Hallo,

da ich erstmal einen ernstzunehmenden Befall durch Spyware hatte/habe,
stellt sich mir nun die Frage, welche Variante zukünftig fürs Online-Banking besser/sicherer ist:

Bisher habe ich den Browser + iTan Verfahren genutzt.

Nach dem Problem habe ich zumindest schonmal auf mTAN umgestellt.

Leider gibt es bei meiner Bank nur 2 Möglichkeiten:

entweder mTAN + Browser oder Banking-Software (hatte da die Lösung von Steganos ins Auge gefasst) + iTAN.

Welche Variante bietet eure Meinung nach mehr Sicherheit und warum?

Das iTAN Verahren hat ja den Vorteil, dass eine konkrete TAN abgefragt wird und falls man den Vorgang abbricht, die gefragte TAN direkt entwertet wird.

Hat jemand Erfahrungen in Bezug auf die Steganos Software?

Danke und Gruß
Martin

Mtan.

Welche Bank ist das denn ? Warum sollte Mtan nicht per Banking Software funktionieren ?

Warum Steganos ? Die Testsieger unter den Bezahlprogrammen sind Starmoney und WISO mein Geld.

Bei der Buhl Data GmbH (WISO) muss man aber aufpassen weil die einem ständig versuchen irgendwelche Update / Software Abos aufzudrücken. Dafür schneidet sie in Tests gut ab.

Starmoney ist soweit ich weiß praktisch Marktführer, ist wohl auch billiger.

Ich verwende Moneyplex von Matrica (einziger kommerzieller Anbieter der sowohl für Windows, Linux und Mac verfügbar ist), bin sehr zufrieden, ich verwende bei der Postbank Mtan mit Moneyplex.

Mein Setup: OpenSuse Linux, Moneyplex in einem Truecryptcontainer von 1 Gb installiert (den ich regelmäßig auf eine externe Platte sichere), den Container öffne ich nur wenn ich Banking betreibe.

Banking geht bei meinem Girokonto mit mTan, bei meinem Kreditkartenkonto und dem Tagegeldkonto leider nur per Itan. Die Itan - Bögen habe ich nicht auf dem PC sondern nur in Papierform.

Ich verwende die "Pro" Version in die man auch Wertpapierdepots einpflegen kann und die dann über das Internet die Kursinformationen holt und mitplottet..

Bei Fragen hat mir der Kundendienst immer sehr zügig und kompetent geholfen, ich bleibe da Kunde..


Es gibt eine Free-Version von Moneyplex die man herunterladen kann. Soweit ich informiert bin hat sie unter Windows einen Monat lang den Umfang der Standardversion und reduziert sich dann auf den Umfang der "free and easy" Version die man kostenlos weiter benutzen kann.

http://www.matrica.de/produkte/mpfea...ml#featurelist

Alternativ: Gnucash oder Hibiscus, freie Software unter der GPL.

Würde aber diese Programme auch so installieren dass alle Finanzdaten auf einem Truecrypt / Realcrypt Container liegen da man bei den meisten Programmen nicht herausfindet ob sie die Daten überhaupt verschlüsseln (Matrica scheint das zu tun) und wenn ja : wie sicher der Algorithmus ist. Bei Truecrypt ist man da auf der sicheren Seite: selbst wenn jemand den Container stiehlt kommt (sicheres Passwort!) nicht an die Daten ran.

Guten Morgen,

aus Sicherheitsgründen bietet meine Bank nur iTAN + HBCI oder mTAN + Browser an, damit nicht mTAN auf dem gleichen Gerät genutzt wird, auf dem möglicherweise auch die (mobile) banking-software läuft.

Steganos ist gut getestet und günstig, kostet 10€ und ohne Abo o.ä.

Daher stellt sich mir die Frage iTAN(natürlich nur auf Papier) + Steganos oder mTAN + Browser. Starmoney und WISO sind so umfangreich, dass sie viele Bugs haben müssen und eben teuer sind.

Moneyplex hat etwa den Funktionsumfang von Starmoney und hat keine merklichen Bugs...

Ich würde mTan verwenden, d.h. Google Chrome nur fürs Internet Banking verwenden, und für das restliche Surfen einen anderen Browser installieren.

Wenn du ganz sicher sein willst kannst du ja Bankix vom Heise Verlag oder eine andere Live Linux Distri fürs Onlinebanking verwenden.

Banking Programme entfalten ihre volle "Kraft" wenn man mehrere Konten bei unterschiedlichen Banken hat: ich gebe einmal mein Truecrypt Passwort ein und habe dann per Mausklick alle Konten im Überblick.. da das in deinem Fall anscheinend nicht zutrifft würde ich eher die zusätzliche Sicherheit des mTan Verfahrens verwenden und auf Bankingsoftware verzichten.

