Experte: Banken schützen Kunden zu wenig vor Betrügern

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von consulting, 27. Juni 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. consulting

    consulting Halbes Megabyte

    Registriert seit:
    12. September 2003
    Beiträge:
    602
    Das ist nur eine Seite der Medaille.

    Wie aber sieht es in einem anderen Fall aus:
    Jemand steigt in einen IC, wobei ihr aus der Handtasche die Geldbörse mit EC-Karte entwendet wird.

    1.) Die Karte wurde tagelang nicht benutzt (wie Bankauszüge bestätigen).
    2.) Auf der Karte und auch sonstwie nirgendwo ein Hinweis auf die PIN.
    3.) Beginnend 6 (sechs!) Minuten nach dem Diebstahl wurden mit zutreffender PIN bei einem nahegelegenen Automaten in Serie große Beträge abgehoben, bis das Tageslimit von 2.500 Euro überschritten wurde.


    Wohlgemerkt: Es gab keine irgendwo festgehaltenen Hinweise auf die PIN in der Geldbörse oder sonstwie.
    Die Bestohlene kannte die PIN nur auswendig, hatte sie während der Reise jedoch nirgendwo eingegeben, weil die Karte NICHT benutzt wurde.

    Die Bank ersetzte den Schaden nur bis auf 500 EURO.
    Sie behauptet einfach, die Bestohlene träfe eine Mitschuld.

    Wie das?
     
  2. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Oh wow, was für eine bombastisch geniale Idee!! :aua:

    Es wurden so tolle Methoden mit Private/Public-Key verfahren entwickelt, in HBCI integriert und von den Banken angeboten (O.K., nicht von allen). Man muss nur hingehen und sich dafür anmelden. Jede Interaktion mit dem Bankrechner muss dann durch den Besitz der Karte und das Wissen um die PIN authentifiziert werden, und niemand könnte, selbst wenn er die Verschlüsselung der Übertragung umgehen könnte, die gesammelten Daten für eine andere Aktion missbrauchen. Nix mehr Phishing!

    Was sollen denn die Banken mehr tun? OK, man könnte die Leute über diese Möglichkeit informieren, aber ansonsten ist doch alles da! Das PIN/TAN-Verfahren lebt meiner Meinung nach nur noch vom Preis der Klasse3-Chipkartenterminals und von der Unwissenheit der Bevölkerung.

    Toller EXPERTE.
     
  3. Krosch

    Krosch Byte

    Registriert seit:
    30. Mai 2002
    Beiträge:
    22
    Nabend,

    Was hat das mit Online-Banking und dem Artikel zu tun?

    Zurück zum Thema: TheKey84 liegt IMHO ganz richtig, es existieren bereits sichere Verfahren für Online Banking, nur verwendet/beworben werden Sie nicht.

    Gruß
    Krosch
     
  4. yeTTiz

    yeTTiz Kbyte

    Registriert seit:
    1. Dezember 2000
    Beiträge:
    189
    Tja was soll man dazu sagen:

    <Schnipp>
    "Solche Maßnahmen würden allerdings Millionen kosten, und die Technik ist teilweise noch nicht ausgereift." Lamprecht rät allen Online-Bankkunden, auf verdächtige Mails zu achten und niemals das Passwort weiterzugeben.
    <Schnapp>

    Ich halte Klasse 3 Chipkartenleser für sehr sicher,
    aber die kosten halt mehr als durch den Betrug bezahlt werden müssen, zumal ein Teil auf die Kunden übertragen werden.
    Wenn jetzt aber alle Online-Kunden wieder zum Schalter gehen würden, würden die Schalter aus allen Nähten platzen und die Mitarbeiter es nicht mehr schaffen. Es müssten wieder Leute eingestellt werden, aber das kostet wieder Geld was die Kunden bezahlen würden, und es würde einige Zeit kosten geeignetes Personal zu finden bzw. auszubilden.
    Auf der anderen Seite könnten die Hersteller nicht auf einmal so viele Kartenleser zur Verfügung stellen.
    Panik bei Kunden, Stress bei Mitarbeitern und kosten für die Banken wären die Folgen.

    so long yeTTi

    PS: Ich nutze kein Online-Banking und keine Kreditkarten.
     
