Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 02.09.2010 - 11:15 Uhr  ·  #1
Hallo,

wir möchten/müssen die Überweisungen nach dem "4-Augen-Prinzip" durchführen. Jede Überweisung muß also von 2 verschiedenen Personen "unterschrieben" werden.
Bei S-FIRM war es so, das beim Ausführen der Überweisung erst nach der Karte & PIN des 1. Unterzeichners gefragt wurde, gleich danach Karte & PIN des 2. Unterzeichner.
Ich habe das jetzt mal mit hibiscus versucht, aber es wird nur nach der 1. Karte & PIN gefragt und nicht nach einer 2. Karte & PIN. Der Vorgang bricht dann natürlich irgendwann ab, weil von der Bank die Meldung kommt das die Berechtigung nicht ausreicht.

Code
[31.08.2010 16:35:14] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Lade HBCI-Sicherheitsmedium
[31.08.2010 16:35:14] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Initialisiere HBCI-Sicherheitsmedium
[31.08.2010 16:35:14] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Erzeuge HBCI-Handle
[31.08.2010 16:35:14] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Öffne HBCI-Verbindung
[31.08.2010 16:35:14] Bitte legen Sie die Chipkarte in das Lesegerät. AStA TU Darmstadt - Giro, Kto. 541397 [Stadt- und Kreis-Sparkasse Darmstadt]
[31.08.2010 16:35:15] HBCI-Chipkarte wird ausgelesen.
[31.08.2010 16:35:16] hole nutzerspezifische Daten
[31.08.2010 16:35:16] fetching UPD
[31.08.2010 16:35:16] erzeuge HBCI-Nachricht DialogInit
[31.08.2010 16:35:16] signiere HBCI-Nachricht
[31.08.2010 16:35:16] Bitte geben Sie die PIN in Ihren Chipkarten-Leser ein. AStA TU Darmstadt - Giro, Kto. 541397 [Stadt- und Kreis-Sparkasse Darmstadt]
[31.08.2010 16:35:21] PIN wurde eingegeben.
[31.08.2010 16:35:21] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:21] versende HBCI-Nachricht
[31.08.2010 16:35:21] warte auf Antwortdaten
[31.08.2010 16:35:21] waiting for response
[31.08.2010 16:35:22] entschlüssele Antwortnachricht
[31.08.2010 16:35:24] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:24] installed new BPD with version X97
[31.08.2010 16:35:24] kreditinstituts-spezifische Daten erhalten - neue Version ist 197
[31.08.2010 16:35:24] configuring InfoPointer-Server with http://hbci4java.kapott.org/infoPoint
[31.08.2010 16:35:36] data NOT sent because of missing user confirmation
[31.08.2010 16:35:36] installed new UPD with version 0
[31.08.2010 16:35:36] nutzerspezifische Daten aktualisiert - neue Version is 0
[31.08.2010 16:35:36] beende Dialog
[31.08.2010 16:35:36] erzeuge HBCI-Nachricht DialogEnd
[31.08.2010 16:35:36] signiere HBCI-Nachricht
[31.08.2010 16:35:36] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:36] versende HBCI-Nachricht
[31.08.2010 16:35:36] warte auf Antwortdaten
[31.08.2010 16:35:36] waiting for response
[31.08.2010 16:35:37] entschlüssele Antwortnachricht
[31.08.2010 16:35:37] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:37] Dialog beendet
[31.08.2010 16:35:37] trying to fetch SEPA information from institute
[31.08.2010 16:35:37] adding job SEPAInfoX to dialog
[31.08.2010 16:35:37] executing dialog for customerid 662964432X
[31.08.2010 16:35:37] processing dialog init
[31.08.2010 16:35:37] führe Dialog-Initialisierung aus
[31.08.2010 16:35:37] erzeuge HBCI-Nachricht DialogInit
[31.08.2010 16:35:37] signiere HBCI-Nachricht
[31.08.2010 16:35:37] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:38] versende HBCI-Nachricht
[31.08.2010 16:35:38] warte auf Antwortdaten
[31.08.2010 16:35:38] waiting for response
[31.08.2010 16:35:38] entschlüssele Antwortnachricht
[31.08.2010 16:35:39] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:39] installed new UPD with version 0
[31.08.2010 16:35:39] nutzerspezifische Daten aktualisiert - neue Version is 0
[31.08.2010 16:35:39] Dialog initialisiert - Dialog-ID ist 5864258353611380
[31.08.2010 16:35:39] processing jobs
[31.08.2010 16:35:39] erstelle Auftragsdaten für Geschäftsvorfall SEPAInfo1
[31.08.2010 16:35:39] erzeuge HBCI-Nachricht CustomMsg
[31.08.2010 16:35:39] signiere HBCI-Nachricht
[31.08.2010 16:35:39] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:40] versende HBCI-Nachricht
[31.08.2010 16:35:40] warte auf Antwortdaten
[31.08.2010 16:35:40] waiting for response
[31.08.2010 16:35:40] entschlüssele Antwortnachricht
