlichen Schutz
- User sind die Kartennutzung bei Bankkontakten gewohnt


Dann: Ich würde hier als Kriterium gerne noch die Gefahr des "social engeneering" ins Spiel bringen. Eine telefonische Abfrage einer PIN/TAN Kombination ist sicherlich einfacher, als sich per Telefon einen User dazu zu bringen eine Chipkarte mit PIN nach Usbekistan zu schicken.


Sichere Lagerung der Legitimationsmedien: Es ist es im Büro einfacher, mal eben eine TAN-Liste mit der Handycam zu fotografieren/zu kopieren, als die Smart-TAN.


Achja, das Smart TAN plus/Challenge Response Verfahren fehlt mir noch, ich würde stattdessen das E-Pad-Verfahren rauslassen.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 11:55 Uhr  ·  #49
Hallo
danke für die schnelle Antwort... ich hatte mich zunächst nur auf das Problem Phishing bezogen. Welche häufigen Gefahren treten beim Homebanking noch auf? Hatte an Phishing, Trojaner, Pharming, DNS-Spoofer,Keylogger gedacht? Habe ich noch irgendeine wichtige Gefahr vergessen?

Welche Bank bietet TAN plus/Challenge Response an?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 14:27 Uhr  ·  #50
jup, das ist der Bereich der Computerkriminalität über das Netz selbst. Geht es dir nur darum?

Imo auch Gefahren, die systembedingt bei der Nutzung der "neuen" Banktechniken auftreten können:

- Tippfehler beim Buchen führen zu Zahlungsausfälle, Skontoverluste, Terminüberschreitungen (Finanzamt...) - mit Verwendung einer Homebanking-Software steigt z.B. die Qualität und Verarbeitungsgeschwindigkeit bei Firmen

- wie oben schon angedeutet: Diebstahl der Anmeldedaten über Telefon, Fax, simples Kopieren

- "vergessene, verlegte, schlummernde Legitimationsmedien". z.B. bleiben ggf. alte TAN-Bögen in der Schublade jahrelang gültig und können missbraucht werden.

- sogenannte Postwegverluste die beim Versand Karte, Tan-Bogen etc. auftreten können

- Missbrauch bei der Bank selbst


Die Liste ist bestimmt noch nicht vollständig, aber wenn deine Arbeit komplett werden soll, würde ich es zumindest erwähnen. Eine Abschätzug und Bewertung halte ich allerdings für schwierig.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 14:45 Uhr  ·  #51
erwähnen werde ich es aber Beurteilen werde ich eher nur die Computerkriminalität. Habe nochmal meine Ansätze zum Thema Trojaner aufgeschrieben. Bin mir aber nicht ganz sicher wie sicher oder unsicher das HBCI Verfahren gegenüber Trojanern ist.

Trojaner/Keylogger

Pin/Tan
- SSL Verschlüsselt
- Leichtsinnige User hohes Sicherheitsrisiko, da Benutzerkennung, Passwort, Tan vor der SSL Verschlüsselung abgefangen werden können und an den „Hacker“ gesandt werden
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, in den meisten fällen entdeckt die aktuelle Antivirensoftware den Trojaner/Keylogger. Firewall kann die anfrage des Trojaners sperren.

ITan

- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber es ist relativ unwahrscheinlich das bei der nächsten Überweisung nach dieser ITan gefragt wird
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt und es ist unwahrscheinlich das diese ITan bei der nächsten Überweisung abgefragt wird

Mobile Tan

- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber Tan ist nur für diese Session gültig.


Smart Tan Tan

- SSL Verschlüsselt
- Für leichtsinnige User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt

E Pad

- es besteht kaum Sicherheitsrisiko da die Daten per Maustaste-virtuelle Tastatur eingegeben werden

HBCI Pin Tan

- siehe Pin Tan Verfahren oder ist es sicherer gegenüber Pin Tan?????????

HBCI ( Diskette, USB Stick, Chipkarte)

- Passwort kann abgefangen werden aber wie sieht es mit der elektronischen Unterschrift aus?????? Können die Daten auf dem Medium Diskette, USB Stick, Chipkarte ausgelesen und an den Hacker verschickt werden? Wie sicher ist im allgemeinen HBCI gegen Trojaner/Keylogger?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 19:24 Uhr  ·  #52
Zitat geschrieben von Quietstorm
Bin mir aber nicht ganz sicher wie sicher oder unsicher das HBCI Verfahren gegenüber Trojanern ist.
Vorsicht, HBCI ist ja eher ein Oberbegriff über ein Interface. Es gibt eben HBCI mit PIN&TAN, Diskette oder Chipkarte, allerdings immer mit einer speziellen HBCI-Software.

