Was ist bitte von einer SessionTAN zu halten?

Hi,
hoert sich ja zunaechst ganz bequem an: einmal damit einloggen und dann
für alle Transaktionen freigeschaltet zu sein. Da kommen dann locker viele
online Stunden zusammen, die einem bzgl. der Sicherheitsaspekte zu denken
geben ;-)

Ich will dafuer eine eigene Festplatte einsetzen, auf der XP installiert
ist. Ins Internet gehe ich von dort nur mit Opera und nur zu Banken, bei
denen ich Kunde bin. Emails werden dort nicht heruntergeladen.
Sygate firewall, Bitdefender Virenscanner.
Da das nur wenige GB einer S-ATA 250 GB (Samsung) Platte beansprucht,
dient der Rest dort mittels anderen Laufwerksbuchstaben als
Backup-Medium. Dazu fuehre ich die beiden S-ATA-Kabel aus dem PC heraus,
womit ich die 'secondary'-S-ATA-Festplatten wechselweise "extern"
hotpluggen kann. Jede nach dem Booten hotgepluggte Festplatte kann ein
Betriebssystem beinhalten, das dann wirkungslos bleibt.

Was haltet Ihr bitte generell von einer jeweils viele Sunden lang
wirksamen SessionTAN? Wie kann man das System dazu noch besser absichern?
Viell. per hardware? Die SessionTAN laesst sich ja per Bildschirmtastatur
angebl. rel. sicher eingeben. Wenn man aber damit stundenlang online ist,
laesst die sich viell. doch ausspionieren?

Gruss
Heinz

Re: Was ist bitte von einer SessionTAN zu halten?

Wenn man mit dem Consors ActiveTrader eine Session-TAN per
Bildschirmtastatur eingibt, sollte doch eigentlich nichts Schaedliches auf
dem PC jemals darauf zugreifen koennen. Denn der ActiveTrader ist eine
*.exe-Anwendung, hat also mit Browsern nichts zu tun. Und die Session-TAN
ist wegen der Bildschirmtastatur im PC nirgendwo gespeichert (ich selbst
speichere dort keine TANs) - oder ist das falsch? Gibt es z.B. Software,
die auch die Bildschirmtastatur ausspionieren kann? Koennen sich
Schaedlinge auch in Anwendungen einschleichen und dort die Regie
uebernehmen?

Bzw. gibt es bitte 'wasserdichte' Empfehlungen zur Session-TAN?

Was mir zudem nicht besonders sympathisch ist: wohl jede Bank versendet
neue TAN-Listen per ganz normalem Postweg. Man erfaehrt nicht mal, wann
genau die neue Liste abgeschickt wurde.

Das mag Vielen viell. etwas ueberdreht vorkommen, aber mit Aktien zu
handeln bedeutet den kompletten jeweiligen Depotzugriff. Oder lassen sich
Depots fuer eine session splitten, wobei man dann per TAN immer nur einen
gewaehlten kleinen Teil zur aktiven Disposition freigibt?

Gruss
Heinz

Re: Was ist bitte von einer SessionTAN zu halten?

Post removed (X-No-Archive: yes)

Re: Was ist bitte von einer SessionTAN zu halten?

(Christian Bartsch):

> Heinz said on 08.02.06:
>
>> ist das falsch? Gibt es z.B. Software, die auch die
>> Bildschirmtastatur ausspionieren kann?
>
> Auch solche Trojaner gibt es leider bereits.
>
>
> Chris

Wie laesst sich bitte eine TAN oder SessionTAN absichern?

Besagte browserunabhängige Anwendung ist zumindest schon mal ein erster
Schritt. Doch - oh je - ich kann sie auf meinem PC mehrfach starten!

Gruss
Heinz

Re: Was ist bitte von einer SessionTAN zu halten?

Post removed (X-No-Archive: yes)

Re: Was ist bitte von einer SessionTAN zu halten?

(Heinz) 08.02.06 in /de/etc/finanz/software:

>Hi,
>hoert sich ja zunaechst ganz bequem an: einmal damit einloggen und
>dann für alle Transaktionen freigeschaltet zu sein. Da kommen dann
>locker viele online Stunden zusammen, die einem bzgl. der
>Sicherheitsaspekte zu denken geben ;-)

>Ich will dafuer eine eigene Festplatte einsetzen, auf der XP
>installiert ist.
>Ins Internet gehe ich von dort nur mit Opera und nur
>zu Banken, bei denen ich Kunde bin.

