Online-Banking und Virenscanner

[tuxfux]

Hi Ihr,

ich hoffe, meine Frage wird nicht als "rhetorisch" mißverstanden.
Zum Thema Online-Banking gibt selbst die Zeitschrift c't hin und wieder mit "Bankix" ein von CD bootbares Linux mit, soweit ich weiß, Hibiscus als Homebanking-Programm.

In den AGB's der Banken zum Thema Homebanking wird immer wieder darauf abgestellt, daß man, will man nicht fahrlässig handeln und im Schadensfall auf dem Schaden sitzen bleiben, einen Virenscanner installiert haben muß. Da ist mir für Linux (außer Clam-AV) nichts bekannt. Antivir hat inzwischen auch seine Linux-Version eingestampft.

Wie steht ihr zu dem Thema? Zum Homebanking eine "verhältnismäßig" unsicheres Windows nutzen, nur um den AGB gerecht zu werden? Oder es im Schadensfall auf ein Gerichtsverfahren ankommen lassen? Mir ist nicht bekannt, daß es bei Linux-Usern schon einen Schadensfall gab, der vor Gericht landete.

[KP97]

... gibt selbst die Zeitschrift c't ..

Das soll nun wirklich nichts heißen. Dieses Blatt ist für Windows User gedacht.

...will man nicht fahrlässig handeln und im Schadensfall auf dem Schaden sitzen bleiben, einen Virenscanner installiert haben muß

Auch das bezieht sich auf Windows. Du kannst davon ausgehen, daß Banken und Behörden eh nur ein Betriebssystem kennen, und das kommt aus Redmond. Für dieses OS sind diese Vorsichtsmaßnahmen auch zwingend notwendig.
Wenn Dein Hibiscus auf Debian läuft und Du auch noch einen externen Kartenleser mit Chipkarte benutzt, bist Du schon auf der sicheren Seite.
Soweit man das im Internet sein kann, aber das ist ein anderes Thema.

[uname]

Dass man einen Virenscanner empfielt basiert vor allem darauf, dass man dem Kunden nur Halbwahrheiten über Internet-Banking-Betrug mitteilt. Das Internet ist jedoch voll von den tatsächlichen Fakten.

Es ist richtig, dass z.B. über Spam versucht wird den Schadcode unters Volk zu bringen. Und neben der eigenen Intelligenz hilft vielleicht sogar ein Virenscanner. Leider wird natürlich gerade dann viel Spam verschickt wenn Windows-Sicherheitslücken ungepatcht und für Virenscanner unbekannt sind.
Es ist richtig, dass der Virenscanner einiges abfängt. Nur wenn er es nicht abfängt weil er es nicht kennt hat man ein ernsthaftes Problem. Deutet sich oft damit an, dass der Rechner seeehhhrrrr langsam wird und der Virenscanner keine Fehlfunktion meldet

Wenn man nun Linux-Anwender ist entgeht einem die Freude an diesen Spam-Anhängen. Entweder sind die gezippten-exe-Dateien nicht ausführbar. Da kann man dann eine Windows-VM drauf anssetzen oder Virustotal fragen, welcher Schadcode es war. Interessant ist dann auch wie viele Virenscanner den Schadcode nicht kennen. Selbst Marktführer brauchen manchmal einige Tage. Somit Spam-Mail-Anhänge unter Windows immer erst eine Woche liegenlassen und besser dann erst anklicken
Manchmal sind die Virenhersteller aber nett. Der Webserver für den Download des Schadcodes liest den Useragent aus und somit bekommt der Linux-Anwender eine nettes Shell-Script, welches erst mal ausführbar gemacht werden muss, z.B. in Python geschrieben. Oder man nutzt z.B. Android dann bekommt man ein APK-File. Gut, dass man die "unsicheren Quellen" aktiviert hat, denn sonst entgeht einem leider auch diese Freude am Schadcode.

Im übrigen ist es zudem so, dass wahrscheinlich bereits Hunderttausende oder Millionen von Windows-Rechnern bereits befallen sind und in irgendwelchen Botnetzen organisiert sind. Wenn jemand Geld hat kann er Teile dieses Botnetzes temporär "kaufen" und den Windows-Anwendern entsprechend den Schadcode unterschieben. Ob Internet-Banking oder Identitätsbetrug. Vollkommen egal. Da der Rechner selbst befallen ist helfen nur noch externe Maßnahmen zur Absicherung und wie folgendes Beispiel vielleicht zeigt hilft evtl. der gesunde Menschenverstand.

https://www.sparkasse-aachen.de/pages/p ... ojaner.php

Sobald mir jemand einen ernsthaften Linux-Schadcode zeigt werde ich mir Gedanken um einen Virenscanner machen. Hiermit meine ich den kommerziellen Internet-Betrug und nicht die Geheimdienste wie NSA, die wahrscheinlich direkt im Linux- und GNU-Code ihre Hintertüren längst eingebaut haben.

Vergleicht man die Windows- zu Linux/Mac-Einträge nutzen entweder fast alle Personen Windows oder Trojaner sind eher ein Windows-Problem:
http://www.trojaner-board.de

[Yorel]

In den AGB's der Banken zum Thema Homebanking wird immer wieder darauf abgestellt, daß man, will man nicht fahrlässig handeln und im Schadensfall auf dem Schaden sitzen bleiben, einen Virenscanner installiert haben muß. Da ist mir für Linux (außer Clam-AV) nichts bekannt. Antivir hat inzwischen auch seine Linux-Version eingestampft.

