"WiSo-Mein-Geld" - visuell. Controlling des Online-Datenaustausches

1. offizieller Beitrag

    Hallo an alle hier im Forum,


    bin neu hier und nicht sicher, ob mein Anliegen auch Interesse findet.


    Nun, ich denke, Sicherheit beim Online-Banking geht uns alle an!!!!


    Da ich die SW "WiSo-Mein Geld" das ersta Mal anwende, vermisse ich eine visuelle Online-Kontrolle mittels eines Buttons o.ä., damit ich auch sehen kann, ob Aktualisierung durch MG auch bei meiner Bank durchgeführt wird.


    Wenn ich mit meiner Bank online bin, z.B. https://sparkasse.de/... usw., dann habe in der Befehlszeile das Schloss und in d. Taskleiste meine Bildschirme, die verlässlich anzeigen, mit wem, und dass ich Verbindung habe. Ausser dem kann ich mir jederzeit, als weitere Sicherheit, das Zertifikat der Bank anzeigen lassen.


    ?( Habe bislang entsprechende Einstellmöglichkeiten im WMG leider nicht gefunden. Auch interessiert mich wie es funktioniert, dass ich mit MG meinen Kontostand mit PIN abrufe, ohne dass ein Vermerk auf Bankseite evidentiert wird.


    Wer hat mehr Ahnung und hilft mir auf die Sprünge?


    Danke und Ciao :)

    Das ist, aus meiner unmaßgeblichen Sicht gesprochen, nicht unkrtisch. Wenn das Verfahren offengelegt wird, könnte jeder, der das vorhat, eine Manipulation von MG per Trojaner oder ähnlichem versuchen. In sofern ist es besser, dass das Verfahren nicht öffentlich ist. Wenn Du Sicherheitsbedenken hast, dann kauf Dir doch ein Chipkartenlesegerät, so dass Du dann HBCI mit Chipkarte (die Du Dir von Deiner Bank noch geben lassen musst) betreiben kannst. Das ist dann sicherer. Am sichersten ist derzeit das Onlinebanking mit dem Secoder1 Standard. Dies machen aber im Moment (nach meinem Kenntnisstand) nur Vobas und RafKa eines einzigen Rechenzentrums. Dann fällt aber die Verwendung von MG weg da Secoder1 reines Browserbanking ist. Erst Secoder2 soll nach meinen Informationen mit externer Bankingsoftware arbeiten können (habe ich gestern auf der CeBIT gehört).


    Falk

    • Offizieller Beitrag
    Zitat von JanaS

    bin neu hier und nicht sicher, ob mein Anliegen auch Interesse findet.


    Interesse haben wir an fast allem ;)


    Zitat

    Wenn ich mit meiner Bank online bin, z.B. [/color]https://sparkasse.de/... usw., dann habe in der Befehlszeile das Schloss und in d. Taskleiste meine Bildschirme, die verlässlich anzeigen, mit wem, und dass ich Verbindung habe. Ausser dem kann ich mir jederzeit, als weitere Sicherheit, das Zertifikat der Bank anzeigen lassen.


    Das Browserbanking und das OnlineBanking (ich vermute mal du setzt HBCI ein) via MG sind 2 Paar Schuhe.


    Das Browserbanking ist Sicherheitsrisiken wie Phishing, Pharming, DNS-Poisoning ausgesetzt. Daher sollte man das kleine Schloss als Anhaltspunkt nehmen, ob man wirklich auf der richtigen Seite ist. (1000%ig ist es aber auch nicht: http://www.heise.de/security/V…ing--/news/meldung/109196 )


    Bei dem OnlineBanking via HBCI funktioniert die Kommunikation etwas anders. Beim Einrichten deines HBCI-Kontaktes überprüft die Banksoftware die Signatur und kommuniziert fortan nur noch mit dieser. Wird das HTTPS-Zertifikat geändert/manipuliert wird die Kommunikation abgelehnt.


