Zu Inhalt springen

Sicherheitsupdates - Dummheit am Rechner

Abd al Rahman
in Die Differenzmaschine

Hervorgehobene Antworten

comment_1065413
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:
comment_1065415
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

comment_1065418
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

 

 

Kennst du dieses Gerät oder das Verfahren?

comment_1065424
Steht auch auf der ersten Seite des Berichts unten:

...doch der Inhalt hätte von einem gekaperten Server unter Kontrolle der Gauner stammen können (zumindest bevor die SEB-Bank den Fehler behoben hat)

Beängstigend isses trotzdem, dass eine Bank mit derselben Blauäugigkeit ins Internet stolpert wie ein interessierter Laie wie z.B. ich.

 

Ursprünglich hatte die SEB auch ein anderes Online-Bankingsystem. Dabei musste man ein Extra-Gerät an seinem Computer zuhause installieren. Das war m.W. sicherer als das normale TAN-System, aber halt auch komplizierter und vor allem unbequemer (man konnte dann ja nur von diesem einen Rechner aus Onlinebanking machen).

 

Anscheinend wurde das wohl nicht ausreichend in Anspruch genommen.

 

Tschuess,

Kurna

Das SEB-Problem hat aber nichts mit TAN oder i-TAN zu tun. Es gehht um die nicht getestete (Un-)Sicherheit der Seite. :notify:

 

Schon klar.

Nur hätte es die Seite unter dem alten System ja gar nicht gegeben. (Was natürlich trotzdem keine Entschuldigung ist.)

 

Tschuess,

Kurna

 

 

Kennst du dieses Gerät oder das Verfahren?

 

Ich habe es sogar im Schrank liegen. :)

 

Allerdings bin ich wahrlich kein Experte und kenne mich nicht mit Details aus. Und da ich kein Onlinebanking mache (weder nach altem noch nach neuem System), habe ich mich bisher auch nicht so sehr damit beschäftigt.

 

Tschuess,

Kurna

comment_1065428

Ist auch nicht so wild.

 

Die Sache mit dem Zusatzgerät hört sich für mich nur so an, wie das System, was wir auch anbieten.

 

Im Grunde trennt man damit den Ziffernblock von der Tastatur und gibt die TAN darüber ein. Dann hat kein Trojaner die Möglichkeit, sie auszuspähen.

 

Ich war nur überrascht, dass du schriebst, dass man damit dann nicht mehr dieses Seite hätte ansteuern müssen, denn bei dem von mir geschilderten System müsste es die normale Onlinebanking Seite sein, die man benutzt. Man gibt nur die TAN über das neue Tastaturfeld ein.

 

Aber vielleicht hast du auch was anderes.

 

Bei uns wird das mit dem Zusatzgerät aber auch kaum genutzt, soviel ich weiß.

 

Wahrscheinlich liegt es auch daran, dass der Kunde das Gerät bezahlen muss. ;)

comment_1065469
Die Sache mit dem Zusatzgerät hört sich für mich nur so an, wie das System, was wir auch anbieten.

 

Im Grunde trennt man damit den Ziffernblock von der Tastatur und gibt die TAN darüber ein. Dann hat kein Trojaner die Möglichkeit, sie auszuspähen.

Ist das HBCI (bzw. FinTS) wovon du redest? Wenn das mit einer entsprechenden Schlüsselkarte gekoppelt ist, dann ist das schon mehr, als die reine Eingabe der PIN über ein Zusatzgerät.

 

Viele Grüße

Harry

comment_1065475

Ich habe keine Ahnung, wie sich HBCI bemerkbar macht. Ich weiß aber, dass ich "HBCI" Verträge abschließe, wenn ich für einen Kunden das ganz normale Onlinebanking mache und zwar ohne dieses Zusatzgerät. Kann es also sein, dass das eine Verschlüsselungsart ist und die eben ganz allgemein bei uns der Standard ist?

comment_1065480
Ich habe keine Ahnung, wie sich HBCI bemerkbar macht. Ich weiß aber, dass ich "HBCI" Verträge abschließe, wenn ich für einen Kunden das ganz normale Onlinebanking mache und zwar ohne dieses Zusatzgerät. Kann es also sein, dass das eine Verschlüsselungsart ist und die eben ganz allgemein bei uns der Standard ist?

Nö, das "normale" Online Banking ohne Zusatzgeräte ist das PIN/TAN Verfahren. Die Kommunikation läuft zwar auch Verschlüsselt ab, allerdings wird nur der Datenverkehr zwischen dem Browser und dem Server verschlüsselt. Der Rechner des Kunden ist damit noch lange nicht sicher. ...und das ist auch nicht sicher gegen Phishing & Co.

 

Mehr über HBCI/FinTS (FinTS ist der "Nachfolger" von HBCI) kannst du hier lesen.

 

Viele Grüße

Harry

comment_1066460
Nö, das "normale" Online Banking ohne Zusatzgeräte ist das PIN/TAN Verfahren. Die Kommunikation läuft zwar auch Verschlüsselt ab, allerdings wird nur der Datenverkehr zwischen dem Browser und dem Server verschlüsselt. Der Rechner des Kunden ist damit noch lange nicht sicher. ...und das ist auch nicht sicher gegen Phishing & Co.
Es gibt (gab) auch HBCI mit PIN/TAN. Ursprünglich war nur ein Public-Key-Verfahren vorgesehen, PIN/TAN kam später zu HBCI dazu.
Mehr über HBCI/FinTS (FinTS ist der "Nachfolger" von HBCI) kannst du hier lesen.
Offenbar hat man da Namenskarussel gespielt:
  • Aus "HBCI" wurde "FinTS".
  • Aus dem Public-Key-Verfahren wurde "HBCI".

