Drei Banken - Eine HBCI-Karte?

Die Sparkassen nutzen DDS-Chipkarten. Diese sind mit Schlüsseln ab Produktion und einer nicht änderbaren PIN versehen. Sie sind einer Sparkasse fest zugeordnet. Man kann mehrere Konten EINER Sparkasse darauf legen lassen (also Verknüpfung in der Sparkassen-EDV), nicht aber welche einer anderen Sparkasse oder gar anderen Bank. Man muß DIESE EINE verknüpfte Chipkarte nutzen. Wenn sie kaputt geht oder die PIN jemandem fremden bekannt wird oder man die PIN durch 3malige Falscheingabe sperrt, braucht man zwangsweise eine neue Karte von der entsprechenden Sparkasse, die dann mit dem Konto / den Konten verknüpft werden muß. Nachdem die Schlüssel bereits auf der Karte sind und die Karte vor der Aushändigung an den Kunden mit dem Konto verknüpft wird, muß der Kunde hier keinen "INI-Brief" an die Bank senden.

Die Privatbanken verwenden RSA-Schlüssel. Diese kann man entweder erzeugen und in einer Datei sichern (üblicherweise auf einem USB-Stick) und von da aus verwenden. Eine weitere Möglichkeit sind die RSA-Chipkarten, so wie Du eine bestellt hast. In diesem Fall wird der Schlüssel nicht im PC erzeugt und auf Datei gespeichert sondern auf der Chipkarte erzeugt. Er verläßt die Chipkarte nicht. Zumindestens der geheime Teil. Der öffentliche Teil des Schlüssels wird - sowohl bei der Datei- als auch bei der Chipkartenversion - nach der Erzeugung an die Bank gesendet und ein "INI-Brief" erzeugt. Auf diesem ist der öffentliche Schlüssel abgedruckt und dieser muß vom Kunden durch Unterschrift bestätigt werden und dieser Brief an die Bank gesendet werden. Diese gibt dann den öffentlichen Schlüssel frei und der HBCI-Zugang kann genutzt werden.

Bei der HypoVereinsbank ist es auch möglich, diesen Hash-Wert nicht über einen INI-Brief an die Bank freizugeben, es ist auch möglich diesen im WebBanking einzugeben und mit einer TAN zu bestätigen. Das geht schneller - HBCI ist dann sofort verwendbar - und macht natürlich der Bank weniger Aufwand. Ob dieser Weg auch bei der Commerzbank möglich ist, weiß ich aktuell nicht. Früher ging es mal, ob dem heute noch so ist weiß ich nicht.

Auf diesen RSA-Chipkarten sind üblicherweise 5 Schlüssel ablegbar - somit wäre es durchaus möglich, die beiden Schlüssel für HypoVereins- und Commerzbank auf einer Cipkarte zu verwenden. Nachdem die Sparkasse wie beschrieben ein völlig anderes System verwendet, muß hier zwangsweise die Original-Karte genutzt werden.

Ganz dickes VETO, da bin ich völlig anderer Meinung. TAN-Verfahren sind nämlich umständlicher!

Ich habe einfach die Erfahrung gemacht, dass gerade ältere Menschen viel einfacher mit Karten und einer Oberfläche klar kommen. Das Stecken der passenden Karte ist kinderleicht und man kommt mit der PIN der Karte an alles, was gemacht werden muss. Ständig wechselnde TAN, möglicherweise das umständliche Hantieren mit Handy oder TAN-Leser entfällt.

Einer meiner letzten Kunden war über 80 Jahre alt, seitdem er die Chipkarte hat, gab es keine Probleme mehr. Eine Bank nutzte sogar noch den TAN Bogen. Übrigens ziemlich ähnlicher Fall, allerdings arbeiteten wir mit drei separaten Karten. Die Sparkassen-Kartenpin lässt sich ja leider nicht ändern, die beiden anderen Karten haben die Sparkassen-PIN und die letzte Ziffer wurde, wenn ich mich richtig erinnere, einfach wiederholt.

@Kai
Aber: Es braucht jemand, der sich vor Ort um Hard- und Software kümmert! Also wenn du dir das zutraust: Nimm ruhig die Chipkartenlösung.
zweite Bedingung: Das Gedächtnis muss mitspielen. Wenn das nicht mehr so richtig klappt, haben Chipkarten keinen Sinn mehr.

Gruß
Raimund

Naja, die Karte falsch rum in den ChipTAN-Generator zu schieben ist genauso möglich. Somit hat da dann "ein modernes TAN-Verfahren" auch keinen Vorzug mehr

Weiterhin darf ich anmerken, dass bei den Sparkassen die Chipkarte auf jeden Fall einen Vorteil bietet, wenn man "mehrere" bis "viele" Überweisungen tätigen will/muss. Da dann für jede einzelne eine TAN einzugeben käme für mich nicht wirklich in Frage. OK, man kann das inzwischen über Sammler mit Einzelverbuchung lösen, aber gerade das ist für einen älteren Menschen nicht wirklich nachvollziehbar. Und bei div. anderen Banken geht das so (leider) garnicht...

Ich selber mag auch HBCI mit einer Schüsseldatei lieber als mit einer Chipkarte. Allerdings weiss ich sehr genau was ich mache, wo die Schlüsseldatei liegt, was sie bedeutet, dass und wie ich sie zusätzlich verschlüssele bei Nichtnutzung. Gerade für einen älteren Menschen ist hier eine Chipkarte schon vorteilhafter, denn die "kann man in die Hand nehmen". Man muß nicht eine virtuelle Beziehung zwischen Konto und einer Datei herstellen, sondern hat was, was direkt sichbar auf dem Tisch liegt und - wichtig - nicht kopierbar ist.

Euch allen vielen Dank! Etwas ist mir aber noch unklar.


Ich habe zwei bestellt! Eine von/für die Hypo und eine von/für die Commerzbank. War das überhaupt nötig? Oder kann ich die beiden Schlüssel auf einer Karte generieren und schicke die andere Karte an den Lieferanten zurück.


Ja es geht immer noch. Da wir allerdings einen reinen HBCI-Zugang haben, scheidet das aus.

Die HypoVereinsbank hat nur RDH-1 und RDH-3, die Commerzbank RDH-1 / 2 / 3 / 5 / 8 / 9 / 10

Hallo Jochen,

das Thema ist etwas komplexer als es dein Bankberater dir -falsch- erklärt hat.
Aktuelle RSA Chipkarten haben die Schlüssel schon auf der Karte und alle Banken nutzen die gleichen Schlüssel.
Bei modernen Signaturkarten gibt es bis zu drei Schlüssel(paare). Einen Authentifikationsschlüssel, einen Verschlüsselungsschlüssel und einen Signaturschlüssel. In der Regel wird der Authetifikationsschlüssel auch als Verschlüsselungsschlüssel genutzt.
In FinTS wird "nur" der Authentifikationsschlüssel genutzt (es gibt Sicherheitsklassen, die mehr verlangen, aber derzeit kenne ich keine Bank die das nutzt).
in EBICS werden alle drei Schlüsselpaare benötigt. U.a. da der Signaturschlüssel aber mit einer zusätzlichen PIN gesichert ist, tricksen die meisten Anwendungen und nutzen den Authentifikationsschlüssel der Chipkarte als Signaturschlüssel und erzeugen für Authentifikation und Verschlüsselung Schlüsseldateien.

Da alle Bankenden gleichen Schlüssel nutzen, müssen alle beteiligten Banken auch diese Schlüssellänge akzeptieren. Dazu kennt FinTS noch unterschiedliche Methoden zur Hashwertberechnung und zur Signaturerzeugung, die die Chipkarte auch unterstützen muss. Abschliessend kommt noch die Frage, ob die Schlüssel mit einem Zertifikat bestätigt sind oder nicht. Das alles wird über die sogenannten RDH Profile (RDH1 - RDH 10) bzw. RAH Profile in FinTS gemanagt.
Ob also mehrere Bankverbindungen mit unterschiedlichen Verfahren genutzt werden können hängt also von recht vielen Rahmenbedingungen ab und ob die einzelnen Anwendungen und Banken die Vorgaben sauber umgesetzt haben.

Viele Grüße

Holger