Zitat geschrieben von carphone66
Mein Kartenleser ist gestern eingetroffen.
Du solltest zur Vermeidung von Verwirrungen, besonders bei Personen, die wenig Ahnung haben, den Begriff "Kartenleser" hier nicht verwenden. Ein Kartenleser ist ein Ding - mit oder ohne Zahlentastatur zur Eingabe der Karten-PIN und mit oder ohne Display zur Anzeige von irgendwelchen Werten, der
am PC angeschlossen ist - heute meist per USB, früher seriell. Dieser wird für die klassische Variante von HBCI mit Chipkarte (spezielle HBCI-Chipkarte, nicht ec- bzw. Girocard) benutzt, bei der die Aufträge nach Eingabe der KartenPIN durch eine Signatur freigegeben werden - ohne TAN. Weiter werden Kartenleser für irgendwelche Signaturkarten verwendet und auch für den neuen Personalausweis - hier in der kontaktlosen RFID-Variante. Dies alles bietet SPARDA DV nicht an. Hier gibt es das Verfahren chipTAN, bei dem unter Verwendung der Giroccard eine auftragsbezogene TAN erzeugt wird - nachdem die Auftragsdaten per Flicker-Code am Bildschirm auf das Gerät übertragen wurden.
Und
dieses Gerät heißt TAN-Generator - und eben nicht Kartenleser. Ich hoffe diese Ausführunge helfen ggf. Leuten, die im Unklaren sind.
Zitat geschrieben von carphone66
Die Sparda BW prescht hier etwas vor und schreibt "gesetzliche Gründe" würden die Änderung zum 1. Januar erzwingen.
Ich bin nun wahrlich kein Freund der SPARDA DV, aber "vorpreschen" kann man ihr nun absolut garnicht vorwerfen. iTAN ist bei fast allen Banken längst abgeschafft worden - und das teils seit Jahren schon. Über die Unsicherheit von iTAN brauchen wir auch nicht diskutieren, die ist erwiesen. Nachdem Kunden teilweise so intelligent sind, und die komplette Liste zu "Prüfzwecken" in ein Phisching-Formular eingegeben haben. Und eben auch wegen dem fehlenden Bezug zum einezelnen Auftrag. Inwieweit TANs per SMS unsicher sind, streitet man sich noch. Allerdings gibt es da zu beachten, daß die Sicherheit eigentlich komplett von einer dritten Partei und deren Abläufen (nämlich dem Mobilfunkunternehmen) abhängig ist, welches für SMS eigentlich überhaupt keinerlei Sicherheit vorsieht. Dass es möglich ist, da SMS umzuleiten (insbesondere bei Multicards) oder gleich ohne Wissen des Kunden an Ersatz-SIMs zu gelangen, wurde ja schon ausgenutzt. Insofern sind SMS-TAN sicher nicht unproblematisch. chipTAN ist hier mit Sicherheit die sicherste Variante seit vielen Jahren und bis jetzt soweit ich weiß auch in keiner Weise erfolgreich angegriffen worden. Diese App-Freigabe, die die SPARDA DV anbietet, ist sicher auch nicht schlecht, solang sie auf einem anderen Gerät stattfindet als die Banking-Session. Wenn ich jetzt allerdings lese, daß die auch eine "App für Windows" und demnächst eine "App für macOS" haben, die dann auf dem gleichen Rechner läuft, wie die Bankingsession, dann bekomme ich arge Zweifel, ob das sicher ist, bzw. überhaupt komplett abgesichert werden kann. Und: Pferdefuß bei den Freigabe-Apps von SPARDA DV ist ja wieder mal, daß sie via HBCI nicht nutzbar sind.
Direkte Gesetze gibt es natürlich für so etwas nicht - es wäre wohl auch albern, wenn sich die Bundesregierung und der Bundestag mit Detail-Fragen zu TAN-Varianten beschäftigen würde. Aber es gibt sehr wohl Vorgaben und Leitlinien der entsprechenden Aufsichtsbehörden - in .de die BAFIN - die sagen, was gut und was böse ist. Sicher nicht im Sinne von "dies ist verboten" - sondern eben verklausuliert. Der Eine liest raus "iTAN ist unhaltbar, muß abgeschafft werden", der andere "iTAN ist suboptimal, aber geht grad noch". Jede Bank wird das für sich definieren und dementspreched handeln. Aber über Eines sollten wir uns auch klar sein: Man wird immer nach dem Nutzen-Aufands-Prinzip handeln. Ein TAN-Verfahren ist immer so gut, wie es damit Schadensfälle gibt. Solange man die noch aus der Portokasse bezahlt, wird man nicht viel Geld in die Hand nehmen, um etwas zu ändern. Wenn man mit sicher erheblichem Investitionsaufwand neue EDV-Verfahren einführt, dann wird sicher vorher die Schadensquote entsprechend hoch geworden sein...
)