GAD Banken erkennen für Transaktionsdaten

Ich habe nicht sagen wollen, dass andere Verfahren unsicher seien und falls dies so rübergekommen ist, dann nehme ich es gerne zurück - ich denke halt nur über einen Wechsel nach, da ich ja schon ein Lesegerät habe und auch die Idee alle Verbindungen in einer Software gebündelt zu haben interessant finde. Ohne den Leser der bei mir rumliegt würde ich vielleicht gar nicht an HBCI denken und falls HBCI/Chipkarte würde ich halt nur die Banken in Betracht ziehen, die Transaktionsdaten anzeigen.

Wobei ich ja nicht der einzige hier im Forum zu sein schein, der sich fragt ob Secoder Vorteile gegenüber Chiptan bietet.
http://onlinebanking-forum.de/forum/topic.php?t=12756
und das ist nicht der einzigeThreads, in welchen ganz selbstverständig geschrieben wurde, dass bei der Chipkartenversion eine asymmetrische Verschlüsselung genutzt wird - wie im Thread geschrieben wurde, aber zusätzlich noch die elektronische Signatur und in den Standardbeschreibungen der hbci-zka steht halt noch, dass neben Transport auch Daten verschlüsselt sind, wie ich oben verlinkt habe. Wenn es nicht so ist, warum schreiben die es dann?

Davon abgesehen habe ich mich natürlich nicht hier angemeldet, um über technische Feinheiten zu streiten, sondern ich wollte damals wissen, ob es für mich praktikabel ist, oder ob ich z.B. Chiptan nutzen sollte - dies wäre mit meinem Lesegerät aber nicht möglich oder? Da bräuchte ich wieder ein neues.

@Raimund: Verstehe ich das richtig? Dir ist ein Fall bekannt, wo Übeltäter an eine gültige chipTAN gekommen sind? Durch abschwatzen??

Wie darf ich mir das vorstellen? Mich ruft jemand an und sagt mir, ich soll ihm eine TAN erzeugen? Wie brachte man die Transaktionsdaten auf den Leser? Normalerweise geht das ja wohl per Balkengrafik, was hier ja schlecht funktioniert. Ließ man sie also nach Ansage am Telefon per Hand eintippen? Und da hat ein Kunde mitgemacht? Wenn dem so war, dann fällt mir nichts mehr ein. Und: So ein Kunde steckt dann doch wohl auch auf Befehl die Chipkarte ein und überweist gleich direkt auf Diktat nach Rußland oder sonstwohin!?

@Raimund

Danke für die Hinweise. Ja du hast zum großen Teil verstanden, wo meine Probleme liegen.



Auch wenn ich den Inhalt verstehe und auch weiß, was Signatur bedeutet - auch unabhängig von Verschlüsselung und wie sie genutzt werden kann, verstehe ich nicht, warum dies in den Standards erwähnt werden sollte. Sind diese Schriften schon so alt? (siehe deinen Bezug zu BTX) Warum sollte ich mit HBCI eine unverschlüsselte Nachricht signieren wollen? Laut Wiki geht HBCI bis ins Jahr 1995 zurück und da gab es ja durchaus schon Verschlüsselungen und Signaturen, aber wahrscheinlich hast du eher recht.

Ich versuche es nochmal ganz klein auseinander zu nehmen, damit wirklich klar wird, was ich verstanden hatte. Sicherlich nutzen Pinverfahren die Übertragungsverschlüsselung TSL - also kein Problem und ich halte diese auch nicht für unsicher. Jeden Tag nutzen wir diese für Browse sowie Email usw. Bei E-Mails kann man hier aber noch die Zusatzsicherheit der Datenverschlüsselung und nicht nur Transportverschlüsselung nutzen, also sowas wie PGP und selbst falls der Transport geknackt werden sollte (großes Fragezeichen) kann der Missetäter nichts damit anfangen, da er die privaten Schlüssel nicht besitzt (gibt dann noch Erweiterungen aber dies sei mal dahingestellt).
https://netzpolitik.org/2013/a…s-mit-pgp/
http://blog.adacor.com/sicher-mailen-tls_1475.html

Und die Spezifikationen von HBCI Chipkarte unter Verschlüsselung haben bei mir den Eindruck erweckt, dass es sich hierbei um ein ähnliches System handelt, dass selbst bei geknackter Übertragung die Daten unleserlich sind, da sie speziell nur für den einen Empfänger verschlüsselt wurden und zwar mit seinem Schlüssel, während dies bei TLS auf den Fall ankommt, der dann entscheidet, ob die Verschlüsselung etwas nützt oder nichts wie z.B. bei einem man in the middle oder dns spoofing Angriff.