  5. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Wenn aber auf einmal jeder Online-Banking-Kunde einen haben wollte, dann würden die Dinger ganz schnell billig werden.

    Und man muss die Einführung ja nicht von heute auf morgen machen, um Lieferschwierigkeiten vorzubeugen. Das dürfte meiner Meinung nach kein Problem sein.
     
  6. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Sicherlich gibt es Angriffe, die durch PIN/TAN erleichtert werden, aber man sollte sich auch darüber im Klaren sein, daß der Kunde selten bereit ist, für Sicherheit einen angemessenen Preis zu zahlen. So machen viele einen Rückzieher, wenn es darum geht, Software und einen Kartenleser Klasse 3 zu kaufen. Außerdem verliert man so seine Mobilität, denn man tätigt seine Geldgeschäfte ja am Firmen-PC. Die Banken sind sicherlich bemüht, das Sicherheitsniveau ständig zu erhöhen, aber oftmals sitzt die Fehlerquelle vor dem Bildschirm. Wo kommen sonst die ganzen ebay-Betrugsfälle etc. her? Es wird Vorkasse an Leute geleistet, die man nicht kennt, Kreditkartendaten ohne SSL weitergegeben, Surfen ohne Firewall und Virenschutz, so daß Keyloggern etc. Tür und Tor geöffnet ist.

    Vielleicht wird alles mit Einführung der iTAN wieder etwas sicherer. Fingerabdruck? Nein danke. Da macht sich ja keiner mehr die Mühe, meine PIN aus mir herauszuprügeln, sondern schneidet mir einfach meinen Zeigefinger ab.

    Grüße
    seal
     
  7. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Diese Dinge würden ja billiger werden, wenn die Leute sie kaufen würden. Aber die meisten wissen wohl nichtmal davon.

    Meiner Meinung nach ist es eh keine gute Idee, Geldgeschäfte im Internet-Cafe zu erledigen.

    weil man sonst nicht kriegt, was man will. Umgekehrt müssten die Verkäufer das Risiko tragen. Welcher normaldenkende Mensch will das schon, wenn er was hat, was andere wollen? Wer haben will muss eben das Risiko tragen.

    Oder mit SSL, und das Backup des Händlers wird geklaut. Meiner Meinung nach sind Kreditkarten die absolut schlechteste Bezahlmethode, die je erfunden wurde. Das Prinzip an sich ist total vollidiotisch. Es ist so, als gäbe ich dem Händler eine Vollmacht über mein Konto.

    Man hätte so schnell wie möglich HBCI für Online-Banking zur Pflicht machen sollen. Das PIN/TAN-Verfahren ist nur als Kundenmagnet geeignet, nicht zum sicheren Homebanking. Man hätte es vielleicht noch sinnvollerweise mit HBCI-Disketten-Version vereinigen können, dann wären auch keine Kosten für Klasse3-Chipkartenleser entstanden und es wäre trotzdem sicherer als das PIN/TAN-Verfahren alleine.

    http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml
     
  8. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Ja genau, alle Leute tanken und deshalb wird der Sprit billiger. Steigende Nachfrage hat nicht immer sinkende Preise zur Folge

    Seit wann ist ein Firmen-PC an Deinem Arbeitsplatz ein Internet-Cafe? Erst lesen, dann argumentieren.

    schon wieder falsch...es gibt Kreditkartenzahlung, Lastschrift, weiterhin Trusted Shops, Gütesiegel, Versicherungen vom Gerling etc., aber größtenteils will man die Shops ja nicht nehmen, weil es dort 5 EUR teurer ist...und Geiz ist ja bekanntlich geil.

    stimmt! Vorkasse ist viel sicherer. Man kann die Zahlung reklamieren, wegen Widerspruch zurückgeben, man haftet mit max. 100 EUR (oder sind es sogar nur 50?). Wenn man sich mit einem Thema nicht auskennt, sollte man mit Pauschalaussagen bzw. Halbwahrheiten vorsichtig sein.

