Browserbanking SEPA: Fehlerhinweis und Empfehlung Auslandsauftrag

by Leave a Comment
Sie wollen eine SEPA-Überweisung anlegen und erhalten oben einen Hinweis in rot?
Der Auftrag kann nicht ausgeführt werden.
und darunter:
Eine SEPA-Überweisung kann für Zahlungen in Euro in Deutschland, die EU-Länder, die EWR-Länder Island, Liechtenstein und Norwegen sowie in die Schweiz, Monaco und San Marino verwendet werden.
In anderen Fällen wählen Sie bitte das Formular „Auslands-Überweisung“.
Der hinterlegte Hinweis kommt unabhängig von der Ausführung – vermutlich haben Sie ihn einfach vorher nicht wahrgenommen, er war bereits vor dem Ausführungsversuch da. Der Hinweis auf den Auslandsauftrag hat eher nichts mit dem Auftrag zu tun, sondern vermutlich liegt es an einer Sperre des Kontos oder ähnlichem.
vermeintlicher_Auslandsauftrag

Sicherheit: Prävention mit Malwarebytes Anti Exploit

by Leave a Comment

Ich bin ja schon längere Zeit ein Freund der Produkte von Malwarebytes, unlängst wurde der Virenscanner sogar Testsieger in der PC-Welt (neben Bitdefender, deren Produkt ebenfalls eine Erkennungsquote von hervorragenden 100% hatte).

Die Scanner von Malwarebytes finden häufig noch Viren auf PCs, deren Virenscanner bereits von Schadsoftware beeinträchtigt sind. Um den Virenscanner soll es aber hier nicht gehen.

Hier möchte ich stattdessen ein hervorragendes Tool zur Verhinderung von Infektionen vorstellen. Eines der Haupteinfallstore von Viren und trojanischen Pferden sind Sicherheitslücken im Browser und Erweiterungen des Browsers, sogenannte Exploits. Viele Mails und Links zielen alleine darauf, User auf scheinbar harmlose, aber gehackte und manipulierte Internetseiten zu lotsen, um von dort mit sogenannten Exploit-Kits den Besucher-PC systematisch auf hunderte Sicherheitslücken abzuklopfen. Über entdeckte Sicherheitslücken werden dann Schadprogramme auf die Rechner überspielt und schon ist der Computer unter fremder Kontrolle. Unter diesen gehackten Webseiten sind leider auch prominente „große“ Internetseiten zu finden, es ist leider ein großer Irrtum, dass man sich Schadsoftware nur auf den „dunklen“ Seiten des Webs einfangen kann.

Das Antiexploit-Tool von Malwarebytes ist dabei kein Antiviren-Programm, sondern eine Ergänzung dazu. Auf eine gute Antiviren-Software kann nicht verzichtet werden. Es erkennt zuverlässig die bekannten Exploit-Scanner und verhindert damit die Ausnutzung der vorhandenen Sicherheitslücken. MWB Antiexploit läuft meines Wissens problemlos parallel zu vorhandenen Virenscannern.

Downloadadresse:
http://de.malwarebytes.org/antiexploit/

Die Betrüger selbst sind übrigens meist nicht die Urheber dieser Exploits-Kits. Diese werden  bei Profis gekauft oder können sogar gemietet werden – mit Updateservice und Erfolgsgarantie. Ein professioneller Markt also, ähnlich lukrativ wie Drogenhandel und Menschenhandel. Das dabei Regierungsorganisationen wie die Geheimdienste auch noch als Käufer auftreten, ist nicht unumstritten. Die gekauften Sicherheitslücken werden ja nicht zum Wohle der eigenen Bürger gestopft, sondern zu Spionagezwecken erworben.

Lesen Sie dazu auch diesen Artikel bei heise.

Ergänzung:
Das Tool ist inzwischen in das kommerzielle Produkt eingeflossen, steht aber weiterhin als BETA-Version kostenlos zur Verfügung. Die Version kann über das Forum bezogen werden. Ich empfehle die Nutzung aber nur noch Menschen, die Englisch einigermaßen gut verstehen können. Im Bereich „latest Version“ kann man den Link zum Download finden (Stand Juli 2017).

Sicherheit: Browserverschlüsselung SSL abschalten (Poodle)

by Leave a Comment

Eine sichere Verschlüsselung ist nicht nur für das Onlinebanking nötig, sondern für alle Verbindungen, bei denen schützenswerte Daten über das  Internet übertragen werden.

