FreeBSD, debian, mandriva... für online-banking... was ist wann sicherer?

[schdrag]

Hab "spasseshalber" 'mal versucht, ghostbsd in einer 4GB tauglichen Version auf älteren Maschinchen (sandybridge bzw. eine Generation vorher, 4GB ram) zu installieren, ging nur beim thinkcentre mit Intel Grafik, allerdings startete dieser dann nach der Installation nicht hoch.


FreeBSD: da gibt's ja ein sehr ausführliches Handbuch, aber bei meinem IT-Verständnis wäre ich Wochen damit beschäftigt, bis ich dann eine Umgebung wie mate zum Laufen bekomme, die dann automatisch hoch fährt und mich mit dem I-net verbinden kann. Wlan (ein Teil der Versuchskandidaten sind laptops) dürfte dann noch ein weiterer Knackpunkt sein. Eigentlich möchte ich so etwas wie Mint (installieren und nutzen).

Zur Sicherheit: BSD stellt ja in der Nische Nicht-Windows, Nicht-apple noch 'mal eine kleinere Nische dar (insbesondere für den Desktop-Betrieb).
Da dürften dann noch weniger Schädlinge entwickelt werden.
Mandriva ist denke ich für Viren-Programmierer uninteressanter als debian, da die meisten Linux Anwender mit Debian bzw. Debian Abkömmlingen arbeiten.
Können für Ubuntu entwickelte Viren/Schädlingen auch unter Debian laufen (bzw. vice-versa)? Sind diese z.B. auch unter Mandriva oder Suse lauffähig?

Das Anwendungsszenario ist Internet-banking und die Nutzung von Plattformen wie ebay, ricardo, evtl. amazon bzw das Einloggen in selbige.
Nun gibt es ja schon durch die 2-Faktor Authentifzierung einen recht kräftigen Hebel. Zudem ist die Schwachstelle dann Android bzw. die Android-Bezahl apps (in der Schweiz twint), da ist Aktualität anscheinend ein must.

Ist es überhaupt entscheidend für den Schädlingsbefall, ob Debian, bsd oder eine andere Linux-Distribution gewählt wird oder kommt's vor allem auf den browser bzw. die patches für den browser an?

 

[fishmac]

BSD hat einen monolithischen Kernel, da solltest Du vorher mal auf einen System mit mehr Ressourcen testen, wie der Bedarf an RAM ausfällt, falls die Specs auf der Website nicht ohnehin Dein Vorhaben killen.

 

[L512USER]

Um welche Art von Schädling geht es dir genau? Schädlinge werden häufig inzwischen dazu genutzt, um Teil eines Botnetzes zu werden oder um Kryptowährungen zu schürfen. Geht es dir um klassische Keylogger, welche deine Eingaben (Passwörter) aufzeichnen und weitersenden?

Ich selbst nutze Linux Mint und für Online-Banking, eBay und teilweise Mail ist ein separater Browser installiert, der nur dafür genutzt wird (Chromium). Alle anderen Surfaktivitäten erfolgen über Firefox. Mir persönlich ist das mit 2FA via Smartphone-Apps sicher genug. Zudem bin ich wirtschaftlich betrachtet kein lohnendes Ziel.

Vermutlich würde es noch sicherer gehen, wenn man nur ein read-only System mit dem jeweils aktuellsten Browser nutzen würde. Und gegebenenfalls Passkey statt Eingabe via Tastatur.

Vielleicht kommt für dich auch ChromeOS (Flex) für Online-Banking, eBay & Co. in Betracht. Oder Haiku OS, wenn es ganz obskur werden darf.

