S: Homebanking Software zur Unterstützung von Klasse 3 Leser

Hallo Christian,

sorry, aber wir geben hier grundsätzlich keine Empfehlungen zu Softwareprodukten, da die meisten von uns in irgendeiner Form speziell mit einem Produkt oder einer Produktreihe beruflich zu tun haben. Das Einzige was wir machen können, ist Dir Hinweise zu geben, wenn sich spezielle Produkte aufgrund deiner Anforderungen ausschliessen.
Dies vorab.

Zu deinen Anforderungen:
Eigentlich hast Du keine Anforderung gestellt, die eine Standardbanking Software heute nicht erfüllt, mit einer Ausnahme:
Unterstützung Klasse 3 Funktionalitäten beim Banking.
Diese Möglichkeit besteht bei keiner Software, da Sie schlicht nicht sinnvoll nutzbar ist. Die Klasse 3 Funktionalität bedeutet vereinfacht gesagt, dass Du dass, was signiert werden soll im Display deines Kartenlesers angezeigt werden soll. Wenn eine einfache Überweisung 14 Verwendungszweckzeilen mit 27 Zeichen hat, der Betrag und die Empfängerdaten auch noch angezeigt werden sollen, hast Du in dem zweistelligem Display sehr viel zu scrollen. Daher macht der Klasse 3 Leser derzeit nur beim Bezahlen im Internet mit der Geldkarte Sinn.
Grundsätzlich funktionieren wird der Klasse 3 Leser wohl mit allen gängigen Programmen -allerdings nur als Klasse 2 leser.

Gruß

Holger

Hallo Holger,

nimm dies bitte nicht persönlich, denn es geht weder gegen dich, noch gegen irgendein anderes Forenmitglied, eine Firma oder eine sonstige Person oder Institution.



Ja, dieser Text muß hier irgendwo auf einem Button versteckt sein, den ich bisher noch nicht gefunden habe...

Leider stößt er mir aber etwas bitter auf, denn er hat etwas von "eine Krähe hackt der anderen kein Auge aus". Ich weiß selber, daß fehlerfreie Software veraltet ist und das leider neue Features ebenso wie Bugs auf die große Prioritätenliste kommen und dort dann schonmal ein Bug einige Versionen lang gegenüber neuen Features verliert - kleines Einmaleins der Software-Entwicklung. Ich weiß auch, daß hier leicht ein Flame-war entstehen kann, wenn einer anfängt, die Schwächen des anderen auszubreiten und das die Abmahn-Keule inzwischen so locker sitzt, daß diese auf dem Fuße folgen würde.
Allerdings hatte ich eigentlich gehofft, daß dieses Forum mehr ist, als eine Außenstelle der Support-Abteilungen, die alle brav in ihren Gruppen die üblichen Benutzerprobleme lösen.
Ich hatte nicht wirklich eine Kaufempfehlung erwartet. Was ich mir erhofft hatte war ein "Ich weiß, daß dieses Produkt es kann, was nicht heißt, daß andere es nicht auch können." oder vielleicht ein "Ich nutze dieses Produkt und es kann das." Eine Liste mit Programmen die etwas können heißt noch lange nicht, daß die anderen das nicht können. Aber sie heißt, daß der Autor der Liste sich sicher ist, daß genau dieses Programm/diese Programme das können.



Leider habe ich es mit meiner aktuellen Homebanking-Software - trotzt befolgen aller Ratschläge des sehr fleißigen und bemühten Supports - nicht geschafft, meinen Leser voll als Klasse 2-Leser zu nutzen: Sie will die PIN in den Computer eingegeben haben. Die Software ist übrigens aktuell, ebenso wie alle (Software-)Komponenten, die irgendwie damit zu tun haben könnten.



