Bin ziemlich unerfahren, was Sicherheit beim Web-Banking in WISO Mein Geld 2011 betrifft

  • Hallo user-freunde ,,, ich bin kein profi was die sicherheit beim web-banking mittels nutzung des Wiso Programmes Mein Geld 10 bzw. 11 betrifft. Ich habe gehört - wenn man sich bei nutzung der chipcard mittels chipdaten-leser dann am der tastatur die pin eingibt der bank bei erfolgreicher einwahl auch die aktuelle dynamische IP übertragen würde ????? Kann es damit zu problemen bezüglich sicherheit oder was auch immer kommen oder ist diese information mittels des übertrags der IP falsch ????
    Gruss
    :cursing: 8o :love:

    • Offizieller Beitrag

    Ich habe gehört - wenn man sich bei nutzung der chipcard mittels chipdaten-leser dann am der tastatur die pin eingibt der bank bei erfolgreicher einwahl auch die aktuelle dynamische IP übertragen würde ?????


    Das ist richtig. Egal was du im Internet machst, die Gegenstelle sieht immer deine IP. Die Bank bzw. das Rechenzentrum loggt diese bei einer Verbindung sogar bewusst mit. Ein Sicherheitsrisiko ist das aber nicht.


    Warum genau hast du denn Bedenken?


    Gruß
    Jürgen


  • Das ist richtig. Egal was du im Internet machst, die Gegenstelle sieht immer deine IP. Die Bank bzw. das Rechenzentrum loggt diese bei einer Verbindung sogar bewusst mit. Ein Sicherheitsrisiko ist das aber nicht.


    Warum genau hast du denn Bedenken?


    Gruß
    Jürgen


    Hallo jürgen ,,, danke für deine antwort. Kann man denn nicht - wenn man die ip dann im browser der gegenseite eingibt - zugriff auf meinen computer haben ????? Dann ggf. unfug anstellen könnte ???? Ich habe zwar das sicherheits-programm norton internet-security neueste version - also firewall und virenschutz - installiert und aktualisiere dies immer. Um gewalt über meinen rechner zu erhalten müsste meines erachtes aber ein trojaner vorhanden sein. Würde der nicht durch mein internet-securty erkannt und vernichtet werden ???? Welche ip von mir bekommen die anderen. Es gibt doch eine dynamische ip und dann eine statische für alle meine rechner die am router hängen. Diese statischen ips - also für ein netzwerk beispielsweise - wird meines erachtens vom router für jeden rechner vergeben und ändert sich dann nicht mehr. Bei jedem einstieg ins internet wird immer aber eine neue sogenannte dynamische ip oder externe ip durch meinen provider vergeben. Diese dynamische steht auch in meinem router. Da habe ich sowas jedenfalls gefunden. Danke schon vorab wenn du mir ggf. nochmals antworten würdest. Es kann ja nur die dynamische IP sein die beispielsweise die bank erhält aber erst wenn man sich ins banking-programm der bank oder mein programm Wiso Mein Geld mittels hbci-carte und pin einwählt. Nicht vorher weil man gerade mal im internet sich paar seiten aufruft. Die statische IP wird nie der bank oder wem auch immer übertragen. Richtig ???
    Viele grüsse
    wolfgang
    ?( ?( ?(

    • Offizieller Beitrag

    Puh, da hast du dir aber viele Fragen ausgedacht. Frag doch mal die Maus. :)


    Ok, Spaß beiseite. Obwohl ich den Beitrag von der Maus ganz nett finde.


    Kann man denn nicht - wenn man die ip dann im browser der gegenseite eingibt - zugriff auf meinen computer haben ?????


    Nein, so einfach ist das nicht. Grob erklärt ist eine IP vergleichbar mit der Absenderadresse auf dem Briefumschlag. Mit der Adresse allein kommt niemand in deine Wohnung. Da musst du schon die Tür aufmachen. Ähnlich verhält es sich mit der Anfrage an deine Bank. Um die sichere Kommunikation Kunde > Bank - Bank > Kunde kümmert sich dabei das HBCI-Protokoll, dein Provider und - ohne ins Detail zu gehen - ein paar technische "Kleinigkeiten" auf die ich hier nicht näher eingehen kann und möchte.


    Ich habe zwar das sicherheits-programm norton internet-security neueste version - also firewall und virenschutz - installiert und aktualisiere dies immer.


    In der Regel reicht die Windows Firewall und ein gutes Virenschutzprogramm. Das muss nicht immer ein kostenpflichtiges oder gar eines in einer gelben Schachtel sein. ;)


    Um gewalt über meinen rechner zu erhalten müsste meines erachtes aber ein trojaner vorhanden sein. Würde der nicht durch mein internet-securty erkannt und vernichtet werden ????


