Informationen zum chipTAN USB Verfahren - Reiner SCT

Verstehe ich das richtig, meine HBCI Chipkarte wird 2021 obsolet und ich benötige dann meine Bankkarte, um TANs mit dem Cyberjack komfort zu generieren?
Das ganze betrifft aber nur Banking-Software? Im Online-Banking kann ich nach wie vor den optischen TAN-Generator benutzen?

Ab wann wird das ganze in Hibiscus nutzbar sein? Gibt es eine Übersicht, welche Banken etc. das Verfahren schon einsetzen?

Da aus meiner Sicht, dass was Raimund da schreibt, Interpretationen offen lässt, die ggf. falsche Eindrücke erwecken können, mal ein paar konkretere Infos dazu:

Nach derzeitigem Stand steigen die Sparkassen (die und auch nur die) aus den signaturbasierten Verfahren aus.
Als Datum steht das Jahr 2021 im Raum. Dies hat den Hintergrund, dass mit der PSD 2 Anforderungen an die verwendete Kryptologie abgeleitet werden kann. Nach Interpretation müssen z.B. für Chipkarten, die nach 2021 ausgegeben werden, deutliche Änderungen vorgenommen werden. Das geht von einer "einfachen" Anhebung der Schlüssellänge, bis hin zur kompletten Umstellung der Kryptologie weg vom RSA Verfahren.

Das ChipTAN USB Verfahren als Solches gibt es gar nicht. Es ist das ChipTAN optic Verfahren, bei dem die Daten, mit der die Anwendung die Grafik erzeugt, "einfach" an den passenden Leser gesendet wird.
Chip TAN USB hat keinerlei Einfluss auf das Browserbanking (was nicht heißen soll, das das durch die Bank nichnt ermöglicht werden könnte)
Als Ersatz für die TAN Verfahren, ist ChipTAN USB deutlich komfortabler, als Ersatz für die Chipkarte aber nur sehr eingeschränkt zu gebrauchen (nur wenn die Anzeige im Secoder genutzt wird/werden muss merkt man keinen Unterschied).
Wer ein wenig versteht, wie ein Firmenkunde arbeitet und nicht der Illusion hinterher läuft, dass ein Firmenkunde alle seine Zahlungen zu einem Sammler zusammenfast, wird schnell emrken, dass das Verfahren für den Firmenkunden mit mehreren Zahlläufen völlig ungeeignet ist. Böse formuliert: Zurück zum HomeBankingComputerInterface...
Ob andere Banken(gruppen) dem folgen, oder die Sparkassen ihre Ausrichtung überdenken ist noch völlig offen.

Naja, immerhin musst Du noch die Banking-PIN eingeben...

Aber Du meinst wohl eine Karten-TAN-Generierungs-PIN. Lustigerweise könnten die Karten das, aber ich kenne keine Bank, die das Feature aktiviert hat. Man hält das für zu verwirrend für den Kunden. Wobei ich das gut nachvollziehen kann, das würde sicher wieder riesen zusätzlichen Supportaufwand erzeugen, weil die Kunden dann Karten-Zahlungs-PIN, Karten-TAN-Generierungs-PIN und Banking-Zugangs-PIN durcheinander werfen würden und damit sicher ständig alles sperren, was geht Zumal zumindest ich es auch nervig finden würde, wenn man noch eine weitere PIN eingeben müsste.

Weil es eine andere Anwendung ist. Wobei man für verschiedene Anwendungen ja keine gleichen Passwörter verwenden soll. Aber das ist eh hinfällig, weil die Banken das Feature ja nicht nutzen.

normalerweise sollte es bei dem Thread ja um die o.g. Firma gehen und den Hinweis auf das mögliche Upgrade = TAN-Generator

verbunden mit Erfahrungen bspw.