    Was ist schon 100%ig sicher? Die neuen Geldscheine sollten fälschungssicher sein. Wie Du selbst gezeigt hast, ist selbst die hochgelobte Biometrie austricksbar (wobei Finger abhacken wirklich einfacher ist als das besagte Procedere). Es ist ein Spagat zwischen kostengünstig, mobil und sicher...sonst muß man es lassen oder einen anderen Anbieter suchen. Wie Du schon sagtest: Wer etwas will, muß das Risiko tragen. Auch hier gelten die Gesetze der Marktwirtschaft: Was der Kunde will, wird angeboten. Momentan liegt aus o.g. Gründen das Hauptaugenmerk auf PIN/TAN.

    Die neueren PCs haben ja auch alle so ein Ding. Aber dafür hast Du sicherlich auch einen Tip für die IT-Branche, wie die Pflicht, in alle PCs ein Diskettenlaufwerk einzubauen. Erst propagierst Du Typ3 Leser und willst die zur Pflicht machen, jetzt Disketten.... Handy-Banking etc. könntest Du in dem Zuge übrigens auch beerdigen. Aber Du wirst wohl auch hier für alle Handy-Hersteller eine USB-Schnittstelle zur PFLICHT machen, damit der Kartenleser oder ein Diskettenlaufwerk angeschlossen werden kann.
     
  9. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Wenn aber fast niemand etwas kauft, ist es automatisch teuer.

    Es ging doch um mobilität. Wenn ich meine Geldgeschäfte am Arbeitsplatz erledigen will, kann ich da ein Lesegerät anschließen. Wenn ich meine Geldgeschäfte überall machen will, kann ich das mit der Chipkarte vergessen. Deshalb hab' ich Internet-Cafe gesagt. Die Auswahl zwischen zu Hause und Arbeitsplatz nenne ich noch lange nicht mobilität.

    Wer redet denn von Internet-Shops? Es ging ganz eindeutig um ebay. Und da verkaufen erstmal Privatleute. Und die bekommen keine Gütesiegel, und meine Kreditkarte können sie auch nicht akzeptieren. Und diese Privat-Verkäufer haben keinen Grund, das Risiko auf sich zu nehmen.

    Das hab' ich nicht gesagt. Ich will aber trotzdem nicht sagen, dass Kreditkarten was gutes sind.

    Kann ich mit Lastschrift auch. Warum kann man das nicht nehmen, warum muss es denn eine Kreditkarte sein? Es häufen sich die Meldungen, dass man überall aufpassen muss.

    Warum musst du von einem Extremum in's andere verfallen? Es gibt Verfahren, die als sehr sicher gelten, und es gibt welche, die als wenig sicher oder kaum sicher gelten. Warum muss ich denn unbedingt eine unsichere Methode verwenden, wenn eine sehr viel bessere, modernere Methode existiert?

    Ich hab' sie nicht gelobt, ich halte sie für Unfug.

    Der Kunde nimmt aber das, was ihm seine Bank vorschlägt, das hat nix mit wollen zu tun.

    Das Medium ist doch völlig irrelevant! Ich habe Diskettenversion gesagt, weil man das eben bisher mit Disketten gemacht hat. Man könnte jedes beliebige Medium verwenden. Sogar wenn man die Festplatte nehmen würde, wäre diese Methode noch sicherer, als reines plumpes PIN/TAN/sonst nix.
     
  10. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Oder es wird billiger, damit die Ware an den Mann kommt. Ist schon verzwickt mit der Marktwirtschaft, nicht wahr?

    Schöne Grüße von Deinem Systemadmin. Und der Leser allein reicht auch nicht aus. Soft brauchst Du auch. Und wenn Du Glück hast, sind 2 USB-Anschlüsse frei, die nicht vom Admin gesperrt sind.

    Quod erat demonstrandum.