Ich würde bei der Trojanerfrage und HBCI eher unterscheiden wollen:
Welches Betriebssystem wird eingesetzt (linux/Organizer/Handy)?
Wird die PC-Tastatur verwendet (keylogger)?
Ist das Legitimationsmedium kopierbar (Diskette)?
Wird zusätzliche Hardware eingesetzt?
Wird auf Channel-Response oder iTAN aufgebaut?


Zitat
Können die Daten auf dem Medium Diskette, USB Stick, Chipkarte ausgelesen und an den Hacker verschickt werden? Wie sicher ist im allgemeinen HBCI gegen Trojaner/Keylogger?

USB-Sticks und Disketten können kopiert werden und die Passwortabfrage passiert an der PC-Tastatur.
Bei der Chipkarte mit Klasse 2 Leser sieht das anders aus. Die PIN-Abfrage der Karte erreicht den PC nicht. Selbst wenn hier ein toj. Pferd aktiv ist, erreicht die PIN den Hacker nicht.
Die Karte kann nicht (ddv) oder nur sehr sehr schwer kopiert werden. Theoretisch wäre eine Schlüsseländerung bei der RDH-Karte möglich, da müsste der User aber aktiv behilflich sein. (Man macht eine Schlüsselpaaränderung mit neuem Medium Datenträger und unterschreibt diese mit dem alten Schlüssel auf der Karte, der dadurch ungültig wird.)

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 20:05 Uhr  ·  #53
1)Benutzt der User bei dem Datenträger Diskette, USB-Stick in jeden Fall die normale Tastatur? oder gibt es auch sowas wie Chipkartenleser Klasse 2 nur dann halt eine kleine externe Tastatur Klasse2 :D

2)Werden Keylogger in der Regel mit Trojanern kombiniert oder sind Sie auch alleine gefährlich?

3)Ist DNS-Spoofing und Pharming das selbe unter anderem Namen?

4)"Men in the middle attack" ist das eine modifizierte Form oder ein eigenständige Kriminalität für sich?

5)Welche Bank bietet TAN plus/Challenge Response an?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 02.04.2006 - 21:48 Uhr  ·  #54
Ja, es ist die normale Tastatur mit allen Schwächen. Erst wenn du ein System wie z.B. Moneypenny benutzt oder eine sauberes Windows von einer Boot-CD startest, ist die PC-Hardware imo genauso sicher wie ein Chipkartenleser ab Kl.2
Das unsichere Betriebssystem ist der Schwachpunkt bei trojanischen Pferden und Viren.

Gruß
Raimund
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 12:07 Uhr  ·  #55
Sensibilisierter Anwender

Der sensibilisierte Nutzer versucht im Rahmen seiner Möglichkeiten die nötige Sorgfalt an den Tag zu legen. Mehr kann eine Bank von ihren Kunden kaum erwarten. Daraus erfolgt der optimale Kunde dem man keine zusätzlichen Steine in den Weg legen möchte.

- kennt die Sicherheitsrisiken und möchte sich dagegen schützen
- nutzt und aktualisiert Virensoftware, Firewall

Leichtsinnige Anwender

Der leichtsinnige Nutzer ist sich nicht Bewusst welche Gefahren beim Homebanking bestehen und vernachlässigt damit die Absicherung seines Computersystems.

- Keine Firewall, Antivirensoftware oder
- Firewall, Antivirensoftware wird nicht gepflegt
- Keine oder unzureichende Kenntnisse über Sicherheitslücken

Phishing

- setzt sich aus Password und fishing zusammen und bedeutet soviel wie „nach Passwörtern angeln“
- Aufforderung per E-Mail mit seinem Kreditinstitut Kontakt aufzunehmen
- Link mit gefälschter Web-Site – E-Mail
- Aufforderung Eingabe: Kontonummer, Passwort, Tan

Pin Tan

- SSL Verschlüsselt
- Für leitchtsinnige User hohes Sicherheitsrisiko, Weitergabe Benutzerdaten per E-Mail
- Für sensibilisierte User besteht kaum Sicherheitsrisko, keine leichtsinnige Eingabe von Benutzerdaten

ITan

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da es relativ unwahrscheinlich ist das gerade diese Pin/ITan bei der nächsten Transaktion abgefragt wird
- Für sensibilisierte User kaum Sicherheitsrisko

Mobile Tan (Tan per Sms)

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da die Tan per Sms zugesandt wird und nur für die aktuelle Onlinebankingsession gültig ist

Smart Tan Tan

- SSL Verschlüsselt
- Für unerfahrene User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.