    Noch Sicherer ist an dieser Stelle das schon von Falk erwähnte HBCI mit Chipkarte: Hier arbeitest du komplett ohne PIN und TAN. Es werden in einem 1. Schritt ("Initialisierung") Schlüssel ausgetauscht. In allen weiteren Kommunikationsschritten ist eine Kommunikation zwischen den beiden Partnern (Kunde<>Bank) nur noch mit genau diesen Schlüsseln (Chipkarte) möglich,


    Ein "Schloss" würde daher keinen wirklichen Sicherheitsgewinn bringen.
    Außerdem: welcher Bank würde ein Laie die URL: https://hbc11.fiducia.de/cgi-bin/hbciservlet zuordnen?


    Zitat

    Auch interessiert mich wie es funktioniert, dass ich mit MG meinen Kontostand mit PIN abrufe, ohne dass ein Vermerk auf Bankseite evidentiert wird.


    Da fragst du deine Bank ;) Ich vermute mal, dass die Bank einen Login per HBCI nicht im Internet anzeigt.


    Zitat von &quot;Falk1&quot;

    Das ist, aus meiner unmaßgeblichen Sicht gesprochen, nicht unkrtisch. Wenn das Verfahren offengelegt wird, könnte jeder, der das vorhat, eine Manipulation von MG per Trojaner oder ähnlichem versuchen.


    Security through obscurity - da kann man drüber streiten.


    Gottseidank gehen die Banken nicht diesen Weg - Denn hier kann man alles nachlesen. ;)


    Ansonsten hast du mit dem Secoder recht.
    Nicht vergessen sollte man an dieser Stelle aber immer, dass fast alle Angriffe aufs OnlineBanking eine Interaktion des Users erfordern.
    D.h. auf einem sauberen Rechner, einer geüprüften HTTPS-Verbindung und einem "geschulten" User ist auch InternetBanking "sicher".


    Viele Grüße


    Sandro


    PS: JanaS: Nix gegen die Farbe, ich finde sie aber etwas schwer zum Lesen ...

    • Offizieller Beitrag
    Zitat von SaSue

    PS: JanaS: Nix gegen die Farbe, ich finde sie aber etwas schwer zum Lesen ...

    Zumal mir auch nicht ganz klar ist, wozu die Farbe gut sein soll bzw. was damit hervorgehoben werden soll. ?( Aber Spaß beseite, den Aufwand, den Text farbenfroh zu gestalten, kann sich JanaS sparen. Bringt nichts und erschwert, wie Sandro schon richtig bemerkte, das Lesen.


    Gruß
    Dirk

    • Offizieller Beitrag

    Hallo Falk,


    Zitat von Falk1

    Sorry für die unklare Schilderung. Meine Bemerkung bezog sich nicht auf HBCI sondern auf Screenparsing (ich sehe kein Schloss). Auf diese Art der Abfrage bezog sich meine Bemerkung über die mögliche Unsicherheit bei Offenlegung des Verfahrens.


    Ok, sorry für das Mißverständniss.


    Wobei ich dir auch hier die Illusion nehmen muss - das Screenparsing ist nix geheimes.
    Wie der alte Screenparser funktionierte kannst du hier nachvollziehen.


    Ansonsten funktionieren die Screenparser in der Regel gleich:
    Sie simulieren einen Benutzer der die Seite bedient und "parsen" die Seite (werten sie aus). Die gewonnen Daten werden dann an die Software zurückgegeben.


    Da ist nichts wirklich geheimes dabei und mit einigen grundlegenden Programmierkenntnissen kann man selbst einen einfachen Screenparser bauen.


    Schau z.B. mal hier.


    Aus diesen Grund bin ich auch kein Fan von Screenparsern - sie unterliegen fast den selben Sicherheitsproblemen wie die normale Website, sind aber vieeeeeel Wartungsintensiver. Das einzige was der Parser von sich aus macht: Er produziert eine Fehlermeldung wenn die URL nicht zum Zertifikat passt.


    Viele Grüße


    Sandro