Virenscanner für Linux gibt es einige, z.B.:

• avast! Free Antivirus für Linux
• AVG AntiVirus FREE für Linux
• Bitdefender Antivirus Scanner for Unices
• Comodo Antivirus for Linux
• ESET Nod34 Antivirus für Linux Desktop
• F-Secure Linux Security
• Sophos Endpoint Antivirus
• usw.

Daneben gibt es auch noch umfangreiche Pakete für Linux-Server.

Beste Grüße, Yorel

[Ibex]

Wie steht ihr zu dem Thema? Zum Homebanking eine "verhältnismäßig" unsicheres Windows nutzen, nur um den AGB gerecht zu werden? Oder es im Schadensfall auf ein Gerichtsverfahren ankommen lassen? Mir ist nicht bekannt, daß es bei Linux-Usern schon einen Schadensfall gab, der vor Gericht landete.

letzteres. Und im zweifelsfall lügen. Wer will den nach weisen, das kein Virenscanner installiert war?

Keiner der aktuellen Virenscanner hat ihrgendwleche relevanten Linuxviren in seiner signatur Datenbank, einfach weil keine bekannt sind. Es würde also null helfen, einen solchen beim onlinebanking unter Linux installiert zu haben.

[cronoik]

Wie steht ihr zu dem Thema? Zum Homebanking eine "verhältnismäßig" unsicheres Windows nutzen, nur um den AGB gerecht zu werden? Oder es im Schadensfall auf ein Gerichtsverfahren ankommen lassen? Mir ist nicht bekannt, daß es bei Linux-Usern schon einen Schadensfall gab, der vor Gericht landete.

Ersteres oder einen Virenscanner wie Clamav verwenden. Was hast du davon wenn du es auf ein Gerichtsverfahren ankommen lässt? Wenn meine Bank Win 98 vorschreiben würde, dann suche ich mir entweder eine andere, verwende Win98 oder verzichte auf Onlinebanking. Da die Bank haftet sobald du die Bedingungen erfüllst leuchtet mir nicht ein warum ich sie um die Haftung erleichtern sollte.

[Dimejo]

Wenn jemand Geld hat kann er Teile dieses Botnetzes temporär "kaufen" und den Windows-Anwendern entsprechend den Schadcode unterschieben.

Hm, vielleicht sollte ich mir mal so ein Botnetz kaufen. Geld habe ich nämlich bald genug. Mir hat da vor kurzem so ein netter Manager einer afrikanischen Bank geschrieben, dass er mir 40% von 27,2 Millionen schenken will! Toll, oder?

[Evox]

In Prinzip hat man Recht mit den Verfahren "Vorsicht ist die Mutter der Porzellankiste"
Diese "Must Have" oder "Friss sHiCe Argumentation" geht mir Persönlich am ... vorbei. Lasse mir seit einer gefühlten Ewigkeit nicht Vorschreiben was auf den Rechner installiert werden sollte ,...

In den AGB's der Banken zum Thema Homebanking wird immer wieder darauf abgestellt, daß man, will man nicht fahrlässig handeln und im Schadensfall auf dem Schaden sitzen bleiben, einen Virenscanner installiert haben muß.

Nur Dünnsch .. und zeigt auch die gewollte Inkompetenz der Banken dein "Vermögen" zusichern. Sind selber sehr oft nicht in der Lage eine halbwegsvernüftige Sicherung der Datenverbindung zugeben.

[spiralnebelverdreher]

In den AGB's der Banken zum Thema Homebanking wird immer wieder darauf abgestellt, daß man, will man nicht fahrlässig handeln und im Schadensfall auf dem Schaden sitzen bleiben, einen Virenscanner installiert haben muß.

Wie steht ihr zu dem Thema? Zum Homebanking eine "verhältnismäßig" unsicheres Windows nutzen, nur um den AGB gerecht zu werden? Oder es im Schadensfall auf ein Gerichtsverfahren ankommen lassen? Mir ist nicht bekannt, daß es bei Linux-Usern schon einen Schadensfall gab, der vor Gericht landete.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu diesem Thema in Bezug auf Ubuntu folgende Aussage parat:

Virenschutzprogramm
Die Installation eines Virenschutzprogramms ist, basierend auf dem aktuellen Stand der Bedrohungslage in
Bezug auf Schadsoftware für Linux, unter Ubuntu nicht notwendig.
Quelle: https://www.bsi-fuer-buerger.de/SharedD ... cationFile

Ich sehe das genau so. Falls es aber mal juristischen Ärger geben sollte ist die Aussage des BSI (in Bezug auf mögliche Fahrlässigkeit) aber vor Gericht sicher mehr wert als meine private Meinung.

[cronoik]

Persönlich halte ich das nicht für relevant. Die AGBs sind Vertragsbestandteil und das BSI haftet mit seiner dort abgegebenen Empfehlung auf Basis des aktuellen Standes der Technik (und der kann sich ändern) nicht. Wie weiter oben bereits geschrieben, würde ich die Vertragsverpflichtungen einfach durch die Installation von clamav erfüllen. Mag nicht notwendig sein, erspart aber unnötige Diskussion welche nicht zwangsläufig zu meinen Gunsten ausgehen.

[Theophil T.]

sehe ich genauso - habe nur aus dem Grund auch clamav installiert.

Theophil