Das die uralte SSL-Verbindung nicht mehr Stand der Technik ist, ist schon lange bekannt, trotzdem bieten Server und Browser diese überholte Verbindung aus Kompatiblitätsgründen noch an.

Diese alte Technik kann nun durch einen Poodle-Angriff gehackt werden, das lustige Akronym steht für Padding Oracle On Downgraded Legacy Encryption.

Des Pudels-Kern: Der Angreifer stellt den Browser so um, dass dieser eine zu schwache Verschlüsselung einsetzt und damit kann dann der Angreifer die Daten mitlesen.

Es ist deshalb zu empfehlen, am eigenen System die veraltete Verschlüsselung abzuschalten und/oder abzuschalten.

Lesen Sie hier, welche Browser noch betroffen sind und wie Sie Ihr System umstellen können:

Browsereinstellungen ändern: fuer-buerger.de

Wichtig:
Wenn Sie innerhalb einer Serverumgebung surfen: Sehr wahrscheinlich können Sie diese Einstellungen nicht vornehmen, Sie sollten es zumindest eigentlich nicht können. Sprechen Sie also mit Ihrem Administrator.

Zur Orientierung einige Bilder, die die Umstellung am Beispiel des Mozialla Firefox zeigen. Kein Hexenwerk, wie man sieht.

Poodle_Firefox_altesSSL_deaktivieren

 

Es ist Vorsicht geboten, eine Änderung an der falschen Stelle kann für Probleme sorgen.

 

Poodle_Firefox_altesSSL_deaktivieren02_Sicherheitshinweis

Geben Sie oben in die Suchmaske „security.tls.version.min“ ein.

Poodle_Firefox_altesSSL_deaktivieren03_suchen

Klicken Sie auf den Suchtreffer mit Doppelklick.

Poodle_Firefox_altesSSL_deaktivieren04_Doppelklick

Poodle_Firefox_altesSSL_deaktivieren06_fertigUnd ändern Sie den Eintrag auf 1.

Poodle_Firefox_altesSSL_deaktivieren05_Doppelklick

und mit OK bestätigen. Fertig.

Mac: Cache und Cookies Firefox löschen

by Leave a Comment

Mac: Safari und Firefox Browser So löschen Sie beim Mac den Browsercache und die Cookies des Mozilla Firefox:

Wählen Sie oben im Menüband „Firefox“ und dann das Menü „Einstellungen“ aus.

 

Mac Mozilla Firefox Chronik loeschen

Im Einstellfenster wählen Sie zuerst „Datenschutz“ an und klicken dann unten auf den Link „kürzlich angelegte Chronik“ in der Zeile „Sie können auch…“

 

Mac_Firefox_Chronik_loeschen01Wählen Sie statt „Die letzte Stunde“ „alles“ löschen aus.

 

Mac_Firefox_Chronik_loeschen02

Mac_Firefox_Chronik_loeschen04

Klicken Sie auf „löschen“ und  wählen Sie zumindest „Cookies“ und „Cache“ an, bevor Sie auf „jetzt löschen“ klicken.

Mac_Firefox_Chronik_loeschen05

Starten Sie dann das Onlinebanking komplett neu, wählen Sie dazu die Startseite der Bank an. Nutzen Sie bitte kein Lesezeichen.

besondere Sicherheit: Banking per Boot-CD/DVD

by Leave a Comment

Das Windows XP am Ende seiner Lebensdauer angekommen und mangels Updates inzwischen als sehr unsicher gilt und auch die neueren Microsoft-Betriebssysteme im Visier der Betrüger und Schadsoftware-Programmierer stehen, ist allgemein bekannt. XP dürfte meiner Meinung nach nicht mehr für sicherheitskritische Tätigkeiten wie Onlinebanking oder Online-Shopping eingesetzt werden, auch E-Mail-Nutzung halte ich für gefährlich.

Für viele ist aber der aufwändige Wechsel des Betriebssystems keine kurzfristig umsetzbare Option.

Ein Konzept, die Sicherheit immens zu erhöhen, ist der Start des Computers von einer Boot-CD. Der Computer startet dabei nicht von einer Festplatte, sondern von einer garantiert virenfreien Boot-CD oder von einem speziellen USB-Speichermedium. Meist kommt ein spezielles Linux System zum Einsatz. Das auf der Festplatte installierte Betriebssystem ist beim Start dabei außen vor und die Daten sind nach dem Start üblicherweise nicht beschreibbar, so dass niemand Angst um seine Daten haben muss noch dass am Windows-System etwas manipuliert würde.