    "Nicht daheim" ist für mich nicht gleichbedeutend mit "überall". Bei über 200 Arbeitstagen im Jahr zu 40/h die Woche, ist das Platz Nr. 2 und nicht das Internet-Cafe auf Malle. Wo soll da auch die Rechnung herkommen? (Ich bin kein ebay´er) Schau Dir die Surfgewohnheiten an (9-12/ Mo-Fr).

    Zeig mir in Deinen Einträgen das Wort ebay und ich gebe Dir uneingeschränkt Recht mit Deiner Behauptung, daß es "natürlich" um ebay ging

    Erstaunlich. Eben war die Kreditkarte noch das absolut schlechteste Zahlungsmittel....

    Weil die Lastschrift laaaaange Zeit zurückgegeben werden kann und somit ergibt sich für den Händler ein latentes Risiko einer Rücklastschrift und somit ein finanzielles Risiko.

    Genau! Überall! So könnte z.B. Dein Vorkasseempfänger eine Lastschrift auf Dein Konto ziehen, sofern er Kontonummer und BLZ hat, das Geld abheben, Konto schließen und Tschüssikowski (lohnt sich natürlich nur im großen Stil).

    sicherer....laß doch die Herumhackerei auf "PIN/TAN erweitert". Wenn einer seine Scheckkarten-Geheimzahl rausplaudert, ihm die Karte dann geklaut und das Konto am GA abgeräumt wird, bist Du doch bestimmt der erste, der sagt: "was für ein Blödmann, weiß doch jedes Kind, daß man seine Geheimzahl nicht rausgibt".
    Wenn sich aber ein Onlinebanker nicht an die Sicherheitshinweise hält, sich über eine Mail (die sich teilweise auch noch durch äußerst mieses Deutsch auszeichnen) auf eine Seite locken läßt, dort seine Daten eingibt, obwohl ihm laufend gesagt wird "tu das nicht", er keinen Fingerprint prüft, die URL ihm völlig wurscht ist, er keinen Virenschutz oder eine Firewall auf dem PC hat, und dann etwas passiert, dann ist die Bank mit ihrem Sicherheitssystem schuld. Wäre es nicht so traurig, würde ich mich vor Lachen auf dem Boden wälzen.

    Du bist im Verkauf tätig, nicht wahr? Und hast noch nichts vom mündigen Bürger gehört? Täusch Dich da mal nicht. Die Kunden hören nicht unbedingt auf das, was der Banker sagt. Der sagt nämlich auch: Lies die Sicherheitshinweise und beachte sie

    Aber mit ein wenig Realitätssinn hätte man es gar nicht erwähnt, weil Diskettenlaufwerke bis auf wenige Restanten ausgestorben sind.

    Ach ja? Auf einem USB-Stick ist die Software, auf dem zweiten der Key und den dritten belegt der Karten-Leser? Aber in der Firma und im Internet-Cafe hat man ja auch jede Menge CD-Laufwerke, die offen sind. Also jedes beliebige Medium denkbar. Denks Du auch manchmal nach, bevor Du etwas schreibst?

    Natürlich eine Wechselpatte, wegen der Mobilität. Und ein Backdoor wird auch bestimmt den Schlüssel nicht von der Platte lesen, wenn kein Schutz drauf ist...

    Plump ist, glaube ich, hier nur Deine Argumentation
     
  11. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Hängt das net davon ab, ob überhaupt privater Internetgebrauch am Arbeitsplatz erlaubt ist?

    Genau das hab' ich doch auch gesagt. Jetzt sagst du das Selbe und willst damit genau das Gegenteil ausdrücken wie ich.

    Ich bin davon ausgegangen, dass du über eBay redest, weil du online-shops garnicht genannt hast.

    Aha, lass' mich das kurz nochmal überdenken: Du sagst mir, man soll eine Kreditkarte nehmen, weil man das Geld zurückbuchen kann: Das schafft Sicherheit für den Kunden. Jetzt sagst du mir, Lastschrift ist schlecht, weil man das Geld zurückbuchen kann, und der Händler ein Risiko auf sich nimmt. Wo ist der Unterschied?

