weyershausen
Goto Top

Sicherheit beim Online-Banking

Hallo,

in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir sollten das Banking-Programm auf einer virtuellen Windows-Maschine installieren, die auf einem Mac-Host unter Parallels Desktop läuft. Angeblich sei ein Angriff auf den Windows-Client dadurch so gut wie ausgeschlossen, weil Mac-Computer nur selten angegriffen würden.

Was ist davon zu halten?

Danke für eure Einschätzung!
Kommentar vom Moderator colinardo am 28.11.2021 um 12:00:08 Uhr
An alle: Bitte beim Thema bleiben, Danke!

Content-ID: 1560561181

Url: https://administrator.de/contentid/1560561181

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

Mystery-at-min
Mystery-at-min 27.11.2021 um 17:39:50 Uhr
Goto Top
Moin,

mh, ganz logisch: Ihr verschiebt einen Windows-Rechner in eine VM unter Mac-OS X, um mehr Absicherung zu erhalten, davor, dass eine Windows-Maschine nativ angegriffen wird?

Klingt logisch...solche IT-(Sicherheits?)-Berater sollte man teeren und federn.

Wie sieht's denn sonst bei euch aus? Sicherheitsrichtlinie, Firewall, etc?
cykes
cykes 27.11.2021 um 17:46:58 Uhr
Goto Top
Hi,

so pauschal ist das erstmal m.M.n. Blödsinn. Wenn ihr bspw. bisher keine Macs im Einsatz habt und euch um die Kiste (aufgrund der Aussage des Beraters und mangelnder Erfahrung) nicht weiter kümmert ist der Mac genauso sicher oder unsicher wie ein verglichbarer Virtualisierer unter einem anderen OS.

Wenn ein Angreifer erstmal in eurem Netz ist, kann er auch den Mac angreifen und fängt sich die VM einen Trojaner ist diese auch direkt angreifbar, da interessiert der Unterbau erstmal nicht.

Gruß

cykes
Lochkartenstanzer
Lochkartenstanzer 27.11.2021 aktualisiert um 17:59:09 Uhr
Goto Top
Zitat von @Weyershausen:

Wir sollten das Banking-Programm auf einer virtuellen Windows-Maschine installieren, die auf einem Mac-Host unter Parallels Desktop läuft. Angeblich sei ein Angriff auf den Windows-Client dadurch so gut wie ausgeschlossen, weil Mac-Computer nur selten angegriffen würden.

Was ist davon zu halten?

Quatsch mit Soße

Wenn die VM unter Windows läuft, ist es Wumoe, welches OS der Hypervisor läuft. İch würde ihn daher fragen, warum sie die Software nicht für MacOS oder Linux anbieten, wenn sie Windows für unsicher halten.

lks

PS: Wenn Du sfirm mit wine unter Linux oder MacOS laufen läßy, wäre das die bessere Option.
PPS: Frag den Berater mal, ob er der Meinung ist den richtigen Job zu machen?
Weyershausen
Weyershausen 27.11.2021 um 18:46:56 Uhr
Goto Top
Danke für eure Kommentare!

Zitat von @cykes:
Wenn ein Angreifer erstmal in eurem Netz ist, kann er auch den Mac angreifen und fängt sich die VM einen Trojaner ist diese auch direkt angreifbar, da interessiert der Unterbau erstmal nicht.

Der Berater sagt, der Mac solle nicht im LAN stehen, sondern nur über eine separate VDSL-Leitung und Fritzbox mit dem Internet verbunden sein. Ich frage mich allerdings, ob das sicherer wäre als ein physischer Windows-PC, der nur mit dem Internet verbunden wäre. Und ob nicht überhaupt die größere Bedrohung aus der Internetverbindung käme als aus dem LAN.

Unser LAN ist mit einer Sophos-Firewall gesichert.
St-Andreas
St-Andreas 27.11.2021 um 18:49:44 Uhr
Goto Top
Geile Idee.
Zwei weitere Ebenen die man überwachen muss. Und für alle beteiligten ITler sind MacOS und Parallels vermutlich IT-Alltag und daher braucht man da gar keine weiteren Ressourcen und Aufmerksamkeit. Beide lassen sich vermutlich auch problemlos ins bestehende Sicherheitskonzept einbinden und in das Monitoring und so.
Und weil dann ja alles super abgesichert ist, braucht man auch keine sinnvollen Prozesse wie 4-Augen Prinzip etc.

