abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.

E-Banking und SIcherheitslücle Krack

Gelöst
Expert
Nachricht 1 von 13

Hallo zusammen

 

dieser Beitrag richtet sich an Security Spezialisten.

 

Ich mache Einzahlungen entweder über die Bank oder Post, online. Ab und an bestelle ich auch in Online-Shops.

 

Daher  2 Fragen?

  1. Wer weiss ob WPA2 noch als sicher gilt (Hintergrund Krack).
  2. Sind die Swisscom Router gepacht ? ( @Swisscom )

 

Nun frage ich mich ob ich dies weiterhin auch über das Laptop per WLAN tun soll oder besser nur noch über ein LAN-verbindung. Wer kann da verbindliche Aussagen dazu machen?

Master of Desaster
HILFREICHSTE ANTWORT

Akzeptierte Lösungen
Swisscom
Nachricht 5 von 13

Zu 2: Router: entweder nicht betroffen gewesen oder schon lange gepatched.

Head of Access & Communication Services @ Product & Marketing Department, Swisscom (Schweiz) AG
12 Kommentare
Expert
Nachricht 2 von 13

1) Nichts ist absolut sicher, die Frage ist nur wie gross der Aufwand ist.

 

KRACK erfordert einen erheblichen Aufwand und der Angreifer muss sich in deiner Nähe aufhalten. Selbst wenn der Angreifer in dein WLAN eindringen kann, ist die e-Banking-Verbindung immer noch mit TLS verschlüsselt. Das Risiko ist also überschaubar.

Mir persönlich ist mit einer LAN-Verbindung trotzdem wohler.

Expert
Nachricht 3 von 13

Ich bin der Meinung man muss diese Frage ganz anders angehen. Es geht nich darum, ob deine Verbindung oder dein PC sicher ist, sondern es geht darum, dass dein E-Banking auch dann sicher ist, wenn dein PC infiziert oder deine Leitung angezapft wird!

(Dass der PC infiziert wird ohne das du es merkst dürfte ja z.B. deutlich wahrscheinlicher sein, als dass einer dein WLAN kracken geht...)

 

Eine E-Banking-Lösung bei der dein Geld in Gefahr ist, wenn beispielsweise dein PC trojanisiert wurde, ist für mich bereits eine unnötig und tendentiell inakzeptabel schlechte E-Banking Lösung (auch wenn diese Problematik durchaus bei verschiedenen Banken besteht.)

 

Was man braucht ist eine 2-Faktor-Authentifizierung - und zwar nicht nur fürs LogIn sondern auch für die Zahlung. Und auf dem "zweiten Faktor" muss man sehen, was man gerade absegnet.

 

D.h. eine gute Lösung ist für mich eine, bei der ich die Zahlung auf einem Zweitgerät (typischerweise Handy/Smartphone via App oder SMS) bestätigen muss, und wo ich dann in dieser SMS oder in diesem App auch sehe, welchen Betrag ich mit dieser Bestätigung an welches Konto schicke.

Wenn dies gegeben ist, dann kann meine Leitung noch so angezapt sein oder mein PC kann noch so infiziert sein, am Ende wird mir trotzdem keiner das Geld abtransportieren können.

(Es sei denn natürlich, er hat den zweiten Faktor auch noch infiziert. Aber wer sich PC und Smartphone von der selben Bande infizieren lässt, dem ist eh nicht mehr zu helfen.)

 

Ein sicheres System wie oben beschrieben habe ich bei meiner Bank.

Mit anderen Banken die weniger sichere Systeme anbieten (die Postfinance mit ihren gelben Kästli wär beispielsweise eher ein Negativbeispiel, auch wenn es noch schlimmere gibt) würde ich nicht zusammenarbeiten.

 

 

 

Super User
Nachricht 4 von 13

Auch bei Postfinanz kann man schon lange über das Handy den Bestätigungcode eingeben ! 

N.b. Und meine Einzahlungen mache ich auch über das WLAN hatte noch nie ein Problem.

Swisscom
Nachricht 5 von 13

Zu 2: Router: entweder nicht betroffen gewesen oder schon lange gepatched.

Head of Access & Communication Services @ Product & Marketing Department, Swisscom (Schweiz) AG
Expert
Nachricht 6 von 13

@WalterB  schrieb:

Auch bei Postfinanz kann man schon lange über das Handy den Bestätigungcode eingeben !


 

Mag sein. Aber sämtliche Postfinance-Kunden die ich kenne, haben das "gelbe Kästli". Wird sich vermutlich/hoffentlich über die Jahre ändern.

Ist auch nicht die Frage um die es hier geht. Wollte nur ein System illustrieren, welches eben weniger sicher ist, damit man einen Vergleich hat und merkt, worum es geht.