 

[linrunner]

Die bei Kriminellen so beliebten Phishing-Attacken, auch gerne per Telefon, funktionieren mit allen Systemen und Browsern. Dagegen hilft nur /usr/bin/brain

 

[Ambrosius]

Ich glaub auch dass du dich da etwas verzettelst. Die BSDs sind gemeinhin als sichere Systeme bekannt, gerade auch OpenBSD, aber ich meine dass es sich hierbei v.a. allem um netzwerkbezogene Dinge handelt. Was du brauchst ist lediglich gesandboxte Anwendungen, und das kannst du virtuell auf deinem üblichen Hostsystem auch gut umsetzen. Distrobox oder klassische VMs kämen mir da in den Sinn.

Du denkst da glaub ich in die falsche richtung. Wie @linrunner und @L512USER richtigerweise hervorgehoben haben, sind Angriffvektoren die die Banken überhaupt erst anbieten - zb. SMS Tan - sehr viel archaischer und eher das Problem, als dein Setup. Die meisten Banken bieten leider keine 2FA an, die man sich frei auswählen kann, sondern immer nur SMS oder proprietäre Apps.

 

[linrunner]

Banken überhaupt erst anbieten - zb. SMS Tan

Du kennst tatsächlich eine Bank die noch SMS-TAN am Start hat? Boah. Was sagt die Bafin dazu?

Die meisten Banken bieten leider keine 2FA an, die man sich frei auswählen kann

Ich hab mal geschaut. Es gibt derzeit ~350 Sparkassen und ~670 Genossenschaftliche. Die haben beide auch noch ChipTAN QR oder PhotoTAN. Woher nimmst Du (in D) genügend andere Banken für eine "Mehrheit"?

 

[schdrag]

Muss erst 'mal ein ganzes Weilchen googeln

Was du brauchst ist lediglich gesandboxte Anwendungen, und das kannst du virtuell auf deinem üblichen Hostsystem auch gut umsetzen. Distrobox oder klassische VMs kämen mir da in den Sinn.

hier z.B. verstehe ich nur Bahnhof, daher bitte um etwas Geduld.

Nutze phototan meiner Bank in Verbindung mit einer entsprechenden app (mobilescan), um den QR der Rechnung zu scannen.
Ist es sicherer, wenn ich den code via sms schicken lasse, anstatt photo-tan einzusetzen. Könnte für phototan auch noch ein entsprechendes Gerät kaufen. Das wäre wohl sicherer; wobei mobilescan und twint (ein Bezahldienst in der Schweiz) dann immer noch Risiken wg. des veralteten Androids (Android 9) darstellen

Mir wurde hier schon gesagt, dass ich unbedingt ein Handy mit aktuellem Android anschaffen muss, schiebe den Umzug vor mir her...

 

[fakiauso]

Aus meiner Sicht ist die Wahl einer Distribution oder eines BSD "egal". Grundsätzlich würde ich sogar von eher exotischen Lösungen abraten, wenn es nur darum geht, mit einem halbwegs vernünftigen Aufwand ein OS für Onlinebanking zu installieren, denn sonst kann das in Frust enden, insbesondere wenn es dann abseits der reinen Hardwaresachen noch um das Einrichten von z.B. Kartenlesern geht.

Was bei der ganzen Sache noch fehlt, ist die Frage, ob das Homebanking über eine separate Software stattfinden soll oder im Browser. Für 2FA bei der Paßwortvergabe kannst Du ohnehin auf Lösungen wie KeepassXC zurückgreifen.

Mandriva ist denke ich für Viren-Programmierer uninteressanter als debian, da die meisten Linux Anwender mit Debian bzw. Debian Abkömmlingen arbeiten.
Können für Ubuntu entwickelte Viren/Schädlingen auch unter Debian laufen (bzw. vice-versa)? Sind diese z.B. auch unter Mandriva oder Suse lauffähig?

Ist es überhaupt entscheidend für den Schädlingsbefall, ob Debian, bsd oder eine andere Linux-Distribution gewählt wird oder kommt's vor allem auf den browser bzw. die patches für den browser an?