    OK, man kann mit Lastschriften betrügen. Man kann aber auch mit Kreditkarten betrügen.
    Bei Kreditkarten scheint es sich schon im kleinen Stil zu lohnen.

    Stimmt genau! Aber wenn jemand einen Geldautomaten kauft, ihn umprogrammiert und in einer Einkaufsstrasse aufstellt, um Geheimnummern mitsamt Karten(daten) zu ergaunern, dann würde ich dem Kunden nicht die Schuld geben. Idee ist nicht erfunden, sondern ist so schon passiert. Und genausowenig schließe ich es aus, dass eine Online-Banking-Webseite absolut sicher unfälschbar ist. Wie du selbst gesagt hast, gibt es keine 100%ige Sicherheit. Was ist mit der Meldung mit den gefälschten DNS-Einträgen? War das nicht auch schon in den PCWelt-News?

    Nicht alle. Aber wenn Jemand seine Bankfiliale betritt und sagt:"Ich will Homebanking machen, wie geht das?" Dann hört er auf seinen Banker.

    Nur weil du es nicht gleich verstanden hast, wie ich das gemeint habe, musst du mir keinen Realitätsverlust vorwerfen.

    Warum ist nicht auf einem die Software und der Key??

    Wieso sollte ich denn einen Kartenleser anschließen wollen, wenn der Key auf einem USB-Stick gespeichert ist?

    Klar, du könntest ihn auch auswendig lernen und jedesmal eingeben. Wo willst du ihn denn speichern, wenn nicht auf einem Medium?

    Wieso kopiert man nicht einfach den Schlüssel? Man muss doch seine Festplatte deswegen nicht mitnehmen. Du könntest ihn dir zum Beispiel symmetrisch verschlüsseln und per eMail zum Arbeitsplatz schicken. Mit Würmern geht's doch schließlich auch.

    Waren wir uns nicht einig, dass 'kein Schutz' genauso dämlich ist, wie PIN auf die arte kleben und verlieren? Wenn Jemand ohne Schutz in's Internet geht, ist sowieso kein Kraut gegen sein Unglück gewachsen. Aber der Clou ist: Wenn der Kunde keinen Key hat, braucht ihn der Trojaner garnicht erst von der Platte zu lesen.
     
  12. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Zwischen Aufruf einer Onlinebanking-Seite und Anschluß eines Sticks mit ausführbarer Software drauf ist ein klitzekleiner Unterschied. Dein Admin wird Dir das erklären...

    spooky, isn´t it? Mobilität ist für Dich das Internet-Cafe auf Malle...für mich nicht.

    1. War ebay ein Synonym für "die Welt will betrogen werden"
    2. Hatte ich geschrieben "wo DU ebay verwendet hast" und dann zitierst Du mich :aua:

    1. Kreditkarte anstelle Vorkasse.
    2. Lastschrift ist eine weitere Zahlungsmöglichkeit, die für den Kunden sicherlich die gleichen Vorteile hat wie die Kreditkarte (sogar weitergehende), allerdings gravierende Nachteile für den Händler, denn die "Zahlungsgarantie" der Kreditkarte fehlt der Lastschrift.

    Stil = Geldmenge, also kann sich kleiner Stil nie lohnen

    Wie oft? Und wie die EAV schon sang: "das Böse ist immer und überall". Wer trägt denn das Risiko, wenn Du einem Trickbetrüger auf den Leim gehst? Deine Eltern? Dein Nachbar? Dein Kundenberater?

    Wenn Du Deine Bank jeden Tag mit "www.haspa.de" aufrufst und dort Deine geschäfte mit 128-bit-Verschlüsselung tätigst, Deinen PC abgesichert hast und niemandem Deine PIN oder eine TAN gibst, dann zeig mir doch mal das enorme Sicherheitsrisiko auf.

    Tja, alle Wetter, die DENIC. Es handelte sich aber um die Neuanmeldung "ähnlich" klingender Adressen. www.haspa.de ist nicht von heute auf morgen an ein lättisches Mafiakonsortium vergeben worden. Ansonsten: man nehme aus 4 Artikeln Bruchstücke und zimmere sie zu einer Wahnsinnsstory zusammen....