Es gibt viele Ansätze, einige, z.B. das c’t bankix-Projekt startet auf Wunsch sogar die open-source Software hibiscus als Zahlungsverkehrssoftware. c’t bankix ist besonders auf die Sicherheit beim Onlinebanking hin optimiert worden.

Knoppix LogoWer sich nicht nur für super-sicheres Banking interessiert, sondern auch mal ein Linux-Systeme kennen lernen möchte, dem empfehle ich knoppix von Klaus Knopper. Mit diesem Live-Linux-System habe ich schon häufig Daten von nicht mehr lauffähigen Windows-Systemen retten können und es ist wirklich einfach zu verstehen. Wer Windows gewohnt ist, sollte schnell mit dem neuen System klar kommen und es finden sich viele Hilfen im Internet. Die Adriane-Version ist für stark sehbehinderte oder blinde Menschen gedacht. Ein Test mit geschlossenen Augen vermittelt auch Sehenden neue Erkenntnisse…

Vorbereitungen:

aufklappen: Start auf DVD/CD oder Stick umstellen
Da der Start vom internen Datenspeicher der meist voreingestellte Standard ist, reicht es nicht, einfach eine Linux-Live CD ins Laufwerk zu schieben oder einen USB-Stick einzustecken und den Rechner neu zu starten. Zum Start muss meist die Bootreihenfolge geändert werden.

Hier finden Sie eine Anleitung zur Einstellung des Rechners für ältere Systeme: http://www.edv-lehrgang.de/bios-bootreihenfolge-aendern/

und hier für neuere, aktuelle Rechner:
http://www.edv-lehrgang.de/uefi-bios-bootreihenfolge-aendern/
(genau merken, ggf. fotografieren, was Sie ändern, damit Sie im Notfall die Einstellungen zurücknehmen können).

Wichtig: die ISO-Dateien zum Download nicht einfach nur anklicken, sondern den Link mit der rechten Maustaste auswählen und im Kontextmenü „Ziel speichern unter“ auswählen. Hier ist eine gute Anleitung zu finden, wie man mit der freien Software XPBurner ISO-Dateien brennt. (der erste Absatz ist nur für die Uni interessant, lesen Sie unter 2 weiter):
http://www.zdv.uni-mainz.de/279.php
Da ich der Qualität meiner Medien nicht traue, stelle ich im Dialog noch die max. Brenngeschwindigkeit auf max. 4-fach bei DVDs und auf max. 16-fach bei CDs um. Dies kann man erst durchführen, wenn das leere Medium bereits eingelegt wurde.

Browserbanking: Browserwechsel erforderlich

by Leave a Comment

Das Banksystem erkennt Ihren Browser nicht und meldet sich mit dieser Meldung?

Brow­ser­wech­sel er­for­der­lich ! Ihre Brow­ser­ver­si­on un­ter­stützt nicht alle Funk­tio­nen der On­line-Fi­lia­le. Prü­fen Sie bitte Ihren Brow­ser auf Ak­tua­li­tät. Die ak­tu­el­len und un­ter­stütz­ten Brow­ser fin­den Sie hier.

Bei mir wird der Text angezeigt im aktuellen „Midori“ Browser unter Debian Squeeze (Linux, Xfce).

Die Meldung kann man getrost ignorieren, solange der Browser CSS3-fähig ist, der Server kennt die Browserkennung einfach nicht.

Wichtig
Prüfen Sie in jedem Fall die Version Ihres Browsers! Ist dieser aktuell, sind alle Updates installiert? Nur mit einem Browser, der noch aktualisiert wird, ist die sichere Internetnutzung möglich!

Ein weiterer Grund kann eine manuell geänderte Browserkennung/User-Agent sein. Diese Funktion wird von Web-Entwicklern genutzt, um das Verhalten der Internetseite zu prüfen, da nicht jeder Browser wie der andere arbeitet. Der Bankrechner „glaubt“ dann, er habe es mit einem alten System zu tun.

Mozilla Firefox: Prüfen Sie Ihre Erweiterungen (Plugins/Addons).
Expertentipp: Prüfen Sie die Einstellungen (about:config) und suchen Sie nach „exotischen“ Einstellungen. Ein Kunde berichtete mir: Es war ein Schlüssel "general.useragent.override" mit dem Wert "-" gesetzt. Der Schlüssel muss entfernt werden, es nützt nichts, den Wert zu löschen.