Und die Internetbanking ohne aktive Inhalte wie Javascript ermöglichen.

>Emails werden dort nicht heruntergeladen.
>Sygate firewall, Bitdefender Virenscanner.

Die dezierte(!) externe(!) Firewall erlaubt nur Traffic und
Verbindungen zu den Bankrechnern. Alle andern "Ausgehende"
Verbindungen geben Alarm.

>Da das nur wenige GB einer S-ATA 250 GB (Samsung) Platte beansprucht,
>dient der Rest dort mittels anderen Laufwerksbuchstaben als
>Backup-Medium.

Und wie willst Du verhindern das ein Wurm sich über diese
Partition hermacht?


>Dazu fuehre ich die beiden S-ATA-Kabel aus dem PC
>heraus, womit ich die 'secondary'-S-ATA-Festplatten wechselweise
>"extern" hotpluggen kann. Jede nach dem Booten hotgepluggte Festplatte
>kann ein Betriebssystem beinhalten, das dann wirkungslos bleibt.

OK, mit "abschalten" wäre der Wurm macnt los, wenn Du NICHT
"hotgepluggst" sondern die Kiste zum Umschalten abschaltest.


>Was haltet Ihr bitte generell von einer jeweils viele Sunden lang
>wirksamen SessionTAN? Wie kann man das System dazu noch besser
>absichern? Viell. per hardware?
>Die SessionTAN laesst sich ja per
>Bildschirmtastatur angebl. rel. sicher eingeben.

Warum sollte wer die haben wollen?
Da Du sowieso angemeldet bist kann er eh schon unter Deinem Account
Geschäfte machen. Und Du hast NULL -in Worten NULL- Chance zu
sagen: "Ich war das doch gar nicht" wenn der Wurm sich nach der
Tat von der Platte gelöscht hat.
Das ist halt das Problem beim Homebanking.
Abhilfe wäre z.B. eBanking Überweisungen "vorläufig" zu markieren,
sofern der Empfänger zu vor nicht vom Absender (über einen andern Weg)
als "vertrauenswürdig" eingestuft worden ist.
Bei Aktien Geschäften nutzt das natürlich nix.


Ich würde daher das Booten von einer CD (Bart-PE) vorziehen,
auch wenn das nicht wirklich viel sicherer ist oder die
Beweislage nennenswert verbessert.


>Wenn man aber damit
>stundenlang online ist, laesst die sich viell. doch ausspionieren?

Es ist gut das Du Dir Gedanken machst.
Nur leider:
Es GIBT kein "sicheres Homebanking".
Und "Bequemlichkeit" und "Sicherheit" schliessen sich i.A.
gegenseitig aus.
Es sind immer Szenarien denkbar die alle Sicherheitsmassnahmen
aushebeln.
Auch das viel gelobte HBCI mit Klasse 3 Geräte ist leider
nicht (mehr) so sicher wie es geplant war:
Es erlaubt "Stapel Verarbeitung". D.h. der Phisher muss seine
Überweisung nur in den Stapel schmuggeln (nein, Du wirst diese
Überweiung nie zu sehen bekommen, wenn Dein System schon so weit
kompromitiert ist) und Du wirst diese Überweisung mit Deinem
Code höchst persönlich gegenzeichnen!
Viel Spass dabei der Bank zu erklären, das Du das ja garnicht warst..
Nur wenn sie sehr nett ist zeigt sie Dich nicht wg. "versuchten Betruges"
an...

Auch beleghafte Überweisungen sind nicht 100% sicher.

Ein leidlich guter Weg wäre, wenn die Banken "Online-TANs"
auf einem 2. Weg versenden würden, die nur eine gewisse Zeit gelten
und zusätzlich sämtliche Aktionen einzeln(!) per SMS bestätigen liesen.
das wäre aber nicht gerade bequem...

Und, natürlich:
Ein Bank suchen die das Restrisiko übernimmt.
Wenn sie es übernimmt, deutet das darauf hin, das sie ein "wirklich"
und nicht nur "scheinbar" sicheres Verfahren einsetzt: Sonst würde sie
ja keine Versicherung gefunden haben, die ihr das Rest-Risiko abnimmt.

Rainer