    Der ihm erzählt, daß Onlinebanking per PIN/TAN recht sicher ist, wenn er Folgendes beachtet: ....... Vielleicht sollte man aber auch mit jedem, der Onlinebanking machen will, im Vorfeld einen IQ-Test machen, um Aspiranten für die Pisa-Polizei von vornherein auszuschließen, wer weiß...


    Mea culpa. Wie willst Du es sonst nennen, wenn jemand die Nutzung von Medien vorschlägt, die Du fast nirgendwo mehr bekommst? Zumal das Groß der people gar nicht mehr über solch ein Laufwerk in seinem PC verfügt. Lies doch noch einmal Deine Anmerkung dazu..."sinnvollerweise mit HBCI-Disketten-Version vereinigen..."

    Warum dann das Hin- und her mit dem (somit überflüssigen) Kartenleser bzw. DAMALS mit der separaten Diskette? Wäre dann doch alles Mumpitz, nicht wahr? Vielleicht gibt es ja auch wieder Deppen, die ihre Software nicht schützen und die PIN beim Konto gespeichert haben...who knows...

    Das war ein kleiner Tribut an Dein Sicherheitsbedürfnis :bet:

    *verzweifel* Es ging darum, daß man sich im Vorfeld Gedanken machen muß über Usability, Einsatzmöglichkeit etc. und nicht einfach "auf irgendein Medium, is doch egal" raushaut.

    Oder auf Deinem virtuellen Laufwerk bei gmx ablegen....Wo ist plötzlich Dein Drang zu absoluter Sicherheit geblieben?

    JEPP! Aber sowas gibt es auch im 21. Jahrhundert. Bezeichnend ist auch, daß die, die ihre PIN sorgfältig in die Kartenhülle kleben, hinterher, nachdem das Konto geplündert wurde, immer behaupten: NEIN, die weiß keiner...Sonst könnte man ja auf gute Presse (Geheimzahl ist knackbar) und eine Entschädigungszahlung von vornherein pfeifen. Wer wäre in dem Moment so blöd und würde jede Hoffnung auf eine "Erstattung" des Schadens aufgrund von Ehrlichkeit begraben? Think about!

    Und mit Post, Gang in die Filiale und die Taschen voller Bargeld bräuchte man weder das Internet, noch das Onlinebanking oder die Kreditkarte....
     
  13. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Also ich hab' jetzt garnicht mehr groß Lust weiterzudiskutieren. Nur noch ein paar Kleinigkeiten: Da du mir ja
    vorwirfst, habe ich mir extra für dich die Mühe gemacht, den Link rauszusuchen: http://www.pcwelt.de/news/sicherheit/107190/index.html

    Darüber hinaus halte ich moderne symetrische Verschlüsselungsverfahren durchaus für sehr sicher, vorausgesetzt man sucht sich kein dämliches Passwort aus. Symmetrische Verschlüsselungen sind definitiv um ein vielfaches stärker und effizienter als asymmetrische.
     
  14. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Tja,

    und ich halte Onlinebanking mit PIN/TAN für relativ sicher, sofern man sich an gewisse Spielregeln hält.

    Mir ging es nur darum, daß man sich mit dem Thema vernünftig auseinandersetzt und nicht irgendwelche Parolen raushaut. Also ist es unsinnig, ein Verfahren komplett niederzumachen. Auch bei Deiner Verschlüsselung (die mit dem Thema relativ wenig zu tun hat) räumst Du selbst ein, daß die Sicherheit vom User abhängt.

    Die Quintessenz ist, daß ein Sicherheitsverfahren in erster Linie mit der Sorgfalt des Benutzers steht und fällt. Es steht ja nicht zur Diskussion, ob 128-bit "knackbar" ist. Das Banking an sich, hat bisher noch niemand gehackt.