Seamonkey und andere Mozilla-Versionen: Die obigen Informationen gelten auch dafür. Wenn das Rechenzentrum die Browserkennung nicht kennt, wird der Hinweis angezeigt. Es gibt Addons, die den Useragent auf Bedarf umstellen können, beispielsweise das Tool „User Agent Switcher“.

Internet-Explorer 11: Starten Sie mit F12 die Entwicklertools und wählen Sie unten links das Computer/MobilTel. Symbol oder drücken Sie STRG-8. Das Browserprofil und die Browser-Kennung können Sie an den mit Pfeilen gekennzeichneten Stellen einstellen. Stellen Sie die Emulation so um, dass dem Banksystem kein mobiler Browser gemeldet wird.
Ergänzung: Prüfen Sie ebenfalls, ob der Kompatiblitätsmodus für die Webadresse aktiviert ist: Link zur Hilfeseite von Microsoft

Safari: Aktivieren Sie das Entwicklermenü mit der Apfel und Komma-Taste (oder im Menü mit Safari/Einstellungen, Karteikarte „Erweitert“)
Bildschirmfoto 2014-12-15 um 14.31.12

Anmeldeprobleme: PIN oder Passwort falsch?

by 16 Comments
zuletzt geändert: 13.02.2024
Suchabkürzung: #pinfalsch

Wenn das Onlinebanking „ungültige Anmeldedaten“ meldet, sollten Sie als erstes kontrollieren, ob Ihr VR-NetKey oder Ihr Alias richtig geschrieben ist. Es wird nicht mehr angezeigt, ob Ihr Alias oder die PIN/das Passwort/Passphrase falsch ist. Eine fehlerhaftes Passphrase führt zur Fehlern, die gezählt werden und schlussendlich zur vorläufigen Sperre im Banksystem führen. Die Sperre kann durch korrekte Anmeldung und Freischaltung per App oder TAN aufgehoben werden. Dieser Fehlerstatus kann von Bankmitarbeitenden kontrolliert werden. Die Eingabe eines fehlerhaften Alias oder ein falscher VR-NetKey kann im Banksystem nicht kontrolliert werden.

Falsche PIN/falsches Passwort:
Sie sind ganz sicher, dass Ihr Passwort oder Ihre Passphrase oder Ihr Alias richtig ist?

falsche Passwortlänge:
Im „alten“ Onlinebanking der Genossenschaftsbanken wurde das Passwort auf 20 Stellen geprüft, im neuen Onlinebanking sind auch mehr Zeichen im Feld „erlaubt“ (der Rest wird im Formular abgeschnitten) und daher gelingt die Anmeldung nicht.
Denken Sie darüber nach: Ein so langes Passwort bringt kein Sicherheitsverbesserung – im Gegenteil! Schadprogramme lesen problemlos beliebig lange Passwörter mit. Und Banken sperren nach wenigen Fehlversuchen den Zugang, lange Passwörter sollen gegen „Durchprobieren“ schützen. Beim Banking bringen schlecht merkbare, womöglich generierte Passwörter nichts an Sicherheit. Wenn Sie ein solches Passwort nutzen, versuchen Sie die ersten 20 Stellen zu verwenden und ändern Sie am besten das Passwort in ein merkbares. Hier unterscheidet sich die Sicherheitsthematik von „normalen“ Passwörtern.

Nutzen Sie also nur die ersten 20 Stellen und ändern Sie Ihr Passwort ab. Das Menü „Datenschutz & Sicherheit“ finden Sie oben rechts unter Ihrem Namen. Falls Sie eine Software/App  mit gespeichertem Passwort nutzen, müssen Sie auch dort Ihr Passwort hinterlegen.

 

 

Vorläufig gesperrt?
Beim Onlinebanking per PIN & TAN – egal ob per Browser, per App oder per FinTS/HBCI, wird Ihr Zugang schnell gesperrt. Nach 3 Fehlversuchen in Folge ist die PIN vorläufig gesperrt, kann aber noch mit der gültigen Anmeldung und einer TAN oder der SecureGo plus App selbst wieder entsperrt werden. Melden Sie sich dazu im Onlinebanking mit Ihrem Alias/Ihrem VR-NetKey und der richtigen Passphrase an und lassen Sie sich durch den Assistenten führen. Nicht alle Banken bieten dieses „Feature“ an, bei einigen Banken wird direkt nach dem dritten Fehlversuch ein neuer Start-PIN per Post verschickt, bei anderen Banken nach dem 9. Fehlversuch.