Schmeiss den IT-Berater raus.
Mystery-at-min
Mystery-at-min 27.11.2021 um 18:58:44 Uhr
Goto Top
woher habt ihr den IT-Berater denn?
mbehrens
mbehrens 27.11.2021 um 19:25:39 Uhr
Goto Top
Zitat von @Weyershausen:

in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir sollten das Banking-Programm auf einer virtuellen Windows-Maschine installieren, die auf einem Mac-Host unter Parallels Desktop läuft. Angeblich sei ein Angriff auf den Windows-Client dadurch so gut wie ausgeschlossen, weil Mac-Computer nur selten angegriffen würden.

Windows bleibt Windows, egal auf welcher Plattform.
Visucius
Visucius 27.11.2021 aktualisiert um 19:35:31 Uhr
Goto Top
Wie soll das funktionieren?! Du greifst doch mit der VM aufs Internet zu?! Damit ist die doch auch vergleichbar exponiert, wie eine normale Maschine.

Wäre ja schön - ich habe selber solche Setups laufen. Sehe aber den Vorteil eher genau anders herum. Wenn im Windows etwas amok läuft, ist mein Mac (zunächst mal) sicher(er).

Aber nen Mac kaufen ist eigentlich (fast) nie ne schlechte Idee face-wink

VG
Lochkartenstanzer
Lochkartenstanzer 27.11.2021 um 19:41:21 Uhr
Goto Top
Zitat von @Weyershausen:

Der Berater sagt, der Mac solle nicht im LAN stehen, sondern nur über eine separate VDSL-Leitung und Fritzbox mit dem Internet verbunden sein.


Und welchen Unterschied soll das machen? das ist sogar noch unsicherer.

Ich frage mich allerdings, ob das sicherer wäre als ein physischer Windows-PC, der nur mit dem Internet verbunden wäre. Und ob nicht überhaupt die größere Bedrohung aus der Internetverbindung käme als aus dem LAN.

Sowohl als auch.

Wenn , gehört der PC mit SFirm in ein eigenes VLAN aun dalle anderen Anwendungen aus MS-Updates und SFIRM gehören gesperrt.

Unser LAN ist mit einer Sophos-Firewall gesichert.

Die nützt aber auch nur dann, wenn sie ordentlich gewartet wird und sinnvoll auch diverse Segmente intern voneinender trennt. Auf jeden fall ist das sinnvoller als eine Windows-Vm mit dem nackten Hintern über eine Fritte ins Internet zu hängen.


lks


PS: Feuert den Berater, egal ob intern oder extern.
Weyershausen
Weyershausen 27.11.2021 um 19:46:39 Uhr
Goto Top
Zitat von @Mystery-at-min:

woher habt ihr den IT-Berater denn?

Kann ich nicht sagen. Unsere IT hat ihn nicht ausgesucht.
Mystery-at-min
Mystery-at-min 27.11.2021 um 19:59:33 Uhr
Goto Top
Zitat von @Weyershausen:

Zitat von @Mystery-at-min:

woher habt ihr den IT-Berater denn?

Kann ich nicht sagen. Unsere IT hat ihn nicht ausgesucht.

dann sollte sie sich darum kümmern, dass der Chef nicht darauf herein fällt.
Lochkartenstanzer
Lochkartenstanzer 27.11.2021 um 20:01:20 Uhr
Goto Top
Zitat von @Weyershausen:

Zitat von @Mystery-at-min:

woher habt ihr den IT-Berater denn?

Kann ich nicht sagen. Unsere IT hat ihn nicht ausgesucht.