Vielleicht mache ich aber auch den Fehler, dass ich zwei Dinge miteinander vergleiche, die nur bedingt etwas miteinander zu tun haben - sicherlich die Berechnungen werden ähnlich sein, aber die Bank wird meine Anweisungen ja wieder entschlüsseln müssen - also wäre ein System á al PGP wohl unsinnig. Die Signatur geht noch den Tanverfahren abhanden.

Zum Verständnis: BTX wurde 1983 bundesweit eingeführt, die Standards wurden noch früher entwickelt. Erstens gab es damals noch keine Massenverschlüsselung und zweitens brauchte man die auch nicht, weil BTX ja kein "öffentliches Netz" war. Das war im Prinzip ja leitungsvermittelt und Zugriff hatte darauf nur die Deutsche Bundespost. Vom Kunden eine exklusive Post-Leitung zum lokalen BTX-Rechner - sowohl diese als auch alles was weiter führte war in der Hand der Post. Und auch der als externer Rechner angebundene Bankrechner wurde über exklusive Post-Leitungen angebunden. Daß sich da jemand dazwischenhacken würde, sowas gab's damals nicht. Sämtliche Sicherheit aller Dialoge war rein auf diese exklusiven Leitungsverbindungen ausgelegt.

Erst viel später kam das Internet und damit das Internetbanking. Hier war plötzlich alles öffentlich und mußte verschlüsselt werden. Bis das entwickelt war, dauerte es. Und vorsichtige Banken - wie z.B. die Hypo-Bank in München, kamen mit ihre Internetbanking erst ewig später heraus als die Konkurrenz, weil sie dem offenen Netz und der damals noch in den Kinderschuhen steckenden Massenverschlüsselung nicht trauten...

Von wegen Geschwindigkeit: DTAUS-Dateien wurden damals von der Kundensoftware im Klartext in Eingabefelder des BTX-Systemes eingetragen. Man konnte beim normalen BTX-Anschluß definitiv dabei zuschauen und mitlesen. Grund dafür war, daß beim normalen Teilnehmeranschluß eine "BTX-Anschlußbox D-BT03" verwendet wurde - ein Spezialmodem mit 1200/75 Baud. 1200 in Empfangsrichtung, nur 75 in Senderichtung. Man hatte das so ausgelegt, weil in Senderichgung ursprünglich nur der tippende Mensch vor dem Gerät angedacht war, und der konnte nicht schneller tippen... dass dann später Maschinen da Daten eingeben würden, ahnte am Anfang keiner. Schnellere Zugänge mit "normalen" Modems mit 1200/1200 und 2400/2400 konnten zwar auch verwendet werden, aber die Zugänge waren eigentlich nur zum Pflegen und Hochladen von BTX-Seiten gedacht und dementsprechend teurer und voallem Einwahlen dazu nur in sehr großen Ortsnetzen vorhanden, der Großteil der Nutzer hätte hierfür Ferngesprächsgebühren (und das am Tag!) zahlen müssen, somit wurden auch von vielen Firmen, die el. Banking betrieben, nur die Standardanschlüssel benutzt und dann eben beim Eingeben der Daten der Datei zugeschaut. Ganz übel war's, wenn man 30min lang eine große DTAUS-Datei eingefüttert hatte und es dann auf der letzten Seite (vor Abfrage der TAN) ein Knacks auf der Leitung vorkam und die Verbindung abbrach. Dann ging's alles wieder von vorne los. Hach, das waren noch Zeiten