c't - Online-Banking sicher - Heft 17/2008

 
hochexplosiv
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003
Betreff:

c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 02.08.2008 - 20:30 Uhr  ·  #1
Hallo,

für die kommende Ausgabe der c't (Heft 17/2008), die am 3. August 2008 erscheint, ist folgender Artikel angekündigt.

Zitat
Online-Banking sicher

Die Banken haben sich einiges ausgedacht, um den Internet-Zugriff auf das Konto vor Kriminellen zu schützen. Wir geben einen Überblick über Banking-Standards, Chipkartenleser und Software und liefern auf der Heft-DVD eine garantiert saubere Arbeits-umgebung, mit der es auch ohne Chipkarte keine böse Überraschung gibt.

* Sicherer Online-Zugriff auf das Konto
* Home-Banking mit der Chipkarte
* c't Bankix: Gefahrlos überweisen mit Live-CD


Einen Artikel kann man bereits auf heise.de lesen: http://www.heise.de/ct/08/17/094/

Gruß
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 03.08.2008 - 10:51 Uhr  ·  #2
Kurz überflogen...
Gar nicht so verkehrt, nur der Abschnitt zum Flicker-Token wird der falschen Bankgruppe zugerechnet - es sei denn der Geno-Verbund plant da auch was.
waenger
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 32
Dabei seit: 07 / 2008
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 03.08.2008 - 13:07 Uhr  ·  #3
So viel revolutionäres stand jetzt nicht in den Artikeln. Vorallem da die Sparkassen alle zusammengfasst sind und damit der Artikel eher uninteressant für mich ist. Als Übersicht aber ganz brauchbar.
Die Software wird auch nur kurz angeschnitten. Fazit aus dem Artikel, einfach alles ausprobieren und gucken was einem gefällt.
ottoager
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Meine Gedanken zum c't-Artikel

 ·  Gepostet: 03.08.2008 - 17:41 Uhr  ·  #4
Hallo,

Zitat geschrieben von Captain FRAG
Gar nicht so verkehrt


was die ersten beiden Artikel angeht: find' ich auch.

Zitat geschrieben von Captain FRAG
nur der Abschnitt zum Flicker-Token wird der falschen Bankgruppe zugerechnet


Zumindest der Screenshot auf Seite 95 oben rechts zeigt einen Sparkassen-Internetauftritt (Münsterland Ost). Wobei ich entsetzt war, wie groß die Flickergrafik dort dargestellt wird - ist das echt so ein Riesenteil? :noidea:

Auf Seite 101 wird dieses Forum hier empfohlen - hoffentlich wird der Server hier nun nicht geheist. :)

Was ich nicht so toll fand ist die Tatsache, dass zwar die Banking-Software-Thematik ganz gut und treffend angerissen wird und neben Verkaufssoftware wie StarMoney auch auf OpenSource-Lösungen eingegangen wird, aber beim Thema Chipkartenleser der Eindruck erweckt wird, es gäbe nur Reiner und Kobil. Was ist mit SCM? Was ist mit Cherry? Werden die jetzt außen vorgelassen, weil die noch nichts Secoder-artiges angekündigt haben? :think:

Apropos Secoder: In dem Absatz zum Secoder auf Seite 96 heißt es "Wie bei den TANs rüsten die Banken auch bei HBCI nach...", was einem flüchtigen Leser den Schluss ziehen lassen könnte, dass Secoder etwas mit HBCI zu tun hat - was ja m.W. zumindest bei den derzeit im Markt eingesetzten / verfügbaren Lösungen ganz und gar nicht der Fall ist. Am Ende des Absatzes wird es dann allerdings nochmal richtig gestellt, dass der Secoder derzeit mit keiner Finanzsoftware einsetzbar ist. Hoffentlich lesen das auch alle bis zum Ende...

Und schlussendlich: Wie paranoid muss man eigentlich sein, um sowas wie den c't Bankix einzusetzen? Klar, der Ansatz des Bootens eines abgespeckten Knoppix-Betriebssystems von einem Read-Only-Medium nur mit Browser, ohne JavaScript und mit vorgefertigter, an den eigenen PC / Inet-Zugang angepasster Konfiguration hat was für sich. Aber wenn ich das Read-Only-Medium dann wegen der regelmäßig erforderlichen Sicherheitspatches alle Nase lang neu erzeugen muss... In meinen Augen krank sowas. :thdown:

By the way: Ob der c't Bankix irgendwas mit Moneypenny zu tun hat?

Otto
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6194
Dabei seit: 02 / 2003
Betreff:

Re: Meine Gedanken zum c't-Artikel

 ·  Gepostet: 03.08.2008 - 18:36 Uhr  ·  #5
Hallo

Zitat geschrieben von ottoager


Apropos Secoder: In dem Absatz zum Secoder auf Seite 96 heißt es "Wie bei den TANs rüsten die Banken auch bei HBCI nach...", was einem flüchtigen Leser den Schluss ziehen lassen könnte, dass Secoder etwas mit HBCI zu tun hat - was ja m.W. zumindest bei den derzeit im Markt eingesetzten / verfügbaren Lösungen ganz und gar nicht der Fall ist. Am Ende des Absatzes wird es dann allerdings nochmal richtig gestellt, dass der Secoder derzeit mit keiner Finanzsoftware einsetzbar ist. Hoffentlich lesen das auch alle bis zum Ende...


