Sicherheit für Computer und Tablet/Smartphone

[Cymbidium]

Hallo,

 

leider nerven die ganzen Phishing-Emails, Rechnungen von Fake-Adressen und Co.

 

Trotz Virenscanner und Firewall und Brain.exe bin ich ziemlich verschont, vor tatsächlichen Problemen.

Klar habe ich ein paar E-Mail-Adressen zum Verheizen, aber irgendwann passiert vielleicht doch mal was.

 

Jetzt bin ich am überlegen, ob und wie ich meinen Computer (Windows 7, 32Bit), Tablet und Smartphone (beides Android) "sicher" machen kann.

 

Ich nutze für Online-Banking die mTan, ebenso für die Tagesgeldkonten.

 

Meine Benutzer-Konten unter Windows 7 sind alle "eingeschränkte Benutzer", also ohne Adminrechte, was ja angeblich schon recht viel schützen soll.

Da ich mich mit dem Thema Sicherheit am Computer für Online-Banking und Börsen-Handel (nenne ich jetzt mal so.) nicht auskenne, wird es Zeit, bevor ich

aktiv werden. ;.-)

Würde es langen, einen eingeschränkten Benutzer unter Windows 7, oder später auch Windows 8.x einzurichten, mit aktuellstem Firefox und z.B. Kaspersy Internet Security 2015,

nur für Online-Banking und Börsen-Handel?

Sicherlich muss/sollte das Betriebssystem immer aktuell sein, ebenso die Viren & Co. - Scanner.

 

Da ich nur auf bekannten Websiten surfe, sollte man sich ja nichts einfangen, aber per E-Mail kann schon mal was passieren, wenn man unbedacht ist.

 

 

Auf dem Tablet und Smartphone ist jeweils der Avast Virenscanner drauf, bin aber nicht sicher, ob das reicht.

 

Wie macht Ihr das? Wie habt Ihr Eure Systeme vor unbefugter Benutzung, Malware, Viren und Co. gesichert?

 

Vielen Dank für Infos und Tipps.

 

Viele Grüße

Cymbidium.

[chart]

Ich habe noch einen recht altes Notebook hier stehen. Dort habe ich eine ganz einfache Linux Version aufgespielt. Das Notebook verwende ich nur für Online-Banking, da es für Linux deutlich weniger, kaum Schadsoftware gibt.

Wenn du also vielleicht noch ein älteres Gerät rum stehen hast, kannst du es z.B. so machen, dann musst du dich wegen deinem Windowsrechner nicht so den Kopf zerbrechen.

[Laser12]

Hi,

 

mTAN ist unsicher. mTan und Bankgeschäft auf dem Handy ist sehr unsicher und in den AGB der meisten Banken verboten.

 

Mit Chipkarte sieht das schon sehr viel besser aus.

[Kolle]

Für den PC ( Vista ) nutze ich Firefox 33.1.1 mit Noscript AddOn und AdblockPlus. Beim Noscript kann man für jede Webseite Javascript einzeln freigeben. Virenscanner Norton 360, den gibt es bei der Telekom umsonst bei höheren Tarifen. Beim Laptop Windows 8.1 sonst gleiche Einstellungen wie beim PC. Zum Surfen Benutzer ohne Admin-Rechte.

 

Smartphone ( Samsung Note ) muss ich erst sicherer machen bevor ich auf Bankkonten losgehe. Unterwegs nutze ich einen leichten 10"-Laptop wie oben und hole mir das Internet vom Smartphone mittels Tethering.

[Staatenverbund]

Würde es langen, einen eingeschränkten Benutzer unter Windows 7, oder später auch Windows 8.x einzurichten, mit aktuellstem Firefox und z.B. Kaspersy Internet Security 2015,

nur für Online-Banking und Börsen-Handel?

 

Ein Benutzeraccount schützt den Rest des Systems vor dem jeweiligen Benutzer (also der Software, die als dieser Benutzer läuft), nicht andersrum.

