stefanbaur

@TschiTschi Wo legst Du Deine Auslagerungsdatei ab? Auch in dem Containerfile? Oder deaktivierst Du den virtuellen Speicher komplett? Ansonsten sehe ich bei der PGP-Lösung nämlich das Problem, daß sich unverschlüsselte Teile im Swap befinden könnten, was einem Angreifer die Kryptoanalyse erleichtert (oder er findet dort vielleicht schon die Information, die er sucht, unverschlüsselt vor) -Stefan

Noch ein Nachtrag zum Thema HBCI: HBCI ist, nach meiner Erfahrung, unhandlicher als PIN/TAN und auch nicht zwangsläufig sicherer. 1) PIN/TAN kann ich (notfalls mit ner Knoppix-CD für IBM-Kompatible Kisten, siehe obigen Beitrag) überallhin mitnehmen, wo ich einen Internet-Anschluß habe, ob der Rechner unter Windows, Unix, OS/2, oder MacOS läuft, ist dabei egal. Bei HBCI (Chipkarte) brauche ich immer ein Lesegerät, und die Treiberunterstützung für das Betriebssystem. Von HBCI (Schlüsseldiskette) will ich hier gar nicht erst anfangen... 2) HBCI ist nur dann wirklich "trojanersicher", wenn ich die PIN am Kartenlesegerät eingebe, und nicht über die PC-Tastatur, deren Tasten ein Trojaner ja 1:1 mitlesen kann. Das heißt, die 40-EUR(oder warens noch DM?)-Leser, die es z.B. öfters im Bundle mit StarMoney gibt, kann ich dafür schonmal vergessen - mensch braucht einen Klasse-3-Leser mit eigenem, verschlüsselndem Pinpad. Die sind nicht billig. 3) Ein Klasse-3-Leser ist auch erst die halbe Miete, ich muß auch dem Benutzer klarmachen, was er zu tun und zu lassen hat. Es ist nämlich rein per Software möglich, den Klasse-3-Leser zum Klasse-2-Leser herunterzustufen (das letzte Mal, als ich das gesehen habe, war das ein Byte in einer ASCII-Datei, das man ändern mußte). Dann fragt die Software die PIN wieder am Bildschirm und von der normalen Tastatur ab. Ich muß also allen meinen Usern einschärfen, die PIN grundsätzlich nur am Pinpad des Lesers einzugeben, und sofort Alarm zu schlagen, wenn die Software sie auffordert, die PIN am PC einzugeben. Und was das angeht, habe ich stärkste Bedenken, daß Fritz Dau und Lieschen Müller sich das merken. Und bei HBCI braucht $EVIL_HAX0R ja keine TANs mehr, sondern kann mit der PIN alles anstellen - beim PIN/TAN-Verfahren hat er im Idealfall (keine TANS lokal gespeichert) genau eine TAN, mit der er bis zum vorgegebenen Verfügungslimit etwas anstellen kann. -Stefan

Hi, vorab zur Info: ich bin selber bei einer KSK beschäftigt. banking.rwso.de (wurde von einem der anderen Poster schon genannt) ist eigentlich *der* zentrale OnlineBanking-Server für die Württembergischen Sparkassen und Kreissparkassen (eventuell hängen mitterweile auch Badische mit dran - kann ich aber nicht genau sagen). Die Kiste(n) stehen in einem Rechenzentrum, und es würde mich wundern, wenn die Jungs dort nicht fit genug wären, die Kiste(n) sicher zu halten. Da ist nix von wegen Microsoft IIS oder so drauf ;-) Von daher würde ich mir also eher um die client-seitige Sicherheit sorgen machen. Natürlich solltest Du zumindest die bereits genannten Ratschläge beherzigen, also aktuellen Virenscanner verwenden, keine PIN/TAN lokal speichern etc. Für ganz paranoide, die für ein plus an Sicherheit auch auf ein bischen Komfort verzichten können, empfehle ich Knoppix - www.knopper.net . Das ist ein direkt von CD bootendes Linux, mit grafischer Oberfläche. Der Webbrowser, der dabei standardmäßig gestartet wird, funktioniert zwar mit unserem Online-Banking nicht, aber Mozilla (OpenSource-Version von Netscape) ist ebenfalls auf der CD und funktioniert. Diese Lösung hat den großen Vorteil, daß man sicher sein kann, keinen Trojaner auf der Kiste zu haben, der die PIN/TAN im Moment des Eingebens mitliest. Man muß nur während des Bootvorgangs aufpassen, daß das Teil wirklich von CD bootet. Gruß Stefan

Externe ISDN-Boxen sind sowas wie Terminaladapter. Allerdings gibt es sie für: -USB (Teles S0-Box USB, z.B.) -Seriell (wenn man auf Kanalbündelung verzichten will, bzw. sich einen schnelleren COM-Port einbauen will) und jetzt kommt der Hammer: -auch für PARALLEL! Teles und Creatix haben die Dinger hergestellt bzw. vertrieben, als "Teles S0-Box Parallel" bzw. "Creatix S0-Box Parallel". Ein Exemplar der Creatix habe ich sogar noch im Betrieb herumliegen. Ist zwar schon *etwas* älter, aber existiert - falls irgendeiner "Parallel" angekreuzt hat, und es wird ihm als falsch gewertet, sollte man mal die IHK auf die S0-Box ansprechen. Gruß Stefan root@stefanbaur.de