Und sie hat ihn nicht gleich geteert und gefedert als er mit seinem Vorschlag kam?

lks
SeaStorm
SeaStorm 27.11.2021 aktualisiert um 20:52:23 Uhr
Goto Top
Völliger Blödsinn. Von oben bis unten.

so gut wie ausgeschlossen, weil Mac-Computer nur selten angegriffen würden.
Also erstens wird ja erst mal eh das Windows als solches Angegriffen. Ob das nun als VM läuft und worauf die virtualisiert ist, ist dabei völlig unerheblich
die auf einem Mac-Host unter Parallels Desktop läuft
Aber selbst wenn man sagt das MACs statistisch weniger häufig angegriffen werden, dann hat man doch immernoch die potentielle Angriffsfläche erhöht, indem man diese 2 Schichten zusätzlicher Komplexität und somit angriffspotential drangeflascht hat. Man hat also nicht mehr nur Windows als potentielles Risiko, sondern dazu noch OSX und Parallels.

Der Berater sagt, der Mac solle nicht im LAN stehen, sondern nur über eine separate VDSL-Leitung und Fritzbox
*sigh* Was verbessert man denn damit? Glaubt ihr wirklich das ihr *aktiv* von einem HACKER _angegriffen_ werdet? Das sich da einer irgendwo mal abends hin hockt und sagt : "Ich hacke jetzt die Firma vom Weyershausen, weil die finde ich ganz besonders doof/reich/verachtenswert/whatever!"
So ein Angriff kommt nicht aktiv und gezielt von aussen.
Das Problem entsteht von Innen. Irgendwer von euren Mitarbeitern klickt auf den falschen Link, startet ein Programm das einen Trojaner im Gepäck hat und damit gibt es einen Zugang in eure Firma.
Dieser Zugang wird dann in aller Regel an Erpresser verkauft. Die gehen dann auf den Rechner dieses Mitarbeiters, und arbeiten sich durch das Netzwerk.


Richtig machen geht in etwa so:
Es gibt einen PC für SFIRM. Dieser ist nicht in der Domäne. Der lokale Admin hat ein anderes Kennwort als der Domänen-Admin. Der User der auf dem Rechner arbeitet ist ein User (und kein Admin), der ein anderes Kennwort haben muss als der Domänen-User. Der Rechner ist in seinem eigenen VLAN, in das man von außen keine Verbindung öffnen kann. Ausgehend hat der Rechner nur Zugriff auf Windows Update und SFIRM. Der User darf hier nur SFIRM machen. Kein Browsen, kein Email oder sonst was.
Der Rechner wird heruntergefahren, wenn er nicht benötigt wird.
Und dann kommt die Realität. Und der Buchhalter muss Daten auf\von den Rechner bekommen. Oder braucht Support per Teamviewer. Oder muss aus dem Homeoffice arbeiten. Oder oder oder.

Vor was habt ihr eigentlich Angst? Das jemand eure Kontodaten rausträgt? Wenn ihr jemanden im Netz habt der euch ausspäht, dann verschlüsselt und dann damit erpresst, wird das eure geringste Sorge sein...
StefanKittel
StefanKittel 27.11.2021 um 21:38:02 Uhr
Goto Top
Moin,

wie schon gesagt, bringt der MAC als VM Host keine zusätzliche Sicherheit für die Windows VM als ein physikalischer Rechner.

Den Windows PC in ein eigenes VLAN/Firewall/Netzwerk/Router zu stecker schützt vor Angriffe aus dem eigenem Netzwerk.

Ist aber meist nicht vollständig umsetzbar, weil:
- Die Firma nicht einen 2. PC für den MA kaufen will
- Gar keine Firewall/VLAN hat
- Man von der Online-Banking-Software Überweisungsdateien aus dem ERP nutzen muss
- Man aus der Online-Banking-Software Dateien auf den Server speichern muss
Weyershausen
Weyershausen 27.11.2021 um 22:46:28 Uhr
Goto Top
Zitat von @SeaStorm:

Vor was habt ihr eigentlich Angst? Das jemand eure Kontodaten rausträgt?

Die Maßnahme, so der Berater, solle davor schützen, dass jemand das Konto abräumen könnte.
StefanKittel
StefanKittel 27.11.2021 um 22:58:40 Uhr
Goto Top
Zitat von @Weyershausen:
Die Maßnahme, so der Berater, solle davor schützen, dass jemand das Konto abräumen könnte.

Wenn Ihr sinnvoll Maßnahmen zum Thema 2FA verwendet, ist das eher unwahrscheinlich.