    Auf das Virenschutzprogramm allein würde ich mich nicht verlassen. Das sollte nur die letzte Barriere sein. Rechne damit, dass ein Trojaner deine Virenschutzlösung mühelos umgehen kann. Ein paar Verhaltensregeln sollten dich aber weitgehendst schützen, z.B. keine dubiosen Seiten besuchen (persönlich mache ich um ukrainische und chinesische Seiten einen großen Bogen), Software nur aus vertrauenswürdigen Quellen, nie als Admin ins Netz. USB-Sticks und andere Wechseldatenträger von Freunden sind am Rechner tabu. Es sei denn, du weißt, wie man diese sicher verbindet. Absolute Sicherheit gibt es allerdings nie. Und falls mal doch etwas passiert ist, niemals versuchen das System vom Schädling zu befreien. Lieber das System neu aufsetzen.


    Tja, ein weites und interessantes Thema.


    Welche ip von mir bekommen die anderen.


    Besuche mal www.utrace.de. Dort siehst du deine aktuelle IP im Netz und Angaben über den Provider, manchmal auch den Wohnort. Wenn du mit dem Browser unterwegs bist, sieht man eventuell noch mehr (klick mich).


    Viele Grüße
    Jürgen

  • Hallo Jürgen ,,, danke für deine umfangreichen erklärungen, hinweise und ratschläge. Wäre es dann beim web-banking nicht noch sicherer wenn man bspw. nachdem man - eine überweisung, kauf oder verkauf von aktien - über ein webbanking-programm aufgegeben dann erst mal eine e-mail-nachricht vom institut automatisiert umgehend erhalten würde. Dort ist dann der auftrag nochmals exakt aufgeführt den man dann bestätigen muss oder anderweitig sicherstellen kann er von mir abgelehnt oder bestätigt wurde ??? Erst wenn diese bestätigung erfolgt der auftrag ausgeführt wird. Wie man dies absolut sicherstellt ich auch einen beleg habe ich abgelehnt habe überlasse ich den experten. Es müsste doch aber gehen. Ich spreche dies deshalb an weil ich viel in seriösen internet-apotheken medikamente oder andere heilmittel kaufe. Umgehend innerhalb vom sekunden erhalte ich per e-mail die auftrags-zusammenstellung mit der preis-zusammenstellung und dem endpreis der von meiner mastercard abgebucht werden soll. Ich kann dann also sofort reagieren ob dies ok oder eben nicht. Ich finde dies wäre doch zusätzlich eine erhebliche sicherheit-variante mehr oder ???.
    Grüsse.
    wolfgang.
    :S ?( ?( ?( :S

    • Offizieller Beitrag

    Wäre es dann beim web-banking nicht noch sicherer wenn man bspw. nachdem man - eine überweisung, kauf oder verkauf von aktien - über ein webbanking-programm aufgegeben dann erst mal eine e-mail-nachricht vom institut automatisiert umgehend erhalten würde.


    Und woher weißt du, ob die E-Mail tatsächlich von der Bank stammt? Bei einem MITM-Angriff könnte jemand die E-Mail abfangen, den Inhalt verändern und an dich weiterleiten. Wenn du deine Überweisung zuvor auf einer gefakten Bankingseite in Auftrag gegeben hast, hast du schon verloren.


    Ich kann dann also sofort reagieren ob dies ok oder eben nicht. Ich finde dies wäre doch zusätzlich eine erhebliche sicherheit-variante mehr oder ???.


    Reagieren kannst du auch bei den neuen TAN-Verfahren chipTAN oder smsTAN oder beim SECODER (siehe Beitrag von "Falk1"). Hier hast du vor Ausführung des Auftrags die Möglichkeit, Auftragsdetails auf auf dem Display zu prüfen und den Vorgang ggf. abzubrechen.


    Was verstehst du eigentlich unter "web-banking"? Meinst du damit Banking mittels Webbrowser oder das HBCI-Verfahren welches MG nutzt?


    Gruß
    Jürgen

  • Kann man denn nicht - wenn man die ip dann im browser der gegenseite eingibt - zugriff auf meinen computer haben ????? Dann ggf. unfug anstellen könnte ???? Ich habe zwar das sicherheits-programm norton internet-security neueste version - also firewall und virenschutz - installiert und aktualisiere dies immer.

    Hallo Wolfgang,


    m.E ist entscheidend, ob dein Rechner diese befürchteten Zugriffe erlaubt. Ein paar interessante Links zu deinem Thema:


    http://www.heise.de/security/dienste/Netzwerkcheck-2114.html und
    http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

    Grüsse
    Whisker(s)


    (Windows Vista Home + MG 2012)

  • Was verstehst du eigentlich unter "web-banking"? Meinst du damit Banking mittels Webbrowser oder das HBCI-Verfahren welches MG nutzt?