Wenn das tatsächlich das Problem schlechthin wäre, hätte man dem Leser sicher früher oder später ein 10-zeiliges Display eingebaut - Kostet zwar etwas mehr aber wer viel Verwendungszweck verwendet, wird das zu schätzen wissen. Oder man hätte einfach in der Software die Option zum Umschalten zwischen Klasse 2 und 3-handling implementiert. Scheint ja immerhin mit Klasse 1 und 2-handling nicht so das Problem zu sein. Oder man könnte die Transaktion auch einfach bestätigen ohne alles zu lesen oder zu scrollen. Sicherheit angeboten bekommen und angebotene Sicherheit nutzen sind doch eh zwei paar Stiefel.

Es stellt sich dabei sowieso die Frage, seit wann Sicherheit eigentlich "einfach" ist. Wenn Sicherheit einfach und billig wäre, würde es dafür sicher keinen florierenden Markt geben. Wozu haben wir denn Unterschriften - egal ob elektronisch oder nicht? Warum haben Karten aller Art PIN-Nummern? Wozu haben wir Sicherheitsschlösser an unseren Haustüren und warum verwenden wir nicht für den Tresor den selben Schlüssel wie für die Haustür, die davor ist? Warum haben SIM-Karten eine PIN? Warum werden Karten deaktiviert, wenn man dreimal die falsche Identifikation verwendet hat? Warum verwenden wir Firewalls auf unseren Rechnern, die sich (wenn sie "sicher" eingestellt sind) regelmäßig extrem pingelig melden, wenn wir irgendwie ins Netz kommunizieren und warum haben Firmen noch extra Admins, die sich NUR um die Firewalls kümmern, wo das doch alles so einfach von jedermann an jedem Windows-PC zu machen ist? Warum haben wir Virenscanner, die uns das Leben schwer machen? Wozu Kennwörter in der kompletten IT? Verschlüsselungen? Wo ist da jetzt bitte "einfach"? Sicherheit kennt das Wort "einfach" nicht.
"Einfach" beim Homebanking ist, PIN und TAN in der Homebanking-Software zu speichern. Noch "einfacher" ist es, die Karten-PIN für HBCI in der Software zu speichern. Noch "einfacher" ist es natürlich, das Geld an einem frei zugänglichen Platz in Schein und Münze zu lagern. "Einfach" wäre auch, die (Haus-)Tür einfach offen stehen zu lassen, denn dann müßte man nicht jedesmal den Schlüssel aus der Tasche kramen, nur weil man durch will.

Soviel zum Thema Sicherheit und "einfach". Was mir allerdings noch viel mehr Sorgen macht, ist die Arglosigkeit des Personals in Banken. Ich möchte hier niemanden angreifen und ich bin mir sicher, daß es genügend Ausnahmen gibt, allerdings bin ich bisher in Banken und Sparkassen ebenso wie im Bekanntenkreis nur Bankangestellten begegnet, die ich in Sachen IT- und damit auch Online-Banking-Sicherheit als inkompetent bezeichnen würde (was nicht heißt, daß ich mich deswegen als Kompetent ansehe, allerdings setze ich bei den Meistern der Schlüssel, Tresore und des Geldes berufsbedingt etwas andere Maßstäbe an als bei mir.). Der Grundtenor ist immer: PIN/TAN ist total sicher, da kann nichts passieren. 95% wissen nichteinmal, daß es Online-Banking auch per Chip-Karte gibt. Man bekommt ja sogar Bank-Software empfohlen, in der man ganz praktisch alle PIN/TAN speichern und verwalten kann. (Angepriesenes Feature)
Sicherheitsprobleme gibt es da selbstverständlich nie und auf die Ausschlußbedingungen in der Internet-Banking-Zusatzvereinbarung angesprochen heißt es meist, daß das nur pro Forma sei und es sei ja noch nie etwas vorgekommen.
Leider vertrauen die meisten Leute ihren Bankberatern - was sollen sie auch anderes machen, wenn sie inzwischen ganz glücklich mal Online sind und der Herr von der Bank, bei dem man ja schon seit 20 Jahren Kunde ist und der einen immer gut beraten hat, hat gesagt, daß das alles gar kein Problem und sicher sei - und wo ist Geld sicherer als bei der Bank?