Ich weiß jetzt nicht, wie tief Du in der Materie steckst oder wo/wie Du die Möglichkeit siehst, dass Schadsoftware im Sinne von Viren überhaupt unter unixoiden Systemen ein Problem sind? Grundsätzlich gibt es im Gegensatz zu Windows keine bekannten Viren, die in Massen und in freier Wildbahn auftreten unter Linux und Co. und gleich gar nicht solche, die explizit für ein bestimmtes Ding wie *buntu oder Debian programmiert wären.

Ein reales Problem können tatsächlich die von @linrunner erwähnten Phishing-Versuche und Lücken im Browser selbst sein, falls Banking darüber stattfindet. Solche Sachen wie rootkits oder andere Dinge, die über erhöhte Rechte das System aushebeln können, dürften ganz andere Probleme machen als nur nach dem Zufallsprinzip und damit ohne Aussicht auf "fette Beute" die Bankdaten eines einzelnen Nutzers abzugreifen.

Kurz gesagt: Nimm Dir eine Distri Deiner Wahl, die beherrschbar ist, nutze am besten eine separate Software wie Hibiscus/Jameica für´s Banking und dichte ansonsten den Browser mit Script- und Werbeblocker, setze für den Bankzugang ein Lesezeichen und öffne nur darüber den Zugang. Dubiose Mails mit Links, die einen auf dringend machen, fasst Du mit ganz spitzen Fingern an und dann sollte es keine Probleme geben. Übertriebene Paranoia bringt einen in solchen Fällen jedenfalls auch nicht weiter.

 

[dr.strangelove]

Wäre hierfür nicht eine Live-Version von Linux Mint etc. praktisch?

Wichtiges Werkzeug aber wie die Anderen schon gesagt haben, deine Brain.exe

 

[Schwartz]

Kann nur zustimmen dass die Distro oder sogar Windows im Endeffekt kaum einen Unterschied macht. Der Browser muss sicher sein, die Login-Methode sollte 2FA in irgendeiner Form beinhalten, und man sollte einen Skriptblocker verwenden und nur die Emails öffnen bzw. Links folgen, die von einer legitimen Quelle kommen.

Also viel "best Practice" und kaum Software. Schädlinge sind nicht das Einfallstor hier, eher Phishing-Mails und Skripte auf Webseiten.

 

[L512USER]

Nutze phototan meiner Bank in Verbindung mit einer entsprechenden app (mobilescan), um den QR der Rechnung zu scannen.
Ist es sicherer, wenn ich den code via sms schicken lasse, anstatt photo-tan einzusetzen. Könnte für phototan auch noch ein entsprechendes Gerät kaufen. Das wäre wohl sicherer; wobei mobilescan und twint (ein Bezahldienst in der Schweiz) dann immer noch Risiken wg. des veralteten Androids (Android 9) darstellen

Ich habe für meine Banking-Apps ein eigenes Smartphone (Android 10, nicht mehr aktueller Stand), welches ich hier im Forum erstanden habe. Eine SIM-Karte ist in dem Gerät nicht eingelegt und es wird ausschließlich für Überweisungfreigaben und restliche Bankensachen genutzt. Andere Apps sind auf dem Gerät nicht installiert und zum mobilen Surfen wird das Gerät nicht genutzt. Ich denke, dass das relativ sicher ist. Anderen wäre das wohl aufgrund des veralteten Systems nicht sicher genug. Aber wie bereits oben erwähnt: ich bin wirtschaftlich kein lohnendes Ziel und solange die Banking-Apps auf dem Handy laufen, kann mir die Bank schwerlich entgegenhalten, dass das System (zu) unsicher ist. Denn nach meinem persönlichen Dafürhalten müssten diese dann solche Systeme ausschließen.

Worüber man noch nachdenken könnte, wären Konten bei getrennten Banken: eines für laufende Kosten (Versicherungen, Miete, Telekommunikation, Lohn- Rentenzahlung & Co.) und eines ohne Überziehungsmöglichkeit für eBay, Amazon & Co. Dies handhabe ich jetzt seit einigen Jahren so.