    Hallo Jürgen ,,, danke für deine antwort. ich habe mittels reiner-lesegerät klasse 2 und hbci-carte - also mittels HBCI-standard beide programme in einsatz. Also auch für das web-programm welches die bank anbietet. Ich wollte mittels des begriffs - webbanking bei der die webseite der bank ja aufgerufen - zwischen dem bank-programm auf der einen seite und dem Wiso Mein Geld programm - welches ja auf meinen rechner installiert ist - unterscheiden. Sorry habe mich vielleicht etwas ungeschickt ausgedrückt.
    Anregung: Ein institut darf ein mittels banking-programm aufgegebenen beispielsweise überweisungs-auftrag erst ausführen wenn eine genehmigung per antwort-e-mail mittels elektroischer unterschrift des auftraggebers dokumentiert ihr vorliegt. Man müsste dann zuvor selbstverständlich vom institut eine auch durch eine elektronische unterschrift des institutes dokumentierte e-mail erhalten mit der anfrage ob der auftrag - wie in diesem e-mail aufgeführt - so ausgeführt werden soll ??? Ich denke da auch an den einsatz und die möglichkeiten des neuen personal-ausweises ?????
    Grüsse
    Wolfgang
    :) ?( :)

    4 Mal editiert, zuletzt von Billy1963 () aus folgendem Grund: Unnützes Full-Quoting entfernt

  • m.E ist entscheidend, ob dein Rechner diese befürchteten Zugriffe erlaubt.


    Hallo Whisker ,,, merci für deine informationen. Grüsse und noch einen schönen tag.
    Wolfgang
    :) :) :) ?( :) :) :)

    Einmal editiert, zuletzt von Billy1963 () aus folgendem Grund: fehlerhafte Zitate korrigiert, Full-Quoting entfernt

  • Das was Du beschreibst, findet ähnlich im SECODER Verfahren statt.


    Hallo Falk1 ,,,, vielen dank für deine informationen. Der falke hat mich gepackt und ein stück weiter geflogen.
    Schönen tag noch und alles gute.
    Gruss
    Wolfgang
    :) :) :)

    2 Mal editiert, zuletzt von Billy1963 () aus folgendem Grund: fehlerhafte Zitate korrigiert, Full-Quoting entfernt

    • Offizieller Beitrag

    :) :) :) ?( :) :) :)


    Nur ein Tipp am Rande: weniger ist oft mehr. Soll heißen: weniger Zeit mit der Aufreihung von Smileys verwenden und dafür etwas mehr Sorgfalt in die Zitate legen. Hinweise dazu gibt es auch in der Forumshilfe.

    • Offizieller Beitrag

    Anregung: Ein institut darf ein mittels banking-programm aufgegebenen beispielsweise überweisungs-auftrag erst ausführen wenn eine genehmigung per antwort-e-mail mittels elektroischer unterschrift des auftraggebers dokumentiert ihr vorliegt. Man müsste dann zuvor selbstverständlich vom institut eine auch durch eine elektronische unterschrift des institutes dokumentierte e-mail erhalten mit der anfrage ob der auftrag - wie in diesem e-mail aufgeführt - so ausgeführt werden soll ???


    Warum das Rad neu erfinden? Dafür gibt es HBCI. Mit HBCI/FinTS lassen sich Nachrichten zwischen Kunde und Bank sicher austauschen.


    Lies dich am besten mal ein wenig in die Thematik ein. Dazu empfehle ich das Dokument "ZKA-Kompendium Online-Banking Sicherheit" von Kurt Haubner und die zwar etwas angestaubte aber immer noch sehr informative Dokumentation unter http://goethe.ira.uka.de/seminare/dzs/hbci.


    Langfristig wird es E-Mail als Kommunikationskanal zwischen Kunde und Bank durchaus geben, allerdings nicht im Bereich der Auftragseinreichung. E-Mail dient dann lediglich als Kundeninformation. Als Erweiterung sind in FinTS 4.0 so genannte Push-Services geplant. Push-Services ermöglichen Kunden per Abonnement Kreditinstitutsnachrichten oder Statusinformationen zu erhalten. So können z.B. täglich um eine mit dem Kreditinstitut vereinbarte Uhrzeit aktuelle Kontoumsätze per E-Mail, SMS oder einem anderen Kanal übermittelt werden. Oder man bekommt beim Eintreffen eines bestimmten Umsatzes (z.B. Gehalt) eine SMS. Realisiert werden Push-Services über neue Geschäftsvorfälle, die - so hoffe ich - irgendwann auch einmal von MG unterstützt werden. Das alles liegt jedoch noch in ferner Zukunft.


    Gruß
    Jürgen