Um mal wieder zum Thema zurückzukehren: Wo erwartet man dann noch etwas? Bei den Hotlines der Software-Hersteller kommen Ratschläge wie "Schalten sie die Option 'Klasse 2: Wenn möglich die sichere PIN-Eingabe nutzen' aus". Der Normalanwender hat keine Ahnung was das eigentlich bedeutet. "Sie haben ein sicheres Auto, aber lassen sie immer den Schlüssel stecken."
Die "Fachzeitschriften" im Bereich IT vergleichen bei Homebanking-Programmen anscheinend auch eher die Featureritis und Bequemlichkeit als wirklich die Sicherheit.
Dann bleiben also nur noch Internet-Foren und dann kommen Aussagen wie deine Einleitung. Es ist immerhin schon einmal toll, daß hier versucht wird, den Leuten Aktionen wie "ich speichere meine HBCI-Pins" oder "ich schreibe meine PINs auf meine Karten" auszutreiben, allerdings fühle ich mich sonst ähnlich ungelesen und unverstanden wie bei den meisten Support-Hotlines für egal was und worin mich Vader mit folgendem wieder bestätigte:

(Ich habe den Grund mal etwas hervorgehoben.)

Was mich eigentlich noch interessieren würde: Nachdem hier das Fachpersonal extremst vertreten ist und somit den meisten anwesenden die Sicherheitsrisiken bekannt sein sollte, ebenso wie die verschiedenen Verfahren: Wie viel Prozent hier trotz Alternativer Möglichkeiten PIN/TAN nutzen und viele Prozent davon wiederum PIN und oder TANs in ihrer Software deponieren. Ich würde beides auf deutlich über 50% ansetzen.

Fakt ist jedenfalls, daß ich mir - voreilig - eine Homebanking-Software gekauft habe, die es bisher nicht geschafft hat, meinen Kartenleser überhaupt voll als Klasse 2-Leser zu nutzen. Fakt ist auch, daß ich mir - anscheinend ebenso voreilig - danach einen Klasse 3-Leser gekauft habe, zu dem du mir jetzt gesagt hast, daß er - abgesehen von der Bezahlung im Internet - rausgeworfenes Geld ist.

Wenn tatsächlich jemand diesen Beitrag soweit verfolgt haben: Hat vielleicht jemand eine Liste aller Homebanking-Programme für Windows XP für mich oder fällt das auch unter "Wir empfehlen keine Programme..."? Ich bitte aber darum, die 16 Bit-Windows-Programme gesondert zu Kennzeichnen oder gleich ganz wegzulassen, soweit dies gestattet ist und nicht ein Produkt diskriminiert.

Vielleicht möchte sich auch jemand, der HBCI mit Chip-Karte und Leser ab Klasse 2 nutzt outen und mir verraten, welche Software er dafür verwendet? (Die das ja anscheinend problemlos tut, weswegen ich das nicht als negativ und verdammenswert ansehen würde)

Total desilusioniert und frustriert

Christian

PS: Es wäre nett, wenn mir trotz dieses eher negativen Beitrages jemand schreibt und vielleicht auch etwas zu diesem weit gestreuten Thema beitragen möchte...

PPS: Nein, die schlechten Erfahrungen hatte ich mit keinem der vorher genannten Kredit-Institute gemacht, denn ich habe dort einfach nur festgestellt was ich will und das dann auch bekommen über die Kompetenz dieser kann ich keine Aussage treffen. Aber man begegnet auf der Suche nach einer neuen Bank so einigen Kreditinstituten und Kundenberatern...

Mit den berühmten Krähen hat das weniger zu tun. Wenn du zu mir in die Bank kommst, werde ich dir "unsere" Programme anbieten. Da ich die Progs der anderen nicht bis ins Detail kenne (und weil ich natürlich nicht gegen mein Geschäft rede) werde ich dir kein Produkt vom Mitbewerber empfehlen. Was macht denn der Verkäufer von Mercedes, wenn du ihn nach einem Kleinwagen fragst? Smart ! zu Klein, Also A-Klasse ! zu groß ! Bei einem richtig guten fährst du mit nem SLK heim. Er wird dich aber kaum sofort zum VW-Händler gegenüber schicken.
Genau das wollen wir hier nicht. Deshalb geben wir hier keine Empfehlungen ab. Du findest im Forum reichlich Infos zu allen gängigen Programmen. Das sollte neben der bei den meisten erhältlichen Demo eine sehr gute Entscheidungsgrundlage sein.