Von Steganos Banking habe ich noch nie gehört, falls du das Programm wirklich einsetzen willst solltest du im Online Banking Forum nachsehen welche Erfahrungen andere Anwender damit gemacht haben.

Ansonsten hatte ich noch Gnucash und Hibiscus erwähnt.. beide können mTan sofern die Bank dieses für Banking Software anbietet...

Mein Gedanke war eben nur der, dass beim Einsatz einer Banking-Software zumindest ein großer Teil der Mal-/Spyware ins Leere läuft, da sie auf den Browser fixiert ist.

Bei meiner Bank sieht es leider so aus:

mTAN geht nur im Browser, iTAN bleibt aber weiterhin für Banking-Software aktiv, funktioniert also nur beim Banking im Browser nicht mehr.

Daher kann ich genauso gut Banking Software mit iTAN benutzen...

Bei den Tests gängiger Computerzeitschriften schneidet das Programm als gute, sichere aber günstige Variante ab.
Die Software ist baugleich zu Subsembly Banking.


Welches Forum genau meinst du?

Zitat:

Zitat von Marti

Bei den Tests gängiger Computerzeitschriften schneidet

Was sind "gängige Computerzeitschriften"? Die bei denen die Anzeigenabteilung auch die Testergebnisse beeinflusst?
Wenn irgendwo im Zeitschriftennamen vierbuchstabige Wörter auftauchen ist Zurückhaltung geboten.
PS: Nur weil die Tests schlecht (nicht vertrauenswürdig) sind, muss das getestete Produkt nicht so sein.

Meine Meinung habe ich oben gepostet: nach meiner Meinung ist Online Banking mit Browser und mTan sicherer als mit Banking Software und Itan.

Begründung: bei mTan müssen die Angreifer dein Handy und den Computer kapern, bei Itan wäre es denkbar trotz Bankingprogramm eine Überweisung zu manipulieren ohne dass du es merkst.


Angenommen ich beauftrage eine Überweisung auf einem infizierten PC, dann erhalte ich in der SMS die mir die mTan übermittelt Betrag und Zielkonto.. es wird also sehr schwer für einen Angreifer die Überweisung zu fälschen ohne dass ich das mitbekomme.

Forum: www. onlinebanking-forum.de :: Index hat extra Unterforen für die einzelnen Software Versionen.. an deiner Stelle würde ich trotzdem zuerst Open Source ausprobieren... ich bin auch nur auf ein Kaufprogramm umgestiegen weil Open Source damals das was ich benötigte nicht bot.

Andererseits hatte ich den Kaufpreis meiner Kopie im ersten Jahr schon wieder drin da ich dadurch dass es so bequem ist Gelder zügig vom Girokonto aufs Tagegeldkonto transferiere...

Ich nutze die Steganos Software und bin sehr zufrieden! Sie ist sehr preiswert und nicht mit unnützen Funktionen verstopft.

In der Computer Bild gab es diese Software (2011er Version) sogar mal kostenlos, vielleicht lohnt ja ein Blick bei Ebay.

Auch wenn ich die Steganos Software mit mTans nutzen kann, so halte ich die Kombination Steganos + ITan deutlich sicherer als Browser + mTan, da der Browser eben ein beliebtes Angriffsziel ist und die Steganos Software relativ unbekannt und damit vor Angriffen relativ sicher ist. Ausserdem ist mir noch kein Virus bekannt, der die HBCI Schnittstelle der Banking Software angegriffen hat.

hi,
also für mich fällt der browser zum onlinebanking raus.
du kannst da viel zu viel fälschen.
zur einfachen "geben sie x tan nummern ein" bis zum fälschen des überweisungsbetrages ist da einiges möglich.
handys als zusatz geräte sind meiner meinung nach auch nicht so sicher, da sie immer multimedialer werden, aber keine schutzsoftware haben und prinzipiell ebenfalls mit malware infiziert sein können.
deswegen würde ich zu hbci, also banking mit spezieller software und cardreader raten, da kann man alle ausgaben 2mal überprüfen, am bildschrm und auf dem gerät, keylogger können nichts mit loggen, verschlüsselung der übertragung sollte ebenfalls besser sein, etc.

Zitat:

Zitat von markusg

hi,
also für mich fällt der browser zum onlinebanking raus.
du kannst da viel zu viel fälschen.
zur einfachen "geben sie x tan nummern ein" bis zum fälschen des überweisungsbetrages ist da einiges möglich.
handys als zusatz geräte sind meiner meinung nach auch nicht so sicher, da sie immer multimedialer werden, aber keine schutzsoftware haben und prinzipiell ebenfalls mit malware infiziert sein können.
deswegen würde ich zu hbci, also banking mit spezieller software und cardreader raten, da kann man alle ausgaben 2mal überprüfen, am bildschrm und auf dem gerät, keylogger können nichts mit loggen, verschlüsselung der übertragung sollte ebenfalls besser sein, etc.