 

Sicherlich muss/sollte das Betriebssystem immer aktuell sein, ebenso die Viren & Co. - Scanner.

 

Software aktuell halten ist sehr zu empfehlen. Wenn man nicht auf den Kopf gefallen ist, spart man sich Virenscanner wahrscheinlich besser, und anstatt irgendwelche Desktop-Firewalls zu installieren, sollte man lieber alle Dienste deaktivieren, die man nicht benötigt.

 

Da ich nur auf bekannten Websiten surfe, sollte man sich ja nichts einfangen, aber per E-Mail kann schon mal was passieren, wenn man unbedacht ist.

 

Naja, keine fragwürdigen Attachments öffnen sollte den Grossteil der Angriffsvektoren vermeiden.

 

Wie macht Ihr das? Wie habt Ihr Eure Systeme vor unbefugter Benutzung, Malware, Viren und Co. gesichert?

 

Kein Adobe PDF Reader, kein Flash, kein Java-Plugin, Werbefilter im Browser, und natürlich auch kein Virenscanner und keine Desktop-Firewall, Platte verschlüsselt, Updates zeitnah installieren.

 

Die Idee von "Sicherheitssoftware" ist weitgehend Bullshit bzw. Snake-Oil. Diese Software vergrößert, was man die Angriffsoberfläche nennt, also die Menge an Code, die mit nicht vertrauenswürdigen Daten in Kontakt kommt, also von einem Angreifer zum Einbruch genutzt werden kann, wenn sie Fehler enthält, kann aber prinzipbedingt nur bereits öffentlich bekannte Malware erkennen ("Blacklist-Security") - und bei bereits öffentlich bekannter Malware sind meistens auch die von dieser ausgenutzten Sicherheitslücken bekannt. Diese Sicherheitslücke kann der Benutzer sein, der auf alles klickt, was nicht bei drei auf den Bäumen ist (in dem Fall mag ein Virenscanner nützlich sein), oder es ist eine Lücke in Software auf dem Rechner, für die zumindest verantwortungsbewusste Hersteller Sicherheitsupdates veröffentlichen, sodass zeitnahe Updates diesen Fall bereits abdecken. Bei nicht verantwortungsbewussten Herstellern bzw. bei Software, die für ihre schlechte Codequalität bekannt ist, deinstalliert man besser diese Software.

 

Ansonsten könnte die Nutzung von HBCI/FinTS statt Webbanking eine Möglichkeit sein, die Sicherheit zu erhöhen, ibs. bei Verwendung von Smartcard-Signaturen.

 

Wenn man sein Webbanking gegen andere Webseiten im gleichen Browser absichern möchte (der ganze Web-Stack ist sicherheitstechnisch ziemliche Grütze, ich würde das durchaus empfehlen), empfiehlt es sich, fürs Banking eine separate Browserinstanz zu verwenden (Firefox-Profile z.B.), und im Banking-Browser im besten Fall noch alle außer der benötigten SSL-Certification-Authorities zu deaktivieren.

 

Fürs Banking eine Linux-Live-CD oder einen eigenen Linux-Rechner zu verwenden (oder auch ganz auf Linux oder FreeBSD oder so umzusteigen ...) ist sicherheitstechnisch sicher auch keine schlechte Idee, aber natürlich auch etwas mehr Aufwand.

[Market Maker]

Nutze auch Linux auf einem schreibgeschützten USB Stick.

 

Linux:

 

http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

 

Stick:

 

http://www.amazon.de/TrekStor-USB-Stick-USB-2-0-silber/dp/B000OLXIWC/ref=sr_1_1/280-6307268-5751945?ie=UTF8&qid=1417129137&sr=8-1&keywords=TrekStore+USB

 

Für den mTan Empfang ein 5 Euro Teil (wohl ausverkauft)

 

http://www.conrad.de/ce/de/product/318824/Vodafone-255-CallYa

 

Für mich ganz wichtig, Banken - Diversifikation.

 

Also wie viel Geld will man verlieren, wenn einem ein Konto geplündert wird?