Mit HBCI kann also sowohl der Vorgänger von FinTS gemeint sein (dann gibt es auch HBCI mit PIN/TAN; alte Nomelklatur) als auch ein Verfahren innerhalb von FinTS (neue Nomenklatur).

 

Claus

  • 4 Monate später...
comment_1129838

Deswegen habe ich als erstes, als ich hier erweiterte Rechte bekam, das Paßwort auf etwas geändert, was ich sonst nirgends verwende.

Aber es ist schon wahr: Sonst habe ich auch ein Paßwort, daß ich für verschiedene "Kleinigkeiten" verwende. Auch eine Unsitte, aber ich habe mir einmal aufgeschrieben, daß ich mir ca 25 Paßwörter merken muß, davon alleine 15 für die Firma, 10 privat und da sind solche Sachen wie PINs etc. noch nicht dabei.

comment_1129950

Dafür gibt es doch eine Kennwortverwaltung unter Firefox oder auch unter dem IE. Ich vertraue Microsoft nicht alle meine Kennwörter an. Wenn es dann mal eine Datenpanne gibt...

 

Ich habe bis zu der e-Bay Geschichte auch an vielen Stellen dasselbe Kennwort verwendet. Das geistert zwar noch bei irgendwelchen unwichtigen Seiten herum, aber im großen und ganzen habe ich jetzt fast überall unterschiedliche Kennwörter.

 

Die Kennwortverwaltung mache ich selbst manuell.

 

Viele Grüße

Harry

comment_1129985
Unsere Renten Passwörter sind sicher :prados:

 

Aber ernsthaft: Sowas wie die Windows Live-ID ist nichtmal eine schlechte Idee um das Netz zum Singlelogin-Platz zu machen und die Passwörter weg von den unsicheren Webservern zu halten.

 

Viele Grüße

hj

Da empfehle ich eher einen USB-Stick mit encrypted FS. Wenn man es kann, macht man das selber, wenn nicht, besorgt man sich eines von den Posswort-Safe-Programmen.

Wie man weiß, baut Microsoft wohl auch (auf Anweisung der NSA) backdoors in die Verschlüsselungsalgorithmen- alles im Sinne der homeland security.

Abgesehen von dieser Tatsache finde ich es nicht so schlau, Passwörter irgendwo einem Webdienst anzuvertrauen. Obwohl Single-Sign-on weltweit natürlich was für sich hätte ;)

comment_1129996
Du hast glaube ich die Meldung nicht verstanden, Harry. Es geht nicht darum wie DU Passwörter verwaltest, es geht darum wie die Server Passwörter verwalten auf die Du zugeifst. Und ja, da vertraue ich z.B. Microsoft mehr wie diesem Server hier.

 

Viele Grüße

hj

Teils, teils. Es geht auch darum, dass es unklug ist, auf mehreren verschiedenen Seiten dasselbe Kennwort zu benutzen.

 

...und Nix spricht aus, warum ich Microsoft nicht vertraue.

 

Viele Grüße

Harry

  • 1 Monat später...
comment_1164195
Also ich kenne dieses Gerücht nicht seit 20 Jahren, sondern seit Dezember:

http://www.gulli.com/news/nsa-2007-12-18/

 

aber du hast recht, das war wohl schon früher eingebaut:

http://www.ccc.de/press/releases/1999/CCC19990903.html

Programme wie PGP bringen ihre eigenen Zufallsgeneratoren mit, weil die Standard-Zufallsgeneratoren ganz allgemein nicht zufällig genug sind und weil z.B. PGP ganz besondere Zufallszahlen benötigt, nämlich unter Anderem riesige Primzahlen.

Wenn die Verschlüsselungen, die das Betriebssystem selbst erledigt, auf die standard Generatoren zurück greift hast du natürlich recht mit deiner Vorsicht. Aber wenn M$ und N$A zusammen arbeiten gibt es ganz andere Ansätze, die Sicherheit deiner Daten zu kompromittieren.

Bearbeitet ( von Airlag)

  • 9 Monate später...
comment_1306559

Hier ist es goldrichtig. Es geht auch wieder nur wie die Gebetsmühle "Aber wir haben Virenscanner und wir haben den Virenscanner schon getauscht und der Virenscanner hat ein tägliches Update und der Virenscanner blablabla".

Und was sagt das nette Fernsehen: "die Kärntner...hatten einen aktuellen Virenscanner....um solche Attacken zu verhindern, raten Experten zu aktuellen Virenscannern..." :dozingoff:

Vom Patchstand keine Rede.

 

Dabei wäre der Fehler vermutlich mit einem Betriebssystem auf dem letzten Patchstand verhinderbar gewesen.

Erstelle ein Konto, um zu kommentieren

Zur Themenliste

Kürzlich Online 0

  • Kein Mitglied betrachtet die Seite.

Wichtige Informationen

Wir setzen Cookies, um die Benutzung der Seite zu verbessern. Du kannst die zugehörigen Einstellungen jederzeit anpassen. Ansonsten akzeptiere bitte diese Nutzung.

Browser-Push-Nachrichten konfigurieren
Chrome (Android)
  1. Klicke das Schloss-Symbol neben der Adressleiste.
  2. Klicke Berechtigungen → Benachrichtigungen.
  3. Passe die Einstellungen nach deinen Wünschen an.
Chrome (Desktop)
  1. Klicke das Schloss-Symbol in der Adresszeile.
  2. Klicke Seiteneinstellungen.
  3. Finde Benachrichtigungen und passe sie nach deinen Wünschen an.