 

[Ambrosius]

und nur die Emails öffnen bzw. Links folgen, die von einer legitimen Quelle kommen.

am besten gar nciht auf Links klicken, sondern immer seperat kopieren und inspizieren.

Virustotal.com wenn im Zweifel

 

[der_holzwurm]

Bin ich zu oldschool, wenn ich jetzt schreibe, dass ich Mail als Plain-text anzeigen lasse? Dann sehe ich sofort wohin irgendwelche Links in Mails zeigen.

Und zum onlinebanking sehe ich es auch so. Einen gut geschützten Browser (uBlock origin, ABPlus & Ghostery) zum Banking nutzen und nie alles glauben, was per Mail reinkommt.

 

[Volvo-Berti]

Bin ich zu oldschool, wenn ich jetzt schreibe, dass ich Mail als Plain-text anzeigen lasse? Dann sehe ich sofort wohin irgendwelche Links in Mails zeigen.

Und zum onlinebanking sehe ich es auch so. Einen gut geschützten Browser (uBlock origin, ABPlus & Ghostery) zum Banking nutzen und nie alles glauben, was per Mail reinkommt.

Ich lasse mir Mails üblicherweise nie so anzeigen, nur extremst selten sehe ich da Erfordernis. Brain.exe wurde ja schon genannt.

Erst mal nix glauben, was per Mail reinkommt und das Konto betrifft. So halte ich das. Dann wieder Brain.exe in Betrieb nehmen und lesen und schauen, ob das alles plausibel ist.

 

[fakiauso]

Bin ich zu oldschool, wenn ich jetzt schreibe, dass ich Mail als Plain-text anzeigen lasse? Dann sehe ich sofort wohin irgendwelche Links in Mails zeigen.

Dito!

Hindert außerdem irgendwelchen versteckten HTML-Code am Ausführen für das Nachladen von u.U. "komischen" Dingen.

 

[schdrag]

nutze am besten eine separate Software wie Hibiscus/Jameica für´s Banking und dichte ansonsten den Browser mit Script- und Werbeblocker, setze für den Bankzugang ein Lesezeichen

Da muss ich meine Bank (Raiffeisen Schweiz) fragen, ob/wie ich Hibiscus o.ä. einsetzen kann. Gehe über den browser in's online banking.. Wie meinst Du das mit dem Leerzeichen? Mein login ist von der Bank vorgegeben (Zahlenkombination mit Bindestrich dazwischen), da kann ich nichts ändern.

eines ohne Überziehungsmöglichkeit für eBay, Amazon & Co.

Heisst das, auf diesem Konto ist nix d'rauf und nur für einen bstimmten Einkauf überweisst Du dann die genau passende Summe? Bei prof. Internet Händlern nutze ich Vorauszahlung via IBAN, für axxxxxxxxx die Kreditkarte (vielleicht besser eine Debitkarte?). Bei den Verkaufsplattformen wie tutti.ch oder ricardo.ch entweder Vorausbezahlung via Überweisung oder twint (Bezahldienst). Ist die Bekanntmachung der Kontodaten wirklich so ein Problem (mache ich ja automatisch bei einer Überweisung)?

Beitrag automatisch zusammengeführt: 7 Nov. 2025

Kann nur zustimmen dass die Distro oder sogar Windows im Endeffekt kaum einen Unterschied macht. Der Browser muss sicher sein, die Login-Methode sollte 2FA in irgendeiner Form beinhalten, und man sollte einen Skriptblocker verwenden und nur die Emails öffnen bzw. Links folgen, die von einer legitimen Quelle kommen.

also dann ist es egal, ob Windows mit aktuellen updates oder irgendein Linux/BSD, solange der browser sicher ist plus die von Dir angesprochene Vorsicht bei emails, oder?

 

[L0nestar]

Wie meinst Du das mit dem Leerzeichen? Mein login ist von der Bank vorgegeben (Zahlenkombination mit Bindestrich dazwischen), da kann ich nichts ändern.

