Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 
asciimo
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 10 / 2004
Betreff:

Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 25.10.2004 - 15:40 Uhr  ·  #1
Hallo Jungz und Mädelz,

zähle eher zu den SFIRM-newbies, muss mich aber jetzt in der Firma damit auseinander setzen und habe mal ein paar Fragen ...
momentan wird hier SFIRM nur zum Kontenrundruf benutzt, soll aber jetzt (nach zwei Jahren - ohweia) auch endlich mal für Überweisungen eingesetzt werden.
Momentan wird das FTAM Verfahren eingesetzt ... geplant ist, dass die Überweisungen in der Buchhaltung erfasst werden, dann vom Unterschreibungsberechtigten (an dessen eigenem PC) freigegeben werden sollen, und dann nochmal von der Buchhaltung angesehen werden können und von dort aus auch versendet werden.
Allerdings soll die Buchhaltung selber keine digitale Unterschrift leisten können.
Jetzt sagte mir die Hotline unserer SpaKa, dass mittels HBCI keine Rechtevergabe möglich wäre, und dass die Buchhaltung für den Kontenrundruf und das verschicken bei HBCI mit Chipkarte auch eine eigene Chipkarte bräuchte, dann also theoretisch auch Überweisungen unterschreiben könnte. Ausserdem sagten die, dass bei der Chipkarte keine zwei-Unterschriften-Regelung möglich sei.
Stimmt das so? Lässt sich der oben beschriebene Ablauf den irgendwie über FTAM mit PIN & TAN regelen? Oder würde bei der Überprüfung der digitalen Signatur die Überweisung direkt schon mit rausgeschickt?

Hoffe ich habe Euch jetzt nicht mehr verwirrt, als ich selber es schon bin ... :oops:

asciimo the SFIRM noob
Testerin
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 620
Dabei seit: 06 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 25.10.2004 - 16:21 Uhr  ·  #2
Hallo,

Sfirm32 ist doch im Netz installiert oder? Prinzipiell kann damit von jeder eingebundenen Arbeitsstation die Unterschrift geleistet und von einer anderen Arbeitsstation mit der DFÜ-Anbindung in Form einer ISDN-Karte oder virtuellen CAPI weggeschickt werden.

Die Rechte werden entsprechend am Bankrechner definiert. Also es können Personen hinterlegt werden, die unterschriftsberechtigt sind oder aber auch Personen, die nur versenden können. Bei der Unterschriftsberechtigung kann man Einzel- oder Gemeinschaftszeichnungsberechtigungen hinterlegen.

Mittels FTAM ist dies gut lösbar. Nachteil ist nur, dass Sie hier immer noch an ISDN gebunden sind und wahrscheinlich auch für das FTAM-Verfahren monatliche Gebühren zahlen müssen.

Es gibt natürlich auch bereits Sfirm32 Web (also unabhängig von ISDN). Dies ist aber eine Lösung, die wiederum nur einige Sparkassen anbieten.

Bei HBCI Chipkarte ist dies wirklich an die Karte gebunden, da beim Abruf von Kontoauszügen bzw. bei der Übertragung von Zahlungen immer die Chipkarte eingelegt werden muss. Auch hier können natürlich Zweitunterschriften hinterlegt werden. Dies ist aber wahrscheinlich von Rechenzentrum zu Rechenzentrum unterschiedlich. Die Rechte werden wiederum am Bankrechner hinterlegt. Also man könnte auch Personen berechtigen, die nur Kontoauszüge abholen sollen. Für mich macht dies aber wenig Sinn.

Bei HBCI+ PIN/TAN ist es ähnlich, da eine Berechtigung immer an eine Person gebunden ist. Also man kann zwar eine Berechtigung vergeben, dass nur Auszüge abgeholt werden kann, aber sobald Zahlungsverkehr im Spiel ist, ist die PIN/TAN-Liste immer an diese Person gebunden.
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 25.10.2004 - 16:32 Uhr  ·  #3
Warum möchtest du, wenn doch alles bis jetzt über FTAM läuft auf HBCI umstellen?

Über HBCI unterstützt SFirm auch Mehrfachunterschriften, allerdings müssen die während der Übertragung mitgeliefert werden und natürlich muß die Bank auch entsprechend Mehrfachunterschriften unterstützen. Die Buchhaltung könnte ja eine HBCI-Karte mit reiner Abfrageberechtigung für den Kontorundruf bekommen, so dass keine Zahlungen mit der Karte möglich sind.