Bei FinTS mit PIN & TAN:
Eventuell überträgt die Anwendung falsche Codes an den Bankrechner wenn Sonderzeichen enthalten sind. Doppelpunkt, Semikolon, Schrägstrich (/ also Slash) und kaufmännisches und (&) sollte man vermeiden. Ändern Sie dies im Onlinebanking ab. Exotische Sonderzeichen sind nett, aber nicht nötig, sie bringen keine zusätzliche Sicherheit (siehe unten).

Spätestens an diesem Punkt würde ich die naheliegensten Fehlerquellen untersuchen, weil man ja nicht sieht, welche Tasten im Banksystem ankommen:

Funktastatur: Kanal verstellt oder Batterie leer? Das kommt häufiger vor, weil man nicht sieht, dass die Tastatur nicht mehr alle Tasten überträgt. Testen Sie die Tastatur, in dem Sie eine Textverarbeitung öffnen und schnell hintereinander einige Sätze tippen.

Was kommt an?
Vergewissern Sie sich, dass Sie unbeobachtet sind (keine Fernwartung, keine Zuschauer). Probieren Sie dann die Eingabe Ihrer PIN im ersten Feld, in dem Sie normalerweise den Alias eingeben. Wird die PIN mit allen Zeichen korrekt und mit großen und kleinen Buchstaben angezeigt?

Passwort-Tools: Helferlein wie keepass müssen nicht funktionieren und die automatische Datenübernahme empfehle ich auch nicht. Warum? Ein Banking-Passwort darf einfacher sein, denn nach wenigen Fehlversuchen wird der Zugang ja dicht gemacht – Ein Brute Force-Angriff ist nicht möglich.

NumLock- oder Caps-Lock Taste aktiv?
Nutzen Sie den Ziffernblock Ihrer Tastatur? Häufig tippt man bei bestimmten Zahlen oder Sonderzeichen nicht die richtigen Zeichen ein. Bei einem Notebook kann man auch ein 10er Feld aktivieren, dass die anderen Tasten überlagert. Prüfen Sie also, ob eventuell die NumLock oder eine andere -Lock-Funktions-LED beleuchtet ist. Ist die Caps-Lock Taste aktiviert, werden alle Buchstaben des normalen Buchstabenfeldes groß geschrieben. Achtung: Bei Funktastaturen sieht man dies nicht, testen Sie die Funktion am besten in einem anderen Programm testen, z.B. Wordpad.

Smartphone, Tablet oder anderes Mobilgerät: Autokorrektur: Wird womöglich der erste Buchstabe automatisch groß geschrieben?

Fremdsprachige Tastatur aktiv?
Über eine irrtümlich getätigte Tastenkombinationen könnte eine fremdsprachige Tastatur aktiviert worden sein, meist Englisch Meist ist dies unten in der Taskzeile sichtbar mit EN statt DE. Ist das der Fall, klicken Sie darauf und wählen Sie DE aus. Achtung: Windows kann inzwischen die Tastatur pro Anwendung verwalten. In einigen Programmen kann man mit Alt-Umschalttaste (=“Shift“) die Tastatur umstellen.

Etwas komplexer, aber schnell erledigt: „Mein Tastaturtrick“ für das Onlinebanking per Browser
Da bei Passwortfeldern nicht kontrollierbar ist, was am Server ankommt, hab ich mir folgenden „Trick“ ausgedacht: Nutzen Sie probeweise die Passwortvergabe mit aktivierter Speicherfunktion. Jaa, ich weiß, man soll Passwörter nie speichern. In diesem Fall vergeben Sie ein Passwort mit einer ähnlichen Länge und den gleichen Zeichen und Sonderzeichen und merken sich dieses gut (am besten notieren). Speichern Sie es im Browser. Nutzen Sie dann die Anzeigefunktion des Browsers, um diese Zeichen sehen zu können. Im Firefox finden Sie die gespeicherten Passwörter in den Einstellungen, dort unter „Sicherheit“, „gespeicherte Zugangsdaten“. Ich weiß, dass es addons gibt, die die Eingabe sichtbar machen, aber warum nicht mit Hausmitteln arbeiten? Das ist besser, als Addons zu vertrauen.