Vielleicht können wir dir ja doch noch helfen. Deine Anforderungen an Software werden eigentlich von allen aktuellen Progs am Markt erfüllt. Wenn wir es jetzt noch schaffen, deinen Leser als Klasse2 ans fliegen zu kriegen würds doch passen, oder ?
Also gib uns bitte die Infos: Welche Software ?? Eine kurze auflistung der bisherigen "Rettungsversuche" wäre auch hilfreich, damit wir dir nicht allzuviele alte Hüte präsentieren.

Full ack !!

Die Lösung ist recht einfach: Rede mit den Spezialisten! Der armen Schweine an der Front sollen in den Augen der Kunden mindestens allwissend in allen Fragen Bankwesens sein Da ist schon nicht zu schaffen. Der perfekte Schaltermensch bei irgeneiner Bank ist ausgebildet als Bankkaufmann, Versicherungskaufmann, Immobilienmakler, Jurist, Volkswirt, Betriebswirt, Informatiker, Psychologe, ....
Wir Eb-ler hoffen, daß die meisten Kollegen am Markt die Kunden mit weitergehenden (und das ist bei vielen praktisch jede Fage zum EB ) an uns verweisen. Solltest du mich nach einer Anlagemöglichkeit fragen, würde wahrscheinlich auch was geistreiches ala Sparbuch rauskommen. Aber wozu jibbet den Anlageberater ??

In allen mir bekannten Bankingverträgen steht ein Passus, daß das Speichern der Legitimationsdaten verboten ist. Abgesehen von der Unwissenheit des Beraters hast du das Problem selbst oben sehr treffend beschrieben. Der Mittelweg zwischen Sicherheit und Bequemlichkeit wird von jedem anders ausgelegt. Du kannst dir nicht vorstellen bei wievielen Kunden die Tanliste unter der Tastatur liegt oder am Monitor klebt. Die Pin steht bequemerweise gleich drauf. Kein Witz, hab ich selbst schon gesehen. Für diese Kunden ist das Speichern der Daten im Prog in einer verschlüsselten Datenbank ein echter Gewinn.

Ganz soviele werden es nicht sein. das Problem ist aber ganz einfach mal wieder Sicherhiet kontra Bequemlichkeit kontra Geldbeutel. Nach dem Kauf von einer Software und zwei Kartenlesern dürfte das dir bewusst sein. Otto Normalkunde will totale Sicherheit und super Bequemllichkeit und vor allem nix zahlen. Leider drehen imho auch die PC-Vertreiber (z.B. Aldi und Konsorten) für den Normaluser vollkommen am Rad. Multimediaschnickschnack mit TV-Tuner und digitalem Videorecorder und Riesen-Videobearbeitungssoftware. Von diversen Speicherkartenlesern ganz zu schweigen.Das alles braucht keine Sau. Oder kennst du auf Anhieb jemanden, der so einen PC komplett nutzt ? Der Vorletzte Aldi hatte als erster einen Chipkartenleser und WisoMG vorinstalliert. Leider hat der nur PS/SC-Schnittstelle und somit war Essig mit Klasse 2. Der nächste Aldi hat nach dem Flop keinen Leser mehr. Dafür aber siehe oben :evil:

Zur Software nochmal: Grundsätzlich tun sie es alle. Deine Frage nach der Auflistung ist hier bildschirmfüllend beantwortet. Du hast du den gängigsten Progs auch eigene Foren mit weiteren Infos.

Kopf hoch ! Erstmal versuchen wir uns an deinem aktuellen Prog.

Sooo negativ wars garnicht. Du hast mir in einigen Sachen aus der Seele gesprochen.

