Verunsicherung über neue Sicherheitsprofile

Hi PB,

die Aussagen sind schlüssig!
RDH 1 ist das völlig alte Profil aus HBCI 2.x Zeiten. Monexplex 2006 und älter unterstützen nur diese Profile

RDH 2, 3 und 5 sind neuere Profile, die derzeit nur von den Volksbanken und Raiffeisenbanken am Rechenzentrum FIDUCIA abgeschaltet werden. Andere Volksbanken und Raiffeisenbanken und Bankengruppen werden hier vermutlich in den kommenden Jahren folgen.
Die Profile werden von Moneyplex 2008 und 200 7 unterstützt.

Die ganz neuen Profile RDH 6,7,8,9 und 10, die auf den Empfehlungen der Bundesnetzagentur beruhen, werden erst mit Moneyplex 2009 unterstützt.

Unbrauchbar werden die älteren Moneyplexversionen nur, wenn man auf die neuen Profile angewiesen ist.
Moneyplex einen Vorwurf dafür zu machen ist aber nicht ganz fair, da 2007 die neuen Profile noch gar nicht bekannt waren, konnten die auch nicht berücksichtigt werden. Und Neuerungen fliessen eigentlich bei allen Herstellern nur in neue Versionen ein. Anders lässt sich eine Entwicklung gar nicht finanzieren. Normaler Weise kan man ältere Versionen -egal von welchem Hersteller- durchaus länger nutzen (ob das aus Sicherheitsbetrachtungen immer sinnvoll ist, steht auf einem anderen Blatt), hier ist es durch die Abschaltung der Profile < RDH 6 mal etwas
anders gelaufen. Wa in anbetracht der schnellen Entwicklungen bei den Sicherheitsmedien zukünftig aber wohl deutlich öfters passieren wird, wie in der Vergangenheit. Auch diese Aussage gilt praktisch für jede Bankingsoftware.

Gruß

Holger
Gruß

Holger

Die zu den von der Bank geforderten Sicherheitsprofilen passende Chipkarte gibt es zufällig auch bei deiner Bank

Problem ist, das es mittlerweile auch bei den Sicherheitsprofilen und den dazu notwendigen Chipkarten einen regen Wildwuchs gibt. Die unabhängig zu bekommen dürfte schwierig sein.

Aber du hast insofern Recht, das die neueren PIN/TAN Verfahren eine ernstzunehmende Alternative sind. Sofern sie auftragsbezogen die TAN erzeugen oder übermitteln, sind sie theoretisch sogar im Sicherheitsvorteil und das ohne Standortabhängigkeit und Treiberstress bzw. Betriebssystembindung.

Die Cronbank unterstützt leider nur die Schlüsseldiskette oder halt PIN/TAN. Die Methode, mit Moneyplex den Schlüssel auf der Chipkarte zu erzeugen, wird von denen nicht unterstützt bzw. ist bei denen gar nicht bekannt :-) Laut telefonischer Nachfrage hat die Cronbank auch keine Chipkarten im Angebot, d.h. über die Bank komme ich an keine kompatible Karte ran.

Reicht es denn aus, irgendwoher eine SECCOS 6-Karte zu kaufen? Z.B. von hier:

https://www.vr-zahlungssysteme…os-6-.html

Oder wird Matrica selber solche Karten anbieten und supporten?

So schlecht sieht das RZ-seitig bei der Cronbank gar nicht aus. Die Frage ist natürlich, ob die Cronbank selber auch alles anbietet. Vom technischen Standpunkt sieht es jedenfalls so aus als sei RDH9 prinzipiell verfügbar.

HIBPA:4:3:3+23+280:50530000+Cronbank AG+1+1+201:210:220:300+250'
HIKOM:5:4:3+280:50530000+1+2:hbci01.fiducia.de+3:https?://hbci11.fiducia.de/cgi-bin/hbciservlet'
HISHV:6:3:3+N+RDH:1+RDH:2+RDH:3+PIN:1+RDH:5+RDH:7+RDH:9+RDH:10'

Das klingt ja erstmal ganz gut.

Die Frage ist aber nur, ob man unbedingt auf die Kooperation der Bank angewiesen ist: MP 2009 unterstuetzt ja laut der Wechselanleitung auch das Feature "Schlüsselprofil wechseln". Kann man hier nicht ausgehend von einem gültigen RDH-2-Schlüssel einfach das Profil auf RDH-9 wechseln lassen und Fiducia nimmt dieses neue Profil dann einfach automatisch an? Bzw. das gleiche dann ueber die Funktion "Sicherheitsmedium wechseln", weil das ist es dann ja.

