[gnucash-de] Sicherheit für Nicht-Programmierer

[Mark]

Am Mittwoch, den 22.11.2006, 14:59 +0100 schrieb Christian Stimming:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Zirzlaff, Torsten schrieb:
> >   Persönlich würde ich zur Zeit keiner der befindlichen Programme dieses
> > Vertrauen aussprechen, wenn es mir um Haftbarkeit ginge. Und das Geld
> > um mir diese Haftbarkeit zu verschaffen habe ich auch nicht.
> > 
> >   Ich verwende GnuCash um meine Finanzen zu verwalten, aber Buchungen
> > werden noch gewöhnlich über Papier und einwerfen beim Postamt getätigt.
> > (...)
> > 
> >   Meines Erachtens ist HBCI schon ein sicheres Verfahren und ist im Vergleich
> > zum gängigen PIN/TAN wesentlich sicherer, aber sicherlich nicht so sicher
> > das ausgeschlossen werden kann (ohne Evaluierung, der einzelnen Teilnehmer)
> > das Daten manipuliert wurden. Es gibt ja sogar keine Sicherheit am Geldautomaten
> > der Hausbank, da selbst dort Manipulationen möglich sind und durchgeführt wurden.
> 
> Exakt, und genauso gibt es auch keine Sicherheit, dass
> Papier-Überweisungen nicht manipuliert worden sind [1] -- insofern finde
> ich deinen Einwand an dieser Stelle etwas inkonsequent. Es gibt bei
> *jedem* der momentan verfügbaren Einreichungswege von
> Überweisungsaufträgen eine Restwahrscheinlichkeit, dass ein Angreifer
> entweder einen existierenden Auftrag manipulieren könnte oder
> eigenmächtig einen gefälschten Auftrag einreicht. Die Frage ist *immer*
> nur, wie groß diese Restwahrscheinlichkeit (also das Risiko) bei jedem
> der Auftragswege ist.
> 
> Bei einem Papierauftrag ist das Manipulier-Risiko vermutlich am
> geringsten, aber dafür exisitert ein massives Risiko für gefälschte
> Aufträge, was aus Bankensicht halt toleriert wird, um die
> Bearbeitungskosten der Papieraufträge zu reduzieren. Bei einem
> elektronischen Auftrag gibt es halt andere Risiken. Es ist falsch, zu
> behaupten, dass einer der genannten Auftragswege *ohne* Risiko sei. Die
> spannende Frage ist lediglich, welcher der Auftragswege denn das
> geringere Schadensrisiko hat - und da beginnt die interessante
> Diskussion. (Zu der ich natürlich auch keine endgültigen Antworten habe.)

Schade. ;-) Ist aber eine wirklich interessante Frage. Hat jemand darauf
eine Antwort?

> 
> >   Es wird in absehbarer Zeit sicherlich kein Unbedenklichkeitszertifikat geben. Allerdings
> > bei der Verwednungn von Debian habe irecht gute Erfahrungen gemacht bzgl. des
> > Supports, leider ist es eben nicht immer das aktuellste und damit wird das Problem
> > mit dem Online Börsenabgleich immer problematisch sein :(.
> 
> Häh? Wie kommt den bei der Diskussion der Software-Risiken jetzt
> plötzlich eine bestimmte Distribution und hier im speziellen Debian nun
> ins Spiel? Bei Debian gab es doch vor einer Weile (1-2 Jahre?) mal eine
> Manipulation eines ihrer FTP-Repositories, was allerdings nicht
> bedeutet, dass deren Server weniger sicher seien als jene von anderen
> Distributionen, sondern eher, dass die Server dermaßen populär sind,
> dass ein einzelner Angreifer dort mal hat eindringen können, aber das
> Projekt dieses Sicherheitsleck reaktionsschnell und ehrlich gegenüber
> den Usern auch wieder beheben konnte. Keine Ahnung, wie das bei
> FTP-Servern der Closed-Source-Firmen so aussieht...
> 
> Christian
> 
> [1]
> http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=11016635&forum_id=102587
> 
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.2.1 (MingW32)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> 
> iQCVAwUBRWRXsmXAi+BfhivFAQJGEQQAiHwMCnxv7QhExb9rUNb0PAzFeeRK6MDZ
> P0RA1K/1CCWAmVT0UTINuyn7ZN8PxESw/Em5lk9+lGPX7NNX1coNcm2HZXk5ATMb
> lI/pl3AuYS2O5EMurfnmQ1L7pL6sryV885Dcq/RWP6K/1HjYpOwvQ9ggIAFR9q31
> izdl/utLz7I=
> =2vMe
> -----END PGP SIGNATURE-----
> _______________________________________________
> gnucash-de mailing list
> gnucash-de at gnucash.org
> https://lists.gnucash.org/mailman/listinfo/gnucash-de