    Zu Deinem Artikel:
    Und schon sind wir wieder bei der Verantwortung des Users. Wenn der allerdings auf diesen Hinweis (der übrigens auch in jedem Sicherheitshinweis zum Onlinebanking aufgeführt ist) pfeift, dann ist natürlich wieder die Bank schuld. Bist Du sicher, daß bei dieser Methode nicht auch die Prüfung des HBCI-Schlüssels vom Angriffsserver gefakt werden kann?

    seal
     
  15. TheKey84

    TheKey84 Kbyte

    Registriert seit:
    29. Oktober 2004
    Beiträge:
    187
    Ich wollte doch mit dem Artikel nur klarmachen, dass es eine absolute Sicherheit nicht gibt. Man kann als Banker seinem Kunden 1000 Hinweise geben, was er zu beachten hat, und dann findet irgendjemand eine Lücke, die vorher niemand bedacht hat, und schon sind die 1000 Hinweise wertlos.

    Der großteil der Computer-User interessiert sich nunmal nicht für Sicherheitsproblematik, und sie informieren sich auch nicht. Das einzige, was der großteil der Bevölkerung mitbekommt, sind Meldungen in Tageszeitungen oder den Nachrichten, und sowas kommt äußerst selten vor, und dann müssen sie's auch noch lesen, was bestimmt noch seltener vorkommt.

    Und gerade und besonders unter diesem Aspekt halte ich persönlich HBCI eben für die bessere Variante. Man kann natürlich auch einfachere Methoden verwenden und penibel darauf achten, dass alles in Ordnung ist. Aber solange alles relativ normal aussieht, werden das die Wenigsten tun.

    Und das einzige, was ich den Banken zum Vorwurf mache, ist, dass die Anwender kaum über HBCI informiert werden. Ich selbst musste mehrmals nachfragen, um überhaupt Auskunft zu bekommen. Aber wenn man genau weiß, dass der Großteil der Kunden sich wohl nicht für Sicherheit interessiert, warum kann ich ihnen dann nicht erstmal die HBCI-Version anbieten? Vielleicht würde sich dann auch Phishing nicht mehr lohnen.
     
  16. seal65

    seal65 ROM

    Registriert seit:
    28. Juni 2005
    Beiträge:
    6
    Also: Die Problematik ist am Markt (sprich bei den Beratern), daß man sich natürlich nicht auf Terrain begibt, auf dem man nicht ganz sattelfest ist. Bedeutet: Wenn ich ein Not-PC-User bin und sonst von Technik keine Ahnung habe, nenne ich das Verfahren, mit dem ich mich am besten auskenne. Das versucht man aber durch Schulungen auszumerzen. Ansonsten bieten die Institute (sofern sie HBCI anbieten) in ihren Internetauftritten entsprechende Informationen an, wonach der Kunde seine Wahl treffen kann. Beispiel: http://vgs.sparkasse-meissen.de/banking_und_brokerage/online_banking_hbci/details.php

    Wenn ein Institut kein HBCI anbietet, weil z.B. keine Nachfrage vorhanden ist (ja, die könnte man schüren, aber es ist halt noch immer der Kostenfaktor für die Kunden, der viele zurückzucken läßt. Und für die Institute ist es nicht sehr erbaulich, HBCI beim Rechenzentrum für sämtliche Onlinebanking-Konten zu bezahlen, obwohl es nur 30 nutzen). Vielleicht erhöht sich ja auch die Anzahl der anbieteenden Institute aufgrund der derzeitigen Risikolage. Vielleicht erreicht man auch ein höheres Niveau mit der iTAN. Man muß die Sache aber immer von mehreren Seiten beleuchten und das Für und Wider abwägen. Mit "Kreditkarte ist das Letzte und PIN/TAN auch" macht man es sich zu einfach.

    Der Kunde muß eine gewisse Verantwortung (und wenn es nur das Beachten der Sicherheitshinweise ist) mit tragen. Du kannst in Deinem Job sicherlich auch nicht auf Teufel komm raus irgendwas machen (z.B. irgendwas blind unterschreiben), weil Du im Zweifelsfall dann mit dran bist. Und genauso ist es (in gewissem Maße) auch hier.

    Grüße
    seal
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen