Telefonbanking & VOIP - lieber nicht?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

monkel

Neuer User
Mitglied seit
25 Mrz 2010
Beiträge
28
Punkte für Reaktionen
0
Punkte
1
Wir benutzen schon seit Jahren Telefonbanking bei unserer Bank (ING DiBa) - bequem und schnell.

Über die Risiken von DECT und die davon abgeleiteten Probleme auch für das Telefonbanking wurde ja schon häufiger berichtet. Bislang habe ich das - vor allem bei uns auf dem Land - als statistisches Risiko abgetan und akzeptiert.

Nun haben wir aber einen Komplettanschluß DSL + VOIP ohne Festnetz bei 1&1 und ich mache mir so meine Gedanken - schließlich muss sich ein Angreifer nun nicht mehr in Funkreichweite meiner Basis aufhalten um mir gefährlich zu werden.

JEDER, der die ersten 30 Sekunden meines Gespräches mit unserer Bank mitschneidet (Einwahl + DTMF für Kontonummer & Pin + persönliche Namensnennung ggü. Mitarbeiter der Bank) kann sich in unser Konto einwählen und jegliche Transaktion ausführen - es gibt hier auch keine TAN oder Rückrufe etc.

Wie ist denn die Standardkonfiguration bei 1&1 - wird VOIP Traffic bis zum Übergabepunkt an das Telekomnetz verschlüsselt und wenn ja, wie? Oder wird VOIP Traffic hier womöglich sogar intern geroutet, so dass sich externe Angreifer nicht ohne weiteres am Datenstream zu schaffen machen können? Dann wären zumindest alternative VOIP Anbieter noch ein Thema ...

Wie handhabt Ihr das - alles egal, oder einfach keine Nutzung über VOIP und stattdessen Onlinebanking oder das gute alte Papierformular?
 
Danke, gutes Thema!
Auch wenn ich einige Paranoiker manchmal belächle, wäre mir selbst das zu unsicher. Wie wärs denn per Handy oder mit Onlinebanking über HTTPS?

Einer VoIP-Verschlüsselung zwischen Fritzbox und 1&1 findet nicht statt und von einer zwischen 1&1 und TK-Übegabepunkt hätten wir 100%ig in der 1&1-Werbung gehört! Auch ist das SRTP-Protokoll nur für die Verschlüsselung zwischen zwei VoIP-Telefonen geeignet.
 
Hi,

naja seh mal den fakts in die Augen, dann kannst Du entscheiden.

Bei ISDN kann jeder mithören, der sich in den involvierten Wählämter befindet, oder auch auf der Straße den Telefonkasten öffnet und das Equipment dazu hat. Bei DECT hat Du es ja schon selbst gesagt, was übrigends beim Handy nicht anders ist.
Bei VoIP kann jeder mithören, der sich in Deinem LAN befindet und das nötige Equipment hat, Du wirst aber wissen welcher "Fremde" sich in Deinem Haus befindet, vorrausgesetzt Du verwendest kein WLAN.
Weiters kann auch jeder abhören, der bei Deinem Provider sitzt(also wie Wählamt), also würde ich sagen VoIP ist genau so sicher/unsicher wie ISDN.
Was anders ist es in Firmen da ist das LAN größer, deshalb sollte VoIP immer in einem getrennten VLAN arbeiten.

Grüße
Timm
 
Das mit dem VoIP und LAN hast Du als intern betrachtet, hier ging es aber um 1&1-VoIP, was über den (2.) PVC bis zum 1&1-SIP-Server wohlmöglich noch relativ "mitschnittsicher" läuft, dann sich aber fast jeglicher Kontrolle entzieht.