 

Konto auf das häufig zugegriffen wird (Überweisungen,Karte, etc.), möglichst geringer Geldbestand und kein Depot.

 

Wertpapierdepots (verschiedene Banken) in Kategorien aufgeteilt.

Wertpapiere mit kurzfristigen Handelsansätzen müssen nicht im selben Depot gehalten werden wie 10 jährige Anleihen.

Was man nicht oft handeln tut, braucht man auch nicht öfter Dieben anbieten.

[Cymbidium]

Guten Morgen,

 

Danke für Eure Antworten.

 

mTAN ist unsicher? Verstehe ich nicht.

 

Linux hatte ich mal drauf, aber nicht so mein Ding. Muss ich mir nochmal überlegen.

 

Ich dachte vielleicht auch an eine eigene Partition, nur mit OS und den Notwendigsten Programmen (Browser, E-Mail, Virenscanner, usw.)

 

Das macht es leider bezüglich Updates umständlich, da man erstmal alles updaten muss/sollte, bevor es losgeht.

Geplant bzw. angedacht ist, das ich nicht jeden Tag das brauche.

Hmm, nicht ganz so leicht zu entscheiden, was und wie man das macht.

 

Viele Grüße

Cymbidium

[Mr. Jones]

Windows: Alle Updates installieren, Virenscanner, aktueller Browser + aktuelle Plugins + alle unnötigen Plugins (Java, ...) abschalten

Android: keine unsignierten Pakete von außerhalb des Google-Shops installieren

Zugangsdaten: Sicher aufbewahren und sicherstellen, dass ein Hacker nicht vielleicht auf deinen Namen eine zweite SIM-Karte bestellen kann.

 

Ansonsten Linux von einer bootbaren CD (ct-Bankix) oder von einem bootbaren USB-Stick starten. Ich halte das aber für Overkill.

 

Fertig.

[chart]

Guten Morgen,

 

Danke für Eure Antworten.

 

mTAN ist unsicher? Verstehe ich nicht.

 

Linux hatte ich mal drauf, aber nicht so mein Ding. Muss ich mir nochmal überlegen.

 

Ich dachte vielleicht auch an eine eigene Partition, nur mit OS und den Notwendigsten Programmen (Browser, E-Mail, Virenscanner, usw.)

 

Das macht es leider bezüglich Updates umständlich, da man erstmal alles updaten muss/sollte, bevor es losgeht.

Geplant bzw. angedacht ist, das ich nicht jeden Tag das brauche.

Hmm, nicht ganz so leicht zu entscheiden, was und wie man das macht.

 

Viele Grüße

Cymbidium

 

Ich habe Linux AntiX, es installiert sich von alleine, treiber musste ich nicht nachinstallieren, geht schneller und einfacher als Windows.

Es hat eine grafische Oberfläche, wirkliche Ahnung von Linux braucht man nicht. AntiX läuft auf sehr alten Rechner, wo man Windows 7 nicht mehr installieren kann.

Falls du keinen alten Laptop hast, bekommst du doch sicher einen guten gebrauchten über ebay oder du fragst die Leute in deiner Umgebung. Vielleicht hat jemand ein altes Gerät noch rum stehen und nutzt es nicht mehr.

Mein Laptop ist mehr als 10 Jahre alt.

Bevor du an deinem Windowsrechner etwas machst, würde ich mir das mit dem Laptop überlegen.

Umständlich ist es nicht und jeden Tag macht man auch kein Online-Banking.

 

Übrigens können auch sichere Internetseiten unsicher sein, die Betreiber wissen oft selber nicht das sie sich einen Virus eingefangen haben.

Auch kann man sich per Mail schnell etwas einfangen, obwohl man aufpasst.

Je mehr man mit einem Windowsrechner macht, um so unsicherer wird es.

[Sisyphos]

 

mTAN ist unsicher? Verstehe ich nicht.