Alle Fälle die mir bekannt sind fallen in 2 Kategorien.
- Zugangsdaten für Online-Banking gestohlen (Keylogger, Phishing) und mit erschummelter zweiter SIM Karte überwiesen
- Mail vom Chef mit der Anweisung ganz dringend und ganz geheim etwas zu überweisen

Keylogger gibt es auch in Hardware.
Die kann Jemand von Reinigungspersonal anklemmen und nach einer Wochen abholen.
Zack, tot. Und da bringt der Mac auch nichts.

Stefan
SeaStorm
SeaStorm 27.11.2021 um 23:21:29 Uhr
Goto Top
Zitat von @Weyershausen:
Die Maßnahme, so der Berater, solle davor schützen, dass jemand das Konto abräumen könnte.

Und wie schützt ihr euer Konto bzw Überweisungsaufträge?
Wenn man hier das übliche Lesegerät + Karte + PIN nutzt, ist das eine eher schwierige Angelegenheit. Da müsste der Angreifer die PIN kennen und die Kate müsste auf dem Leser liegen\drin stecken.
Und sogar das kann man je nach Bank noch mit weiteren Mechanismen absichern
Visucius
Visucius 28.11.2021 um 07:51:15 Uhr
Goto Top
Gabs nicht bei Heise mal nen launigen Erfahrungsbericht, in dem ein Redakteur mal wissen wollte, was diese (ungefragt nrufenden) indischen MS-Mitarbeiter so auf seiner Maschine anstellen?
Dafür hatte er sich extra ne VM vorbereitet … und für den „Angreifer“ war das völlig egal.
Milord
Milord 28.11.2021 um 13:42:01 Uhr
Goto Top
Diese Aussagen passen vorne und hinten nicht.
Eine VM auf einem Mac, macht die VM nicht sicherer, da diese immer noch über das Internet und Netzwerk erreichbar ist.
Für SFIRM eine zusätzliche Leitung zu buchen und zusätzlich eine Firewall Lösung zu installieren, ist genauso quatsch. Wir haben ebenfalls SFIRM auf unserem Server, dafür haben wir einen Dienstleistungsvertrag für unsere Firewall.
Selbst wenn jemand an SFIRM kommt, muss er 1. die Logindaten von dem Benutzer haben und 2. die 2FA aushebeln, was deutlich schwerer ist, als der allgemeine Angriff auf das Netzwerk.

Solche Berater kenne ich nur zu gut, vor ein paar Jahren hatten wir auch solch einen im Haus, weil der GF den angeschleppt hat.
Ich sollte für 30 Minuten mit in den Termin kommen, nach 50 Minuten Monolog von dem Berater, habe ich all seine unnötigen Maßnahmen aufgezeigt und alles was er an "IT-Sicherheit" empfohlen hat, nichts gebracht hätte.
Ich habe mich dann aus dem Gespräch verabschiedet, weil die 30 Minuten nun überzogen wurden und ich weiter meine Arbeit machen muss.
Dem GF hat der gesamte Vortrag ebenfalls nicht zugesagt. Den Berater habe ich nie wieder gesehen.

Wenn eure IT insgesamt gut aufgestellt ist, also Firewall und andere Mechanismen, dann solltet ihr gut geschützt sein.
Mit der Mac Lösung und zusätzlicher DSL Leitung hättet ihr meiner Meinung nach keinen weiteren Schutz gewonnen, sondern eine weitere Schwachstelle geschaffen.
sysad
sysad 29.11.2021 um 10:55:33 Uhr
Goto Top
Also sooo schlecht finde ich die Idee nicht:

1. Auf dem Mac hab ich die komplette startfähige VM als Datei, die sich leicht sichern/kopieren lässt. Kommt es zu einer Kompromittierung durch was auch immer kann ich mit wenig Aufwand eine der Kopien der VM verwenden/kopieren und bin blitzschnell wieder banking-fähig (natürlich nur wenn ich eine noch saubere Version habe).

2. Mit OSX Tools wie LittleSnitch und der eingebauten FW kann ich sehr gut sehen wer von aussen anklopft aber auch an wen Windows oder generell ein Programm was verschicken will.

3. Das Win in dieser VM lässt sich speziell für diesen einen Einsatzzweck härten/optimieren und ich kann die gern genommenen Einfallstore Mail oder Surfen quasi stilllegen.