Unverschlüsseltes SIP läuft über n beliebige Hops und könnte an jedem dieser Punkte mitgeschnitten werden, weit entfernt und unauffällig. Hier muss also niemand an den Schaltkasten im Keller oder auffällig lange an der Überlandleitung "arbeiten". Einfach "von zu Hause aus" macht man einen Router "auf" und schneidet einfach was mit. Begrenzende Faktoren sind dann nur noch der nötige Festplattenspeicher, denn dort gibt es ja Traffic ohne Ende. Dann müsste man nur noch auf die einschlägigen Einwahlnummern der Banken triggern und und und ... .
 
1&1 hat es ja in der Hand, den VOIP Traffic so zu routen, dass er nicht in den regulär gerouteten Traffic gerät und immer innerhalb von 1&1 Netzen bis zur Übergabestelle ins Telefonnetz läuft. Damit hätten sie zumindest die Möglichkeit, VOIP sicherer zu gestallten, als bei Nutzung eines anderen VOIP Providers.

Aber ob sie sich hier zu einer offiziellen Aussage bitten lassen ...

In jedem Fall sehe ich es gefährdeter als ISDN. Vor allem da es weltweit sicher mehr Spezis gibt mit Netzwerk-Knowhow, die sich in eine CISCO Komponente hacken können, als welche die physikalischen Zugriff zu Geräten und Schaltschränken haben.

Wenn man den Betreibern von Skype nun eine gewisse Vertrauenswürdigkeit unterstellt, dann wären sie beispielsweise eine auf dem Papier sicherere Lösung mit der Verschlüsselung ab Client bis zu den Servern, die dann auf die Landlines gepatcht sind (falls zwischen diesen und dem tatsächlichen Übergabepunkt nicht noch wildes Netz liegen sollte).
 
monkel schrieb:
In jedem Fall sehe ich es gefährdeter als ISDN...
Zum Vergrößern anklicken....
Das ist so nicht korrekt:
Wenn jemandf extrem viel KnowHow aufweist und einen Man-In-The-Middel-Angriff auf genau Deine Internet-Leitung hinbekommt, dann wird er die Sprachpakete mitschneiden können. Aber das ist enorm aufwändig! Einen ISDN-Anschluss (oder im Idealfall einen Analog-Anschluss) zu belauschen ist dagegen ein Kinderspiel. Einfach am Schaltverteiler der Telekom 2 Drähtchen anklemmen und alles ist in Butter.
Statt dessen aus den abermilliarden Daten- und VoIP-Paketen die richtigen Pakete in der richtigen Reihenfolge herausfiltern, die Du gerade für Dein Telefon-Banking benutzt, ist doch die berühmte Nadel im Heuhaufen. Und vorher musst Du erst einmal die Scheune betreten können (erfolgreicher Hackerangriff auf genau Deine Internetleitung).
Wer das hinbekommt (wie z.B. staatliche "Kumpels"), der hat auch ganz andere Zugriffsmöglichkeiten auf Dein Konto.

BtW: So sieht es auch die c't, die in diesen Dingen doch eher seriös und distanziert berichtet, als "Computer-Aquarell" und Co. ;)
 
Novize schrieb:
Einen ISDN-Anschluss (oder im Idealfall einen Analog-Anschluss) zu belauschen ist dagegen ein Kinderspiel. Einfach am Schaltverteiler der Telekom 2 Drähtchen anklemmen und alles ist in Butter
Zum Vergrößern anklicken....

Also bei einem Analoganschluss ist es dann ein Kinderspiel, bei ISDN ist das sehr viel komplizierter. Aber wenn du sowieso schon Als MITM Vollzugriff auf die Leitung hast, kannst du mit entsprechendem Geräteaufwand den kompletten Internetverkehr mitschneiden.

Nur der Aufwand ist in diesem Fall enorm und lohnt sich nicht, um monkel seine 700 EUR vom Girokonto zu klauen. Was anderes sind, wie shcon erwähnt, SIP-Accounts, die nicht direkt beim DSL-Provider liegen, wo der Sprachverkehr dann über unbekannte Hops läuft, da ist unverschlüsseltes VoIP erstmal als unsicher einzustufen.
 
monkel schrieb:
Wir benutzen schon seit Jahren Telefonbanking bei unserer Bank ...... - bequem und schnell.
Zum Vergrößern anklicken....