[31.08.2010 16:35:40] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:41] Ergebnisdaten für Geschäftsvorfall SEPAInfo1 empfangen
[31.08.2010 16:35:41] processing dialog end
[31.08.2010 16:35:41] beende Dialog
[31.08.2010 16:35:41] erzeuge HBCI-Nachricht DialogEnd
[31.08.2010 16:35:41] signiere HBCI-Nachricht
[31.08.2010 16:35:41] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:41] versende HBCI-Nachricht
[31.08.2010 16:35:41] warte auf Antwortdaten
[31.08.2010 16:35:41] waiting for response
[31.08.2010 16:35:42] entschlüssele Antwortnachricht
[31.08.2010 16:35:42] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:42] Dialog beendet
[31.08.2010 16:35:42] successfully fetched information about SEPA accounts from institute
[31.08.2010 16:35:42] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Aktiviere HBCI-Job: "Absenden der Sammel-Überweisung Sammel-Auftrag vom 31.08.2010"
[31.08.2010 16:35:42] adding job SammelUeb4 to dialog
[31.08.2010 16:35:42] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Führe HBCI-Jobs aus
[31.08.2010 16:35:42] executing dialog for customerid 662964432X
[31.08.2010 16:35:42] processing dialog init
[31.08.2010 16:35:42] führe Dialog-Initialisierung aus
[31.08.2010 16:35:42] erzeuge HBCI-Nachricht DialogInit
[31.08.2010 16:35:42] signiere HBCI-Nachricht
[31.08.2010 16:35:43] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:43] versende HBCI-Nachricht
[31.08.2010 16:35:43] warte auf Antwortdaten
[31.08.2010 16:35:43] waiting for response
[31.08.2010 16:35:43] entschlüssele Antwortnachricht
[31.08.2010 16:35:44] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:44] installed new UPD with version 0
[31.08.2010 16:35:44] nutzerspezifische Daten aktualisiert - neue Version is 0
[31.08.2010 16:35:44] Dialog initialisiert - Dialog-ID ist 6172273453611380
[31.08.2010 16:35:44] processing jobs
[31.08.2010 16:35:44] erstelle Auftragsdaten für Geschäftsvorfall SammelUeb4
[31.08.2010 16:35:44] erzeuge HBCI-Nachricht CustomMsg
[31.08.2010 16:35:44] signiere HBCI-Nachricht
[31.08.2010 16:35:45] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:45] versende HBCI-Nachricht
[31.08.2010 16:35:45] warte auf Antwortdaten
[31.08.2010 16:35:45] waiting for response
[31.08.2010 16:35:46] entschlüssele Antwortnachricht
[31.08.2010 16:35:46] [error] HBCI error code: 9050:Nachricht teilweise fehlerhaft (HBMSG=X0349)
[31.08.2010 16:35:46] [error] HBCI error code: 90X0:Der Auftrag wurde nicht ausgeführt. (3: CustomMsg.GV.SammelUeb4)
[31.08.2010 16:35:46] [error] HBCI error code: 9370:Die Kompetenz ist nicht ausreichend. (MOB90000000008) (3: CustomMsg.GV.SammelUeb4)
[31.08.2010 16:35:46] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:46] [error] HBCI error code: 90X0:Der Auftrag wurde nicht ausgeführt. (3: CustomMsg.GV.SammelUeb4)
[31.08.2010 16:35:46] [error] HBCI error code: 9370:Die Kompetenz ist nicht ausreichend. (MOB90000000008) (3: CustomMsg.GV.SammelUeb4)
[31.08.2010 16:35:46] Ergebnisdaten für Geschäftsvorfall SammelUeb4 empfangen
[31.08.2010 16:35:46] processing dialog end
[31.08.2010 16:35:46] beende Dialog
[31.08.2010 16:35:46] erzeuge HBCI-Nachricht DialogEnd
[31.08.2010 16:35:46] signiere HBCI-Nachricht
[31.08.2010 16:35:47] verschlüssele HBCI-Nachricht
[31.08.2010 16:35:47] versende HBCI-Nachricht
[31.08.2010 16:35:47] warte auf Antwortdaten
[31.08.2010 16:35:47] waiting for response
[31.08.2010 16:35:47] entschlüssele Antwortnachricht
[31.08.2010 16:35:47] überprüfe Signatur der Antwortnachricht
[31.08.2010 16:35:48] Dialog beendet
[31.08.2010 16:35:48] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: HBCI-Jobs ausgeführt
[31.08.2010 16:35:48] AStA TU Darmstadt - Giro [Stadt- und Kreis-Sparkasse Darmstadt]: Werte Ergebnis von HBCI-Job "Absenden der Sammel-Überweisung Sammel-Auftrag vom 31.08.2010" aus
[31.08.2010 16:35:48] Fehler beim Ausführen des Sammel-Auftrages Sammel-Auftrag vom 31.08.2010: Fehlermeldung der Bank:
9010 - Der Auftrag wurde nicht ausgeführt., 9370 - Die Kompetenz ist nicht ausreichend. (MOB90000000008)
9010:Der Auftrag wurde nicht ausgeführt. (3: CustomMsg.GV.SammelUeb4)
9370:Die Kompetenz ist nicht ausreichend. (MOB90000000008) (3: CustomMsg.GV.SammelUeb4)
9050:Nachricht teilweise fehlerhaft (HBMSG=10349)
[31.08.2010 16:35:48] Beende HBCI-Übertragung
[31.08.2010 16:35:48] HBCI-Übertragung mit Fehlern beendet 


