Erste BETA des brandneuen BankingZV (und Banking4 v7) für Desktop Computer

was ist zukunftssicher, niemand kann sagen ob es die aktuellen Verfahren in 20 Jahren noch gibt.
es wurde ja bisher versucht von der community die mittelfristig verbleibende System zu benennen.

die aktuellen Bewegungen sind so schnell, dass die Banken im Prinzip nicht mitkommen bzw. die max. Laufzeit/Übergangszeit benötigen. Aber auch diese Punkte hatten wir schon und dort hatte ich mit "Rückblick" die IBAN-Umstellung und parallel "vorausschauend" das Instant Payment bzw. PSD2 / XS2A API-Schnittstelle genannt.

Meine Sparkasse hat auch meinen Zugang per HBCI-Karte zum 5. November 2018 gekündigt. Aber bis jetzt funktioniert der Zugang noch .

Nein, so ist das nicht.

Fangen wir mal mit der alten Sparkassen-Chipkarte an. Das Verfahren heißt DDV. Da wird mit symmetrischem Schlüssel gearbeitet. Also auf der Karte (werksseits) und auf dem Bankrechner ist der gleiche Schlüssel drauf. Mit dem einen Schlüssel kann sowohl auf der Sender-Seite signiert und auf der Empfängerseite die Korrektheit der Signatur überprüft werden. Die Signaturen werden auf dem Chip erstellt, der Schlüssel verlässt die Karte niemals. Die Karte besitzt einen Signaturzähler, wenn der überläuft ist die Karte kaputt. Kam bei Firmenkunden, die viele Aufträge hatten, schon vor. Die Schlüssellänge ist immer noch die selbe wie vor 20 Jahren - heute ist das "zu kurz". Die Sparkassen hatten mal ein neues Chipkartensystem entwickelt. Dabei wurde nachträglich vom Kunden mit einer Software ein Zertifikat auf die normale Sparkassencard aufgebracht und dann damit HBCI gemacht. Dieses Verfahren haben wohl die meisten Kunden nicht verstanden, es hat extrem viel Supportaufwand generiert und die Auftragsdaten wurden auch nicht auf einem extra Display (Leser, Generator, Smartphone) angezeigt. Dieses neue Verfahren wurde nur von recht wenigen Sparkassen eingeführt und nach ca. 1 Jahr wieder beendet und aufgegeben. Wenn die DDV-Chipkarten aufgegeben sind, haben die Sparkassen KEIN Chipkartenverfahren für Privatkunden mehr (außer chipTAN). Eine Schlüsseldatei gab es bei den Sparkassen nie.

VR-Banken und einige private Banken (HVB, DeuBa, ComBa) hatten zuerst das Schlüsseldateiverfahren namens RDH. Dabei wird auf dem Kundenrechner ein asymmetrischer Schlüssel generiert, der geheime Teil wurde in einer Datei mit Passwort gespeichert (anfangs "Schlüsseldiskette", später usb-Stick), der öffentliche Teil wird bei der Initialisierung online an den Bankrechner gesendet und Fingerprints davon auf dem INI-Brief abgedruckt. Dieser wird unterschrieben und an die Bank gesendet - damit kann die Bank die Echtheit des übertragenen Schlüssels überprüfen und ihn freischalten. Teilweise kann die Freischaltung auch der Kunde selbst im Onlinebanking mit einer TAN vornehmen. Das Verfahren wurde bei den VR-Banken stetig weiterentwickelt - mit längeren Schlüsseln usw. Gestartet wurde mit RDH-1, inzwischen gibt es RDH-10. Die Privatbanken hinken da hinterher, da wird teilweise heute noch RDH-1 eingesetzt. Beim Signieren wird der Schlüssel von der Datei in den Hauptspeicher des Computers geladen und nach Entschlüsselung mit dem Dateipasswort die Signatur erzeugt. Böse Programme können also sowohl die Schlüsseldatei kopieren als auch den Schlüssel unverschlüsselt im RAM abzweigen...

Eine weitere Weiterentwicklung sind die RDH-Chipkarten. Auf den ersten wurde bei der Initialisierung der Schlüssel IM CHIP erzeugt, mit dem öffentlichen Teil wird verfahren wie bei der Schlüsseldatei. Der geheime Teil jedoch verlässt nie den Chip. Signaturen werden auch IM CHIP erzeugt. Und bei einem Leser mit PIN-Pad wird die Kartenpin auf der Lesertastatur eingegeben, also ist auch diese nie im RAM vorhanden. Somit kann der Schlüssel selbst nicht abgezweigt werden und die PIN auch nicht. Und die Schlüssellängen wurden immer wieder erhöht. Inzwischen gibt es im VR-Bereich auch vorpersonalisierte Chipkarten, da sind die Schlüssel werksseitig schon drauf, diese werden im Bankrechner dann mit dem/den entsprechenden Konten verknüpft und der Kunde kann sie sofort verwenden, wenn er sie bekommen hat. Diese sind allerdings vom Handling her so kompliziert, dass nur kommerzielle Software damit umgehen kann, open-source wie z.B. hibiscus nicht.