 

 

Die vermeintlich größere Sicherheit des mTAN-Verfahrens beruht darauf, daß man neben der Kommunikation über den PC mit der Bank einen zweiten getrennten und damit vermeintlich sicheren Übertragungskanal einrichtet, nämlich die Übertragung der mTAN mittels Mobilfunknetz. Da neben der mTAN dann auch Überweisungsdaten angezeigt werden, kann der Benutzer vergleichen, ob die Überweisung auch tatsächlich auf das korrekte Konto erfolgt, oder ob ihm eine Schadsoftware auf seinem PC eine ganz andere Transaktion "vorspielt".

 

Die Sicherheit dieses Verfahrens steht und fällt mit der Sicherheit des getrennten Übertragungskanals, also der Mobilfunkverbindung. Daher ist es eine "Todsünde" diese Kanaltrennung aufzuheben, indem man über das gleiche Smartphone Mobile Banking betreibt und auch die mTAN empfängt. Die meisten Banken verbieten das auch ausdrücklich in Ihren Bedingungen für Mobile Banking, d.h. der Kunde haftet bei Mißbräuchen voll selbst. Es gibt aber inzwischen auch Schadsoftware, die sowohl den PC als auch ein Smartphone angreifen kann und dann natürlich auch die Sicherheit des getrennten Übertragungskanals aushebelt.

 

Das mTAN-Verfahren ist dann relativ sicher, wenn man zum Empfang der mTAN ein eigenes Mobiltelefon ohne Smartphone-Funktionalität (ein Smartphone ist letztlich nur ein kleiner Rechner, der nebenbei auch telefonieren kann) benutzt, vorzugsweise also ein "prähistorisches" Mobiltelefon, das nicht ständig "gestreichelt" werden muß und nur die grundlegenden Telefoniefunktionen ohne Browser etc. bietet.

 

Auch dann kann man das mTAN-Verfahren noch angreifen (z.B. indem man eine Mobiltelefon-Basisstation simuliert), aber der Aufwand für den Angreifen wird doch sehr hoch und er wird sich vermutlich ein leichteres Opfer suchen. Es gab auch einige Fälle, in denen sich ein Angreifer beim Mobilfunkbetreiber eine zweite SIM-Karte bestellt hat, doch sollten die Mobilfunkt-Provider inzwischen ausreichend sensibilisiert sein und eine Identitätsprüfung bei solchen Bestellungen durchführen.

 

Grundsätzlich halte ich aber auch eine ChipTAN oder einen getrennten TAN-Generator, bei dem Daten der Überweisung mit in den Algorithmus zur TAN-Generierung eingehen (z.B. bei Cortal Consors) für noch sicherer als das mTAN-Verfahren. Persönlich nutze ich aber auch beide Verfahren, das mTAN-Verfahren aber aben nur über ein eigenes Mobiltelefon mit eigenständiger SIM-Karte.

[Cymbidium]

Hallo,

 

OK, ich verstehe langsam.

 

Nun, mittlerweile denke ich mir, die Aufträge nur per Computer. mTAN-Empfang auf Smartphone.

Und das Smartphone nur zum "schauen" unterwegs zu benutzen.

(Hmmm, was aber wenn man eine "Gelegenheit" entdeckt?)

 

Smartphone und Laptop via "Hotspot" wäre auch nicht so praktisch, oder?

 

Das mit der zweiten SIM-Karte gibt mir sehr zu denken.....

 

Oh man, je mehr Technik, desto mehr gefahren, auch wenn man selber versucht sie zu vermeiden.

 

Dank' Euch.

 

Gruß

Cymbidium

[Kolle]

Diese Empfehlungen der Onvistabank habe ich heute erhalten:

 

20141204_Neue SMS.pdf

 

Die allgemeinen Empfehlungen sind nicht wirklich neu, es schadet aber nicht sich das nochmals zu verinnerlichen.

 

Ich habe hier noch einen alten Laptop mit XP herumstehen, den ich über die Feiertage plattmache und Linux draufspiele. Für Bankanwendungen reicht die Performance allemal.

