HBCI mit Kartenleser Klasse 3 oder 2?

Hallo Jörg,

dieses Thema wurde bereits sehr ausführlich unter http://www.starfinanz.de/forum/viewtopic.php?t=1314 besprochen. Dort solltest du alles Infos finden. Falls noch offene Fragen sein sollten frage einfach nach.

Gruß
Daniel

Hm,
weil es trotzdem einen nicht zu unterschätzenden Sicherheitsvorteil bietet?

Zudem sind die über HBCI aufgebauten Kommunikationsverbindungen per Zertifikat authentifiziert, irgendwo schickt keine Software Ihre Daten hin.
Sollten die Daten inhaltlich gegen den Willen des Nutzers verändert worden sein (und dazu ist einiges an Aufwand erforderlich), handelt es sich um Betrug.
Betrug lässt sich durch die Bekanntheit des Zahlungsempfängers recht leicht aufklären, bzw. ist das ganze Geschäft von vorne rein völlig uninteressant.

Diebstahl und Betrug lohnen sich nur bei Bargeld, daher weg damit. Bargeld stinkt zudem

Stop, das war anders gemeint.
Die Verbindung eines Homebanking-Programms zum Banksystem ist per Zertifikat signiert (und nebenbei verschlüsselt).
Ich meine damit das ein Programm bei Manipulation der Verbindung dieses erkennt und die Verbindung abbricht bzw. gar nicht erst aufbaut. Das betrifft alle HBCI Sicherheitsmedien.

Das die Daten an sich mit Chipkarte oder Sicherheitsdatei ebenfalls signiert sind, ist klar.

Der Klasse2 Leser bietet zwei entscheidende Vorteil. Die PIN wird im geschützten Modus eingegeben, also grundsätzlich gesichert gegen Trojaner. Somit kann die PIN nicht mitgelesen werden (wenn nicht gleichzeitig der Treiber angefasst wurde, siehe unten).
Obwohl man mit der PIN alleine nichts machen kann, ist der Diebstahl dennoch bedenklich. Der Dieb könnte ja zusätzlich die Karte erbeuten und somit missbräuchlich verfügen. Dabei sind wir aber schon wieder bei Betrug/Diebstahl -> Anzeige -> Ermittlung der Staatsanwaltschaft -> Prüfung der Empfängerdaten.
Das das ganze uninteressant ist, zeigt jede Kriminalstatistik.

Das Problem das ich auch bei deiner Klasse 3 Version mit Anzeige am Display usw. immer noch sehe ist der Treiber des Kartenlesers. Der Treiber lässt sich in der Theorie genauso wie bei Klasse2 durch einen Virus/Trojaner aushebeln (da dieser nicht gegen Veränderung geschützt ist) und damit ist die vermeintliche Sicherheit ebenfalls futsch. Der Homebanking PC ist die erste Angriffsstelle und wird es auch bleiben.
Ein unsicheres Basissystem kann nicht nachträglich durch irgendwelche besonderen Verfahren nachträglich abgesichert werden.
Solange ein gängiges Betriebssystem noch immer Standarduser mit Administrationsrechten ausstattet und keine Passwort verlangt, ist jeder weitere Versuch, Sicherheit zu erzeugen eh vergebens. Die Leute die sich gut genug mit der Materie auskennen, erlangen meiner Meinung nach auch durch Klasse2 mit Karte keinen bessen Schutz als würden Sie PIN/TAN verwenden.

Der technische Aufwand für so einen Missbrauch ist aber sehr hoch. Diskettenverfahren sind einfach auszuhebeln, Kopie der Schlüsseldiskette anlegen, Brute-Force Programm zum ermitteln der Passphrase und warten.

Was mich bei deiner Aussage stutzig macht:
Bei Verdachtsfällen auf Betrug die du gegenüber deiner Bank äusserst, wird keine Bank sagen die Daten waren korrekt signiert, geh nach Hause. Wie kommst du auf so eine Idee?

Wenn man will wird man immer "Sicherheitslücken" finden, aber so lange die größte Sicherheitlücke der Anwender und sein privater Pc sind, ist alles andere vergebens.

Für dich wäre es vielleicht ein Sicherheitsplus, wenn die Daten im Display angezeigt würden, nun überlege mal wie viele dort einfach blind bestätigen würden und überlege weiter wie das dann bei einer Sammelüberweisung mit 100 Einzelposten aussieht. Es ist doch genauso wie mit dem Fingerprint beim Internetbanking, den man lt. Bedingungen kontrollieren muß, aber wer macht das ???

Die Verfahren an sich sind sicher, nur sollte man auch ein bißchen selber was für die Sicherheit tun, dann scheitert auch der Trojaner vor der Haustür.

Absolut richtig!

Klasse2 Leser (Reiner SCT cyberjack z.B.) fangen ca. bei 40 Euro an. Das ist das Modell mit Tastaturweiche, also alleine schon aus Sicherheitsgründen nicht für Funktastaturen geeignet. Der cyperjack pinpad USB liegt bei ca. 45-50 Euronen, der einfachste Klasse3 Leser mit seriellem Port (G&D CashMouse) liegt etwa bei 60 Euro.
Nur mal so als Preisübersicht, bei ebay gibts teilweise auch günstigere.
Soll übrigens keine Werbung sein, aber die angegebenen Klasse2 Leser haben sich meiner Meinung nach bewährt.

moin !

ReinerSCT

die Leser Typ 2 USB setzen wir ein (Empfehlung ggü. Kd.). sind robust und halten ewig. kosten so um die 50 Euros für unsere kunden über die eigene Reiner Shoplösung.
(da kann der Kunde selbst entscheiden übrigens, ob er eventuell doch nen Typ 3 oder verschiedene schnittstellen etc. haben will)

Typ 3 ist aber ziemlich kostspielig ca. 90 Euros und in Anbetracht des Nutzens eher uninteressant. kann mich captfrag nur anschliessen, typ 2 hat sich einfach etabliert.

ps: der biometrische wechselt für läppische 375 Euronen den besitzer : ) hier der Link dazu .

tschö
madbeck

:!: Sorry Captain FRAG,
aber das möchte ich doch richtig stellen:

Zum Abfragen der PIN haben Leser mit Tastatur ein spezielles Kommando. Der Leser führt die PIN-Abfrage autark aus. Raus kommt nur der Status der Abfrage. Die Tastatur ist von der Software bei den mir bekannten Lesern nicht transparent ansprechbar. Ein Ausschleusen der PIN durch manipulierte Treiber ist somit unmöglich. Sofern der User seine PIN immer nur am Leser eingibt, ist er also immer besser geschützt als mit allen anderen Varianten.

Zu Klasse-3 Lesern ist zu sagen, dass für Signieranwendungen kein Visualisierungskonzept definiert ist, das das Display des Leser effizient nutzen würde. Konkret: Klasse-2 tuts auch. Wenn eine Signatur erstellt werden soll, blinkt ein Lämpchen und man gibt die PIN ein. Bei Klasse-3 erscheint zusätzlich der Spruch "Jetzt PIN eingeben".

Interessant wird Klasse-3 erst bei anderen Anwendungen, wie Bezahlen mit der Geldkarte im Internet.

Hallo Stoney,

Wenn der User den doppelten Preis :!: für einen Leser mit Tastatur hingelegt hat, und trotzdem nicht zögert, die PIN seiner Signaturkarte immer noch auf der PC-Tastatur einzugeben, dann wird er schon einen echt wichtigen Grund dazu haben.

Auf jeden Fall wäre ->grobe Fahrlässigkeit zu unterstellen.