Keine Anzeige der Kontonummer auf cyberJack RFID standard

Hallo,

ich verwende Hibiscus (2.0.3) mit Jameica 2.0.1 32bit.
Für HBCI mit der DBK benutze ich einen Reiner SCT cyberJack RFID standard.

Ich bin davon ausgegangen, dass mir der Kartenleser
bei einer Überweisung die Kontonummer des zu signierenden Auftrags anzeigen wird.
Tut er aber nicht, er fragt nur nach der PIN.
Wenn ich schon HBCI verwende, dann doch richtig!
Wie kann ich also einstellen, dass mir die Kontonummer angezeigt wird?

Beste Grüße
Manfred

du meinst sicherlich die secoder-funktionalität. bietet deine bank das verfahren überhaupt an?

klasse 3 leser können das nur, sofern sie auch die secoder-funktionalität unterstützen, dies ist aber bei den meisten geräten der fall. trotzdem kannst du das verfahren so nur nutzen wenn es deine bank auch anbietet. die kontrolle der tranaktionsdaten erfolgt ausschließlich bei der secoder-funktionalität.


was die kontrolle angeht, ja. trotzdem kannst du die chipkarte sicherheitstechnisch nicht mit dem pin/tan-verfahren in einen topf schmeißen. da sind welten dazwischen.

korrekt!

Wenn dem nur so waere. Das ist alles andere als trivial. Kannst ja mal einen Blick in http://www.hbci-zka.de/dokumen…ersion.pdf werfen ;)



Das haengt vom Verfahren ab. Bei den neuen TAN-Verfahren (smsTAN/chipTAN) hast du ja inzwischen die Anzeige der Transaktionsdaten auf dem Handy bzw. TAN-Generator. Beim Verfahren Chipkarte soll das dann mit dem Secoder-Standard gehen. Aber den beherrscht Hibiscus noch nicht. Wobei ich hier auch nicht weiss, ob und welche Banken das ueberhaupt schon anbieten.

Genau das ist ja der Sinn von der Anzeige der Transaktionsdaten in einem getrennten Medium (also Handy/TAN-Generator). Ein Angreifer müsste beide Seiten manipulieren. Also sowohl Rechner/Webseite als auch das separate TAN-Medium.



Also ich persönlich halte optisches chipTAN für die derzeit sicherste Variante. Aber das Thema ist dann nicht mehr Hibiscus-spezifisch sondern doch wieder die allgemeine Diskussion über die Sicherungsverfahren, die hier schon öfters - teils recht kontrovers - geführt wurde ;)



Wenn ein Trojaner vollen Zugriff auf einen Rechner hat, ist aus meiner Sicht überhaupt keine Anwendung (egal ob Hibiscus oder ein anderes Programm) zu 100% vor Manipulationen gefeit. Sicher verwendet hier jeder Software-Hersteller verschiedenste Verfahren, um Manipulationen nach Möglichkeit zu erkennen/zu verhindern. Bei Hibiscus sind z.Bsp. die Downloads (GnuPG, qual. elektronische Signatur) und die enthaltenen Java-Klassen signiert (via jarsigner). Hersteller kommerzieller/proprietärer Anwendungen schützen den Programmcode sicher vor Decompilern/Disassemblern.

Letztendlich aber ist auf einem Rechner alles manipulierbar. Und wenn das OS selbst (z.Bsp. via Rootkit) manipuliert wurde, kann sich die Anwendung selbst noch so sehr schützen - wenn das Betriebssystem, mit dem sie interagiert, nicht das ist, welches es vorgibt zu sein, läuft jeder Schutzmechanismus ins Leere.
Das Problem ist aber auch nichts Onlinebanking-spezifisches sondern das ganz elementare Problem Vertrauenskette in einem Rechner - beginnend bei Hardware und BIOS. Vor ein paar Jahren war hierzu mal das Thema TPM (http://de.wikipedia.org/wiki/Trusted_Platform_Module) in aller Munde. Aber irgendwie ist das wieder aus dem Focus der Öffentlichkeit verschwunden.

Wenn die Transaktionsdaten also nicht über ein getrenntes Medium (wie z.Bsp. bei chipTAN) übertragen/angezeigt werden, stellt sich die Frage der Sicherheit eher nach folgenden Kriterien:

- Wie aufwendig ist der Angriff auf die Anwendung und lohnt es sich dann noch fuer den Angreifer?
- Wie verbreitet ist die Software? Wuerde der Angreifer also ueberhaupt eine relevante "Zielgruppe" finden?