Besonderheiten bei FinTS/HBCI mit Signaturdatei:
Prüfen Sie, ob der richtige Datenträger im Schacht ist bzw. steckt und ob dieser lesbar ist. Denn die Fehlermeldung heißt ja nur: … oder Passwort falsch…

Es kann sein, dass die falsche Signaturdatei zugeordnet wurde, dies passiert z.B. gerne bei der VR-NetWorld Software.  Lesen Sie hier:
vrkennung.de/sicherheitsdatei-leseprobleme-und-neuer-usb-pfad/

Ist die Datei defekt, kann man dies – manchmal – an der Dateigröße erkennen. Die übliche Dateigröße einer HBCI-Signaturdatei sind 3-4 KB.

Beim FinTS/HBCI-Verfahren mit Sicherheitsdatei kann man – zumindest bei den meisten Anwendungen – beliebig oft probieren, ohne das etwas gesperrt wird. Daher muss das Passwort gegen Durchprobieren durch seine Länge (>8 Zeichen) und  min. ein Sonderzeichen geschützt werden.

Chipkarte:
Achtung, bei einigen Karten (unpersonalisierte ohne Namensaufdruck) wird die Karte unwiderruflich nach der dritten Fehleingabe in Folge gesperrt. Die Karte können Sie vernichten, sie ist nun defekt. Wenn Sie ein Display im Kartenleser haben: Achten Sie darauf, dass die Tastatureingaben auch wirklich angenommen werden. Bei älteren Geräten schwächelt schon mal die Tastatur. Bei Geräten ohne Display konnte man früher ein Tastenpiep aktivieren, dies ist aber m.W. aus Sicherheitsgründen nicht mehr aktiv (unbeobachtete Eingabe im Großraumbüro…). Wenn Sie eine Girocard oder personalisierte Chipkarte nutzen, haben Sie eine PUK zu Ihrer Karte erhalten. Diese können Sie zum Entsperren des FinTS-Chips verwenden. Schauen Sie in die Beschreibung Ihrer Software.
Anleitung für: GLS eBank/windata

Sie haben eine ungültige Anfrage ans System gesendet

by Leave a Comment

Browserbanking-Fehlermeldung:

Sie haben eine ungültige Abfrage an das System gesendet.
Wahrscheinlich bedienen Sie die Online-Filiale mit Elementen Ihres Browsers.
Bitte verwenden Sie für die Bedienung nur die Elemente der Online-Filiale.

Diese Fehlermeldung tritt z.B. auf, wenn das aktuelle Browserfenster nicht mehr gültig ist, weil Sie z.B. in  einem zweiten Tab oder einem zweiten Fenster arbeiten. Wenn Sie versuchen, Daten aus den Umsatzdaten oder aus einer Vorlage oder Dauerauftrag in ein neues Formular zu übertragen, dann könnte dieser Fehler auftreten. Nehmen Sie einen Zwischenspeicher, wie Notepad und kopieren Sie den Text erst in diesen Zwischenspeicher und dann in den neuen Auftrag.

Dies ist eine Sicherheitseinstellung und nötig, damit Browser-Fenster sich nicht gegenseitig beeinflussen können.

Elemente_des_Browsers

Verboten: Steuerelemente des Browsers

Mit den „Elementen des Browsers“ sind die Buttons gemeint, die der Browser zur Verfügung stellt, um z.B. schnell eine Seite zurück zu gehen. Diese sollte man nicht verwenden, da man dann ebenfalls unabsichtilch in eine ungültige „Sitzung“ geraten könnte.

Verwenden Sie daher nur die Links im Inhalt der Seite selbst.

Hilft dies nicht, löschen Sie bitte Ihre Cookies und den Cache Ihres Browsers. Hilfe dazu finden Sie hier.

Browserbanking: Zwangstrennung: Zu früh abgemeldet/ausgeloggt?

by 2 Comments
Suchkürzel: #TIMEOUT und #LOGOUT
zuletzt geändert: 22.08.2017

Sie werden zu früh am Server abgemeldet und wurden mit dieser Meldung aus der Sitzung geworfen?

Logout

Sie haben seit einigen Minuten keine Eingaben mehr vorgenommen. Aus Sicherheitsgründen wurden Sie deshalb von der Online-Filiale abgemeldet. Wenn Sie weiterhin in der Online-Filiale arbeiten möchten, melden Sie sich bitte erneut an.

SanduhrOder Sie „fliegen“ sofort nach der Anmeldung aus dem System?

Das ist natürlich keine „Schikane“ der Bank um Sie zu ärgern, sondern hat handfeste Sicherheitsgründe. Das Banksystem trennt die Verbindung, wenn es eine alte Sitzung zu erkennen meint.

