Bitcoin Forum

Hallo,

Ich würde gerne Bitcoins handeln auf der Seite Bitcoin.de. Die Kontoauthentifizierung soll per Sofortüberweisung stattfinden.  Ich würde gerne ein neues Konto anlegen.
Wisst ihr mit welchem Kontoanbieter es möglich ist eine Sofortüberweisung auszuführen?

Sehr geehrter Herr ...,

im Zuge der alternativen Verifikation, wie sie früher von uns auch per Default angeboten wurde, können auf Umwegen auch Konten verifiziert werden, auf die seitens des Verifizierenden kein (berechtigter) Zugriff besteht.

Die Entscheidung für die Verifikation über SOFORT fiel zugunsten der Integrität unseres Marktplatzes. Dass die Verifikation zudem über SOFORT innerhalb weniger Minuten statt mehrerer Tage erfolgt, kommt unseren Nutzern ebenfalls zugute.

Da seitens SOFORT (zumindest über den sehr kurzen Zeitraum der Durchführung der Überweisung hinaus) keine Speicherung der Login-Daten erfolgt, halten wir das Risiko für minimal. Eine zusätzliche Änderung des Online-Banking-Passworts nach Durchführung der Überweisung kann dabei letzte Zweifel aus dem Weg räumen.

Bei weiteren Fragen stehen wir Ihnen gerne jederzeit zur Verfügung.

Mit freundlichen Grüßen
Ihr bitcoin.de Support-Team

06.02.2015 13:30 - Klaus Kinski schrieb:

> Danke für die Antwort und die Möglichkeit, trotzdem eine alternative
> Verifikation zu benutzen.
>
> Ich möchte trotzdem noch anmerken, dass das Geschäftskonzept von SOFORT aus
> sicherheitstechnischen Erwägungen grundsätzlich vertrauensunwürdig ist.
>
> Es basiert darauf, die Passworteingabe von unzähligen Drittanbietern
> (=Bankportalen) über SOFORT-Server zu leiten - es spielt daher keine Rolle
> welche TÜV-Zertifizierungen oder freiwilligen Verpflichtungen dieser Anbieter
> aufweist.
>
> Die Architektur dieser "Checkout-Pipe" entspricht bereits konzeptionell nicht
> aktuellen Standards über Data Security geschweige denn Datensparsamkeit. Das
> Bitcoin.de diese Möglichkeit anbietet ist die eine (merkwürdige) Sache. Dass
> allerdings die unbedarfteren Benutzer in diesen Datenumweg "hineingetrickt"
> werden, indem Bitcon.de keine Alternative promotet (bzw. dies als Default
> anbietet) finde ich gelinde gesagt "shady".
>
> Ich wäre - wenn es Ihre Zeit nicht unnötig beansprucht - auch aus technischer
> Sicht wirklich interessiert an den Details, die diese Verifikation gegenüber
> einer einfachen Überweisung sicherer machen sollen.
>
> Letztlich ist doch der SOFORT-Server DER eine Single Point, an dem sich ein
> Angreifer die Logindaten ALLER User ALLER Banken abschnorcheln kann (excl. der
> User die SOFORT nicht benutzen).
>
> Wie das in irgendeiner Weise sicherer als irgendetwas sein soll ist mir
> schleierhaft. Man muss auch kein Informatiker sein, um da ein schlechtes
> Gefühl zu bekommen.
>
> Schade -
>
> MfG ...
>
> Gesendet: Dienstag, 20. Januar 2015 um 11:00 Uhr
> Von: "Team Bitcoin.de" <support2015@bitcoin.de>
> An: ...
> Betreff: Re: [Ticket#9960239] Testüberweisung etc..
> Sehr geehrter Herr ...,
>
> der Hintergrund der Entscheidung für die Verifikation über SOFORT statt einer
> herkömmlichen Überweisung liegt in sicherheitstechnischen Erwägungen. Eine
> Verifikation über SOFORT bietet eine weitaus höhere Sicherheit, dass das Konto
> nicht für betrügerische Zwecke verifiziert wurde. Alle Banken, über die eine
> Zahlung mit SOFORT möglich ist, haben diese Zahlungsmethode ausdrücklich
> zugelassen. Es steht den Banken frei, Ihren Kunden eine Zahlung über SOFORT zu
> ermöglichen. Die Einhaltung der Datenschutzrichtlinien werden u.a. vom TÜV
> kontrolliert. Passwörter werden nur zur Durchführung der Überweisung
> übermittelt und von der SOFORT AG nicht gespeichert.
>
> Wir haben soeben unser alternatives Verifikationsverfahren für Ihre
> Bankverbindung eingeleitet. Innerhalb der nächsten 2-3 Bankarbeitstage sollten
> Sie eine Testüberweisung auf Ihrem hinterlegten Konto erhalten.
>
> Diese Überweisung enthält einen 8-stelligen Code (beginnend auf A und endend
> auf Z) im Verwendungszweck, den Sie in den Einstellungen Ihres Accounts (unter
> 'mein Bitcoin.de' → 'Einstellungen' → 'Bankkonto') eingeben können, um die
> Verifikation Ihrer Bankverbindung abzuschließen.
>
> Bei weiteren Fragen stehen wir Ihnen gerne jederzeit zur Verfügung.
>
> Mit freundlichen Grüßen
> Ihr bitcoin.de Support-Team
>
>
> 20.01.2015 10:40 - Klaus Kinski schrieb:
>
> > Sehr geehrte Damen und Herren,
> > 
> > bitte verifizieren Sie mein Fidor-Bankkonto für die Benutzung bei
> Bitcoin.de.
> > 
> > Ich habe soeben bei der Umstellung meines Kontos schockiert festgestellt,
> > dass Sie neuerdings verlangen, IHRE Testüberweisung mit Zugriff auf MEIN
> Konto
> > SELBST zu initiieren (oder so..) - dies mit Hilfe eines höchst zweifelhaften
> > Drittanbieters (wie umständlich und unnötig unseriös?).
> > 
> > Ich gehe davon aus, dass Sie eine Möglichkeit vorhalten, diese gegen die
> AGBs
> > der meisten Banken verstoßende Praxis zu umgehen und bitte Sie, die
> > Verifikation aufgrund meiner bereits eingereichten Daten (Fidor PostIdent,
> > etc.) zeitnah durchzuführen.
> > 
> > Überdies wäre es sinnvoll in Zukunft diese Möglichkeit entsprechend zu
> > promoten und nicht Ihre User - gerade von dem Hintergrund der aktuellen
> > Datensicherheitslage - unwillentlich und meist auch unwissentlich in eine
> > prekäre Sicherheitssituation zu drängen.
> > 
> > Ich verstehe wirklich nicht wie dieser "Fauxpas" gemessen an meinen
> > bisherigen - in der Tag großartigen - Erfahrungen mit Bitcoin.de zu bewerten
> > ist und überhaupt passieren kann (haben Ihre Sicherheitsberater
> geschlafen?).
> > 
> > Mit freundlichen Grüßen

