Das ist sogar eher selten der Fall, zumindest wenn wir vom iTAN-Verfahren reden. Denn hier werden in erster Linie Phishing Seiten verwendet auf denen die Leute ihre Daten dann eingeben. In sofern hinkt hier auch der Vergleich "HBCI Software ist nicht betroffen" weiter oben. Denn natürlich wird kein Angreifer sich auch noch eine HBCI Software installieren nur um darüber die abgegriffenen TANs zu verwenden, wieso auch? Geht über das Online-Banking natürlich schneller die Daten zu verwenden.

Davon mal ganz abgesehen, sehe ich keinen Grund wieso ein Trojaner nicht auch eine HBCI Software angreifen können sollte. Diese würde sich genauso manipulieren lassen sobald ein Trojaner auf dem Nutzerrechner ist. Der einzige Grund warum das nicht passiert ist der, dass es dafür zu wenige HBCI Nutzer gibt und zu viele Programme die man gezielt angreifen müsste. Den Aufwand macht sich natürlich keiner. Das ist aber eine reine Frage der Nutzung. MacOS war früher auch kein Angriffsziel, dass hat sich inzwischen aufgrund der Verbreitung aber auch geändert.

Ganz so einfach ist das bei Programmen zum Glück nicht (aber natürlich auch möglich).
Browser sind dazu konzeptioniert:
alles was anzeigbar ist anzuzeigen, alles was abspielbar ist abzuspielen, alles was ausführbar ist auszuführen, Schnittstellen für zusätzliche Programme zu bieten, Darstellungen von Webseiten zu ändern uvm.
Eine Banking Software ist nicht offen, das macht die Manipulation komplexer. Da das Browserbanking auch in anderen Ländern genutzt wird, die Inhalte wesentlich einfacher auszulesen sind und auch einfacher zu manipulieren sind, es wenige Browser mit einer hohen Verbreitung gibt, ist es einfacher einen Trojaner zu entwickeln der eine Vielzahl von Webseiten der Banken (in verschiedenen Ländern) kennt und deren Darstellung im Browser manipulieren kann ist es einfacher und lohnenswerter ein Browser anzugreifen.

bzgl der iTAN liegst Du nicht ganz richtig. Die heutigen Angriffe sind so generisch, dass es dem Angreifer egal ist, welches Verfahren eingesetzt wird. Wenn ich einem Kunden einen Geldeingang vorgaukel und der zurück überweisen werden soll, ist es egal mit welchem Sicherheitsmedium ich das mache. Solange ich den Kunden davon überzeugen kann, dass er sich selber beklauen soll funktioniert der Angriff immer. Daher fallen die "alten" Angriffe, die nur bei der iTAN funktionieren natürlich als solche mehr auf. Sind aber heute nicht mehr der Standard.

Viele Grüße

Holger

Um mein Argument nochmal zu erklären:

HBCI mit Schlüsseldatei funktioniert NUR mit einer Banking-Software und gar nicht im Browser.
Es wird keine TAN benötigt, Hier müsste ein Angreifer die Software angreifen UND den Schlüssel stehlen UND dessen PIN.

Ich halte dieses Verfahren schon für sicherer als jede im Browser eingegebene TAN, egal wie sie generiert wird.

Gruß
Lisa

a.) ein keylogger und schon ist deine Argumentation dahin
b.) es ging um dein posting #36

aber das können wir unendlich drehen und wenden, Tatsache ist alles in Sachen PC bekommst sowieso nicht sicher, denn selbst wenn wir sichere Verfahren unterstellen, kann die Software/App buggy sein, da es kein sicheres/fehlerfreies Produkt gibt. (siehe bspw. N26 Meldung der letzten Tage)
sicher muss auch nicht sein, da die Banken idR den Schaden dann doch übernehmen, zumal die Gerichte verbraucherfreundlich sind


//@msa
die OLB Oldenburgische Landesbank AG usw. ja auch - siehe https://hbciweb.olb.de/financebrowser5/

Das ist so nicht richtig. Es gibt durchaus auch Plugins, bei denen im Browser mit HBCI mit Chipkarte oder Schlüsseldatei gearbeitet wird. Die Sparkasse Fürstenfeldbruch bietet z.B. zu ihrem Brauserbänking auch eine Zugangsmöglichkeit mit HBCI/Chipkarte...

Auch wenn ich jetzt gegen die Schlüsseldatei argumentiere: Ich mag und nutze sie selber
Der Angreifer muss nur Zugriff auf den PC erlangen und wissen was eine Schlüsseldatei ist. Die kopiert er sich weg und hat anschliessend unendlich viele Möglichkeiten die PIN zu ermitteln (BruteForce). Das ganze ohne dass Du mitbekommst, dass die Schlüsseldatei kopiert wurde. Wenn der Angreifer anschliessend die PIN hat benötigt er nur noch die Software und räumt das Konto leer.

Das ist natürlich alles andere als trivial und ganz sicher aufwendiger, als den Brwoser zu manipulieren. Aber es funktioniert ohne die Software angreifen zu müssen. Und bei der definition Starke Kundenauthentifikation heißt es, dass zwei Komponenten von Besitz, Wissen und Inhärenz genutzt werden müssen. Die Frage ist, ob durch die Möglichkeit eine Datei zu kopieren, der Faktor Besitz für eine Schlüsseldatei als gegeben anzunehmen ist. Für beide Seiten gibt es Pro und Contra Argumente.

Viele Grüße

Holger

das würde ich so nicht unterschreiben. Keylogger hat man eh, du brauchst also keine brute-force Methode, um das Passwort zu erraten, wenn der Betrüger eh bereits auf dem Rechner ist.
Aber wir wollen keine Anleitung für Hacker schreiben.

Sorry, bevor das die Runde macht: Doch das kann man so unterschreiben. Das Thema Keylogger ist der so ziemlich meist überschätzte Angriff für das OnlineBanking.

dies wurde ua. geschrieben zum letzten MS Patch

http://www.zdnet.de/88284436/d…d-windows/

wobei sind wir wirklich noch bei dem Thema?