Hallo allerseits !

seit einiger Zeit stelle ich mir die Frage, wie wahrscheinlich es ist, als Privatperson gehackt zu werden. Da ich selbst immer ein Image meiner Systempartition zurückschreiben kann, sind die Folgen nicht allzu schlimm. Viele haben aber nicht vorgesorgt - und werden kalt erwischt - weil ein Erpressungs-Trojaner ihre Daten verschlüsselt (siehe anderer Thread).

Insbesondere würde mich interessieren, wie sicher das Online-Banking ist. (mit Kartenlesegerät und separatem Code neben den Login-Daten)

Ist die verschlüsselte Übertragung im Webbrowser () sicher genug ?

Danke für eine rege Diskussion !


Hochhaus

Also was das Onlinebanking anbelangt, da geht das bei mir nur über Handy. Also muss der Hacker entweder den Handyeintrag knacken oder umleiten, oder mein Handy klauen. Vielleicht gibt es ja noch andere Möglichkeiten. Sicherheit gibt es nun mal nicht zu 100%.

Was den PC anbelangt, gut, wenn ich zuhause bin, kann das passieren. Bin ich nicht zuhause, dann muss man bei mir schon einbrechen. Denn ich lasse nicht nur den PC nie an, ich ziehe auch noch den Netzstecker. Und wenn ich - wegen langwieriger Rechnungen - doch mal den PC anlasse, deaktiviere ich das WLAN.

Inwieweit jemand mich überhaupt hacken will, ich denke, die Hacker interessiert natürlich mehr sowas wie BGeheimdienste, Regierugen, Banken, ... Aber wer einem was anhängen will, hackt natürlich am besten dessen Rechner, klar. Doch wie oft will Bürger XY mich schon hacken. Wohl kaum. NSA und Konsorten schon eher. Aber bei mir ist nix zu holen, nicht mal Geld.

Hochhaus hat folgendes geschrieben :

Insbesondere würde mich interessieren, wie sicher das Online-Banking ist. (mit Kartenlesegerät und separatem Code neben den Login-Daten)

Am sichersten ist da immer noch m-Tan übers Handy. Wenn man ganz fanatisch ist, legt man sich dafür noch ein altes reines Handy ohne Smartphone-Funktionen zu, dann ist das so gut wie 100% sicher.

Geknackt werden kann das nur, indem jemand einen Virus auf Rechner und Smartphone bekommt. Und das passierte bisher nur so, dass jemand am PC auf Anforderung des Virus "für ein Update des Smartphones" die Handynummer eingegeben hat und den dorthin verschickten Link angeklickt und den Virus installiert hat. Und das ist so dämlich, da ist es richtig, dass da die Institute auch nicht haften müssen.

Wenn man seinen Verstand einschaltet, ist das Verfahren jedenfalls sicher. Man sieht ja in der SMS was man gerade überweist usw., anders als bei externen Kartenlesern usw., bei denen man mit einem Man-in-the-middle-Angriff ggf. etwas ganz anderes autorisiert als man wollte und hat auch keinerlei Möglichkeit das festzustellen, wenn ein Virus auch die SSL-Anzeige im Browser ruhigstellt usw.
Deshalb ist das deutlich unsicherer als m-Tan.

Mir sind drei Fälle bekannt, bei denen das m-Tan-Verfahren ohne jedwede Anwendung auf dem Handy überwunden wurde.

Ist der Hacker erstmal auf dem heimischen Rechner, genügt ein Blick aufs Google-Konto, um die dazugehörige Handynummer herauszufinden. Man will ja seine Kontakte, Termine, Apps etcpp. immer parat haben, nech... Dann genügt ein Anruf beim Kartenprovider und die Aussage "Karte defekt/verloren/wasauchimmer" und schwups-kriegt der Hacker eine neue SIM mit deiner Handynummer zugesandt. Und nun kann der Hacker in aller Ruhe das Konto leerfegen, ohne das du was davon mitkriegst - denn alle m-Tan-Sims gehen an die neue Sim im Hacker-Handy.

Verzeihung, aber da bleibe ich doch fest bei meinem optical TAN-Generator. Den muß ich immer noch selbst bedienen, die TAN wird vor Ort generiert und wenn man tatsächlich die angezeigten Daten mit denen des TAN-Generators vergleicht, hat auch eine Man-in-the-Middle-Attacke keine Chance.