Wie da Euer ROI aussieht müsst Ihr selber entscheiden.


Just my 2 cents....
Lochkartenstanzer
Lochkartenstanzer 29.11.2021 aktualisiert um 11:07:13 Uhr
Goto Top
Zitat von @sysad:

Also sooo schlecht finde ich die Idee nicht:

1. Auf dem Mac hab ich die komplette startfähige VM als Datei, die sich leicht sichern/kopieren lässt. Kommt es zu einer Kompromittierung durch was auch immer kann ich mit wenig Aufwand eine der Kopien der VM verwenden/kopieren und bin blitzschnell wieder banking-fähig (natürlich nur wenn ich eine noch saubere Version habe).

Dafür braucht man keinen Mac. das geht auch mit anderen Hypervisoren, sogar mit bare-metal-Installationen.

2. Mit OSX Tools wie LittleSnitch und der eingebauten FW kann ich sehr gut sehen wer von aussen anklopft aber auch an wen Windows oder generell ein Programm was verschicken will.

Solche Tools gibt es für jede Firewall und sogar für windows. Dazu braucht man keinen Mac.


3. Das Win in dieser VM lässt sich speziell für diesen einen Einsatzzweck härten/optimieren und ich kann die gern genommenen Einfallstore Mail oder Surfen quasi stilllegen.

Dazu braucht man auch keienn Mac.

Wie da Euer ROI aussieht müsst Ihr selber entscheiden.

Wenn man bedenkt, daß die Leute schon mit einem normalen windows überfordert sind und dann noch mit einem mac solche Spielchen machen sollen, kann man sich den zustand der Kiste nach ein paar Tagen schon ausrechnen. oder sie beschäftigen einen externen berater, der sich mit sowas wirklich auskennt und die "Mac-Lösung" sicher implementiert. dann ist der ROI aber sowas von jenseits von gut und böse.

Just my 2 cents....

Eher "k€" von den Kosten her.

lks

PS: Sicherheit erreicht man nicht dadurch, daß man alles viel komplexer macht als nötig, sondern es so einfach und überschaubar und handhabbar wie möglich hält. Die Mac-Lösung kannn jemand machen, der die ganzen Einstellungen "on-the-fly" macht ohne groß nahdenken zu müssen. Aber jemand, der bisher nur Windows kannte und sich jetzt mit einem Mac zurechtfinden muß wird da scheitern.
StefanKittel
StefanKittel 29.11.2021 um 11:06:21 Uhr
Goto Top
Es gibt auch genug Read-Only-Linux-Bootsticks/CDs fürs Onlinebanking.
Die steckt man in den PC, bootet davon und da kann gar nichts passieren.

Viel güntiger und deutlich sicherer als der Mac.
Lochkartenstanzer
Lochkartenstanzer 29.11.2021 um 11:10:02 Uhr
Goto Top
Zitat von @StefanKittel:

Es gibt auch genug Read-Only-Linux-Bootsticks/CDs fürs Onlinebanking.
Die steckt man in den PC, bootet davon und da kann gar nichts passieren.

Viel güntiger und deutlich sicherer als der Mac.

Das kann man sich sogar selbst bauen. Aber das Problem ist, daß iese oft nur für Online-banking auf Browserbasis gemacht sind wie z.B. das ct-bankix, daß aber nicht mehr weitergepflegt wird.

Banking-Software für Linux erfordert hingegen schreibbare Medien.

lks
SachsenHessi
SachsenHessi 29.11.2021 um 12:28:24 Uhr
Goto Top
Zitat von @Weyershausen:
Die Maßnahme, so der Berater, solle davor schützen, dass jemand das Konto abräumen könnte.
weil das macht der Berater lieber selber...
Duck und wech....
goscho
goscho 29.11.2021 um 16:45:05 Uhr
Goto Top
Mahlzeit
Zitat von @StefanKittel:

Es gibt auch genug Read-Only-Linux-Bootsticks/CDs fürs Onlinebanking.
Die steckt man in den PC, bootet davon und da kann gar nichts passieren.
Da läuft SFIRM aber nicht drauf.