CU

Frank

Ich hatte vor dem "Konto" das Wort "Tagesgeld-" vergessen. Leider sind das die beiden einzigen Banken, von denen ich auf Anhieb Tagesgeldkonten empfohlen bekam. Und leider unterstützen beide nur PIN/TAN. Meine Sparkasse hat dafür anscheinend keine Tagesgeldkonten im Angebot.

Auch wenn hier grundsätzlich nichts empfohlen wird: Eine HBCI-Chip-fähige Bank oder Sparkasse mit Tagesgeldkonten im Angebot würde ich bevorzugen, soweit es etwas derartiges gibt oder man mir wenigstens einen (mehr oder minder) versteckten Hinweis darauf geben könnte.

Wie Stoney geschrieben hat, muss man hier unterscheiden: Tagesgeld im eigentlichen Sinne wird meist nur noch von Firmen genutzt, die große Beträge in einem Zeitraum von 1-30 Tage festlegen und "parken" wollen. Für den Privatanleger wird dieses spezielle Produkt kaum noch benutzt - und ist von den Zinsen her auch nicht wirklich attraktiv.

Das "Tagesgeld" das die Direktbanken anbieten, ist meist nichts anderes als ein höher verzinstes, oft kostenloses Girokonto, dass deine Gelder täglich verfügbar bereit hält. Deine Sparkasse bietet so etwas eventuell auch selber an, vielleicht heißt es einfach nur anders. Bei der DiBa wirst du so ein Produkt sicher erhalten, nur wirst du beim Homebanking mit denen keine Freude haben. Die DiBa zieht es vor, ihre Kunden nur per Internetbanking zu bedienen, denn nur dort haben sie die Möglichkeit Werbung und Angebote zu platzieren - nutzt du eine Software, kommen sie nicht an dich ran. Darum weigert sich die DiBa auch - mit teilweise haarsträubenden Ausreden - HBCI einzuführen...

Ich würde vielleicht nochmal bei der Sparkasse nachfragen, ob es ein täglich verfügbares, besser verzinsliches Anlagekonto gibt - wenn der Azubi am Schalter "Tagesgeld" hört, sagt er vielleicht gleich: "Ham wa nich", ohne über Alternativen nachzudenken... was schade wäre, aber ich auch schon erlebt habe.

Ein wenig Off-Topic fürchte ich, aber dennoch...:



Im Falle von HBCI ist das Problem noch viel größer: "Signiert" (im Sinne von kryptografisch gesichert) wird von der Chipkarte nicht die komplette HBCI-Nachricht, sondern nur ein Hashwert der HBCI-Nachricht. Diesen Hashwert (20 Bytes) könnte der Leser durchaus anzeigen, bevor der Anwender die PIN für das Freischalten der Signatur-Funktionalität eingibt (wenn ein Leser denn diese *eingebaute* Funktion hätte). Allerdings nützt dem Anwender dieser Hashwert überhaupt nichts, weil er daraus ja nicht mehr auf den ursprünglichen Inhalt der Nachricht schließen kann.

Tatsächlich ist es nun aber so, dass die *Anwendung* steuert, was auf dem Display des Lesers sichtbar ist. Und wenn die Anwendung kompromittiert ist, wird sie natürlich die "richtigen" Daten auf dem Leser anzeigen lassen und gefälschte Daten (bzw. den Hashwert über die gefälschten Daten) signieren lassen.

Einziger Ausweg wäre, dass man einen HBCI-Nachrichten-Parser in einen Leser einbaut. Die Anwendung müsste dann die komplette HBCI-Nachricht an den Leser schicken, der parst die Nachricht und zeigt sie anwenderfreundlich nochmal an (wenn das Display groß genug ist *g), berechnet den Hashwert, signiert den Hashwert und gibt diese Signatur an die Anwendung zurück, die diese Signatur dann in die HBCI-Nachricht einbaut. Nur *so* könnte man wirklich sicher sein, dass auch eine kompromittierte Anwendung keine gefälschten Daten vom Leser signieren lässt.

