von: Andreas
Re: Onlinebanking unterwegs - 27.02.15 18:32
Hallo Uwe,
Nein, es ist gering. Die Verbindung ist vom Browser bis zum Bank-Server verschlüsselt. Ein Abhören des WLAN bringt daher keine Erkenntnisse.
Ein unverschlüsseltes WLAN (was auf die meisten kostenlosen WLANs zutrifft) ermöglicht es, mitzuhören, welche Webseiten Du besuchst (inklusive deren Inhalte) und meistens auch die E-Mails, die Du abrufst und verschickst. Denn diese Dinge haben meistens keine eigene Verschlüsselung.
Ob Bankix paranoid ist, hängt von den anderen Umständen ab, insbesondere vom TAN-Verfahren. Bei Chip-TAN und SMS-TAN sieht man, an wen die Überweisung geht. Sollte es jemand schaffen, sich zwischen Computer und Bank-Server zu klemmen (Man-In-The-Middle-Angriff), könnte er bei einer Überweisung eine andere Ziel-Kontonummer angeben, ohne dass Du es in dem Moment siehst. Du siehst aber die Ziel-Kontonummer auf dem TAN-Generator bzw. in der SMS mit der TAN. Bei einer normalen TAN-Liste, bei der man nur die verwendete Nummer durchstreicht, wäre so eine Attacke erfolgreich.
Grüße
Andreas
In Antwort auf: Uwe Radholz
Ist das Riskio eines Zugriffs aufs Onlinebanking über WLan und/oder eine Mobilfunkverbindung im Ausland (oder auch in D) nicht erheblich?
Nein, es ist gering. Die Verbindung ist vom Browser bis zum Bank-Server verschlüsselt. Ein Abhören des WLAN bringt daher keine Erkenntnisse.
Ein unverschlüsseltes WLAN (was auf die meisten kostenlosen WLANs zutrifft) ermöglicht es, mitzuhören, welche Webseiten Du besuchst (inklusive deren Inhalte) und meistens auch die E-Mails, die Du abrufst und verschickst. Denn diese Dinge haben meistens keine eigene Verschlüsselung.
Ob Bankix paranoid ist, hängt von den anderen Umständen ab, insbesondere vom TAN-Verfahren. Bei Chip-TAN und SMS-TAN sieht man, an wen die Überweisung geht. Sollte es jemand schaffen, sich zwischen Computer und Bank-Server zu klemmen (Man-In-The-Middle-Angriff), könnte er bei einer Überweisung eine andere Ziel-Kontonummer angeben, ohne dass Du es in dem Moment siehst. Du siehst aber die Ziel-Kontonummer auf dem TAN-Generator bzw. in der SMS mit der TAN. Bei einer normalen TAN-Liste, bei der man nur die verwendete Nummer durchstreicht, wäre so eine Attacke erfolgreich.
Grüße
Andreas