Ich kene keine Sparkasse mti der es nicht geht. Auch alle mir bekannten Volksbanken sind damit möglich. Cash Group Konten stehen auch für Sofortüberweisung zur verfügung.

Allerdings ist anzumerken, dass Sofortüberweisung gegen die AGB der meisten Banken verstößt, die es dem Kunden üblicherweise untersagen, die Login-Informationen weiterzugeben. Und auch allgemein ist es meiner Meinung nach ziehmlich dämlich den Login für sein Konto an eine Fremde Firma zu geben.
Als Alternative wäre Giropay zu nennen. Das ist AGB-komform, man gibt keine Daten an Fremde weiter und kann Nachts noch gut schlafen :D

Die Paranoia hier ist stark.
https://www.sofort.com/ger-AT/kaeufer/su/so-sicher-ist-sofort-ueberweisung/

Natürlich ist die Paranoia hier stark, schließlich sind wir hier in einem Bitcoin-Forum und bei Bitcoin geht es doch gerade darum, selbst die Kontrolle zu haben und nicht anderen zu vertrauen.

Das die Sofort AG ihr eigenes System für total sicher hält ist ja nun auch nich so außergewöhnlich.

Fakt ist nun einmal, daß so ziemlich jede Bank ihren Kunden ausdrücklich von der Weitergabe der PIN/TAN an Dritte abrät, genau das ist aber für die Verwendung von SOFORT notwendig.
So bequem und praktisch der Service auch sein mag und so sehr die mir auch versprechen, wie sicher das doch alles sei,
für mich kommt die Nutzung nicht in Frage.

Wobei es für die Bank eigentlich ganz vorteilhaft ist. Wird einem Kunden das Konto leergeräumt, kann die Bank einfach mit entsprechenden Logs nachweisen, dass der Kunde PIN/TAN weitergegeben hat, und sich so um die Haftung drücken. Ein Traum für jede Firma, wenn die Kunden ihnen jegliches Haftungsrisiko einfach abnehmen.

Wie soll es sonst gehen? Es gibt genug Fälle in denen ähnliches mit der EC Karte passiert ist. Beim Online-Banking warte ich nur noch auf die ersten Fälle.

Wenn eine Bank Nachweisen kann, dass der Kunde PIN und TAN üblicherweise(!) einem Dritten zugänglich macht, dann kann (und muss) sie sinnvollerweise eine Haftung für (angeblich) nicht authorisierte Überweisungen ablehnen.

Warum sollte ein Kunde der seine Daten jedem zugänglich macht nicht auch zwei TANs genutzt haben, z.B. "weil er sich bei der ersten Eingabe vertippt hat". Mit einer ähnlichen Argumentation sind Banken in anderen Fällen schon sehr gut durchgekommen.