Aus verschiedenen Gründen extrem unsicher, auf keinen Fall benutzen! Den Zugang sofort stillegen.

Das Problem ist auch kein technisches sondern ein rechtliches, weil fachfremde Juristen eine Rechtssprechung geschaffen haben die den Banken die billigsten und miserabelst unsichersten Zugangssysteme erlaubt, weil paradoxerweise nach all den Justizirrtümern von Urteilen der Verbraucher dafür haften soll.

Es gibt da auch kaum Wettbewerb zwischen den "teuren" oder Discount-Banken.

Online-Banking nur mit Chipkarte verwenden, alles andere ist russisches Roulette.
 
Zuletzt bearbeitet:
Novize schrieb:
Das ist so nicht korrekt:
Wenn jemandf extrem viel KnowHow aufweist und einen Man-In-The-Middel-Angriff auf genau Deine Internet-Leitung hinbekommt, dann wird er die Sprachpakete mitschneiden können. Aber das ist enorm aufwändig! Einen ISDN-Anschluss (oder im Idealfall einen Analog-Anschluss) zu belauschen ist dagegen ein Kinderspiel. Einfach am Schaltverteiler der Telekom 2 Drähtchen anklemmen und alles ist in Butter.
Zum Vergrößern anklicken....

Wenn Du den Angriff auf eine individuelle Person bewertest, dann mag der Zugang über die Schalttechnik der einfacherere / erfolgversprechendere sein.

Ich denke allerdings, wenn man es schafft, tatsächlich einen Verkehrsknoten zu kapern oder einfach nur zu betreiben und dort gezielt auf VOIP Pakete und dann wiederum auf Telefonbanking-Rufnummern auszuwerten und mitzuschneiden, dann ist die Gefahr für die Telefonbankingnutzer als Gruppe deutlich gravierender.

Wobei die aktuellen Vorfälle im Bankenwesen (1 Cent-Überweisungen auf ausgedachte Kontonummern als Existenztest, mit nachfolgenden Abbuchungen) nochmals um einige Größenordnungen leichter sind. Warum sich selber die Finger schmutzig machen, wenn mir die Banken helfen das Geld anderer Leute nach hause zu tragen ...

Insofern ist die ganze Geschichte vielleicht doch eher akademischer Natur.
 
Guude,

nur mal so als Hinweis:

Wir reden ja hier nicht über eine gänzlich neue Risikoproblematik :cool:

Scheck-/Lastschrift-/Zahlschein-/Überweisungsbetrug und Lastschriftreiterei gehören seit Anbeginn des individuellen Zahlungsverkehrs zu den kriminellen Klassikern. :doktor:

Das Risiko des Auspähens von Bankverbindungen/Kontonummern und zugehörigen Unterschriften besteht ebenfalls schon immer.

Aber da sich ja immer noch viele Banken mit eigenem Bankstellennetz in der Fläche befinden, wird niemand gezwungen etwaig "unsichere" elektronische Bankdienstleistungen zu nutzen.

.....Allerdings sollte sich derjenige, der diese Dienste dann trotzdem nutzt, über die möglichen Risiken im Klaren sein und sich die mitvereinbarten Sonderbedingungen des jeweiligen Kreditinstituts sorgfältig durchlesen.


und...gerade solche Aussagen versteh ich nun wirklich nicht..:confused:
monkel schrieb:
, wenn mir die Banken helfen das Geld anderer Leute nach hause zu tragen ...
Zum Vergrößern anklicken....
 
effmue schrieb:
und...gerade solche Aussagen versteh ich nun wirklich nicht..:confused:

monkel schrieb:
, wenn mir die Banken helfen das Geld anderer Leute nach hause zu tragen ...
Zum Vergrößern anklicken....
Zum Vergrößern anklicken....

