Plausibilitätsprüfung Kontonummer bei Hibiscus

Hallo,

Hibiscus prüft m.W. die Plausibilität von Kontonummern anhand der Prüfziffer.
Es gibt über 100 Methoden der Prüfziffernberechnung. Ein Verzeichnis darüber, welche Bank welche Methode verwendet, gibt die Deutsche Bundesbank heraus.
Siehe http://www.bundesbank.de/Navig…hnung.html

Doch leider schützt die Plausibilitätskontrolle nicht immer vor Fehlern. Ausgerechnet die Bundesbank verwendet offensichtlich die Methode Nr. 9, d.h. es wird keine Prüfziffer verwendet! :thdown:
Das mußte ich ausgerechnet bei der Zahlung von Einkommensteuern feststellen (und mit Säumniszuschlägen bezahlen). Steuern rechtzeitig überwiesen, aber leider eine Null zuviel in der Kontonummer, Überweisung wurde trotzdem ausgeführt (Hibiscus kann die Plausibilität der Kontonummer ja nicht feststellen), aber ein paar Tage später war das Geld wieder auf dem Konto mit dem Hinweis: Fehlerhafte Kto-Nr. / BLZ. Da ich nicht täglich Kontoauszüge erhalte / abrufe, ist mir das leider erst aufgefallen, als das Finanzamt mahnte. Ich fiel aus allen Wolken!

Also Vorsicht bei Zahlung auf Konten bei der Bundesbank.
Vielleicht könnte Olaf ja noch einen Warnhinweis einbauen, wenn die Plausibilität der Kontonummer nicht geprüft werden kann - für die älteren Herrschaften wie mich, die sich
gelegentlich etwas schwer tun mit der Erkennung einer Serie von gleichen Zahlen am Bildschirm. (Sind das jetzt 6 oder 7 Nullen? Nochmal zählen!)

Aber wahrscheinlich lohnt sich das nicht mehr. Im nächsten Jahr wird sowieso alles anders. Ob's aber besser wird?

Ich wollte keinesfalls Hibiscus angreifen (s.o., Hibiscus kann nicht prüfen..), dafür schätze ich die Arbeit von Olaf Willhuhn viel zu sehr.

Ich benutze übrigens eine Chip-Karte in Verbindung mit einem cyber-jack Kartenleser. Klappt unter Linux einwandfrei.

Ich habe mich an keiner Stelle negativ über Hibiscus geäußert, im Gegenteil.

Selber schuld, wenn ich das bisher sicherste Verfahren benutze?? Seltsame Argumentation.
Abgesehen davon zeigt mir Hibiscus ja auch hier die Überweisungsdaten noch einmal an. Fehler können passieren, aber wenn man sie abfangen kann, sollte man das auch tun. Nicht jeder ist 16 Jahre alt und hat Adleraugen.

Du verwechselst "subjektiv" und "objektiv".

Im übrigen erübrigt bei deiner Denkweise jede weitere Kommentierung. Ich geb dir einen Fisch.

Also Open Source = potentielles Sicherheitsrisiko?
Gewagte These

Bis zu diesem letzten Posting hätte ich wenig bis nichts zu Deinen Standpunkten hier im Thread hinzufügen gehabt.

Ich stimme Dir grundsätzlich auch vollkommen zu, dass HBCI per Chipkarte ein Restrisiko darin hat, daß Du der die Karte ansteuernden Software vertrauen musst, da Du auf dem Kartenleser nicht siehst, was Du freigibst.
Das liegt aber nicht am Medium Chipkarte oder den Lesern (ab Klasse 3), sondern an HBCI. Wenn hier von den Banken endlich SECODER 2 flächendeckend angeboten/unterstützt würde, wo man im Display eines Lesers die Transaktion erneut komplett angezeigt bekommt, wäre die Frage "Was ist der sicherste Weg" eine gewisse Zeit zumindest beantwortet.

Bis dahin ist es "Geschmacksache" bzw. persönliches Vertrauen. Und ich persönlich "vertraue" dem Stand heute nicht angreifbaren Kartenleser mehr als einem weiteren, angreifbaren Device in Form eines Smartphones.

Wobei wir dann zum eigentlichen Thema zurückkommen: Notwendiges Vertrauen und Open Source = potentielles Sicherheitsrisiko?