E-Pad (Eingabe erfolgt nicht über Tastatur sondern über Maus, interaktive Tastatur Monitor)

- es wird das einfache Pin Tan Verfahren genutzt
- bietet keinen extra Schutz vor Phishing




HBCI-Pin-Tan

- Für unerfahrene User besteht geringeres Risiko zum einfachen Pin-Tan Verfahren da Sie nicht gewöhnt sind die Tan online einzugeben sondern ihre Homebankingsoftware nutzen
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, Gewöhnung an Homebankingsoftware bietet zusätzlichen Schutz

HBCI (Diskette, USB Stick, Chipkarte)

- keine Tan verfügbar zum „abfischen“
- User sind die Kartennutzung bei Bankkontakten gewöhnt
- User sind an Homebankingsoftware gewöhnt

TAN plus/Challenge Response

- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Keine Tan zum abfischen

Trojaner/Keylogger
- Ein scheinbar nützliches Programm hat ein anderes Programm implementiert
- Dieses Programm installiert sich im Hintergrund
- Passwörter und andere vertrauliche Daten ausgespäht, verändert, gelöscht oder bei der nächsten Datenübertragung an den Angreifer verschickt werden
- Dieser "Datendiebstahl" bleibt in der Regel unbemerkt, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt
- Keylogger wird meist mit einem Trojaner kombiniert um die Tastatureingaben mitzuprotokollieren
Pin/Tan
- SSL Verschlüsselt
- Leichtsinnige User hohes Sicherheitsrisiko, da Benutzerkennung, Passwort, Tan vor der SSL Verschlüsselung abgefangen werden können und an den „Hacker“ gesandt werden
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, in den meisten fällen entdeckt die aktuelle Antivirensoftware den Trojaner/Keylogger. Firewall kann die anfrage des Trojaners sperren.

ITan

- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber es ist relativ unwahrscheinlich das bei der nächsten Überweisung nach dieser ITan gefragt wird
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt und es ist unwahrscheinlich das diese ITan bei der nächsten Überweisung abgefragt wird

Mobile Tan

- SSL Verschlüsselt
- Für leichtsinnige User geringes Risiko, Benutzerdaten werden an Hacker versand aber Tan ist nur für diese Session gültig.

Smart Tan Tan

- SSL Verschlüsselt
- Für leichtsinnige User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.
- Sensibilisierte User besteht kaum Sicherheitsrisiko, Computer wird per Antivirensoftware, Firewall geschützt

E Pad

- es besteht kaum Sicherheitsrisiko da die Daten per Maustaste-virtuelle Tastatur eingegeben werden

TAN plus/Challenge Response

- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Wie sicher ist es gegen Trojaner?

HBCI Pin Tan

- Leichtsinnige User hohes Sicherheitsrisiko, da Benutzerkennung, Passwort, Tan vor der SSL Verschlüsselung abgefangen werden können und an den „Hacker“ gesandt werden
- Für sensibilisierte User besteht kaum Sicherheitsrisiko, in den meisten fällen entdeckt die aktuelle Antivirensoftware den Trojaner/Keylogger. Firewall kann die anfrage des Trojaners sperren.

HBCI ( Diskette, USB Stick)

- geringes Risiko durch trojanische Pferde bei Windowsusern da Schlüsselkopie möglich

HBCI Chipkarte

- sehr, sehr geringes Risiko bei Lesern ab Kl.2, da keine Kopie erstellt werden kann und 3x falsche PIN zur Zerstörung der Karte führt

Pharming (DNS Spoofing)

- Kunde gibt korrekte Adresse des Kreditinstituts ein
- Entweder DNS-Server manipuliert (alle Kunden der BankX werden auf die Fake-Seite umgeleitet)
- Host Datei auf lokalen Rechner manipuliert (Die Host Datei beinhaltet eine Tabelle mit den meist genutzten IP Adressen, damit es nicht nötig wird einen DNS Server zu kontaktieren um Internet Adressen in IP Adressen umzuwandeln)
- Kunde wird auf Fake Seite umgeleitet

Pin Tan

- SSL Verschlüsselt
- Für leitchtsinnige User hohes Sicherheitsrisiko
- Für sensibilisierte User besteht kaum Sicherheitsrisko

ITan

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da es relativ unwahrscheinlich ist das gerade diese Pin/ITan bei der nächsten Transaktion abgefragt wird
- Für sensibilisierte User kaum Sicherheitsrisko

Mobile Tan (Tan per Sms)

- SSL Verschlüsselt
- Für unerfahrene User geringes Risiko, da die Tan per Sms zugesandt wird und nur für die aktuelle Onlinebankingsession gültig ist

Smart Tan Tan

- SSL Verschlüsselt
- Für unerfahrene User hohes Sicherheitsrisiko, Tan Liste wird nur durch Kartenleser zur Erstellung einer Tan ersetzt. Vorteil gegenüber Pin Tan: Nur die aktuell erstelle Tan ist gültig die zuvor erstellten und nicht verwendeten Tans verfallen.