U.a. kommen für die verfrühte „Zwangsabmeldung“ folgende Ursachen in Frage, klicken Sie bitte auf das Pluszeichen oder die Zeile:

Häufig: veraltete Cookies und Zwischenspeicher (Cache)
So räumen Sie auf.
Häufig: Uhrzeit/Datum oder Zeitzone falsch
Prüfen Sie die Uhrzeit und das Datum und auch, ob die Sommer-/Winterzeit richtig eingestellt ist. Stimmt die Zeitzone?
Wenige Minuten „Vorsprung“ zum Bankserver reichen bereits aus – je mehr Differenz, desto schneller trennt der Server die Verbindung.

Lesen Sie hier die Hinweise zu Uhrzeit und Datum.

Häufig: veraltete Lesezeichen
Nutzen Sie als Favorit bitte die Startseite der Bank und nicht die Onlinebanking-Loginseite! Prüfen Sie Ihre Lesezeichen und setzen Sie diese auf die „offizielle Adresse“.

Zwangstrennung durch Router
Für Onlineverbindungen mit Zeitabrechnung (keine Flatrates) ist eine sinnvolle Funktion der Geräte, nach einer einstellbaren Zeit ohne Datenübertragung die Verbindung zu trennen. In solchen Fällen sollte man die Timeout-Zeit an seinem Router höher einstellen. Diese Einstellungen sind je nach Routertyp an unterschiedlichen Stellen zu finden und leider unterscheiden sich auch die Bezeichnungen je nach Hersteller, so dass hier keine konkreten Tipps zu finden sind. Oft wird das Feld mit „idle time“, „idle timeout“ oder „autom. Trennung bei Inaktivität“ bezeichnet.
Da im Zeitalter der Flatrate keine Minutenpreise für die Nutzung des Internet mehr üblich sind (Vorsicht bei Mobilfunkverträgen), ist das Abschalten dieser Funktion bzw. das Hochsetzen auf höhere Werte normalerweise auch kein Problem.

Nun ist die Diagnose für einen Laien sehr schwierig und es gibt auch viele Banken, die diese Sicherheitseinstellung nicht nutzen („bei der Sparkasse geht es aber!“).

Deshalb hier zwei „Tipps“, zusätzlich zur Umstellung des Netzzuganges: Bei Einsatz eines Zahlungsverkehrsprogramms (einer FinTS/HBCI-Software) passieren solche Timeouts nicht, da ja alle Aufträge in einem Rutsch übertragen werden können. Die Datenmenge ist sehr viel geringer als beim Browserbanking, daher ist dies gerade für Menschen mit langsamen Netz eine gute Alternative.

Oder: Im Hintergrund einfach Webradio hören. Dabei werden nämlich ohne Unterbrechung ständig Daten übertragen und der Router trennt die Verbindung dann nicht. Sie können auch den Ping-Tipp weiter unten befolgen.

instabile Verbindung
z.B. durch defekte Hardware: Wird die Verbindung häufiger unterbrochen, dann kann die Diagnose wirklich schwierig sein. (Ich selbst habe einmal meinen alten, selbstgebauten fli4l-Router ausgetauscht und erst nach Wochen festgestellt, dass eigentlich nur der Netzwerk-Hub defekt war. Genauso habe ich meine  Fritzbox aufs Altenteil geschickt und erst nach dem Ersatzkauf gemerkt: Es war nur das Netzteil defekt). Bei einem Freund war es ein defektes Netzwerkkabel (zu oft und zu brutal vom Schreibtischstuhl überfahren…).
Ping: eine einfache Dignose zur Verbindung
Starten Sie im Hintergrund zum Browser eine Dosbox (windows-Taste drücken und „cmd“ eingeben) (Linux: ein Terminalfenster) und nutzen Sie den Ping-Befehl, um Ihr Netzwerk zu untersuchen. Verwenden Sie unter Windows den Befehl mit der Erweiterung -t, damit nicht nach 4 „Pings“ die Versuche beendet werden und beobachten Sie parallel zum Browserfenster die Ausgaben. Unter Linux ist dies nicht nötig. Wählen Sie ein geeignetes Ziel, z.B. google.de, für Windows:
ping google.de -t
Hier im Beispiel sehen Sie die von mir erzwungene offline-Phase, wobei ich nur das lokale Netz getrennt habe – nicht den Router:
Ping

Tritt diese Offlinephase in verschlüsselten und gut gesicherten Verbindungen auf, dann verwirft ein Server die Connection, damit sich nicht jemand in die Verbindung „einhängen“ kann. Suchen Sie die Fehler-Ursache in Ihrem Netz, z.B. können Sie im Systemprotokoll Ihres Routers erkennen, ob die Verbindung kurzzeitig unterbrochen war.