Was nun? Muß ich da noch etwas in hibiscus konfigurieren?

Grüsse
Ivan
Angel
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 42
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 02.09.2010 - 14:17 Uhr  ·  #2
Abgesehen davon, dass du persönliche Daten und Kontonummern aus den Logfiles löschen solltest, bevor du sie postest - das hier:

[error] HBCI error code: 9370:Die Kompetenz ist nicht ausreichend. (MOB90000000008)

ist eine Rückmeldung der Bank, die auf eine falsche oder fehlende Freischaltung hinweist. Habt ihr da mal nachgefragt?

lg
Angel
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 02.09.2010 - 14:32 Uhr  ·  #3
Zitat geschrieben von Angel
Abgesehen davon, dass du persönliche Daten und Kontonummern aus den Logfiles löschen solltest, bevor du sie postest -


Hi Angel,

also ich habe mir das Logfile zuvor schon angesehen und nichts kritisches im Logfile entdecken können - die Konto-Nr. des AStA steht auch auf unserer Webseite ;-)

Zitat geschrieben von Angel

das hier:

[error] HBCI error code: 9370:Die Kompetenz ist nicht ausreichend. (MOB90000000008)

ist eine Rückmeldung der Bank, die auf eine falsche oder fehlende Freischaltung hinweist. Habt ihr da mal nachgefragt?

lg
Angel


Ja, die Meldung habe ich gelesen. Die Karte ist jedoch freigeschaltet, da Kontostände damit bereits abgerufen wurden. Ich habe das eher so interpretiert, das die "Kompetenz" als "one-man" nicht ausreicht, da wie gesagt alle Überweisungen doppelt abgesegnet werden müssen und beim Ausführen der Überweisung gar nicht erst nach der 2. Karte gefragt wurde, würde das für mich passen...