E-Pad (Eingabe erfolgt nicht über Tastatur sondern über Maus, interaktive Tastatur Monitor)

- es wird das einfache Pin Tan Verfahren genutzt
- bietet keinen extra Schutz vor Phishing

TAN plus/Challenge Response

- Das Verschlüsselungsgerät Digipass (Token) ersetzt die bisher verwendeten TAN-Listen
- generiert nach Eingabe der bankseitig erzeugten Zahlenfolge (Challenge) den entsprechenden Zahlencode (Response) zur Bestätigung.
- Der Token ist einem Benutzer zugeordnet.
- Keine Tan zum abfischen

HBCI-Pin-Tan

- Für unerfahrene User besteht geringeres Risiko zum einfachen Pin-Tan Verfahren da Sie nicht gewöhnt sind die Tan online einzugeben sondern ihre Homebankingsoftware nutzen
- Für sensibilisierte User besteht kaum Sicherheitsrisiko

HBCI (Diskette, USB Stick, Chipkarte)

- keine Tan verfügbar zum „abfischen“
- User sind an Bankkontakt mit Karte gewöhnt
- User sind an Homebankingsoftware gewönt



Habe ich irgendwo grobe Fehler gemacht? Würdet ihr "Men in the middle angriff" auch aufnehmen?

Und wie kann ich die Gefahren am besten gewichten um eine Art Nutzwertanalyse zu erstellen?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Sachsen
Beiträge: 291
Dabei seit: 07 / 2005
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 13:49 Uhr  ·  #56
Hi

Zitat
sehr, sehr geringes Risiko bei Lesern ab Kl.2, da keine Kopie erstellt werden kann und 3x falsche PIN zur Zerstörung der Karte führt


... es muß nicht immer 3x sein

Zitat
Habe ich irgendwo grobe Fehler gemacht? Würdet ihr "Men in the middle angriff" auch aufnehmen?


... würd ich im Rahmen der Nutzwertanalyse bei der Risikobewertung berücksichtigen

Zitat
Und wie kann ich die Gefahren am besten gewichten um eine Art Nutzwertanalyse zu erstellen?


... du hast ja bereits eine "Gewichtung" durchgeführt, indem du sagt, für wenig das Risiko wie hoch ist. Dies würde ich so in die Analyse mit einfließen lassen und beipsielsweise anhand einer Skalierung (1-6 oder 1-10) vornehmen, wobei man neben dem Risiko auch die Bedienungsfreundlichkeit, Kosten (Kunde), Kosten (Bank), Wartungsintensität, u.ä. gewichtet. Dadurch hast du dann auch direkt eine nachvollziehbare Argumentation für deine im Fazit getroffenen Vorschläge (die kleinste/ größte Summe aller addierten Bewertungen = Vorschlag ... oder so ähnlich)

Tschau
Majo
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 14:23 Uhr  ·  #57
Gibt es im Internet eine aktuelle Statistik zu Kriminialität beim Onlinebanking?
Ich muss die Kriminalitätsarten ja auch noch untereinander gewichten und meiner Meinung würde es am besten funktionieren wenn ich dabei auf eine Statistik hinweise.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 14:48 Uhr  ·  #58
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayerisch Venedig
Homepage: sparkasse-passau.d…
Beiträge: 760
Dabei seit: 11 / 2004
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 15:25 Uhr  ·  #59
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 23
Dabei seit: 03 / 2006
Betreff:

Re: Welche Bank bietet welche Homebankingverfahren an?

 · 
Gepostet: 03.04.2006 - 15:53 Uhr  ·  #60
Hallo
anhand meinen Daten werde ich die einzelnen Verfahren nochmal Bepunkten.

0-2 Punkte Schlecht
3-5 Punkte Mittel
6-8 Punkte Gut
9 Punkte Sehr Gut

Phishing

Pin Tan
Leichtsinnig Schlecht 1
Sensibilisiert Mittel 5

ITan
Leichtsinnig Gut 6
Sensibilisiert Gut 7

Mobile Tan
Leichtsinnig Gut 7
Sensibilisiert Gut 8

Smart Tan
Leichtsinnig Mittel 3
Sensibilisiert Gut 6

E Pad
Leichtsinnig Schlecht 1
Sensibilisiert Mittel 5

HBCI Pin Tan
Leichtsinnig Mittel 5
Sensibilisiert Gut 7

HBCI (Diskette, USB-Stick, Chipkarte)
Leichtsinnig Sehr Gut 9
Sensibilisiert Sehr Gut 9
Gewählte Zitate für Mehrfachzitierung:   0