Erfahrungen mit Hnadybanking??

Hallo Konstanze,
bezüglich der Reuschel Bank scheinen Dir leider etwas falsche Informationen vorzuliegen. Es gab ein Problem in OutBank, dass wir inzwischen (nach ca. 5 Tagen, incl. meiner Hochzeit ) lösen konnten.
Das Problem bezieht sich weniger auf HBCI ansich, sondern auf den sog. HTTP-Stack. Die HBCI-Nachrichten werden nämlich via HTTPS (sog. HTTP POST) zwischen Bank und Client ausgetauscht.
Bei einem bestimmten - ich nenne es mal Antwortmuster, wird die Verbindung zu früh beendet und die Daten werden nicht alle in OutBank gelesen. Dies ist aber kein Bank oder HBCI Problem. Letztendlich ein kleiner Bug, der gefixt wurde (neue offizielle Version folgt in kürze).
Der betreffende Kunde hatte von mir asap eine neue Vorab-Version bekommen.
Es wurde von mir diesbezüglich nie gefordert etwas auf Bankseite zu ändern. Es gab lediglich ein kurzes Gespräch mit einem Kollegen der Reuschelbank. Einen Rückruf des Softwarezulieferers habe ich nicht erhalten.
Also kurzum, mit dem nächsten Release wird der Bug behoben sein.
Bei Interesse lasse ich Dir gerne eine gefixte Version zukommen.
Gruss
Tobias

Geschätzter Andreas,
zunächst vielen Dank für die vorzüglichen Auskünfte zum Thema, sowohl mir als auch meinem Stuff gegenüber.

Meine Mandantschaft ist es gewohnt diskret Kontakt aufzunehemen. Dies wird von N_C reglmäßig respektiert. Man trifft sich z. B. auf der Schuckmesse hier in Basel. Hier gab es das neue Vertu Handset zu sehen. Am 25. April ist in Paris die Pressevorstellung. Morgen steht Hockenheim auf dem Plan, PorscheCup. Ich drücke dem Vertu-Racingteam die Daumen. Erstaunlicherweise ist Outbank auf einem Vertu Handset lauffähig. Nur die Banken der Vertueigener halten von Handybanking rein gar nichts.

Zudem fühle ich mich gehalten die Test abzuwarten, da zu diesem Programm (Outbank) kein nachvollziehbarer Test gefunden werden konnte. Die paar Zeilen von C´t sind mir zu mager.


Dein / ihr Programm werde ich in der nächsten Gesprächsrunde erwähnen und belobigen. Die Möglichkeit HBCI mit einem Kartenlesegerät zu verwenden ist vielversprechend.

Mit vorzüglichem Gruss
Ch. Konstanze v. Stein

Sehr geehrter Admin Raimund,
darf man fragen was am Eintritt "heftig" sein soll? Fachtagungen haben halt ihren Preis. Mir ersheint er angemessen.


Dass in diesem Forum einige die "geistige Milch" von Korifähen gesogen haben offenbart sich selbst dem flüchtigen Leser.

Besonderes Interesse an irgend einem Thema? Ansonsten ist die Crypto der nächste Termin, der diesbezüglich ansteht.

Doch Sicherheit ist gerade im Bereich Banken ein Thema, das man besser hinter verschlossenen Türen erörtert. Oder darf man hier aus der Erfahrung plaudern, etwa fabulierend dahingehend, dass die Codedaten, bis vor kurzem, noch in der URL zu finden waren. Das die "Plätzchen" ausgelesen werden konnten. Die mit HBCI befassten sich im unterdrücken von Seufzern beständig üben. Das HBCI wohl nicht mit
Systemen wie OFX/Gold kann. HBCI wohl auf den 56-bit DES sich stützt. Frage Outbank auch? Das Masterproblem ist, dass HBCI, so mein Kenntnisstand, den Port 3000 benutzt. Scharfe" Firewalls lassen aber nur Web-Traffic (Port 80 und 443) raus und dies auch nur über den Proxi. Gewisse Banken habe Lösungen gefunden, über den Port 443, den sie auf einem Server nutzen. Nur, das ist dann kein HTTPS-Kontakt.

Ich denke man kann zustimmen und festellen es gibt noch viel zu besprechen, in Sachen HBCI und Bankensoftware.

Mit vorzüglichem Gruss
Ch. Konstanze v. Stein


,

So viele Fehlinformationen in so einem kurzen Text habe ich selten gesehen, aber da sieht man mal wie gefährlich Halbwissen ist

Einzige fast richtige ist, dass der Port 3000 genutzt wird, allerdings nur bei HBCI Chipkarte und Diskette und bis FinTS 4.0. Ob der Port 3000 genutzt werden kann, hängt dann allein von den Fähigkeiten des Admins ab... Ansonsten kann ich nur empfehlen, sich mal richtig mit der Materie zu beschäftigen und nicht alles durcheinanderzuwürfeln...

