Sicherheit auf "sicherheitsrelevanten Webseiten" (konkret Banken)

Dieses Thema im Forum "Technik-Smalltalk" wurde erstellt von jodost, 21. Juni 2013.

  1. jodost

    jodost Eingetragener Provider

    Registriert seit:
    23. März 2004
    Beiträge:
    779
    Firmenname:
    D&T Internet GmbH
    Anbieterprofil:
    Klick
    Guten Tag zusammen,

    ich habe jetzt schon im Zusammenhang mit Online-Banking und -Kartenzahlung mehrfach Dinge gesehen, die ich teilweise aus Sicherheitsgründen "nicht so toll" finde, z.B.

    - Session-ID in der URL drin, keine weitere Prüfung per Session-Cookie oder IP, Session-Timeout sehr großzügig gesetzt. Heißt: Kommt jemand irgendwie (Proxy-Logfile, zugeschickter Screenshot, in einer Teamviewer-Session "gesehen", ...) an die URL, kann er die Session auf einem anderen PC auch nach einer Stunde noch einfach weiterbenutzen (und das auch völlig unproblematisch parallel zum eigentlichen Bediener). Die gleiche Bank hat beim Login übrigens auch keinen "Sie haben sich beim letzten Mal nicht richtig ausgeloggt, bitte achten Sie zukünftig darauf"-Reminder.

    - ChipTAN-Verfahren, aber der TAN-Generator zeigt falsche Kontroll-Daten an (z.B. "Typ: Einzelauftrag", obwohl man in Wirklichkeit einen Dauerauftrag angelegt hat). Könnte zu einem nachlassenden Sicherheitsempfinden beim Kunden führen (wenn ich mich dran gewöhnt habe, dass die Anzeige manchmal nicht stimmt, werde ich bei einer Man-in-the-middle-Manipulation evtl. auch nicht mehr stutzig.

    - Banking-URLs sind zwar schön und korrekt SSL-verschlüsselt, aber der Domainname hat gar keinen Bezug zur Bank, sondern stammt vom IT-Dienstleister der Bank. Wie soll der Laie denn bitteschön gut von böse unterscheiden können (z.B. nach einer DNS-Manipulation der http-Webseite der Bank und dann da einen veränderten Online-Banking-Link, statt auf internetbanking.gad.de auf internetbanking.gad-de.com oder so, auch mit gültigem SSL-Zertifikat)?

    - Ein "zum Login-Formular" auf der Bank-Startseite, in dem man den Usernamen eingibt und dann per GET-Formular zum vorausgefüllten richtigen Login kommt ... natürlich steht jetzt meine Benutzerkennung in der Browser-Historie drin (und dank Google Crome auch auf allen meinen Rechnern)

    - mobileTAN-Systeme, die offenbar (ständig wechselnde Absender-Handynr) über Billig-Gateways gehen (was wieder ein Man-in-the-middle-Angriffspunkt sein könnte), die auch das Sicherheitsbewusstsein bei Kunden nicht unbedingt stärken (wenn der Kunde es gewohnt ist, dass SMS der Bank von wechselnden Handynr. kommen, wird er bei anderen Sachen vielleicht auch weniger schnell stutzig), und die in der SMS auch nicht erwähnen, WOFÜR die TAN genau verwendet werden soll (d.h. auch hier wird eine Kontrollmöglichkeit verbaut)

    - Bei Kreditkarten ist mein besonderer Liebling ja MasterCard SecureCode. Zusätzliche Sicherheit (für die Bank, weil sie noch mehr Haftung auf mich abwälzen kann) dadurch, dass "nur ich und MasterCard" den Code kennen und ich ihn bei einem Online-Kauf eingeben muss. Eingeben muss ich ihn aber leider nicht auf einer MasterCard-Webseite, auch nicht auf einer Seite der kartenausgebenden Bank, sondern auf der des Payment-Dienstleisters des Shops - ich habe keine ernsthafte Möglichkeit zu prüfen, ob der diese Info überhaupt abfragen darf oder nicht.

    - Ist aber auch nicht schlimm, denn: Kennt man seinen SecureCode nicht, kann man bei meiner MasterCard mit anderen "wichtigen, nur Ihnen bekannten" Sicherheitsmerkmalen die Zahlung autorisieren. Konkret werden abgefragt: Mein Geburtsdatum (steht im Handelsregister) und die BLZ unserer Hausbank (ist jetzt auch nicht sooo schwierig rauszufinden).


    Mal im Ernst: Bin ich nur überempfindlich?
     
  2. G.Schuster

    G.Schuster Eingetragener Provider

    Registriert seit:
    30. August 2004
    Beiträge:
    4.062
    Firmenname:
    actra.development
    Anbieterprofil:
    Klick
    AW: Sicherheit auf "sicherheitsrelevanten Webseiten" (konkret Banken)

    Damit stehst du nicht allein.
    Bin mit meiner Bank prinzipiell zufrieden, lediglich der SecureCode-Müll nervt mich auch.
    Wobei ich den so gut wie nie brauche und stattdessen dann die Visa nehme bzw. mit PayPal zahle.
     
  3. Markus [mgw-media.de]

    Markus [mgw-media.de] Eingetragener Provider

    Registriert seit:
    30. Oktober 2007
    Beiträge:
    568
    Firmenname:
    mgw-media.de - web s...
    Anbieterprofil:
    Klick
    AW: Sicherheit auf "sicherheitsrelevanten Webseiten" (konkret Banken)

    Du bist nicht überempfindlich, ist meine Meinung. Ich hoffe, du hast da Schwachstellen von verschiedenen Banken zusammen getragen. Fall nicht, dann wäre das für mich ein Grund die Bank zu wechseln. Teilweise wären schon einzelne Punkte (fehlerhafte Kontrolldaten beim ChipTAN-Verfahren, mobileTAN mit ständig wechselndem Absender, SessionID in URL ohne Verifizierung) für mich ein Grund zu wechseln.
     
  4. jodost

    jodost Eingetragener Provider

    Registriert seit:
    23. März 2004
    Beiträge:
    779
    Firmenname:
    D&T Internet GmbH
    Anbieterprofil:
    Klick
    AW: Sicherheit auf "sicherheitsrelevanten Webseiten" (konkret Banken)

    keine Sorge, das war die Summary aus verschiedenen Banken. Und zumindest bei den Onlinebanking-Themen haben eigentlich auch alle Banken auf meine Anfrage hin halbwegs schnell nachgebessert (meine mTAN-Bedenken habe ich heute erst gemeldet), das muss man fairerweise dazusagen.

    Aber erschreckend finde ich die Zusammenstellung schon :)
     
  5. tomarthur

    tomarthur New Member

    Registriert seit:
    19. Dezember 2013
    Beiträge:
    3
    AW: Sicherheit auf "sicherheitsrelevanten Webseiten" (konkret Banken)

    Aber erschreckend finde ich die Zusammenstellung schon.














    --------------------------------
    FIFA Ultimate Team Coins
     

Diese Seite empfehlen