Anonymisierungsdienste
Störungen können auch auftreten, wenn Verbindungen über ständig neu connektierte Wege aufgebaut werden, z.B. wie sie bei Anonymisierungsdiensten oder Sicherheitsbrowser wie beim TOR-Netzwerk etc. eingesetzt werden. Denken Sie daran, Ihre Bank und Sie müssen ein Interesse daran haben, Sie eindeutig und zuverlässig zu erkennen! Anonymität ist hier im Onlinebanking naturgemäß völlig fehl am Platze.
spezielle Verbindungen wie Loadbalancing
Loadbalancing/Fallback verteilt die Verbindung am Router/Verbindungsserver oder an einem Server. Schalten Sie bitte das Loadbalancing für den Port 443 aus (SSL) oder fragen Sie bitte Ihre(n) Techniker/in).
Schadsoftware
Glücklicherweise selten, aber Ja, das ist leider auch möglich. Die sogenannten Banktrojaner laufen manchmal nicht gut, sie brauchen z.B. Updates und verbinden sich mit Steuerungscomputern. Diese sind schlecht erreichbar, dann funktioniert die Anmeldung nicht. Viele trojanischen Pferde möchten die Kunden direkt nach der Anmeldung zu Tests überreden oder zu einer Rücküberweisung. Prüfen Sie Ihren Rechner mit einer zweiten Antivirensoftware (siehe Sicherheitseintrag) und passen Sie bei den Buchungen auf. Rückbuchungen und Tests mit TAN gibt es nicht, das ist immer ein Betrugsversuch.

In einem Standard-System haben Sie 15 Minuten Zeit um Ihre Eingaben abzuschließen, wenn Javascript verwendet werden kann. Ist Javascript nicht erlaubt, sind es nur 5 Minuten seit der letzten Bestätigung. Die Eingabe in Felder zählt nicht, diese werden erst beim Senden, also beim Klick auf den Button, an die Bank geschickt. Ich halte es für ok, Javascript beim „normalen Surfen“ zu deaktivieren, aber auf der Bankseite ist es sinnvoll, Javascript zu aktivieren und ggf. die Bankseite zu den Ausnahmen hinzuzufügen (z.B. in den Sicherheitseinstellungen oder NoScript-Konfig.).

Browserbanking: Internet Explorer Anmeldeprobleme

by 1 Comment

Schlägt die Anmeldung im Onlinebanking fehl, dann kann dies bei den neuen Internet-Explorer Versionen an der verschärften Sicherheitseinstellung liegen. Die Anmeldung scheint gar nicht zu funktionieren, die Seite ist eventuell leer oder baut sich neu auf.

Ich persönlich bin dagegegen, die (Sicherheits-)Einstellungen des Browsers generell zu ändern. Dies wirkt sich auf alle Seiten aus, ungefährlicher ist es meiner Meinung nach, die Onlinebanking-Seite in die Seite der vertrauenswürdigen Sites aufzunehmen. Das ist ganz pragmatisch zu verstehen: Sollte hier ein Virus lauern, dann wäre dieser eh in der Lage, die Daten auszuspionieren und bringt man einen Virus mit, dann stammt er garantiert aus einer anderen Infektionsquelle.

Suchen Sie die Anmeldeseite des Onlinebanking auf.

IIE_Anmeldeprobleme_01_Extrasm Internetexplorer 11 findet sich die Einstellung rechts oben in der Fensterecke bzw. ist mit der Tastenkombi Alt + X zu erreichen (das sollte auch für andere Versionen stimmen).

Klicken Sie in den Internetoptionen auf die Karteikarte Sicherheit und wählen Sie in der Schiebezone die „Vertrauenswürdigen Sites“ aus.

IE_Anmeldeprobleme_01_vertrauenswuerdig

Fügen Sie die Seite mit Klick auf „Sites“ (3) und anschließend auf“ hinzufügen“ dazu.IE_Anmeldeprobleme_01b_vertrauenswuerdig_hinzufuegen

Die Seite sollte der Liste hinzugefügt werden.IE_Anmeldeprobleme_01c_vertrauenswuerdig_schliessen