 

Weiterhin habe ich noch zwei alte AEG-9082-Mobiltelefone aus dem letzten Jahrhundert die beide noch benutzt werden. Für mobile TANs ideal.

 

Alte Technik für modernes Banking !

[Crest]

Hallo,

 

die Alternative zu einem zweiten Rechner zum Online-Banking oder dem Booten von USB-Stick/CD-ROM ist die Nutzung von Virtualisierung: Einfach ein minimales OS (Linux/Windows) mit Browser in einer VM laufen lassen. Aber Achtung: Nicht den Browser zum Online-Banking in einer VM ausführen, sondern zum "normalen" Browsen die VM nehmen und nur das Online-Banking etc. mit dem Browser des Hostsystems machen. Bei halbwegs aktueller Hardware (Virtualisierung im BIOS Aktivieren nicht vergessen) ist der Performanceunterschied zu vernachlässigen. Eine geeignete kostenfreie Virtualisierungssoftware dazu ist beispielsweise VirtualBox.

[Julwa88]

Und als Handy einfach ein iPhone benutzen. Da sind Viren noch nicht so verbreitet und man ist selber weniger gefährdet - vorrausgesetzt man hat keinen Jailbreak installiert.

[DivNewbie]

Hallo zusammen,

 

aus aktuellem Anlass grabe ich den Thread nochmal aus.

 

Zusammenfassend ist wohl zu sagen, dass die größte Sicherheit ein ausschließlich für Online-Banking genutztes Notebook ermöglicht.

Basierend auf Linux.

Ohne irgendwelchen Schnick-Schnack drauf (Adobe/Java/"Antivirus"-Systeme).

 

Ohne mich gleich zu schelten "Wenn es dir das nicht Wert ist, bist du selbst Schuld", würde ich trotzdem gern nachfragen:

Ist es tatsächlich so unsicher, trotz (oder gerade wegen?) einem Antivirussystem inkl. Sandbox wie Kaspersky, Script+Add-Blockern im Browser mein Online-Banking zu betreiben?

Wie handhabt ihr das hier so im WPF?

 

Und wieso genau macht eine Sandbox das Online-Banking angreifbarer, und nicht umgekehrt? (Stichwort "Man-in-the-Middle")?

 

Für Tipps und Anregungen bin ich dankbar .

 

 

 

[CHX]

Ich benutze den Firefox und habe ein zweites Profil nur für das Online-Banking erstellt, in dem alle Erweiterungen und Add-Ons ausgeschaltet bzw. gar nicht erst installiert sind. Zudem sind dort die Sicherheitseinstellungen im Firefox auf höchster Stufe, Java ist per Systemsteuerung im Browser ausgeschaltet. Die Adressen der Banken, die ich nutze, sind per Lesezeichen fest installiert.

 

Als TAN-Verfahren nutze ich mTAN - die Online-Verbindungen im Smartphone schalte ich bei TAN-Übertragungen aus.

[Staatenverbund]

Als TAN-Verfahren nutze ich mTAN - die Online-Verbindungen im Smartphone schalte ich bei TAN-Übertragungen aus.

 

Wozu soll das Deiner Meinung nach gut sein?

[CHX]

Als TAN-Verfahren nutze ich mTAN - die Online-Verbindungen im Smartphone schalte ich bei TAN-Übertragungen aus.

 

Wozu soll das Deiner Meinung nach gut sein?

 

Das habe ich mir irgendwann angewöhnt, damit während meiner Online-Banking-Sitzungen neben der bestehenden Online-Verbindung am PC kein zusätzlicher Online-Zugriff auf das Smartphone möglich ist. Reine Sicherheitsmaßnahme - ist überflüssig?

[Staatenverbund]

 

 

Wozu soll das Deiner Meinung nach gut sein?

 

Das habe ich mir irgendwann angewöhnt, damit während meiner Online-Banking-Sitzungen neben der bestehenden Online-Verbindung am PC kein zusätzlicher Online-Zugriff auf das Smartphone möglich ist. Reine Sicherheitsmaßnahme - ist überflüssig?