HBCI mit Cardreader ist nach bisherigem Kenntnisstand nicht zu knacken... definitiv. Nur: der TE scheint nur die Wahl Browser mit mTan und HBCI mit Itan zu haben.

Da mTan sehr aufwendig zu knacken ist (er müsste sich Spielarten des gleichen Trojaners auf Handy und auf PC einfangen..) halte ich das dann doch für sicherer als Itan + HBCI Software.

Wenn der TE jetzt mehrere Konten verwalten müsste würde ich dann aus Komfortgründen doch die Banking Software verwenden, da mir auch keine Angriffe auf Banking Software bekannt sind.

Warum der TE jetzt unbedingt die Steganos Software verwenden will statt kostenlose Alternativen auszuprobieren bleibt sein Geheimnis...

Zitat:

Zitat von W_Dackel

statt kostenlose Alternativen auszuprobieren bleibt sein Geheimnis...

Welche wären das (Namen)?

Zitat:

Zitat von W_Dackel

HBCI mit Cardreader ist nach bisherigem Kenntnisstand nicht zu knacken... definitiv.

Mein drahtloses Kartenlesegerät (Kobil) nennt mir eine sechsstellige TAN.

Die Chance ist also 1 : 1 Million, wenn man eine zufällige TAN eingibt.
Oder anders ausgedrückt: Bei einer Million Versuchen hat der Angreifer
im Schnitt einmal Erfolg. Angesichts dessen, dass solche Angriffe ja
nicht von Hand, sondern automatisiert geschehen, erscheint mir das
auch nicht so sicher.

Ein achtstelliges Passwort aus Buchstaben, Zahlen und Zeichen hat
eine erheblich höhere Sicherheit durch Raten getroffen zu werden.

Die Frage ist, ob es sich noch lohnt Zugänge zu Bankkonten zu hacken,
wenn die Überweisungen nur mit Kartenlesegerät und Karte getätigt
werden können.

Zitat:

Zitat von JuergenS

Oder anders ausgedrückt: Bei einer Million Versuchen hat der Angreifer
im Schnitt einmal Erfolg. Angesichts dessen, dass solche Angriffe ja
nicht von Hand, sondern automatisiert geschehen, erscheint mir das
auch nicht so sicher.

Schon mal überlegt wie viele Versuche du hast?
Nach dreimal ist (meines Wissens) Schluss.
Das gilt für jeden Geschäftsvorfall, bei jedem Versuch hast du die Trefferwahrscheinlichkeit von 1 zu ~ 1 Million!
Bei zu vielen Falschversuchen wird Onlinebanking gesperrt (3 mal 3? müsste nachsehen).

Zitat:

Zitat von Shadow

Schon mal überlegt wie viele Versuche du hast?
Nach dreimal ist (meines Wissens) Schluss.
Das gilt für jeden Geschäftsvorfall, bei jedem Versuch hast du die Trefferwahrscheinlichkeit von 1 zu ~ 1 Million!
Bei zu vielen Falschversuchen wird Onlinebanking gesperrt (3 mal 3? müsste nachsehen).

Meine Bank hat mir soeben telefonisch erzählt, dass nach 3 Fehlversuchen
- egal innerhalb welcher Zeitperiode - gesperrt wird, aber dass der Zähler
nach jeder richtigen TAN-Eingabe wieder auf Null gesetzt wird.

Das würde bedeuten, dass man je nach Häufigkeit der Überweisungen recht
viele Versuche pro Jahr hat. Man braucht also nur eine hinreichende Anzahl
von gehackten Bankaccounts, um Erfolg zu haben.

Zitat:

Zitat von markusg

deswegen würde ich zu hbci, also banking mit spezieller software und cardreader raten, da kann man alle ausgaben 2mal überprüfen, am bildschrm und auf dem gerät, keylogger können nichts mit loggen, verschlüsselung der übertragung sollte ebenfalls besser sein, etc.

Absolut richtig
Auch eine Lösung über Banking-Software mit sicherer Übertragung per Identifizierung per USB-Stick finde ich sehr sicher.
Leider agieren die Banken sehr unterschiedlich. Eigentlich sollte man sich, bevor man auf irgendwelche Software umsteigt, sich mit seiner Bank ins Benehmen setzen. Man sollte auch in Erfahrung bringen, ob die Servicehotline der Hausbank die ins Auge gefasste Lösung überhaupt supportet.
Ich bereue nicht, auf eine Lösung umgestiegen zu sein, die mir meine Hausbank empfohlen hat und auch hervorragend supportet. Mit 10 € war ich zwar nicht dabei, aber so viel mehr war es nicht. Der Betrag war etwas höher, die erste Zahl war aber eine zwei.
Den Mehrwert gegenüber dem Einloggen per Browser finde ich schon das Geld wert.
Ich nenne jetzt weder Bank noch Software.