HBCI Chipkarte in fremden Händen

Hallo,

bin neu hier im Forum und beschäftige mich in letzter Zeit mit dem mTAN und dem Optic TAN und würde ggf auf das HBCI mit Chipkarte wechseln.
Zur Zeit nutze ich das Optic TAN auf ubuntu.

Bei den Varianten setzt eine PC Infektion voraus:

Ich selbst halte das mTAN Verfahren für unsicher, wenn z. B. die Handynummer beim Login der Bank komplett zu sehen ist. So hat der Täter einen Anhaltspunkt mittels Trojaner das Handy vorab zu infizieren bzw. eine Ersatzkarte beim Provider zu bestellen. Den Adreßabgleich als Absicherung beim Handyprovider ist im Banklogin mit zu sehen. Die Handyersatzkarte halte ich für sehr wahrscheinlich, da die Mitarbeiter in den meisten Fällen eine Diskussion vermeiden wollen und schicken die Karte raus. Mit einem internetlosen Handy wäre ein kleiner Vorteil der Infektionsfreiheit. Mit einer speziellen Software lassen sich sogar die SMS abfangen. Geht besonders gut, wenn die Handynummer komplett bekannt ist, weil sie im Bankkogin komplett zu sehen ist. Das Abfangen der SMS ist momentan weniger bekannt, da der Täter sehr grob der Nähe vom Opfer sein müßten, was aber aus meiner Sicht eine Frage der Zeit ist. Denn wenn ein 2 stelliger Tausendbetrag abzuräumen ist, würde sich der Aufwand für die Täter lohnen...

Beim Optic TAN Verfahren gehe ich ebenfalls vom Sicherheitsrisiko Mensch aus, daß auch hier ein Anruf bei der Bank ausreicht um die EC Karte neu zu stellen, was bei den meisten Banken auch funktioniert. (z. B. mit vorgetäuschtem Umzug, mit anschließender Adreßänderung) Danach könnte der Täter das Konto leer räumen. Die Banklogin Daten wurden vorab per Infektion ausgelesen.

Mit HBCI kenne ich mich weniger aus. Wie würde hier der Fall ausgehen, wenn eine unberechtigte Person eine HBCI Karte neu bestellt und sie ggf. an eine andere Adresse liefern läßt? (vorgetäuschter Umzug, mit anschließender Adreßänderung) Kann der Täter mit der HBCI Karte etwas anfangen? So weit mir bekannt ist, bleibt die PIN Nummer die gleiche oder wird die zurück gesetzt? Na gut, das Login übernimmt die HBCI Software. Also sieht der Täter nicht unbedingt den Login?

Freue mich auf eure Tips!

Gruß Banker

Deine Aussage hilft mir nicht weiter!

Eine Anti-Virensoftware, wie der Name schon sagt, ist auf Viren ausgerichtet und auf keine Trojaner.
Dann kommt dazu, daß die Hersteller erst dann ein Update stellen können, wenn der Trojaner bekannt ist. In dieser Zwischenzeit läuft eine unbemerkte Infektion. UND gute Trojaner umgehen die Firewall und Anti Virensoftware...

Vielleicht kann jemand anderes meine Frage zur HBCI Karte beantworten

Nein, die PIN bleibt meistens nicht die gleiche. Ein Betrüger müsste diese an üblicherweise an getrennten Tagen verschickte PIN und Karte abfangen oder die Adresse ändern können. Da letzteres normalerweise mit Unterschrift abgesichert wird, passt der Hinweis von infoman, war nur nicht ganz ausführlich.
Ist also durchaus denkbar, würde sicherlich im Schadensfall von der Bank abgesichert.

Allerdings ist es mit der Nähe (abgefangene SMS) so ein Thema: Wenn ich alle nötigen Informationen habe, ist ein Einbruch - oder schlimmer noch ein Raubüberfall - meines Erachtens genauso wahrscheinlich. Allerdings kommt man ohne tote Opfer damit nicht mehr ins Fernsehen, sondern nur noch in die Lokalpresse.

Machst du dir Sorgen oder fragst du aus akademischen Interesse?
Ich würde dir ansonsten ein Linux auf Boot-CD und die Sm@rtTAN/ChipTAN empfehlen.

Gruß
Raimund
ups, gleichzeitig geantwortet...

Die Adressenänderung auf Zuruf war auch schon kritisch in der Presse. Ich kann nur annehmen, dass der Berater dich eindeutig an der Stimme erkannt hat sonst wäre das schon ziemlich übel und ein guter Grund, die Bank zu wechseln. Denn unberechtigte Adressenänderungen können nicht nur auf dem Gebiet sehr großen Schaden anrichten, hat aber nichts mit der Sicherheit des Onlinebankings zu tun.

Zwei kurze Anmerkungen dazu:

Das Abholen in der Filiale wird von immer weniger Banken praktiziert, auch wenn es genug Filialen gibt. Bei der größten bayerischen Sparkasse werden z.B. ec-Karten zwangsweise zugeschickt. Abholen nicht möglich. Die DDV-Chipkarten sind in jeder Filiale vorrätig und können persönlich (entweder bekannt oder Personalausweis) abgeholt werden und werden dann sofort freigeschaltet. Es ist aber genauso gut eine schriftliche (auch online mit TAN) Bestellung möglich, wobei die HBCI Karte und die PIN dazu (getrennt) zugesendet werden. Bei HBCI-Karten bleiben die PINs niemals gleich. Bei den DDV-Chipkarten (Sparkassen) wird die PIN nicht änderbar bei der Produktion der Karte festgelegt (vorsintflutlich, finde ich), bei den RSA-Chipkarten gibt es mehrere Varianten (es ist keine gesetzt und es wird selber eine vergeben, es ist eine TransportPIN gesetzt die geändert werden muß u.s.w.). Auch kommt es noch darauf an, ob eine vorpersonalisierte Karte (neuere Versionen) zum Einsatz kommt oder ob der Kunde den Schlüssel, der auf die Karte kommt, erst selbst generiert und per INI-Brief mit Unterschrift bei der Bank freischalten lassen muß oder in manchen Fällen auch selber im Web per TAN freischalten kann.

Will sagen: Es hängt immer davon ab, wie genau die Bank Bestellungen des "Kunden" prüft und legitimiert. Eine HBCI-Karte ist in einer Bank, die es da nicht so genau nimmt, genauso schnell bestellt wie alle anderen Karten bzw. Legitimationsmedien.