Dann wären die recht starren Vorgänge bei der Cronbank egal.

Aber vermutlich steht dem wieder irgendetwas an irgendeiner Stelle entgegen <g>

Hi pb,

wie schon geschrieben: Nein. Die Kartennummer muss zwingend im System hinterlegt sein, da nur so sichergestellt wird, dass das RDH 9 Profil auch mit einer Chipkarte genutzt wird.

Gruß

Holger

Nein, die Anleitung ist von der RB Elbmarsch, gefunden als ich nach Infos über den ganzen RDH-Krams gesucht habe, um hier nicht ganz doof mitreden zu können :-)

http://www.rbelbmarsch.de/etc/…rsicht.pdf

Hat mit der Cronbank also nichts zu tun, hatte mich nur flott aufgeklärt, dass meine Idee sinnlos ist <g>

Hi pb07,

eigentlich schade, dass die Cronbank das nicht macht, aber dass muss jede Bank für sich selber entscheiden.
Ursprünglich wollte ich Dir schreiben, dass es solch eine Karte nicht gibt..... aber eigentlich ist dem nicht so. Theoretisch bringt die SECCOS 6 Karte alles mit, um auch ein RDH 10 Profil abzudecken. Die Spezifikation sieht eigentlich auch nur vor, dass verhindert wird, dass eine Schlüsseldatei las Chipkarte eingereicht wird, der umgekehrte Fall ist da gar nicht berücksichtigt. Aber das sind theoretische Überlegungen. Ich glaube kaum, dass sich ein Softwarehersteller die Mühe gemacht hat, diese "Lücke" zu nutzen.

Zu der anderen Frage: Bank Empfehlungen gibt es von uns hier nicht. Dazu arbeiten zu viele von uns hier bei den unterschiedlichen Banken.

Gruß

Holger

Wir sind immer gerne dabei Lücken zu schliessen, aber ich weiß nicht, ob ein RDH-10-Profil auf einer SECCOS-Chipkarte von dem Bankserver aktzeptiert wird.
Wir hatten z.B. vor einiger Zeit ein kleines Gespräch mit dem Rechenzentrum bzgl. eines RDH-9 Profils auf einer personalisierten Karte. Theoretisch ist das möglich (ob personalisierte oder unpersonalisierte Karte ist für die Erstellung des RDH-9 Profils nebensächlich) , nur ist die Kartennummer bei dem Rechenzetnrum nur für das RDH-7 Profil zugelassen.
Ich bin mit der Materie nicht 100% vertraut, dir Frage ist was wird bei der Abfrage der Karte an die Bank verschickt? Falls neben dem RDH-10 Profil auch die Kartennummer verschickt wird, siehts schlecht aus.

Hi Sebastian,

wir nutzen die RDH 7 Karte immer wieder für Zweitkennungen bei anderen Banken als RDH 9 Karte (da diese das Zertifikat ja nicht akzeptieren). Das ging bisher ohne Probleme! Auch hier muss allerdings die Kartennumemr im System hinterlegt werden. Was in der Regel nicht geht, ist die RDH 7 Karte zur selben Benutzerkennung alks RDH 9 Karte einrichten. Durch die Zertifkatserstellung weiß das Banksystem, dass die Benutzerkennung als RDH 7 Profil einegereicht wird. Währe eine Einreichung auch als RDH 9 möglich, würden zu einer Benutzerkennung theoretisch zwei Schlüssel in unterschiedlichen Profilen existieren. Das wird wohl keiner mitmachen.

@pb07:
Zur RDH 10 auf der Chipkarte. Die Chipkarte ist -vereinfacht- eigentlich nur für das Signieren und verhashen zuständig. Die Karte selber kennt nichts von den Profilen, da sie theoretisch ja auch in einem anderen Einsatzgebiet genutzt werden könnte (z.B. EBICS 2.4 und A005\A006). Ich glaube daher kaum, dass die Kartennummer da einfliesst. Die Übergabe der KartenID im FinTS Dialog obliegt meiner Meinung nach der Software, daher wäre es theoretisch möglich die Karte entsprechend zu nutzen. Für einen Softwarehersteller dürfte der Mehrwert aber in keiner Relation zu den Aufwänden stehen, da es wohl nicht allzu viele Anwender gibt, die das Problem so rum haben.
Auch der Supportaufwand darf da nicht unterschätzt werden! Es ist jetzt schon schwer genug, die Profile auseinander zu halten. Wenn man jetzt noch aufpassen muss, ob die Kennungen auch noch auf dem "richtigen" Medium sind, ist das gar nicht merh zu handeln.

Gruß

Holger