 

Super User
Nachricht 7 von 13

Wahrscheinlich ist die Gefahr grösser, dass du auf Phishing reinfällst, als es jemand schafft die Lücke zu nutzen.

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Expert
Nachricht 8 von 13

Danke für die vielen Beiträge.

 

Ich binn kein PC Neuling und die meisten Dinge sind mir sehr wohl bekannt.

Wie heisst es so schön, nichts ist so bestätig wie die Veränderung und diese ist in der IT Welt sehr schnell. Also immer ein wenig wachsam sein insbesondere bei neuen Hacks.

 

In der IT Branche gilt immer noch: "ein neues System ist so lange sicher bis es gehackt ist".

Daher auch ganz speziefisch die zwei Fragen ob die Swisscom Router gepacht wurden und ob der WLAN standard noch als sicher gilt.

 

Danke @GuidoT für die Klärung der Frage 2.

 

Eigentlich reicht mir das schon damit ich die Gewohnheiten nicht ändern muss.

 

Falls noch jemand Inseiderwissen um die Sicherheit des WPA2 Standard hat wäre das aber sicher auch noch interessant.

Den Rest der allgemeinen sicherheits- und wahrscheinlichkeits-  und und und Theorien, bitte gerne  in einem anderen Theader.

Master of Desaster
Swisscom
Nachricht 9 von 13

#Internet-Guard :-)

Head of Access & Communication Services @ Product & Marketing Department, Swisscom (Schweiz) AG
Expert
Nachricht 10 von 13

@Master  schrieb:

Den Rest der allgemeinen sicherheits- und wahrscheinlichkeits-  und und und Theorien, bitte gerne  in einem anderen Theader.


 

Ich sag mal so: Hättest du "den Rest der allgemeinen Sicherheits- und Wahrscheinlichkeits-Theorien" die hier geposted wurden verinnerlicht, wäre dir klar geworden, dass die von dir gestellte "spezifische Frage" eigentlich keine Relevanz hat, was die Sicherheit deines E-Bankings angeht.

 

Denn wie du richtig sagst: Nichts ist so beständig wie die Veränderung. Neue Angriffsmöglichkeiten kann es immer geben. Daher brauchst du ein System, das prinzipiell sicher ist, nicht eines, das vielleicht immer dann mit Glück ein bisschen sicher ist, wenn dein Router-Lieferant gerade mal wieder was gepatcht hat ;-)

 

Super User
Nachricht 11 von 13

@Master  schrieb:

[...] In der IT Branche gilt immer noch: "ein neues System ist so lange sicher bis es gehackt ist". [...] Falls noch jemand Inseiderwissen um die Sicherheit des WPA2 Standard hat wäre das aber sicher auch noch interessant.


Ist jetzt zwar kein besonderes Insiderwissen, aber der neue Standard WPA3 ist am Start und soll bezüglich Sicherheit einiges an Vorteilen haben. Die Zeit wird zeigen, ob dieses Versprechen eingelöst wird.

Super User hed
Super User
Nachricht 12 von 13

zu 1)

Auch den Laptop betreibe ich zu Hause ausschliesslich am LAN. WLAN ist für mich zu Hause lediglich ein notwendiges Uebel für Devices, welche keinen Ethernet-Anschluss haben.

 

Nebst der Sicherheit geht es mir dabei auch um Performance, Stabilität, Konstanz, Fehleranfälligkeit, Realtime-Fähigkeit, niedrige Latenz, Packet-Loss und Jitter. Da führt kein Weg an Ethernet vorbei. Von der Umgebung zugemüllte WLAN's sind für mich keine Alternative.

Expert
Nachricht 13 von 13

@PowerMac  schrieb:


Ist jetzt zwar kein besonderes Insiderwissen, aber der neue Standard WPA3 ist am Start und soll bezüglich Sicherheit einiges an Vorteilen haben. Die Zeit wird zeigen, ob dieses Versprechen eingelöst wird.

 

Jap. Wird wohl auch noch ein paar Jährchen dauern, bis sich das wirklich verbreitet.

Interessant an WPA3 ist sicher die bessere "individiuelle" Verschlüsselung (bezügl. gemeinsam genutzte/öffentlichen Netzwerke).
Eine kleine Alarmglocke läutet bei mir hingegen, wenn sie sagen, sie wollen "den Prozess der Konfiguration der Sicherheit für Geräte vereinfachen, die über keinen Bildschirm verfügen".  Sowas scheint mir typischerweise das höchste Gefahrenpotential für Sicherheitsprobleme zu bieten. WPS lässt grüssen.