Wie dem auch sei, das ist wohl OT

In einem anderen Forum habe ich gerade gelesen, das jemand nur einen Port seines NAS von außen verfügbar machte - keine zwei Stunden später war eine Horde chinesischer IPs eifrig dabei, die Ports 22/23/80/443 usw. mit Anfragen zu bombardieren.

Ergo: Es ist sogar ziemlich sicher, wenn man nicht aufpaßt.

OlafSt hat folgendes geschrieben :

Verzeihung, aber da bleibe ich doch fest bei meinem optical TAN-Generator.

Das ist aber auch ein externes Gerät. Da kann man sich auch ein beliebiges Mini-Billig-Handy mit eigener SIM-Karte nehmen und nur dafür nutzen. Und es ist unterwegs für einen Dieb nicht sofort als solches zu erkennen und kann mit einer PIN beim Aktivieren gesichert werden, das sollte man dabei auch beachten. Ein TAN Generator unterwegs ist fast wie die PIN mit der Karte zusammen tragen.

Es gibt allerdings auch Geräte, bei denen man die Kontonummer des Empfängers angeben muss usw., das bringt natürlich gute Sicherheit.

Nun, zumindest mein TAN-Generator erfordert, das ich die zu dem Konto gehörende EC-Karte einstecke. Da ist nix mit Handy-Simulation.

OlafSt hat folgendes geschrieben :

Nun, zumindest mein TAN-Generator erfordert, das ich die zu dem Konto gehörende EC-Karte einstecke. Da ist nix mit Handy-Simulation.

Nein, die Ziel-Kontonummer oder der Betrag wären das Entscheidende am TAN-Generator einzugeben (es gibt solche Geräte). Alles andere bringt dir nicht die Sicherheit, dass du genau die richtige Transaktion bestätigst (wie es mir per SMS angezeigt wird). Da kann es auch passieren, dass du gerade 2000 Euro nach irgendwo überweist ohne es zu merken.

Da stimme ich vorbehaltlos zu. Allerdings schrieb ich auch, das der TAN-Generator die übermittelten Daten vor dem Generieren der TAN nochmals anzeigt. Diese sollte man dann mit den Daten vergleichen, die man in der Überweisung angegeben hat (hier: BLZ, Kontonummer, Anzahl Überweisungen, Gesamtbetrag. Bei SEPA vergleicht man den Kontonummern-Teil der SEPA).

Bei Man-in-the-Middle-Attacks müssen an den TAN-Generator aber bereits gefälschte Kontodaten übermittelt werden, sonst paßt die generierte TAN nicht dazu. Und nun stimmt das, was der TAN-Generator mir anzeigt, nicht mehr mit dem überein, was ich in die Überweisungsmaske eingetragen habe. Um dies auch noch zu umgehen, müßte der TANGenerator selbst eine Art von Hack erfahren haben - und ich glaube, das wäre bereits aufgefallen.

Edit - Scheint wertlos zu sein

Ey Leute, ich habe schon geschrieben, 100% Sicherheit gibt es NIE. Es mag ja sein, dass ein Hacker gleich auch noch alle möglichen Informationen auf dem Rechner ausspähen kann. Klaro, kann er. Und? Echt, habt ihr alle ne Millionen auf Euren Konten? Für meine par Piepen lohnt sich der ganze Aufwand nicht. So sehe ich das. Und sagt mir jetzt nicht, dann bist Du pleite, dann hast Du kein Geld mehr, kannst wichtige Dinge nicht mehr bezahlen (Miete, Strom ...).

Wenn ich 100% Sicherheit haben will, darf ich folgendes NIE tun:
- Online-Banking
- PC einschalten
- ins Internet gehen
- private Informationen irgendwo preisgeben
- aus dem Haus gehen (könnte ja jemand einbrechen)

und sicher noch einiges mehr.
Also, was ist die Konsequenz: GAR NICHTS TUN. Geht aber auch nicht, oder wie geht ihr dann arbeiten? Wie bekommt ihr Geld für wichtige Dinge? Tja, 100%-Sicherheit geht nicht. Also macht man das Notwendige, was machbar ist, man gibt so wenig Infos im Netz von sich preis und gut ist.

Und ansonsten, ganz ehrlich, diese Hacker können mich mal. Sollen sie alles von mir ausspähen, meinen Rechner platt machen. Dann machen sie nix anderes, als NSA und BND auch. Wenn sie sich dessen noch rühmen sollten, sind sie so arme Willis, dass ich sie kaum als ... Also! Ich werde das Notwendige, aber auch nichtm ehr tun.

Ups