Grüsse
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

HBCI error code: 9370

 ·  Gepostet: 02.09.2010 - 14:36 Uhr  ·  #4
Ich habe gerade nochmal ein wenig zum HBCI Fehler Code gesucht und folgendes hier gefunden:

http://www.kaiwu.de/cgi-bin/sb…26&show=16

Zitat

...
9370 = Gegensignatur erforderlich. Auftrag abgelehnt.
Diese Meldung kommt, wenn es sich bei dem betreffenden Konto um ein Und-Konto handelt, für das zwei Signaturen (Unterschriften) erforderlich wären.
...


Würde also zu meiner Vermutung passen... :(
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 12:10 Uhr  ·  #5
Hat niemand noch eine Idee wie ich das Problem lösen könnte?

Grüsse
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10859
Dabei seit: 03 / 2005
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 13:01 Uhr  ·  #6
Leider nein. Ehrlich gesagt wusste ich gar nicht, dass es sowas in HBCI ueberhaupt gibt. Falls Stefan jetzt nicht doch noch sagt, dass das in HCBI4Java geht, wuerde ich sagen: Geht mit Hibiscus leider nicht.
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 13:21 Uhr  ·  #7
Zitat geschrieben von willow
Falls Stefan jetzt nicht doch noch sagt, dass das in HCBI4Java geht, wuerde ich sagen: Geht mit Hibiscus leider nicht.

Hätte ich jetzt auch gesagt. HBCI Mehrfachunterschrift ist nun wirklich kein Standard Feature für freie Softwareprodukte.
Lasst Euch chipTAN oder smsTAN geben und macht es über das Browserbanking, wäre mein Tipp für eine kurzfristige Umgehung des Problems. Bei Sparkassen ist A-/B-Kompetenz im Browserbanking Standard.
ottoager
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:05 Uhr  ·  #8
Zitat geschrieben von Michael Döring
Bei Sparkassen ist A-/B-Kompetenz im Browserbanking Standard.


Zumindest bei einem Teil der Sparkassen (nämlich bei den mit OS+, beim sog. "Regionalsystem" z.B. nicht).

Otto
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:16 Uhr  ·  #9
Zitat geschrieben von ottoager
Zumindest bei einem Teil der Sparkassen (nämlich bei den mit OS+, beim sog. "Regionalsystem" z.B. nicht).

Stimmt. Hatte ich nicht erwähnt aber für Darmstadt vorausgesetzt. Oder lieg ich da falsch?
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:18 Uhr  ·  #10
Zitat geschrieben von willow
Leider nein. Ehrlich gesagt wusste ich gar nicht, dass es sowas in HBCI ueberhaupt gibt. Falls Stefan jetzt nicht doch noch sagt, dass das in HCBI4Java geht, wuerde ich sagen: Geht mit Hibiscus leider nicht.


Hoppla, dann war die ganze Arbeit umsonst!?!

Ich hatte ja im Mai schon mal deswegen per Mail angefragt, ob das 2 Unterschrifen-Prinzip möglich sei. Dann war das wohl ein Missverständins.

Ich habe morgen nochmal 2 Referenten hier, dann werde ich das mit denen nochmal testen. Der letzte Versuch fand ohne mich statt...

Grüsse
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:20 Uhr  ·  #11
Zitat geschrieben von AStA
Ich hatte ja im Mai schon mal deswegen per Mail angefragt, ob das 2 Unterschrifen-Prinzip möglich sei. Dann war das wohl ein Missverständins.

Wen hast Du gefragt und wie lautete die Antwort?
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:21 Uhr  ·  #12
Zitat geschrieben von Michael Döring
Zitat geschrieben von ottoager
Zumindest bei einem Teil der Sparkassen (nämlich bei den mit OS+, beim sog. "Regionalsystem" z.B. nicht).

Stimmt. Hatte ich nicht erwähnt aber für Darmstadt vorausgesetzt. Oder lieg ich da falsch?


Also PIN/TAN mit "2 Unterschriften" geht wohl mit der DA SPK soviel ich weiß. Haben nur vor einer Weile alles auf HBCI mit Chipkarte umgestellt...
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:29 Uhr  ·  #13
Zitat geschrieben von Michael Döring
Zitat geschrieben von AStA
Ich hatte ja im Mai schon mal deswegen per Mail angefragt, ob das 2 Unterschrifen-Prinzip möglich sei. Dann war das wohl ein Missverständins.