- schnelles problemloses Upgrade
- Probleme, wenn ja welche


sowie evtl. Lösungs-Ansatz (pro forma zurück auf Base-Komponenten 7.4.7)
bzw. an die Entwickler&Co. (@Holger) der Hinweis die Software zur prüfen, ob nicht nur SM das Problem hat mit der neuen Hardware-Bezeichnung, bevor hier der Support in den nächsten Wochen strapaziert wird.



was ich an der Aussage nicht verstehe, was hat die "Technik" mit der starken Authentifizierung, welche bei PSD2 gefordert wird zu tun?
Ich hatte dies bisher so verstanden, dass bspw. die signaturbasierten Verfahren, ogal ob Chip und/oder Datei deshalb abgeschafft werden, da die Daten auf einem Display nicht separat zur Prüfung und Bestätigung ausgegeben werden/wurden.

Hm, das mit der Anleitung zur Inbetriebnahme einer PIN für ChipTAN kenne ich auch noch. Aber das heißt ja wohl nicht, dass ich als Kunde das einfach so machen könnte!? Ich erinnere mich, dass ich irgendwo gelesen hatte, dass bei aktivierter PIN eine ANDERE TAN rauskommt als bei nicht aktivierter PIN. Sprich, dass der Bankrechner von der Aktivierung wohl wissen muss, bzw. drauf eingehen und die "andere TAN" als gültig ansehen muss!?

Das lese ich zum ersten Mal. Über bestimmte Anforderungen was die Signaturverfahren angeht, habe ich in der PSD2 bisher nichts gelesen. Würde mich auch sehr wundern, weil die sich lieber schwammig halten und keine bestimmten technischen Standards da verlangen.



Eigentlich sollte es genau damit was zu tun haben. Die Haspa begründet die Änderung auch mit der fehlenden Möglichkeit die Daten abzugleichen. Die PSD2 verlangt zumindest, dass die Aufträge an den Empfänger und den Betrag gebunden sind. Bzw. dies zumindest sichergestellt sein muss. Ob das natürlich jetzt umbedingt irgendwo visualisiert werden muss, sei mal so dahingestellt. Wird aber von den meisten Leuten so ausgelegt. Bisher kann man wohl bei den Sparkassen/Haspa auch einfach mehrere Aufträge mit einer PIN freigeben, genauso das entspricht nicht den PSD Anforderungen. Und bevor man da jetzt auf eine qualifizierte elektronische Signatur geht und die Leute damit rumhantieren lässt, stellt man die Sache lieber ganz ein oder geht auf sowas wie chipTAN USB was relativ "idiotensicher" ist.

Und Signaturdateien über HBCI sind eigentlich schon seit der MASI nicht mehr zulässig da ein Faktor der kopierbar ist. Allerdings hatte die BAFIN auch Finanzsoftware extra von diesen Richtlinien ausgenommen, dies geht aber eben aus der PSD2 nicht mehr hervor.

oh, ich dachte, bisher dahinter stecke das BSI.
Danke für den ausführlichen Thead, sehr aufschlussreich und faszinierend, dass du das alles im Kopf behältst, Holger (gehe ich jedenfalls von aus).
Gruß
Raimund

RTS vom 27.11.2017:
Seite 6, Punkt 6: …wie Algorytmusspezifikationen, Schlüssellängen und Informationsentropie….. Ähnliches unter Punkt 2
Ansonsten ist das schon richtig was Du sagst, die PSD/2 und auch der RTS macht nur in Ausnahmefällen konkrete technische Vorgaben oder Forderungen. Aber auch abstrakte Forderungen nach „Sicherheit entspricht dem aktuellen Stand“, lassen sich entsprechend auslegen.
So geschieht das eben derzeit auch in Deutschland.


Ganz so simpel ist das nicht. Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen. In Deutschland ist es eben dieser Katalog, der in der Regel als Referenz herhält (es gibt auch seitens der DK einen entsprechenden Katalog, der aber keine großen Abweichungen zum Katalog der Netzagentur enthält.). Die Regulatorik als hoheitliche Aufgabe wird das Rad nicht neu erfinden und vermutlich eher auf bestehende, akzeptierte Ausarbeitungen zurückgreifen. Möchte man diesen nicht folgen, muss man sich schon sehr gut positionieren, um das entsprechend argumentieren zu können.



