Ist HBCI immernoch das Sicherste?

HBCI ist nur ein Oberbegriff. Ich vermute, du meinst das Softwarebanking im Gegensatz zum Browserbanking.
Daran hat sich nichts geändert. Es sind nach wie vor keinerlei Trojaner für Softwareprodukte aufgetaucht.

Und wegen SMS verstehe ich die Frage nicht ganz. Hat sich denn deiner Meinung nach an dem SMS Konzept gegenüber 2009 etwas geändert? Hier kann man eigentlich nur pauschal sagen, je länger es ein Verfahren gibt, desto größer ist die Gefahr, dass es angegriffen wird. Aktuell geht ja in Spanien ein smsTAN Trojaner rum der aber nur mit mehrfacher Unaufmerksamkeit des Benutzers aktiv werden kann. Rein technisch ist das Verfahren m.E. nach wie vor sicher, aber das alleine nützt ja nichts, wenn die Benutzer trotzdem drauf reinfallen.

Ist das so eine nicht beschreibbare CD, die ein Linux inkl. Browser komplett bootet ohne Festplattenzugriffe?
Dann käme es drauf an, was deine Bank(en) über welchen Weg anbieten. Beispielsweise bieten viele Banken die Chipkarte nicht über Browser an, da wäre dann irgendeine Software zwingend. Weiß ich nicht, ob man die mit auf die CD bekommt. Dürfte schwierig werden, weil Softwareprodukte ja immer auf die Platte schreiben wollen.
Falls es keine Software sondern Browser wird bleibt vermutlich noch mTan und ChipTan übrig, was wiederum eine Frage der persönlichen Vorliebe sein dürfte. Denn so eine CD sollte dann ja - wenn es das ist was ich meine - sicher genug sein, weil ja kein Trojaner sich irgendwo hinschreiben kann.

Beides kann aber nicht sein. Entweder ist die CD beschreibbar oder sie ist es nicht. Und eine Software wie Gnu hat immer eine irgendwie geartete Datenbank wo die Umsatz- und Zugangsdaten gespeichert werden.

wie jetzt beides gehen sollte weiß ich nicht. Machst du uns schlau?

Das Konzept "HBCI von Boot-CD" ist ja nicht neu, Moneypenny gab/gibt es z.B. sogar als Projekt hier im Forum.
Dazu fällt mir noch ein:
http://www.heise.de/ct/projekt…84099.html
http://www.chip.de/downloads/CHIP-Banking-Tool_37790169.html

Gruß
Raimund