Das schreibt man übrigens: Korifäen

sorry, konnte nicht anders ops:

Deine 56bit sind der NSA gegenüber übrigens nur 40bit wert :hbang:
Zumindest meine ich das unsere selbstherrlichen "Freunde" aus alter Zeit imemr noch die ersten 16bit eines Masterkeys haben.

Am elegantesten finde ich persönlich immer noch Andreas Selles PDA Lösung.

Nix zu schleppen, vernünftiges Display, 1000 weitere Funktionen, Anbindung über GSM, WLAN, Bluetooth.

Die geballten Fehlinformationen, die in einem vorstehend eingestellten Beitrag gerügt worden sind, stammen übrigens von einem geschätzten Mitglied des CCC. Es verwundert mich sehr, dass CCC-Member sich in softwarefragen grundlegend irren und Fehlinformationen postulieren.


Was meine Peson betrifft, so habe ich verstanden!
Dies war nicht allzuschwer, denn der schriftliche Vortrag von Moderator Stöger ist sehr eindeutig! Ich habe diesen klar so verstanden, dass er umgangssprachlich klarstellte, Professionells raus - dieses Forum ist nur für Singeluser. Und "naussauern" bitte woanders.

Mir erschien dieses Forum als sehr geeignet und selbstredend währe eine diskrete Forensubstitution erfolgt, den dies ist für mich selbstverständlich. Grund: kostenfreie Vorteilnahme habe ich weder nötig noch ist es mein Stil.

So bleibt mir nichts anderes überig als gepflegte Kontakte zur Redationen und zum Bankenrat zu aktivieren, damit ich, wie von Moderator Stöger angeregt, die erstrebte Fachkunde erhalte. Schade, das ich nun Programmtest konkret in Auftrag geben muß. Natürlich behalte ich mir die Veröffentlichung der Testergebnisse ausdrücklich vor.

Allen, die mir konstrutiv geantwortet haben, gilt mein besonderer Dank.

Ch. K. Frfr. v. Stein
Nobel_Consult
SeniorConsultan

Sehr geehrter Captain FRAG,
ich habe schon verstanden Outbank ist ein Nischenprodukt und an Vollumenkunden ist man offensichtlich nicht interessert. Möglicherweise, weil diese zu exotische Wünsche haben könnten.

Sehen wir die Lage doch so wie sie ist, nämlich realistisch. Folglich gilt, in Ansehung von regelmäßig obliegenden Sorgfalltspflichten hat man vor Order die Risiken, besonders die rechtlichen, zu bewerten. Wenn nun in Fachzeitschriften veröffentlich worden ist Zitat: "Es (HBCI) gilt als umständlich und nicht ausreichend sicher." E.d.Z., dann darf dies doch nicht übersehen werden. Wenn es darum geht den flächendeckenden Einsatz von Handybanking zu bewerten, ist die Frage nach der Sicherheitsklasse zwingend zu stellen und einw nachvollziehbare Antwort zu finden.
Hierzu stellt sich die Frage ist Handybanking - z.B. mit Outbank - Sicherheitskalsse 2 oder höher? Es geht konkret um die Nichtabstreitbarkeit. Diese ist ab Sicherheitsstufe 2 gegeben. Doch das HBCI - PIN / Tanverfahren dürfte 0 oder 1 sein. Das HBCI-Sicherheitsverfahren DDV ist im Übrigen problematisch. Grund: Der Beweis, einem Dritten gegenüber, mißlingt regelmäßig wenn es darum geht wer (Absender / Empfänger) Auslöser der streitgegenständlichen Order ist bzw. wer diese erstellt hat. Dem ist so, weil beide den MACschlüssel kennen. Die Geldinstitute wissen, dass sie gerichtsverwertbar einem Kunden nicht beweisen können, dass er den streitgegenständlichen Auftrag erteilt hat, wenn er DDV verwendet. Den Sachstand ist, dass die Bank die Signaturen selbst erzeugt haben könnten. Folglich ist zu klären ob ein Bankkunde der Kontobewegungen via Handy veranlasst nachweislich und gerichtsfest eindeutig als Urheber bestimmt werden kann.

Von mir wird allerdings zugestanden, dass solche Fragen Verwender von Handybankingsoftware fur SYMBIAN OS wenig interessert, da fast alle von mir befragten ihre PIN und TAN´s auf dem Handy ablegen / speichern. Dies ist, so mein Kenntnisstand, gegen die Geschäftsbedingungen der Geldinstitute.

Vorstehendes nur damit nicht der Eindruck entsteht hier würde eine "Blondie" ins blaue hinein fragen.

MFG Konstanze

Bei dieser an sich interessanten juristischen Frage mag das ja in der Therorie stimmen, aber afaik bewerten deutsche Gerichte für mich nachvollziehbar nach dem gesunden Menschenverstand, auch oft Anscheinsbeweis genannt. Warum sollte das auch anders sein?

Wenn man schon HBCI pauschal als unsicher bezeichnet dann sollte man von Onlinebanking generell die Finger lassen und sich am Besten auch keine EC-Karte oder Kreditkarte geben lassen.

Auch eine Art Mobile Banking: sein ganzes Geld in Bar im Geldbeutel mitzunehmen