Aber warum muß die Buchhaltung am Ende alles nochmal kontrollieren? Das ist dann ja schon 6-Augenprinzip :shock:

Mit FTAM hast du mit der Umsetzung der Berechtigungen weniger Probleme ;-)
asciimo
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 10 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 25.10.2004 - 23:48 Uhr  ·  #4
HBCI war erstens wegen der angeblich einfacheren Handhabung gewünscht und zweitens wegen der höheren Sicherheit. Obwohl FTAM ja auch was die Verschlüsselung angeht als sehr sicher gilt und es intern eigentlich egal sein sollte, ob jetzt jemand "die Karte" oder "die Diskette" entwendet.
Ein, zwei Fragen bleiben für mich noch offen ... wenn die Bank den Schlüssel/die digitale Unterschrift verifiziert muss doch eine Onlineverbindung bestehen, oder? SFIRM ist im Netzwerk eingerichtet und die Unterschrift wird nicht an dem Rechner geleistet, der die direkte ISDN Verbindung hat. Laufen die Aufträge Verifizieren, Versenden, etc. dann quasi in einer Qeue auf bis der ISDN Rechner explizit SFIRM aufruft und den Automaten startet? Dann wäre das 6-Augen 😉 Prinzip ja quasi automatisch gewährleistet.
Noch eine weitere Newbie-frage. Vollzugriff heisst alles aber nicht automatisch auch digitale Unterschrift, oder?

Vielen Dank für Eure nette Hilfe hier. :D
Stoney
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 26.10.2004 - 08:52 Uhr  ·  #5
Bei FTAM können Datei und Eu unabhängig voneinander geschickt werden.

Im Normalfall wird aber beides zusammen übertragen, heißt der Auftrag wird entsprechend unterschrieben, landet im SF-Automaten und wird von einem Client mit ISDN-Verbindung abgearbeitet.

Hmm, bei FTAM gibt es 4 Unterschriftenklassen, die entsprechend verteilt werden können.

E- Einzelunterschrift - kann alles
A- A-Unterschrift - kann alles, nur keine Aufträge allein unterschreiben, dazu benötigt er einen 2. mit A oder B-Unterschrift
B- B-Unterschrift - kann alles, nur keine Aufträge allein unterschreiben, dazu benötigt er einen 2. mit A-Unterschrift
N- kann Daten senden und empfangen, aber keine Aufträge unterschreiben.

Über die Berechtigungen kann man die Unterschriften auch noch zusätzlich einschränken.
ELDI-Man
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: tief im Süden
Beiträge: 1046
Dabei seit: 07 / 2003
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 26.10.2004 - 08:58 Uhr  ·  #6
Bei uns funktioniert die Unterschriftsberechtigung im SFIRM32 auch mit HBCI PIN/TAN. Dann kann einer die Aufträge erfassen, einer unterschreiben und die Zahlungen in den DFÜ-Pool verschieben und ein Dritter die Zahlungen dann endgültig versenden.

Allerdings hat dann die Buchhaltung keinen Einfluß mehr auf das letztendliche Versenden.

Gruß ELDI-Man
Testerin
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 620
Dabei seit: 06 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 26.10.2004 - 09:08 Uhr  ·  #7
Hallo und guten Morgen,

die Aufträge können auch erst in den Pool gestellt werden. Also Buchhaltung erfasst Einzelzahlungen und stellt die Fremddateien in den Pool ein. Die unterschriftsberechtigten Personen unterschreiben mit Ihrer Diskette von Arbeitsplatz 2 oder 3 die Zahlungen entsprechend und stellen sie wieder in den Pool. Danach kann der Auftrag von der Buchhaltung erneut aufgerufen und von da verschickt werden. Das Versenden erfolgt aber durch manuelles Anstossen. Der Zahlungsauftrag wird erst über Ausführen in den Automaten zur Abarbeitung eingestellt.