Vielleicht haben die ganzen Nutzer aber auch eingesehen, dass Fiat im allgemeinen und Giralgeld im speziellen sowieso nicht viel Wert hat und deshalb auch die zugehörigen Zugangsdaten keinen Schutz benötigen.  ;D

Man-in-the-Middle-Angriffe

Problematisch sind Fälle, in denen der Dritte ZDL gehackt wird, da die genannten (Schutz)Maßnahmen dann wirkungslos sein können. Wird der Dritte ZDL umgangen oder authentifiziert er sich aufgrund einer Fehlfunktion nicht gegenüber dem kontoführenden ZDL, ist es dennoch möglich, eine Überweisung auszulösen oder das Konto einzusehen. Ein Man-in-the-Middle-Angriff zeichnet sich dadurch aus, dass der Angreifer zwischen den beiden Kommunikationspartnern (Kunde – Dritter ZDL/Händler) steht und mit seinem System vollständige Kontrolle über den Datenverkehr zwischen dem Kunden und dem Dritten ZDL beziehungsweise Händler hat. Der Angreifer kann die Informationen nach Belieben einsehen und manipulieren. Dabei täuscht er den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein. Da der Kunde durch die Webseite des Händlers auf eine Webseite des Dritten ZDL geleitet wird, sind Händler und Dritte ZDL attraktive Ziele für Man-in-the-Middle-Angriffe (siehe Grafik 2).

Die Authentifizierung des Dritten ZDL gegenüber der Bank macht das Verfahren nicht sicherer. Denn falls ein Hacker durch Manipulation des Dritten ZDL oder des Händlers PIN und TAN erhält, kann er diese nutzen, um sich gegenüber der Bank zu authentifizieren. Werden der Händler oder der Dritte Zahlungsdienstleister gehackt, haben daher weder die Bank noch der Kunde die Möglichkeit, dies zu erfahren.

Die einzige derzeitig praktikable Methode, das Verfahren sicherer zu machen, besteht darin, die TAN stets dynamisch zu generieren und an die auszulösende Transaktion zu binden, zum Beispiel im ChipTAN-Verfahren. Selbst in diesem Fall wird das Authentifizierungsverfahren jedoch so geschwächt, dass effektiv nur noch ein Element übrig bleibt.

Social-Engineering Angriffe

Ebenso steigt die Gefahr von Social-Engineering Angriffen. Bei solchen Angriffen werden Kunden – z.B mit fingierten E-Mails – auf eine Webseite gelockt, die so aussieht, als sei sie die eines legitimen ZDL. Auf diese Weise können Angreifer Kunden dahingehend beeinflussen, dass diese Überweisungen auslösen, die sie gar nicht tätigen wollen. Der einzige effektive Schutz vor Social Engineering besteht darin, Kunden eindringlich zu vermitteln, dass sie Authentifizierungsinformationen ausschließlich auf einer Webseite eingeben sollten, die das Unternehmen, das die Authentifizierungsinformationen ausgibt, zuvor mit ihnen vereinbart hat. Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik deutlich hin. Genau dieser Schutz wird aber durch die Eingabe von Authentifizierungsinformationen bei Dritten ZDL infrage gestellt. Werden die Authentifizierungsinformationen des Online-Bankings weitergegeben, so ist es weder dem Kunden noch dem kontoführenden ZDL möglich, zwischen einem Dritten ZDL, dem Zahler und einem Kriminellen zu unterscheiden.

Zudem ermöglicht die PIN den vollen Lesezugriff auf das Online-Konto. Für Angriffe, bei denen der Angreifer einen Einblick in die vertraulichen Kontodaten möglichst vieler Bankkunden erlangen will, muss er lediglich die Webseite des Händlers oder des Dritten ZDL hacken. Durch Malware oder Manipulation der Distributionswege können auch Online-Banking-Clients und Apps gehackt werden. Im Unterschied zu Dritten ZDL betreibt der Nutzer solche Software jedoch in einem IT-System, auf das er selbst direkten physischen Zugriff hat. Für die Sicherheit des eigenen PCs ist der Nutzer selbst verantwortlich.

Sicheres Online-Banking

Nach Abschluss der Dateneingabe fordern Sie eine TAN für Ihren TAN-Generator bzw. für Ihr Mobiltelefon an. Neben der TAN werden Ihnen die wichtigsten Auftragsdaten im Display angezeigt. Stimmen diese Daten mit dem Originalauftrag überein, dann geben Sie die TAN ein, um Ihren Auftrag zu unterschreiben. Stimmt etwas nicht, brechen Sie den Vorgang sofort ab. Sperren Sie Ihr Konto und nehmen Sie Kontakt mit Ihrer Sparkasse auf.