 

Naja, wozu soll es Deiner Meinung nach gut sein? Wogegen willst Du Dich damit schützen? Ich sehe nicht, wogegen das helfen sollte, aber vielleicht übersehe ich ja auch etwas.

[CHX]

 

 

Das habe ich mir irgendwann angewöhnt, damit während meiner Online-Banking-Sitzungen neben der bestehenden Online-Verbindung am PC kein zusätzlicher Online-Zugriff auf das Smartphone möglich ist. Reine Sicherheitsmaßnahme - ist überflüssig?

 

Naja, wozu soll es Deiner Meinung nach gut sein? Wogegen willst Du Dich damit schützen? Ich sehe nicht, wogegen das helfen sollte, aber vielleicht übersehe ich ja auch etwas.

 

Naja, es hiess einmal, dass man optimalerweise ein Handy ohne Internet für das Onlinebanking per mTAN nutzen sollte, damit Trojaner (wie bspw. der Zeus-Trojaner), die sich auf dem Handy eingenistet haben und mTANs abfangen können, diese nicht an externe Server weitersenden können.

Da ich ein solches (altes) Handy nicht besitze und mit einem Smartphone arbeite, schalte ich die mobilen Daten am Smartphone während des Online-Bankings vorsichtshalber einfach aus.

[Kolle]

Naja, es hiess einmal, dass man optimalerweise ein Handy ohne Internet für das Onlinebanking per mTAN nutzen sollte, damit Trojaner (wie bspw. der Zeus-Trojaner), die sich auf dem Handy eingenistet haben und mTANs abfangen können, diese nicht an externe Server weitersenden können.

Da ich ein solches (altes) Handy nicht besitze und mit einem Smartphone arbeite, schalte ich die mobilen Daten am Smartphone während des Online-Bankings vorsichtshalber einfach aus.

 

Klingt auf mich plausibel. Die mTAN findet ohne Aktivierung der mobilen Daten keinen Weg nach draußen egal wie das Smartphone manipuliert wurde. Es sei denn der mobile Zugang wurde so manipuliert dass du nur denkst er sei gekappt. Diese Gefahr könnte man dadurch vermindern, dass man nach Abschalten des mobilen Zugangs dies erst explizit testet bevor man die mTAN anfordert.

[Staatenverbund]

Naja, es hiess einmal, dass man optimalerweise ein Handy ohne Internet für das Onlinebanking per mTAN nutzen sollte, damit Trojaner (wie bspw. der Zeus-Trojaner), die sich auf dem Handy eingenistet haben und mTANs abfangen können, diese nicht an externe Server weitersenden können.

Da ich ein solches (altes) Handy nicht besitze und mit einem Smartphone arbeite, schalte ich die mobilen Daten am Smartphone während des Online-Bankings vorsichtshalber einfach aus.

 

Ich verstehe immernoch nicht, wogegen Du Dich da schützen willst ...

 

Also, wenn Du eine Transaktion anstösst, dann erhältst Du dafür eine mTAN geschickt. Wenn die jetzt ein Trojaner auf dem Telefon abfangen würde ... könnte der Angreifer sie bei der Bank einreichen und damit den von Dir gewünschten Auftrag freigeben!?

 

Wenn aber Malware sowohl Deinen PC als auch Dein Telefon infiziert hat, warum sollte der Angreifer denn seinen eigenen Auftrag ausgerechnet dann einreichen, wenn Du gerade die Internetverbindung auf dem Telefon deaktiviert hast?

[Kolle]

Also, wenn Du eine Transaktion anstösst, dann erhältst Du dafür eine mTAN geschickt. Wenn die jetzt ein Trojaner auf dem Telefon abfangen würde ... könnte der Angreifer sie bei der Bank einreichen und damit den von Dir gewünschten Auftrag freigeben!?

 

Nein, aber seinen eigenen ! ( Angriff durch "man in the middle" ).