Du mischst zwei Anforderungen. Das eine ist das Thema, das in die Absicherung einer Transaktion mindestens der Betrag und Empfänger einfließen müssen (das ist bei der Signatur der Fall), das Andere ist das Thema, dass dem Auftraggeber die Daten vorher angezeigt werden müssen.
Beide Dinge werden von denen, die das interpretieren müssen, nicht in Frage gestellt.
Wo es derzeit großen Interpretationsraum gibt, ist das Thema, wie diese Anzeige erfolgen muss.
Das reicht von der Möglichkeit einer Anzeige in einer Software, diese in einer gesicherten Variante (wie immer man das „gesicherte“ nachweisen können soll/muss), bis hin zum zusätzlichen Gerät.
Zur Schlüsseldatei, schreibe ich am Ende noch was.


Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.


Die PSD /2 gilt 1:1 auch für EBICS. Wenn es keine Ausnahmeregelung gibt (Kapitel III Artikel 17 des RTS), gelten alle Vorgaben auch für EBICS (mit entsprechenden Auswirkungen für die Schlüsseldatei)
Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….




Um das Ganze zu präzisieren.
Die Vorgaben der MaSI auf europäischer Ebene enthielten keine Verpflichtung zur straken Kundenauthentifizierung, aber sehr wohl Empfehlungen und es war auch klar, dass diese mit der anstehenden PSD / 2 geplant waren.
Jede nationale Aufsichtsbehörde, musste die Vorgaben der EBA in nationale Vorgaben überführen. Die BaFin, hat bis zum letzten Entwurf vor der finalen Version in der Tat auch die starke Kundenauthentifizierung gefordert gehabt.
Die dann veröffentlichte finale Version (ich meine Ende September wäre das gewesen) ist dann im Wesentlichen zurück auf die Forderungen der EBA zurückgesetzt worden und enthielt keine Verpflichtung mehr zur starken Kundenauthentifizierung.


Ja, die BaFin ist da in der Tat voran geprescht…..
Die BaFin selber war aber keineswegs genauer. Die von Dir zitierte FAQ ist in Zusammenarbeit mit der DK und diversen Industrie- und Verbraucherverbänden entstanden, um Klarheit in diversen Fragestellungen zu bekommen. Diese FAQ ist nicht die MaSI.

Zurück zum Thema Schlüsseldatei:
Die Visualisierung der Auftragsdaten ist nicht das Todesurteil für die Schlüsseldatei, sondern die starke Kundenauthentifizierung.
Diese fordert
1) mindestens zwei Faktoren der Kategorie Besitz, Wissen oder Inhärenz (Biometrische Merkmale).
2) die Faktoren müssen unabhängig voneinander sein und jeder Faktor für sich muss stark genug sein, dass die Sicherheit nicht gefährdet ist, wenn der andere Faktor gebrochen wurde

Bei der Schlüsseldatei ist der Faktor Besitz durch die prinzipielle Kopierbarkeit schon sehr fragwürdig. Nimmt man dann noch hinzu, dass man bei der Schlüsseldatei, auch der Faktor Wissen höchstens schwach vorhanden ist (es gibt kein Sperrmechanismus, sprich, man kann nach dem kopieren die Passwörter beliebig durchprobieren).

Da die PSD/2 keine Unterscheidung zwischen Verbrauchern und Nichtverbrauchern macht und auch keine Aussagen zu den speziellen Verfahren, gilt diese auch für EBICS.
Damit wäre mit der PSD/2 die Schlüsseldatei auch für EBICS obsolet. Und dann…? Bliebe für EBICS nur noch die Chipkarte…….

Es sei denn, der besagte Artikel 17 im Kapitel III des RTS kommt zum Tragen und es gibt eine Ausnahme von der starken Kundenauthentifizierung.

Viele Grüße

Holger

wird doch nur benötigt, wenn man über Browser geht oder?
über Software (wie SM) müsste es direkt/ohne tanJack easy gehen