Vollzugriff kann man vom Sfirm32 vergeben, d. h. alle Funktionen innerhalb von Sfirm32 sind bedienbar. Wer aber eine Elektronische Unterschrift hat, dies wird wiederum am Bankrechner hinterlegt und ist unabhängig von den Rechten innerhalb von Sfirm32.
MrNett
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 26.10.2004 - 09:26 Uhr  ·  #8
Hallo,

das Problem kann man doch ganz einfach umgehen. Für den Kontorundruf nutzt man die PIN von einer TAN-Liste, welche nach der PIN-Änderung geschreddert wird.

Danach stattet man nur einzelne User mit einer Chipkarte aus! Über die Benutzerrechte in S-Firm kann man die User einschränken und sogar ein vier Augenprinzip basteln, welches zwar wackelig ist, aber schon machbar ist!

Cu

Michael
don-saschi
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bei Hamburg
Beiträge: 104
Dabei seit: 02 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 26.10.2004 - 10:56 Uhr  ·  #9
hi,

wie man sieht gibt es hier verschiedene möglichkeiten.
ich würde mir mal einen eb-berater meiner sparkasse ins haus holen und das alles mit ihm durchsprechen. der weiß am besten welche übertragsungswege seine sparkasse wie kann und wie man das alles mit den weiteren banken zusammen bringt...

grüße aus dem norden

der "Don" :roll:
French
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Dortmund
Beiträge: 24
Dabei seit: 11 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 04.11.2004 - 07:02 Uhr  ·  #10
Guten Morgen,....

ich kann nur FTAM empfehlen.
Die Dateien kann man einlesen, von jedem Arbeitsplatz aus unterschreiben.

Das weiteren besteht die Möglichkeit SF-Sign zu benutzen, somit kann der Auftrag auch von Extern unterschrieben werden.

Was Sicherheit anbetrifft glaube ich das es nur noch wenige Menschen auf der Welt gibt die eine 1024 bit verschlüsselte Unterschrift decodieren können, und eine Diskette ist nicht zwingend erforderlich. Wer sein PC gut schützt kann den Schlüssel auch auf die Festplatte legen, aber im Zeitalter der Viren, Trojaner und Co. nur mit Vorsicht zu geniessen.

Achja, ein Nachteil gibt es, Sf-Sign ist nicht über VPN Zugang nutzbar.

Gruss

French
bt
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Ba-Wü
Beiträge: 235
Dabei seit: 10 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 04.11.2004 - 11:12 Uhr  ·  #11
Hallo all zusamm,

ne kurze Anmerkung:

Zitat
Wer sein PC gut schützt kann den Schlüssel auch auf die Festplatte legen, aber im Zeitalter der Viren, Trojaner und Co. nur mit Vorsicht zu geniessen.


Wenn der Schlüssel auf der Platte oder im Netz hinterlegt ist, verliert das Verfahren die ZKA-Freigabe und SFIRM die OPDV-Freigabe.

Außerdem veröffenlicht der unterschreibende User seinen "Privaten Schlüssel", denn zumindest der Admin kommt ran. Dann braucht der Admin nur noch einen Keylogger zu installieren und fortan kann er mit falschen Namen unterschreiben.

Ich halte das für gefährlich.

Weiterhin ist zu beachten, dass der Pfad für den Private Key für alle User der gleiche ist und die Key-Datei immer den gleichen Dateinamen hat. Bei mehreren unterschriftsberechtigten Usern kann der Private Key also nur auf dem persönlichen Netzlaufwerk hinterlegt werden.
Alternativ wäre auch die lokale Platte möglich, dann kann aber jeder nur von seinem eigenen PC aus unterschreiben und wenn die Platte abraucht, dann muss ein neuer Schlüssel erzeugt werden und bei allen Banken neu initialisiert werden.

Aber wie gesagt, der User gibt hier seinen Schlüssel aus der Hand => würde im Schadenfall als grob fahrlässig ausgelegt.

Gruß bt
French
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Dortmund
Beiträge: 24
Dabei seit: 11 / 2004
Betreff:

Re: Anfängerfrage zu SFIRM? Benutzerrechte FTAM vs. HBCI

 ·  Gepostet: 04.11.2004 - 11:30 Uhr  ·  #12
Hallo,

es war nur als Anmerkung.
Alleine schon dadurch das wir auch mit SF-Sign arbeiten, ist bei uns dies nicht möglich.

Ansonsten gebe ich bt natürlich vollkommen recht.

Gruss

French
Gewählte Zitate für Mehrfachzitierung:   0