Das Bezog sich darauf, dass Banken Abbuchungen grundsätzlich ohne Rückfrage oder Prüfung der Berechtigung durchführen und es die Aufgabe des Kunden ist, fehlerhafte Abbuchungen in der notwendigen Frist zu bemerken und zu melden. Mit der 1-Cent-Masche ist es dann noch ein leichtes, gültige Konten rauszufinden. Beides zusammen kommt einer kriminellen Mithilfe schon recht nahe.
 
Also, seine Kontoauszüge sollte man sich schon sehr genau ansehen. Mit der 1 cent-Masche habe ich schon vor längerem gelesen, daß das wohl gar nicht so stimmt, wie gemeldet.
 
Guude,

also Fragen zum Zahlungsverkehr, hier speziell u.a. dem Lastschriftabkommen und dem Kontostammvertrag kann man sich gerne bei Tante Gurgel nachbereiten lassen und dann nachlesen..;) hier wird es OT.

Ich wollte mit meinen Hinweisen auch nur die Diskussion wieder auf den sachlichen Boden der Tatsache holen...:doktor:
 
effmue schrieb:
Aber da sich ja immer noch viele Banken mit eigenem Bankstellennetz in der Fläche befinden, wird niemand gezwungen etwaig "unsichere" elektronische Bankdienstleistungen zu nutzen.
Zum Vergrößern anklicken....

Die Sparkassen? Na Super, und für deren horrende Kontoführungsgebühren und dass sie dafür laut letztem Skandal noch nichteinmal die Unterschrift auf dem Überweisungsformular prüfen darf ich dann noch zum Filialbriefkasten laufen?

Solche Banken haben auch bei 5¤ Automatengebühr für fremde Online-Bankkunden keine lange Zukunft mehr, weil denen Ihre internetunfähigen Rentnerkunden wegsterben.

Nein Danke, das ist wahrlich Kapitulation vor der Technik.
 
woprr schrieb:
Die Sparkassen? Na Super, und für deren horrende Kontoführungsgebühren und dass sie dafür laut letztem Skandal noch nichteinmal die Unterschrift auf dem Überweisungsformular prüfen darf ich dann noch zum Filialbriefkasten laufen?
Zum Vergrößern anklicken....
Das ist schlicht verallgemeinernd. Ich war von 2001 bis 2007 Kunde der Sparkasse Leer-Wittmund. Keine Kontoführungsgebühr, keine Gebühren für Onlinebanking, während Volksbank, OLB und Co mächtig kassierten.

Aber wollen wir nochmal zum Kern des ersten Beitrages zurückkommen. Wie hier schon bemerkt wurde ist Telefonbanking die unsicherste aller Bankingmethoden und von daher her schon abzulehnen. Dann lieber mobiles Banking mit iTAN vom Handy aus, das bietet zumindest etwas mehr Sicherheit. Übertragen auf Bargeld und das mitgeführte Portemonnaie ist es, als würdest du dieses an einer 5 meter-Schnur hinter dir herziehen oder dir die Scheine mit einer Büroklammer am Kragen festmachen.

Gruß
Stefan
 
Wenn man die einzelnen Verfahren gegenüberstellt, wird man feststellen, daß doch einige Sicherheitslücken bestehen, jedoch ggf. auch das Risiko anderweitig beschränkt ist - jedenfalls für die Banken. Kunden müssen selbst ihre Risiken tragen.

- Filiale: der sicherste Weg ist immer noch der Weg in die Filiale und der Besuch beim Bankberater, der einen persönlich kennt und auch unpräzise Wünsche des Kunden in die entsprechende Banktransaktion abzubilden weiß. Leider hat das seinen Preis und auch (oder gerade) der Bankberater ist natürlich nicht neutral.

