Sparda-Bank Cardreader gesucht
 

Guten Tag,

ich bin bei der Sparda-Bank und mache dort auch normales Onlinebanking. In vielen eurer Beiträge zur Absicherung gebt Ihr Tipps zum Onlinebanking, entsprechender Software & Cardreader. Die Software StarMoney, die ja auch hier empfohlen wird, bekomme ich als Sparda-Kunde ja etwas günstiger, allerdings weiß ich nun nicht, welchen Cardreader ich benötige, damit das Ganze mit StarMoney und auch mit der Bank funktioniert. Ich habe von dem cyber-Jack e-com plus gelesen, aber ist so ein teurer Kartenleser für mich wirklich sicherer?
Es wäre klasse, wenn ihr mir Kaufempfehlungen geben könntet.

Gruß

Was empfiehlt dir denn deine (!) Sparda-Bank - Sparda ist eine Bankengruppe von 12 Genossenschaftsbanken, da könnte es (auch heute noch) Unterschiede geben (obwohl das Teil eigentlich nur mit dem Programm wohl zusammen funktionieren können muss), was geht - und vor allem könnte es auch bei deiner Bank "vergünstigte" Kartenleser geben..
Viele günstigere Cardreader sind sicherlich NICHT unsicherer, aber halt weniger "stylisch" => "für Kunden, die Wert legen auf edles und ergonomisches Design" (Zitat Hersteller). 5 Jahre Herstellergarantie und hintergrundbeleuchtetes Design kosten eben.

Die Sicherheit kommt eher vom Programm, vom System, als vom Cardreader.

meine Sparda Bank (München) unterstützt gar keine Chipkartenleser
Wo liegt deine bank?

Die erwähnen hier nichts von Chipkartenlesern, statt dessen bieten sie das unsichere Itan Verfahren noch an: hxxp://www.sparda.de/sicheres-banking.php

Mein Tipp: stell auf Mtan um wenn du ein Handy hast und deaktiviere das Itan. Wenn du dann nie vom Handy aus Internetbanking betreibst (und keinen Blödsinn auf dem Smartphone installierst) sondern nur vom PC / Laptop aus bist du mit Mtan relativ sicher.

Die Standardverfahren um Mtan auszutricksen basieren immer noch darauf den Kunden dazu zu bringen sich eine angeblich von seiner Bank stammende "App" zu installieren.. wer da misstrauisch ist (und so Zeug nicht installiert/ nicht ohne telefonische Rückfrage bei seiner Bank installiert) ist relativ sicher.

Mtan oder itan ist beides gleich unsicher.
Letztendlich muss ich eine Tan im Browserfenster eingeben, und welche Überweisung dabei ausgelöst wird, sehe ich imho nur bei einem nichtinfiziertem System (man in the middle Angriff). Spyeyes soll die Überweisung ja innerhalb 20 Sekunden umleiten können, d.h. angezeigte/eingegebene Überweisung passt nicht zur ausgeführten.

Mtan ist schon eine Stufe sicherer als Itan: bei Mtan enthält die SMS die die Tan enthält auch den Betrag und die Kontonummer, daher würde man misstrauisch wenn die nicht zu der Überweisung passen die man ausführen will.

(Die Mtan gilt nur für die Überweisung deren Betrag und Zielkonto in der SMS stehen, für eine andere Übrweisung wird die Bank sie nicht akzeptieren)

Um Mtan zu knacken muss jemand die Bank Pin kennen und die SMS irgendwie auf sich umleiten. Dazu gibt es zwar Ansätze, aber so einfach wie bei Itan wo ein einfacher Man in the Middle auf einer Phishing Website oder per Trojaner im Browser ausreicht ist das bei Weitem nicht.

aha
again what learned

und was kann dieses Sparkassen-blinkcode Teil dann noch sicherer?
außerdem gibt es doch jetzt einen android m-tan Trojaner Macht der Überweisung und M-Tan phishing autonom vom handy?

Soweit ich informiert bin wurde weder dieser Blink-Tan Generator noch die Chipkarte je geknackt (bei der Chipkarte sollte man dann allerdings einen der Leser mit eigenem Display einsetzen, sonst ist die prinzipiell doch wieder knackbar).

Wenn du nur/jeweils Einzelüberweisungen machst dann ja. (bisher)
Du musst Betrag und Zielkontonummer bestätigen und nur genau dafür gilt die TAN

Als Spardabankkunde kann ich jede Überweisung innerhalb 30 Minuten noch canceln. Um sicher zu gehen, muss ich also vorerst jede per itan getätigte Überweisung noch mal auf einem Zweitgerät, z.B. Handy noch mal checken ?

Die Alternative heißt dann wohl vorerst zur Überweisung ipad oder anderes sicheres (sicherer wie ein Windows PC) Standalone Gerät (oder Linuxlivecd) zu verwenden.

So ein Chipkartenleser mit Display wär mir persönlich am sympatischsten, dem blinkcode generator, weiß ich doch gar nicht was der für codes überträgt ...

und bei MTAN entfällt ja dann der Tan-Zettel, also wer mir das Handy im Urlaub klaut kann damit Überweisungen von meinem Konto veranlassen (wenn er die Bankpin z.B. aus dem Passwortspeicher des Rechners oder per Trojaners erlangt?

Also heute sehe ich selbst Trojanern relativ gelassen entgegen, da die ITAN Liste physisch ja nicht für einen Angreifer erreichbar ist, außer er bricht bei mir ein und entwendet die Liste, die er aber erst finden muss. Ein verlorenes Handy oder ein per Trojaner erlangter Bankpin erniedrigt die Sicherheitsreserven enorm ...
und die Nachprüfbarkeit hab ich heute schon über Zweitrechner.

Der überträgt gar nichts, der empfängt nur und generiert daraus ein TAN.

Bei Itan kann sich ein Trojaner als "man in the middle" einschleichen, und während du denkst dass du 10 Euro an deinen Kumpel überwiesen hast überweist der 1000 Euro auf ein dubioses Konto.

Wenn du Überweisungen zurückrufen kannst kannst du dich natürlich mit einem Zweitrechner wehren (die Trojaner sperren oft den Bankzugang nach der Überweisung.. zumindest für den Erstrechner.. prinzipiell könnte so ein Trojaner aber durch Eingabe mehrerer falscher Tans dich aus deinem Konto aussperren, dann nützt dir auch der Zweitrechner nichts..)

Mtan und Blinkgerät sind deswegen sicherer weil die generierte TAN nur für die eine Überweisung mit Betrag und Zielkonto gilt.. also nicht "verfremdet" werden kann.

Handyklau ist ein Thema, daher befindet sich auf meinem Handy kein Hinweis wo meine Bank ist...

Der Blink-Tan Generator zeigt soweit ich informiert bin auch Zielkonto und Betrag an.. oder ? In dem Falle wäre der auch nicht knackbar...

Bist du sicher, dass es immer Trojaner sind? :pfeiff:
Du magst hierfür meinen 1,5 Stunden älteren Beitrag lesen wenn du magst. :kaffee:

... du meinst ein Man in the middle auf einem Server der mit gefälschten Zertifikaten arbeitet ? Das kann es auch sein, wird aber für den User mindestens so teuer.

Stimmt, das andere hattest du schon erklärt.

"Trojaner" bezeichnet den Verbreitungsweg, nicht die Schadwirkung, nicht die Art und das Potential der Schädigung. Es besteht z.B. für Backdoors kein Zwang ihre Verbreitung trojanisch begonnen zu haben. Es ist nur furchtbar praktisch auf die Mithilfe des Nutzers bei Malwareverbreitung und -installation zu setzen.