Ich kann nur dem Beitrag von @Milord beipflichten:

Zitat von @Milord:

Diese Aussagen passen vorne und hinten nicht.
Eine VM auf einem Mac, macht die VM nicht sicherer, da diese immer noch über das Internet und Netzwerk erreichbar ist.
Für SFIRM eine zusätzliche Leitung zu buchen und zusätzlich eine Firewall Lösung zu installieren, ist genauso quatsch. Wir haben ebenfalls SFIRM auf unserem Server, dafür haben wir einen Dienstleistungsvertrag für unsere Firewall.
Selbst wenn jemand an SFIRM kommt, muss er 1. die Logindaten von dem Benutzer haben und 2. die 2FA aushebeln, was deutlich schwerer ist, als der allgemeine Angriff auf das Netzwerk.

Banking-Software - wie SFIRM - war von jeher eigentlich recht sicher.
Ich kenne SFIRM seit über 20 Jahren. Mir ist persönlich kein Fall bekannt, wo Angreifer direkt über SFIRM das Konto einer Firma geleert haben. Wenn, dann, weil aus Bequemlichkeit die PIN und eine komplette TAN-Liste in der Software hinterlegt war. Zusätzlich muss sicher der Angreifer auch noch im SFIRM anmelden, so der Benutzer nicht den ganzen Tag angemeldet war.

Die 2. Möglichkeit war das Abfangen des Auftrags und Umleiten auf ein anderes Konto. Dies war aber eher theoretischer Natur.

Da haben sich die Angreifer dann doch lieber über das Abfangen der Zugangsdaten beim Browserbanking Zugriff auf die Konten verschafft.

Das ist heute noch wesentlich schwerer, dank 2FA.
schautnurzu
schautnurzu 29.11.2021 aktualisiert um 17:45:32 Uhr
Goto Top
Der man weiß was er sagt,

1. Separate (vom restlichem Netzwerk getrennte) Anbindung ans Internet macht schon Sinn. ( Mitarbeiter sind leider Schwachstellen im System und können Spione ins Netz bringen/ Mail, Webseitenaufruf, USB-Stick)
Wie soll man bitte schön ein Rechner infizieren wenn er nur für Onlinebanking genutzt wird und sonst aus ist, von Updates abgesehen.. anderes Thema? Auf der Kiste sollte natürlich kein Office oder Mail Programm sein, Support Programme nur bei bedarf starten)

2. Viele Schadprogramme verhalten sich anders in der VM, weil man sie in VMs untersucht/ werden Teilweise nicht aktiv/momentane Entwicklung)

3, Rücksicherung einer VM ist entspannter.

3. MAC OS ist nicht zwingend, Linux oder Windows gehen auch. Jedes System hat seine Löcher. Wer meint Apple oder Linux sei sicherer, der kennst sich nicht mit den Systemen aus oder hat nie Schwachstellen dort ausgenutzt.

Einen guten Berater erkennt man an, wie viele Jahre er Systeme betreut hat. Wie viele Sites er gehackt hat und wie viele Zeilen er gecoded hat, die Quereinsteiger mit Hochschulstudium kann man getrost vergessen.
Ausnahmen bestätigen natürlich nicht die Regel und es gibt Schüler die haben mehr drauf.

Wie soll man sonst einschätzen können, wo die Gefahren herkommen.
St-Andreas
St-Andreas 29.11.2021 um 17:46:16 Uhr
Goto Top
Sorry, aber das ist genauso in weiten Teilen Blödsinn, wie die Aussage des IT-Beraters.
Visucius
Visucius 29.11.2021 um 17:48:07 Uhr
Goto Top
Sorry, aber das ist genauso in weiten Teilen Blödsinn, wie die Aussage des IT-Beraters.

Wo er sich doch aber extra für den Comment anmeldete 😂
schautnurzu
schautnurzu 29.11.2021 um 18:09:53 Uhr
Goto Top
Zitat von @Visucius:

Sorry, aber das ist genauso in weiten Teilen Blödsinn, wie die Aussage des IT-Beraters.

Wo er sich doch aber extra für den Comment anmeldete 😂

lol, Hab mich so angemeldet und Topic war oben.

Angriffspunkte reduzieren, was soll daran blödsinnig sein?

IT ist nicht bequem, man kann vieles automatisieren und ich sehe darin kein mehr Aufwand.