Ich will hier keine generelle akademische Diskussion über Open Source in Vergleich zu kommerzieller Software anfangen, aber ich denke GERADE in sicherheitsrelevanten Themen kann Open Source durchhaus einen Sicherheitsvorteil bringen.
Gerade bei dem wie oben beschrieben notwendigen Vertrauen in die Integrität der Banking Software. Einer kommerziellen Software, egal welcher, muss ich "blind" vertrauen, bei einer Open Source Variante könnte ich mir über den Source meine Exceutables/Binaries selber bauen und meinem "Vertrauen" eine wesentlich fundiertere Basis geben als bei jeder kommerziellen Software.

Kann man einwenden a) "macht ja keiner" bzw. b) "würde 90% der User" überfordern. (b) stimmt sicher und (a) nahezu auch, aber sie KÖNNTEN, und das allein ist entscheidend.

Zum Punkt a) "macht ja keiner", also alle (inkl. mehr oder weniger mir selber) laden fertige Builds runter und nutzen diese sollte noch ergänzt werden, dass Olaf auch hier extrem sauber arbeitet und zu allen (releasten) Downloads PGP bzw. SHA1 Signaturen anbietet, mit denen man die Integrität der heruntergelandenen Dateiarchive verifizieren kann.

Also ich persönlich finde, das sind überhaupt keine "dünnen Holzlatten durch die man hindurchschauen kann", sondern im Gegenteil ziemlich dicke Bretter

Die Verwendung von HBCI-Software an sich ist schon per se sicher weil exotisch, dass hier die einfachsten TAN-Verfahren noch gute Chancen auf einen Siegerplatz im Statistikvergleich hätten. Und die Kombination Linux und Chipkarte wäre erstmal zu schlagen.

Ja, mal wieder doch eine rein akademische Diskussion.

Um zum eigentlich Thema zurückzukommen, die Erfassungs-Sicherheit der Buchungsdaten: Hier müsste man beim Thema HBCI und auch an anderere Stelle die Verbuchung von Sammelaufträgen verhindern, wollte man die TAN-Verfahren hier als Kriterium einbringen.

Eigentlich kann ich Kittekatzes Wunsch tatsächlich nachvollziehen, dass bei einer fehlenden Prüfziffernprüfung ein Hinweis erscheint. Wäre tatsächlich eine Idee, die man auch bei anderen Programmen keine schlechte wäre.
Aber mit SEPA ändert sich alles. Da der Thread eh durcheinander ist:Wie meinst du das genau? Immerhin ist die Prüfziffer ja zweistellig.

Gruß
Raimund

Achso, ja. Die zweistellige Prüfziffer ist meines Erachtens soweit ausreichend, dass eine zusätzliche Prüfung gegen Listen wegfallen kann. Hier könnte es für die Programmierer etwas einfacher werden.

Ob ein BIC sich komplett durchsetzen wird, wird die Zukunft zeigen. Da die BLZ notwendiger Bestandteil der IBAN ist, bleiben uns die BLZ zumindest indirekt immer erhalten. National würde eine IBAN ja auch weiterhin völlig ausreichen.

Gruß
Raimund

Hinten fehlt ein l, dann funktioniert der Link auch:
http://www.heise.de/security/m…46618.html


Nein, macht man nicht. Es ist leider ebenso trivial wie einfach. Wer zu leichtgläubig ist fällt eben drauf rein.
Wenn ich an deine Haustür komme und möchte von dir Geld für Stromlieferung haben ist das die selbe Situation. Wer oder was will dich dagegen schützen, darauf reinzufallen, wenn nicht dein Verstand und deine Intelligenz? Du kannst beim Stromlieferant nachfragen, ob die einen geschickt haben.
Wieso tut das bei einer solchen Mail niemand? Wieso ist in solchen Situationen das Hirn plötzlich ausgeschaltet?

Und eine App für ein Zertifikat? Und dann auch noch durch eine E-Mail veranlasst und nicht durch mich selbst? Ich bitte dich. Wie leichtgläubig muss man denn sein, um das zu installieren?
Es bestätigt einmal mehr meine immer währende Forderung: Mehr Bildung braucht das Land! Internetführerschein sowie eine Schutzversicherung gegen Onlinebetrug für Privatleute halte ich nach wie vor für dringend notwendig.



Anmerkung von klopfer: obnutzer: Achte bitte auf Deine Wortwahl! Doof ist beleidigend und so etwas wollen wir hier vermeiden. Ich habe das Wort ersetzt!