Ich lese "Lesezeichen", nicht "Leerzeichen" im Beitrag von @fakiauso

Hintergrund dürfte sein, dass man nicht einem irgendwo angegebenen (und ggf. manipulierten) Link folgt, sondern die Seite immer über das eigene Lesezeichen aufruft.

 

[L512USER]

Heisst das, auf diesem Konto ist nix d'rauf und nur für einen bstimmten Einkauf überweisst Du dann die genau passende Summe? Bei prof. Internet Händlern nutze ich Vorauszahlung via IBAN, für axxxxxxxxx die Kreditkarte (vielleicht besser eine Debitkarte?). Bei den Verkaufsplattformen wie tutti.ch oder ricardo.ch entweder Vorausbezahlung via Überweisung oder twint (Bezahldienst). Ist die Bekanntmachung der Kontodaten wirklich so ein Problem (mache ich ja automatisch bei einer Überweisung)?

Nicht ganz, es ist immer ein ganz kleiner Betrag vorhanden. Aber in der Tat ist es so, dass wenn eine größere Anschaffung im Raum steht (über 100 Euro), muss ich zunächst Geld von einem auf das andere Konto überweisen (was bei meinen Kontomodellen nur mit einem kleinen zeitlichen Aufwand verbunden ist).

Die Weitergabe von Bankdaten sehe ich jetzt nicht ganz so kritisch. Hintergrund dieser Trennung war vielmehr der Umstand, dass ich nicht wollte, dass man mir bei einem erfolgreichen Angriff auf mein Amazon- oder eBay-Konto über Käufe mein einziges Konto „leerräumt“ und ich meinen laufenden Zahlungsverpflichtungen nicht nachkommen kann. Diese Trennung habe ich schon vor vielen Jahren eingerichtet, bevor 2FA Standard wurde.

In Deutschland gibt es einige Neo- / Direktbanken, welche noch kostenlose Kontomodelle anbieten. Deshalb behalte ich mein altes System vorerst bei. Zudem hat es sich als sinnvoll erwiesen bei mindestens zwei Kreditinstituten Kunde zu sein, da man mir in den letzten zehn Jahren wegen Postrückläufern zwei Mal das Konto temporär gesperrt hat, inklusive EC-Karte. Und dann telefoniert man nachmittags mit dem Kundenservice und führt „witzige“ Gespräche über das Beschriften von Briefkästen (was die hiesige Hausverwaltung macht), nur weil der Postbote nicht in der Lage ist meinen Namen auf dem WG-Briefkasten zu finden.

 

[fakiauso]

Da muss ich meine Bank (Raiffeisen Schweiz) fragen, ob/wie ich Hibiscus o.ä. einsetzen kann. Gehe über den browser in's online banking..

Zu freier Software werden die Dir genau gar nix sagen;-)

Schaue lieber im WIki, aber ich gehe davon aus, dass Banking auch damit funktioniert statt per Browser. Kritischer ist da wie erwähnt eher das Sicherheitsverfahren mit TAN und Kartenleser/2FA, weil die Leser nicht immer oder ohne Verrenkungen genutzt werden können.

 

[hikaru]

Worüber man noch nachdenken könnte, wären Konten bei getrennten Banken: eines für laufende Kosten (Versicherungen, Miete, Telekommunikation, Lohn- Rentenzahlung & Co.) und eines ohne Überziehungsmöglichkeit für eBay, Amazon & Co. Dies handhabe ich jetzt seit einigen Jahren so.

So ist das bei mir ebenfalls seit über 10 Jahren.
Auf meinem "Shoppingkonto" sind etwas mehr als 100 Euro, so dass es reicht alle paar Monate nachzufüllen. Dafür ist mein laufendes Konto vollkommen offline. Ich muss also für jede Transaktion eine Filiale oder zumindest einen Automaten aufsuchen.