[Staatenverbund]

Klingt auf mich plausibel. Die mTAN findet ohne Aktivierung der mobilen Daten keinen Weg nach draußen egal wie das Smartphone manipuliert wurde. Es sei denn der mobile Zugang wurde so manipuliert dass du nur denkst er sei gekappt. Diese Gefahr könnte man dadurch vermindern, dass man nach Abschalten des mobilen Zugangs dies erst explizit testet bevor man die mTAN anfordert.

 

Nein, das funktioniert so leider alles vorn und hinten nicht.

 

Also, erstmal gibt es natürlich offensichtlich mehr Wege nach draussen als das Internet ("mobile Daten"). Wenn man SMS empfangen kann, kann man vermutlich auch SMS versenden. Also, nicht nur kann das Telefon das, sondern Malware, die die Zugriffsrechte hat, SMS zu empfangen, hat vermutlich auch die Zugriffsrechte, SMS zu versenden. Und wenn die Malware als Botnet organisiert ist, kann sie ja übers Internet mit anderen Telefonen deren Rufnummern austauschen, um so im Offline-Fall die TAN per SMS an ein anderes infiziertes Telefon ins Internet zu befördern.

 

Ansonsten ist die Erkenntnis, dass Malware z.B. auch die Statusanzeige der Internetverbindung manipulieren kann, schon eine sehr richtige und wichtige. Aber das Problem ist noch viel allgemeiner: _ALLES_, was Du auf dem Display Deines Smartphones siehst, ist unter der Kontrolle der Software, also im Zweifelsfall unter der Kontrolle der Malware. Auch die Anzeige, ob "der mobile Zugang funktioniert". Wenn das Gerät unter Kontrolle von Malware ist, dann kann alles was es anzeigt eine Lüge sein. Und im Zweifel darfst Du davon ausgehen, dass die Lüge einfacher zu bewerkstelligen ist als Du glaubst. Ein paar Paketfilter einzuschalten, damit es für alle Anwendungen aussieht als gäbe es keine Internetverbindung, ist mit ausreichend Zugriffsrechten zum Beispiel trivial. Man muss ja nicht direkt die Anzeige manipulieren - man kann ja auch die sonstige Software auf dem Telefon belügen, damit die dann passende (Fehler-)Meldungen anzeigt.

 

Und schliesslich ist die mTAN, die man selber anfordert, ja überhaupt nicht schutzbedürftig. Man könnte mTANs, von denen man sicher weiss, dass der Kontoinhaber sie angefordert hat, auch im Radio vorlesen. Das was geschützt werden muss sind die mTANs, die _nicht_ vom Kontoinhaber angefordert wurden.

[Staatenverbund]

Also, wenn Du eine Transaktion anstösst, dann erhältst Du dafür eine mTAN geschickt. Wenn die jetzt ein Trojaner auf dem Telefon abfangen würde ... könnte der Angreifer sie bei der Bank einreichen und damit den von Dir gewünschten Auftrag freigeben!?

 

Nein, aber seinen eigenen ! ( Angriff durch "man in the middle" ).

 

"seinen" = "Auftrag des Angreifers"? Ja, und warum sollte der seinen Auftrag genau dann einreichen, wenn Du gerade mal den Internetzugang abgeschaltet hast?

 

Mit MitM hat das uebrigens alles eher nichts zu tun, als MitM bezeichnet man Manipulationen an der Kommunikation, nicht an Endgeräten, und gegen Manipulation an der Kommunikation sollte TLS schützen (wenn die Bank einigermassen kompetent ist und man einen einigermassen frischen Browser verwendet ... und im besten Fall CAs im Browser ausgemistet hat).

 

edit: ... und sofern man nicht ein Antivirus-Produkt installiert hat, das TLS-Verbindungen auf Viren scannt und einem dafür dann total kaputte, trivial knackbare TLS-Verbindungen einhandelt (habe ich mir nicht ausgedacht, ist so schon passiert, das letzte Mal gar nicht lange her).