Aber ich glaube, soweit sind die Leser noch lange nicht...

-Stefan-

Hallo Stefan,



Ich sehe das ganz und garnicht als Off-Topic an..:

Wenn ich dich also richtig verstehe, ist das Display des Klasse 3-Lesers nichts anderes als der Monitor auch: Ich könnte darauf irgendetwas anzeigen oder eben den Hash-Wert, den ich dann von Hand nachrechnen kann? (Keine wirklich erstrebenswerte Aufgabe)

Das heißt ich könnte mir in meiner Paranoia vorstellen, daß jemand einen Trojaner schreibt, der direkt die Homebanking-Software angreift um andere Bankaufträge signieren zu lassen als ich eigentlich beauftrage und angezeigt bekomme?
In der einfachsten Fassung könnte ich mir da auch einen vorstellen, der sich der Einfachheit halber in die Kartenleser-API reinhängt und einfach nur der Homebanking-Software den Netzkontakt aus den Rippen leiert und auf Signatur-Aufruf an den Leser seine eigene Transaktion signieren läßt. Das quittiert zwar dann die Homebanking-Software mit einem Fehler, da irgendwie nicht alles zusammenpaßt oder nichts zurück kommt, aber der Trojaner hat seine signierte Transaktion, die er der Bank unterschieben kann...

Damit stellt sich aber für mich die nächste Frage: Gehe ich richtig in der Annahme, daß dies auch für sonstige eSig-Vorgänge gilt, die ja teilweise auch mit Klasse 3-Lesern ausgeführt werden können? Wird auch hier der Hash-Wert durch eine auf dem angeschlossenen Computer-System untergebrachte Software generiert und der Leser bekommt das Dokument nie selber "vorgelegt"?

Das wäre dann ja schon so schön wie die Kohlepapier-Tricks bei realen Unterschriften...

Und was ist nun sicher abgesehen vom Kündigen aller Konten und dem schnellen Ausgeben allen Geldes?

Endgültig reichlich hart auf dem Boden der Realität aufgeschlagen

Christian

Ja.




Ja.




Das kann man so allgemein nicht sagen. Die Krypto-Funktionen einer "richtigen" Signatur-Anwendung unterstützen auch die Funktion, dass man den Text komplett an die Chipkarte schickt, diese errechnet dann daraus den Hashwert und verschlüsselt ihn auch gleich mit einem Schlüssel.

Was hier trotzdem noch fehlt ist eine Funktion, dass der Leser selbst anzeigen kann, was er gerade signiert. Soweit ich weiß, macht das noch kein Leser. Bei allen mir bekannten Lesern mit Display wird der anzuzeigende Text von der Anwendung gesteuert - die Daten, mit denen die Chipkarte letztendlich arbeitet (also z.B. die Daten, die signiert werden) bekommt man nicht zu sehen (jedenfalls nicht leser-gesteuert) - außer, man hängt einen APDU-Monitor an das Kabel vom Rechner zum Leser.

Und selbst dann weißt Du noch nicht, ob Du beim letzten Firmware-Update des Lesers nicht aus Versehen einen Trojaner auf Deinen Leser aufgespielt hast *noch-mehr-paranoia-schür*

-Stefan-

@christian.hesse
@vader

Moinzeit,

und mal wieder zurück zum Usprung des Threats...

Ich habe meine DDBAC noch auf dem Stand von 3.9.2.0 und hier kommt
sofort die gesicherte PIN-Abfrage NUR über den Kartenleser (Reiner cyberJack-Klasse 2)

Folglich liegt die Ursache in der DDBAC-Installation...

Viel Erfolg

Od

@christian.hesse

Du hast doch XP...

Wie sieht das denn mit einer Systemwiederherstellung zum Zeitpunkt VOR der ersten Installation aus? Bei XP-Pro geht das ja - bei home keine Ahnung...

Ansosnten muß man wohl manuell die Registry aufräumen und die dlls per Hand löschen; Aber man weiß ja über die Liste welche das sind... :?

Erfolg Durch Versuchen

Od