Wen hast Du gefragt und wie lautete die Antwort?


Ich hatte mal bei Herrn Willuhn per Mail angefragt und unsere Rahmenbedingungen geschildert. Der Punkt mit den 2 Unterschriften kam dann wohl nicht klar rüber.
Ist echt zu schade, weil die Software für unsere Zwecke ansonsten echt perfekt ist! :D

Ich weiß nicht wie aufwändig es ist so eine Funktion zu implementieren, aber da es ohne für uns nicht geht vielleicht auch eine Option (siehe meine Anfrage für eine Benutzerverwaltung im Forum http://www.onlinebanking-forum…hp?t=12141 ) für eine bezahlte Auftragsarbeit?!

Das würde ich mal mit unseren Referenten klären, wenn eine "Hausnummer" vorliegt...
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:30 Uhr  ·  #14
Zitat geschrieben von AStA
Haben nur vor einer Weile alles auf HBCI mit Chipkarte umgestellt...

Wofür?
chipTAN und smsTAN sind "genau" so sicher und flexibler.
Aber das ist eine andere Diskussion......
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:39 Uhr  ·  #15
Zitat geschrieben von Michael Döring

Wofür?


Weil hier die Überweisungsträger noch per Diskette erstellt (S-Firm) und von Hand unterschrieben zur Bank gebracht wurde. Da lagen sie dann nochmal ein paar Tage herum oder die Unterschrift wurde nicht anerkannt,... etc.

Zitat geschrieben von Michael Döring

chipTAN und smsTAN sind "genau" so sicher und flexibler.
Aber das ist eine andere Diskussion......


Ja, das glaube ich Dir. Im Augenblick ist das einfach der Stand :(
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:46 Uhr  ·  #16
Zitat geschrieben von AStA
Weil hier die Überweisungsträger noch per Diskette erstellt (S-Firm) und von Hand unterschrieben zur Bank gebracht wurde. Da lagen sie dann nochmal ein paar Tage herum oder die Unterschrift wurde nicht anerkannt,... etc.

Es wäre vermutlich einfacher gewesen, SFirm im Prozess zu behalten und nur die Ausgabe der Datei auf HBCI umzustellen und mit Sicherungsmedium chipTAN oder smsTAN im 4-Augen-Prinzip freizugeben. Alternativ über EBICS mit Unterschriften auf USB-Stick.
Denn ein relativ "sicheres" Sicherungsmedium wie HBCI-Karte zusammen mit einer OpenSource Software zu verwenden, bei der das Risiko eines echten Softwaretrojaners entsprechend hoch ist, ist aus meiner Sicht nicht konsequent und stimmig.
AStA
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Darmstadt
Beiträge: 50
Dabei seit: 05 / 2010
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 14:59 Uhr  ·  #17
Zitat geschrieben von Michael Döring

Es wäre vermutlich einfacher gewesen, SFirm im Prozess zu behalten und nur die Ausgabe der Datei auf HBCI umzustellen und mit Sicherungsmedium chipTAN oder smsTAN im 4-Augen-Prinzip freizugeben. Alternativ über EBICS mit Unterschriften auf USB-Stick.


Nun ja, wir wollten weg von dem "1-Mann Show auf Windows" und eine Anwendung die auf den Linux-Workstations läuft, mit denen wir hier zu 99% arbeiten. Das Netzwerksetup (mysql + ssl), die Verteilung auf den Workstations, der Zugriff auf Hibiscus von den Stationen - das alles hat nach einer Anlaufphase gut geklappt. Jeder der lesend Zugriff auf die Konten benötigt hat diesen nun, kann selbstständig Überweisungen vorbereiten/anlegen,...
Insgesamt passt Hibiscus gut zu den Arbeitsabläufen hier. Ich habe unter Linux bisher nichts vergleichbares gefunden.

Zitat geschrieben von Michael Döring

Denn ein relativ "sicheres" Sicherungsmedium wie HBCI-Karte zusammen mit einer OpenSource Software zu verwenden, bei der das Risiko eines echten Softwaretrojaners entsprechend hoch ist, ist aus meiner Sicht nicht konsequent und stimmig.