- Post/Briefkasten: schriftliche Aufträge an eine Bank müssen eine Unterschrift tragen. Oft ist jedoch die Prüfung von Unterschriften in Banken nicht das, was man sich vorstellt. Bis zu gewissen Beträgen findet oft überhaupt keine Prüfung mehr statt.

- Telefon: das ist die klassische "Online-Version", jedoch oft ohne die Sicherheit des wirklichen Online-Verfahrens. Durch eine einfache Autorisierung per PIN ist es oft möglich, Transaktionen zu beauftragen. Zur "Sicherheit" fragt ein Call Center Agent vielleicht noch Adresse oder Geburtsdatum ab - als Sicherheitsmaßnahme sehr dürftig. Zwar werden bei manchen Banken (z.B. ING-Diba) nur Teile von Zugangscodes abgefragt (z.B. 2. und 5. Stelle einer PIN), damit zufälliges Mithören beim nächsten Mal nicht gleich alle Zugangsdaten offenlegt, aber auch das ist nicht wirklich sehr zuverlässig. In USA ist es jedoch noch schlimmer: dort kann man mit Kenntnis der SSN einer Person eine Menge Unfug treiben...

- Online: immer noch der sicherste Weg, da dieser erst mal gegen Abhören per SSL (heute in Europa praktisch durchgängig 128-Bit-Schlüssel und damit für Gelegenheitsmithörer nicht zu knacken) geschützt ist und dann noch üblicherweise ein TAN-Verfahren verwendet. Das Verfahren ist für Phishing anfällig und bei manchen Konten (z.B. von Minderjährigen) auch nicht möglich, aber die Sicherheit dürfte hier gleich nach dem persönlichen Filialbesuch am höchsten sein.

Fazit aus meiner Sicht: wer paranoid genug ist, Kommunikationsmitteln nicht zu trauen, seine vertraulichen Zugangsdaten zu übermitteln, sollte auf keinen Fall Telefonbanking (egal mit welcher Technologie) verwenden, sondern immer persönlich oder online Transaktionen durchführen. Wer paranoid genug ist, wird eine Bank wählen, in der man persönlich bekannt ist, nicht einen anonyme Groß- oder Onlinebank. Für Überweisungen etc. sollte man im Konto sinnvolle Limits einbauen lassen, über die man sich nur mit Rücksprache bei einem Bankangestellten hinwegsetzen kann. Den schriftlichen Weg wird man nicht abstellen können und wollen, aber in diesem Fall läßt sich durch laufende Kontrolle von Konten schnell feststellen, ob dort Unregelmäßigkeiten auftreten. Überweisungen lassen sich so sogar ggf. auch noch am gleichen Arbeitstag stornieren.

--gandalf.
 
Also, wenn Online Banking dann denke ich, die sicherste Methode ist nach wie vor HBCI mit Karte und Klasse 2 ( oder wars 3?, jedenfalls der mit eigenem Keyboard) Leser.
Alles andere, wäre mir zu riskoreich.

Ich hab jedenfalls noch nie von einem gehackte HBCi Account gehört oder gelesen.
 
Das ist schon richtig - aber leider ist bei den meisten Banken keine HBCI-Karte zu bekommen. Für mich ein k.o.-Kriterium, und deshalb bleibe ich wohl bei meiner Sparkasse. Die haben mir schon vor ca. 5 Jahren die Karte spendiert ;)
 
Guude,

..leider ist HBCI der momentan sicherste "elektronische" Weg zum Konto, aber gerade dieser ZKA-Beschluß ist für alle Beteiligten auch der teuerste..(...und langsamste...)

...und zu gandalfs Anmerkungen ist nichts weiteres hinzuzufügen.....;)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 351 (Mitglieder: 6, Gäste: 345)

Neueste Beiträge

Statistik des Forums

Themen
246,284
Beiträge
2,249,439
Mitglieder
373,877
Neuestes Mitglied
Bbj
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück