Abschaffung DDV Chipkarten der Sparkassen

Liebe Forumsmitglieder,

habt Ihr zufällig schon was gehört, dass die Sparkassen die DDV-Chipkarten abschaffen wollen? Die Authentifizierung soll stattdessen mit den Sparkassen Bankkarten stattfinden. Die örtliche Sparkasse in Nürnberg fängt lt. eigener Aussage Anfang 2018 mit der Migration an.

Liebe Grüße.

Richtig. Die Sparkassen stellen die signaturbasierten Verfahren DDV und RAH ein nund setzen auf ChipTAN USB.

Viele Grüße

Holger

Hallo,

ich glaube das mit der RAH-Einstellung ist eher eine individuelle Entscheidung einiger Sparkassen. Manche Sparkassen hatten RAH auch gar nicht erst eingeführt. Möglicherweise aber auch eine Konsequenz aus den Sicherheitsanforderungen von PSD2 welche nur mit echten Klasse-3 Chipkartenlesern und entsprechender Unterstützung in den Anwendungen erfüllt werden kann. Die Sparkasse hat aber keine Kontrolle darüber, ob beim Kunden entsprechende Soft-/Hardware im Einsatz ist.

Dass DDV eingestellt wird habe ich auch gehört. Freue mich jetzt schon darauf den ganzen alten DDV Programmcode aus den APIs und Apps rauszuschmeißen.

Genau so ist es.

Naja bleibt im OpenSource Bereich fast nur noch das PIN/TAN Verfahren und wenn es jemand umgesetzt hat EBICS.

RAH war mir aber auch nicht bewusst. Ist ja noch gar nicht so alt.

Das hat aber nix mit RAH zu tun. Das aufwendige Handling ist der Qualität der Zertifikate geschuldet. Diese ermöglichen eine fortgeschrittene Signatur, die auch außerhalb der SPK verwendet werden könnte. Diese Qualität erfordert eben, dass man das Zertifikat selber drauf lädt, was den Prozess für das einfache Onlinebanking komplex macht.
Ohne diese Zertifikat Qualität würde sich RAH für den Kunden nicht von RDH unterscheiden.
Das geht sogar soweit, dass man die aktuellen RDH Profile im laufenden Betrieb auf RAH umstellen könnte, ohne das ein Kunde davon irgendwas mitbekommen würde.

Viele Grüße
Holger

Ich auch. Ich hab versucht das mal nachzuvollziehen, da mein Ehemann mich praktischerweise dafür freischalten konnte (seine Sparkasse hatte es zumindest theoretisch eingeführt, meine hat es gleich ganz gelassen) - und die Abwicklung und Freischaltung mit SFirm war eine totale Katastrophe. Ich hab es mit einigem "hin und her" hinbekommen, aber die Hürden hätte kein Kunde überwinden können... zumindest nicht ohne Zeter und Mordio. Bin ganz dankbar, dass der Kelch an mir vorbei gegangen ist. Die Support-Gespräche hätte ich nicht führen mögen.

Hallo Stefan,

wenn man die sichere Anzeige im Kartenleser kennt, oder bereits ChipTAN mit dem "Flicker" Code kennt, kennt man im wesehntlichen auch den Ablauf bei Chip TAN USB

-> Kartenleser wird wie bei der Signatur per USB angeschlossen und in der SOftware eingerichtet
-> Anzeige verschiedener Daten im Display zur Kontrolle und Bestätigung (derzeit mindestens 3 Datenelemente die jeweils einzeln angezeigt und bestätigt werden. (Das läuft wie bei ChipTAN optik oder dem Secoder ab)
-> Am Ende kommt die Frage Freigeben (oder Übertragen). Bestätigt man diese, wird die TAN über USB an die Anwendung geschickt und diese "unterschreibt" damit den Auftrag
-> Ab Sommer 2019 mit der verpflichtenden Umsetzung PSD/2 kommt dann vermutlich noch die PIN Eingabe am Kartenleser hinzu, so wie Du das heute bereits von der Chipkarte kennst.

Wer heute schon Chipkarte mit Kontrolle der Daten im Display kennt, wird da in der praxis kaum einen Unterschied festellen können. Wer heute ChipTAN Optik nutzt, wird einen Komfortgewinn erleben nur wer eine Chipkarte ohne Anzeige nutzt und mehere Aufträge einzeln versenden will, wird einen erheblichen Komfortverlust erhalten.

Viele Grüße

Holger

Hallo Holger,

vielen Dank für Deine Ausführungen. Jetzt habe ich hierzu noch eine Verständnisfrage:

Muss man beim USB-TAN-Verfahren interaktiv mit dem Display des Lesers agieren oder genügen hier einfach ein paar Bestätigungen am Leser?

Hintergrund meiner Frage:
Da ich blindbin, scheidet für mich ChipTAN Optik aus, so dass ich mich mit ChipTAN nie ernsthaft beschäftigt habe. Zwar gibt es einen sprechenden TAN-Generator, der meines Wissens jedoch nur das manuelle ChipTAN beherrscht. Und da man hier ja bekanntlich teilweise die Daten zweimal eingeben muss, ist mir das Ganze doch etwas zu umständlich.

Mit meiner Chipkarte erfasse ich bis jetzt die Daten in der Banking-Software, Sende sie ab, gebe am Leser die PIN ein und bestätige am Leser mit OK. Zwar kann ich die Daten im Display des Lesers nicht lesen. Aber ich verlasse mich darauf, dass alles stimmt, zumal mein Leser schon seit längerer Zeit Secoder unterstützt. Ich weiß momentan auch gar nicht, ob bei mir die Auftragsdaten überhaupt im Display angezeigt werden oder lediglich eine Sicherheitsmeldung erscheint.

Sollte ich also beim USB-TAN-Verfahren lediglich ein paarmal etwas abnicken müssen, so könnte ich ja auf dieses Verfahren umstellen, wenn meine Sparkasse das HBCI-Verfahren bei mir endgültig abschaltet und mir alternativ USB-TAN anbietet. Falls jedoch bestimmte Daten des Displays eingegeben werden müssen (z.B. eine TAN o.ä.), so könnte ich das Ganze gleich knicken und müsste mich mit diesem Thema gar nicht mehr beschäftigen. Ein kostenpflichtiges Software-Update des Lesers auf USB-Tan würde sich dann für mich auch erübrigen.

Über eine nochmalige Antwort würde ich mich sehr freuen. Und falls das jetzt doch zu sehr Off-Topic war, bitte ich die anderen hier um Entschuldigung.

Gruß Stefan

@infoman: Vielen Dank für die Info. Jetzt kann ich mir das Ganze gut vorstellen. USB-Tan wäre dann tatsächlich für Blinde aus Sicherheitsgründen nicht gut geeignet.

Ich war zwar bis jetzt immer der Meinung, dass durch den Secoder-Standard eine Manipulation des Lesers praktisch ausgeschlossen ist, so dass bei einem eventuellen Manipulationsversuch der Auftrag erst gar nicht ausgeführt werden könnte. Aber wenn das sicherheitstechnisch tatsächlich doch so bedenklich ist, werde ich mich mit dem neuen Verfahren gar nicht mehr beschäfttigen.

PushTAN nutze ich übrigens parallel erfolgreich mit dem iPhone.