Dazu stecke ich nicht tief genug in der Materie um das beurteilen zu können. Ich gehe primär davon aus das OpenSource "sicherer" ist, da viele reinschauen können - entsprechende Cracks finden sich ja hier 😉
Abgesehen davon habe ich auf einem Windows-PC das Trojaner-Problem auch, vielleicht sogar noch eher. Der setzt dann vielleicht woanders an als bei S-Firm.
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 15:16 Uhr  ·  #18
Zitat geschrieben von AStA
Ich gehe primär davon aus das OpenSource "sicherer" ist, da viele reinschauen können - entsprechende Cracks finden sich ja hier 😉

Diese Logik finde ich schon abenteuerlich :)
Open bleibt open für ext. Angriffe.
Für jemanden, der sich an fremden Geld bereichern möchte ist es doch attraktiver, sich in einem OpenSource Produkt anhand der Quellen einfach die DB-Zugriffe rauszusuchen und dafür einen Trojaner zu schreiben und zu veröffentlichen (analog Browser-Trojaner), als bei einem geschlossenen Produkt einen Mitarbeiter "einzukaufen" der einem den Code zuspielt.
Da nützt dann auch das sicherste Sicherungsmedium nichts mehr....

Zitat geschrieben von AStA
Abgesehen davon habe ich auf einem Windows-PC das Trojaner-Problem auch, vielleicht sogar noch eher. Der setzt dann vielleicht woanders an als bei S-Firm.

Linux zu verwenden ist in Bezug auf Trojaner auf jeden Fall die Wahl mit weniger Risiko, da stimme ich zu. Wenn es allerdings doch irgendwann einen Softwaretrojaner gibt, wird der bestimmt auch bei Linux seinen Weg zum Zielobjekt finden.
Insofern bleibt zu hoffen, dass es in hbci4java vielleicht doch irgendwie geht und wir nur noch nicht den Trick gefunden haben.
aquamaniac
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Hamburg
Homepage: aqbanking.de/
Beiträge: 642
Dabei seit: 03 / 2005
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 15:30 Uhr  ·  #19
Zitat geschrieben von Michael Döring

Diese Logik finde ich schon abenteuerlich :)
Open bleibt open für ext. Angriffe.


Also ehrlich gesagt finde ich diese Argumentation auch nicht weniger abenteuerlich ;-)

Diese Diskussion haetten wir nicht, wenn man bei Verwendung von Chipkarten endlich auch in HBCI die Transaktionsdaten vor der Signatur anzeigen lassen koennten, und diese Anzeige dann mit unterschrieben und von der Bank geprueft wuerde. Dann koennte man naemlich Trojaner schreiben, wie man will: Der Benutzer koennte - bei richtiger Spec und Implementierung - Aenderungen an den Transaktionsdaten erkennen. Momentan unterschreibt man ja noch blind.

Aber die pauschale Abwertung von Open-Source-Software als unsicher halte ich fuer voellig verfehlt. "Security by Obscurity" hat sich doch nun wirklich als nicht mehr haltbar herausgestellt...


Gruss
Martin
Michael Döring
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1495
Dabei seit: 07 / 2008
Betreff:

Re: Überweisung nach "4-Augen-Prinzip" / 2 HBCI Karten

 ·  Gepostet: 07.09.2010 - 15:57 Uhr  ·  #20
Zitat geschrieben von aquamaniac
Aber die pauschale Abwertung von Open-Source-Software als unsicher halte ich fuer voellig verfehlt. "Security by Obscurity" hat sich doch nun wirklich als nicht mehr haltbar herausgestellt...

Hab ich auch nicht gemacht.
Hab sie nur im DIREKTEN Vergleich zu geschl. Produkten als leichter angreifbar in Bezug auf Trojaner bezeichnet.
Hoffentlich ereilt es uns weder für die eine noch für die andere Gruppe.

Ansonsten volle Zustimmung, Transaktionsdaten gehören in jedes Leg.-Medium, auch HBCI-Karten.
Gewählte Zitate für Mehrfachzitierung:   0