Warum sollte ein SECODER nicht mit einer Finanzsoftware einsetzbar sein? Die eigentliche SECODER Funktion liegt nur dabei brach und der SECODER verhält sich wie ein Klasse 2 Leser.
Ansonsten soll im ZKA angeblich daran gearbeitet werden, die sichere Anzeige des SECODERs mit in die FinTS Spec zu integrieren.

Gruß

Holger
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8221
Dabei seit: 08 / 2002
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 03.08.2008 - 20:09 Uhr  ·  #6
Imho wird so die Klasse 2 kurzfristig aussterben, die als Secoder verfügbaren Geräte können afaik alles, was die Klasse 2 kann, plus Zukunftssicherheit durch Updatefunktion.

Ich würde jedenfalls keine Klasse-2 Gerät mehr bestellen.

Gruß
Raimund
ottoager
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Meine Gedanken zum c't-Artikel

 ·  Gepostet: 04.08.2008 - 08:11 Uhr  ·  #7
Zitat geschrieben von Holger Fischer
Warum sollte ein SECODER nicht mit einer Finanzsoftware einsetzbar sein? Die eigentliche SECODER Funktion liegt nur dabei brach und der SECODER verhält sich wie ein Klasse 2 Leser.
Ansonsten soll im ZKA angeblich daran gearbeitet werden, die sichere Anzeige des SECODERs mit in die FinTS Spec zu integrieren.


Da habe ich mich wohl missverständlich ausgedrückt, sorry dafür. Mir ist schon klar, dass ein Secoder-Leser auch schon heute von Banking-Software wie ein Klasse-2-Leser genutzt werden kann. Nur kann eine Banking-Software den hauptsächlichen Sicherheitsvorteil eines Secoder-Lesers - dass nämlich auftragsbezogene Daten im Leser-Display angezeigt werden und vom Benutzer kontrolliert werden sollen - mangels umgesetzter - geschweige denn vorhandener - Spec. nicht nutzen.

Zitat geschrieben von Holger Fischer
Ansonsten soll im ZKA angeblich daran gearbeitet werden, die sichere Anzeige des SECODERs mit in die FinTS Spec zu integrieren.


Wenn das dann mal fertig spezifiziert und in Kartenleser-Firmware, -treiber *und* Banking-Software implementiert ist, dann erst trifft IMO der von mir zitierte c't-Satz von Seite 96 zu: "Wie bei den TANs rüsten die Banken auch bei HBCI nach..."

Otto
ronald.n
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 633
Dabei seit: 07 / 2003
Betreff:

Re: Meine Gedanken zum c't-Artikel

 ·  Gepostet: 04.08.2008 - 09:20 Uhr  ·  #8
Zitat geschrieben von ottoager
Wenn das dann mal fertig spezifiziert und in Kartenleser-Firmware, -treiber *und* Banking-Software implementiert ist, dann erst trifft IMO der von mir zitierte c't-Satz von Seite 96 zu...


Bei der GAD in Münster (Volksbanken und Raiffeisenbanken im Norden und Westen) setzt man zur Zeit die Nutzung des "Secoders" ganz konkret für das Internet-Banking um.
Bratwurst
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 04.08.2008 - 09:40 Uhr  ·  #9
Ja, genau. Aber eben noch nicht für Banking-Software...
MrNobody
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 70
Dabei seit: 03 / 2008
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 04.08.2008 - 12:47 Uhr  ·  #10
Hallo Leute,

eine Frage zu der neuen Secoder-Technik.
Auf welcher Karte werden dann die Daten gespeichert, denn soweit ich das verstanden habe sollen die Daten auf der EC-Karte der Bank gespeichert werden.
Nun meine Frage liege ich da richtig oder nicht?
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8221
Dabei seit: 08 / 2002
Betreff:

Re: c't - Online-Banking sicher - Heft 17/2008

 ·  Gepostet: 04.08.2008 - 15:19 Uhr  ·  #11
Genau, die ec-Karte hat diese Funktion üblicherweise dann im Chip integriert. Es gibt bereits einige VR-Banken, deren sogenannte Hauptausstattung diese Funktion beinhaltet. Erkennbar üblicherweise auf der Karte am FinTS-Merkmal auf der Rückseite (die SmartTAN Funktion ist auch Voraussetzung, ich persönlich kenne aber keine Bank, die die Funktion nicht hätte).

Diese Funktion muss freigeschaltet werden, dafür gibt es eine extra 5-stelligen (Transport)-PIN, der einem üblicherweise als PIN-Brief zugesandt wird. Die PIN muss dann geändert werden.

Gruß
Raimund
Gewählte Zitate für Mehrfachzitierung:   0