| Stefanos Bulletin Board URL: https://www.kaiwu.de/cgi-bin/sbb//sbb.cgi?&a=show&forum=48&show=31 Thema: Webbanking/Screenscraping - Sicherheit |
|
||
| WillemP (Regelmäßiger Nutzer) Hallo, ich sehe mich beim Banking mit Quicken in Sicherheit, da das meiste über HBCI geht. Da sollten die Trojaner, die das Internetbanking bedrohen, doch wirkungslos sein. Aber wie ist es mit dem ScreenScraping? Das ist doch nur ein automatisierter Zugriff auf die Internetseite der Bank und weniger unter meiner Kontrolle als ein manueller Aufruf. Kann mich da ein Fachmann/frau mal beruhigen? Danke |
||
|
||
| dau0815 (Fast Admin) Da würde ich auf keine beruhigenden Worte hoffen. Da es sich beim ScreenScraping, wie Du schon richtig geschrieben hast, um einen automatisierten Zugriff auf die Homepage handelt, bestehen hier die selben Gefahren, wie beim manuellen WebBanking. Z.B. automatische Umleitung auf eine Phishing-Seite, die die Homebanking-Software ja nicht erkennen kann. Ich bevorzuge, wie Du, die sichere HBCI-Methode. Zumal die Schnittstelle hierbei auch fest definiert ist und HP-Änderungen nicht jedesmal zu einem Ausfall führen, bis endlich Updates zur HB-Software herausgegeben werden. |
||
|
||
| OskarSchoenherr (Fast Admin) Man sollte sich in keinem der Fälle in Sicherheit wiegen, sondern grundsätzlich die unterschiedlichen Fälle mit ihrem Gefahrenpotential betrachten. Vom heute üblichen Stand der Technik aus sind beim Arbeiten auf einem PC als allererstes eine gute und aktuelle Virenschutzsoftware gnadenlose Voraussetzung. Die eigentliche Gefahr ist nicht bei HBCI oder Webbanking zu suchen (wobei HBCI durchaus der bessere Weg ist). Die wirkliche Gefahr lauert in der Kommunikation des Users mit dem System. Dabei ist es relativ egal, ob dies in Zusammenhang mit ScreenScraping oder "per Hand" erfolgt. Grundsätzlich sollten TANs nicht auf dem Gerät gespeichert werden, auch wenn dazu Datensafes oder andere verschlüsselte Möglichkeiten angeboten werden. Eine mTAN-Nutzung sollte man nur dann verwenden, wenn das Onlinebanking nicht vom gleichen Gerät aus realisiert wird, also mTAN auf Phone, Banking-Software auf PC (Gefahren bei Mobile Banking!!!!). Mir bekannte Fälle oder Hackerszenarien gehen immer von einer eingeschleusten Spionagesoftware aus, die eine TAN-Eingabe ausliest, Buchung und TAN an einen Fremdserver zur Manipulation schickt und die echte Buchung in der Weitergabe unterdrückt. Auf einem PC kann diese Methode im Zusammenspiel von Virenschutz, TAN-grafische Eingabe über Maus und zusätzlichen Möglichkeiten wie PROMON-Shield relativ gut verhindert werden. Hier scheint Quicken auch eine gute Lösung gefunden zu haben. Von einer Nutzung von Fishing-Seiten ist mir nichts "erfolgreiches" bekannt, da Bankingsoftware die Zieladressen gespeichert haben und eine Änderung der DNS-Tabellen notwendig wäre, was eher selten versucht wird. Insgesamt scheint das Online-Banking vom heimischen PC unter Windows aus einen hohen Sicherheitslevel erreicht zu haben. Der seit erst wenigen Monaten grassierende Run auf größere Android- oder iOS-Geräte, die diesen Bereich ersetzt könnten, wird erst in naher Zukunft zeigen können, inwiefern dort Sicherheitslücken genutzt werden. Dabei könnte im Bereich der Android-Technologie die größere Gefahr lauern, da auf Grund höherer Gerätezahlen, unterschiedlicherer Geräte und modifizierter Betriebssysteme die Lücken für einen Angreifer größer sein dürften. Deutlich kritischer wäre in Zukunft die Nutzung von Mobilgeräten zu bewerten. Diese verfügen in der Regel über keinen oder bisher nur mäßig entwickelten Virenschutz. TANs werden meist per Tastatur eingegeben. Und bei Nutzung von mTANs wird häufig das gleiche Gerät sowohl für das Banking als auch für den Empfang der mTAN genutzt. Abzusehen ist, dass das eine ideale Angriffsstelle für Hacker sein wird. Wenn man sich die Homepages der Banken anschaut und die Nutzungsbedingungen der unterschiedlichen angebotenen Apps durchliest, fällt mir deutlich auf, dass alle von mir angeschauten Banken explizit die Nutzung von mTANs bei Mobile Banking ausschließen und dies häufig in ihren Apps auch überhaupt nicht als Möglichkeit anbieten. Für mich bedeutet das, Banken scheinen diese Gefahr erkannt zu haben. Das bedeutet aber auch, dass in einem Schadensfall hier der Bankkunde der Dumme ist, weil er gegen die Geschäftsbedingungen verstößt und grob fahrlässig handelt. Unklar bleibt mir, inwiefern sich das auf einen eventuelle Haftung von Softwareherstellern auswirkt, die eine solche Möglichkeit anbieten. Da ich persönlich im IT-Bereich (auch sicherheitstechnisch beratend) tätig bin, ist für mich das Thema "Mobile Banking" für Buchungen komplett tabu. Über den Bereich Aktualisierung der Kontostände und Abholen von neuen Buchungen auf ein Mobilgerät denke ich nach. Persönlich sehe ich da aber nur begrenzt Vorteile. Im Moment erscheint für mich nur die mobile Erfassung von Buchungen (Ausgaben) sinnvoll. |
||
Webbanking/Screenscraping - Sicherheit