Und dann gibt es damit auch noch Versionen, wo die Daten, über die eine Signatur erzeugt wird (also letztlich der Auftrag) vorher auf dem Leser-Display angezeigt wird. Somit ist diese Überprüfung auch möglich. Allerdings ist das Ergebnis dann am Ende fast das Gleiche wie beim chipTAN-Verfahren über usb. Insofern haben sich die Sparkassen neue Chipkartenverfahren wohl gespart. Aber die aktuellen RDH-10-Verfahren ("VR-Networld-Card") von VR sind schon auf der Höhe der Zeit, insofern kann ich mir nicht vorstellen, dass diese so schnell beendet werden.

Mit der chipTAN-usb-Variante wäre das ja kein Problem, wenn nicht folgende Punkte existierten:

1. Dabei würde mich interessieren, wie diese Kontrolle der Transaktionsdaten bei Sammelaufträgen gemacht werden soll. Sowas wie die (eh untauglichen) ehemaligen Prüfwerte der DTAUS-Dateien (Summe Kontonummern, Summe BLZ) gibt es ja bei SEPA.XML nicht, soweit ich weiß. Sprich, man bräuchte einen Fingerabdruck oder sowas, was man im Leserdisplay anzeigen und prüfen könnte.

2. Viel helfen würde es dabei auch, wenn sich alle Banken dazu durchringen könnten, das BatchBookingFlag zu beachten.

3. Bleibt zu hoffen übrig, dass sich ein Leser-Hersteller findet, der eine OK-Taste vielleicht aus Stahl einbaut, die eine sehr große Anzahl von Betätigungen aushält. Die üblichen Gummiquietschtasten werden da nicht lange halten...

Derzeit ist das nicht vorgesehen, was die Zukunft bringt kann man schwer sagen... Praktisch wäre es vielleicht schon. Wobei ich mir nicht sicher bin, ob das "geht". Bei NFC Anwendungen wird, soweit ich weiß, nur was aus dem Chip ausgelesen, bei der TAN-Generierung wird auch was reingeschrieben, was mit in die TAN eingerechnet wird (mindestens Betrag und IBAN). Dazu wird der Chip wohl Energieversorgung brauchen!?

Wäre auch irgendwie zu verstehen. Wenn es über NFC ginge, würde sicher sofort wieder das Horrorbild vom bösen Buben, der mit einem Leser am Hintern eines armen Benutzers rumfummelt und damit von der Girocard, die im Portemonnaie des ahnungslosen Benutzers steckt, eine TAN für seine Überweisung nach weiß Gott wohin erstellen lässt.

Wird das überhaupt automatisch aktualisiert? Hab ich noch bei keinem Konto/Kreditkarte erlebt...

Hallo zusammen,

es steht ab sofort eine neue BETA mit der Versionsnummer 7.0.0.6905 zum Download bereit. Folgende Änderungen wurden vorgenommen:

• Unter "Kontenliste bearbeiten" können die Konten auch alphabetisch sortiert werden.
  
• Das Layout des Hauptbildschirms wurde überarbeitet und entspricht nun (ungefähr) der Banking4 Version für macOS. In der Standardeinstellung ist die neueste Buchung jetzt oben und nicht unten. Kann aber jeder selber wieder umstellen, wenn man das möchte.
  

Durch das neue Layout empfiehlt es sich das Spaltenlayout der einzelnen Tabellen zurückzusetzen, damit diese wieder eine passende Größe haben.

So, und jetzt kommen sicher wieder Beschwerden, wie furchtbar doch das neue Layout ist.

Bei mir hat sich (erkennbar) nichts geändert. Noch nicht einmal der Ort für die neuen Buchungen: unten wie immer und wo's auch hingehört. Spalten hatte ich schon immer stark reduziert. Ich brauche zum Beispiel keine Symbole - die eh nie hinhauen. Und meinen eigenen Namen kenne ich auch. So gerne ich den gedruckt sehe, er muss nicht in jeder Buchungszeile auftauchen.

Insgesamt ist die Tabelle jetzt größer als vorher. Es gibt jetzt rund um die Tabelle keine weißen Ränder mehr, die Tabelle geht jetzt links, rechts und unten bis an den "Anschlag". Durch das Verschieben des Saldos nach oben wurde damit sogar zusätzlich Platz geschaffen.