Informationen zum chipTAN USB Verfahren - Reiner SCT

kostenpflichtiges Upgrade für cyberJack secoder / cyberJack RFID standard + komfort

 
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Homepage: ksit.de
Beiträge: 1345
Dabei seit: 11 / 2012
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.01.2018 - 21:49 Uhr  ·  #21
Die USB - Kommunikation zw. der Anwendung und dem Kartenleser wird vermutlich nicht standardisiert sein, und somit muss die Anbindung wahrscheinlich in jede Software erst noch eingebaut werden.
In Verbindung mit tanJack easy kann man das normale optische TAN - Verfahren verwenden.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.01.2018 - 22:03 Uhr  ·  #22
Erstmal danke für die Ausführungen Holger, ich versuche das mal etwas abzukürzen damit wir nicht ganz den Rahmen sprengen. :)

Zitat geschrieben von Holger Fischer

RTS vom 27.11.2017:
Ganz so simpel ist das nicht. Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen. In Deutschland ist es eben dieser Katalog, der in der Regel als Referenz herhält (es gibt auch seitens der DK einen entsprechenden Katalog, der aber keine großen Abweichungen zum Katalog der Netzagentur enthält.). Die Regulatorik als hoheitliche Aufgabe wird das Rad nicht neu erfinden und vermutlich eher auf bestehende, akzeptierte Ausarbeitungen zurückgreifen. Möchte man diesen nicht folgen, muss man sich schon sehr gut positionieren, um das entsprechend argumentieren zu können.


Die Regulatorik kann sich bei EU-Richtlinien aber wohl auch kaum auf deutsche Standards beziehen die evtl. andere EU-Länder wesentlich weniger streng sehen. Wobei...gut...kommt auf die Prüfer an. Ich gehe aber davon aus, dass man durchaus wieder interne Sicherheitskataloge als Maßstab nehmen kann solang die nicht Anno sonstwas sind. Das ist mit Sicherheit ein Punkt, den wir erst in der Praxis sehen werden.

Zitat

Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.


Uhhhh....wie soll da noch mTAN und Co funktionieren? Soweit ich das bisher verstanden habe, reicht die PIN um überhaupt ins Banking zu kommen, doch als Faktor "Wissen" völlig aus. Die Karte am chipTAN-Generator ist das der Faktor "Besitz". Wieso sollte die PIN bei jeder Transkation neu abgefragt werden? Damit würde man eine ganze Reihe an Verfahren über den Haufen werfen. Mein aktueller Stand ist bzw, das mTAN auch PSD2-konform ist wenn die entsprechenden Daten angezeigt werden. Das wäre nach deiner Auslegung ja nicht mehr der Fall.

Zitat

Die PSD /2 gilt 1:1 auch für EBICS. Wenn es keine Ausnahmeregelung gibt (Kapitel III Artikel 17 des RTS), gelten alle Vorgaben auch für EBICS (mit entsprechenden Auswirkungen für die Schlüsseldatei)
Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….


Das muss zwangsläufig einzeln bestätigt werden? Da muss ich mir die aktuelle RTS wohl nochmal geben. Ist das da so explizit definiert? Dann wäre ja PhotoTAN und Co auch nicht PSD2 konform. Oder geht es nur darum einmal alle relevante Daten zu sehen und zu bestätigen? Dann wäre natürlich die Frage, wieso man bei den Sparkassen da gerade auf chipTAN setzt. Das macht es aufgrund der kleinen Anzeige, ja noch komplizierter.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 03.01.2018 - 09:43 Uhr  ·  #23
Zitat geschrieben von B.N.

ich versuche das mal etwas abzukürzen damit wir nicht ganz den Rahmen sprengen. :)

Gute Idee. Wenn ich später Zeit habe, wollte ich den Part hier mal von dem reinen Reiner SCT Thread trennen.
Zitat geschrieben von Holger Fischer

RTS vom 27.11.2017:
Wenn gefordert wird, das aktuelle Kryptologietechnologien verwendet werden müssen, muss man sich auf irgendwas beziehen…….


Zitat geschrieben von B.N.

Die Regulatorik kann sich bei EU-Richtlinien aber wohl auch kaum auf deutsche Standards beziehen

Bei deutschen Verfahren in Deutschland, durchaus (für die Auslegung durch die deutsche Aufsicht schon). Da wo es EU weite Verfahren geben soll, ist man in der Richtlinie auch durchaus konkreter geworden.
Das Problem ist ja, dass heute die Banken vermuten müssen, wie, was von einem Prüfer ausgelegt werden könnte. Dazu gibt es zwei mögliche Wege:
Klare Anforderungen werden so wie gefordert umgesetzt und alle anderen so wie man sie selber am besten braucht und man korrigiert dann, wenn der Prüfer das fordert oder
man geht hin und setzt die nicht klaren Anforderungen so um, dass kein Prüfer auch nur ein Zweifel haben könnte, dass das passt….. Rate mal wozu man in Deutschland tendiert…. ;-)
Zitat

Sorry, da ich keinen passenden Namen für die PIN kenne, habe ich die einfach so genannt. Gemeint ist die derzeit noch optionale PIN, für das ChipTAN Verfahren (egal welche Variante). Nach aktuellem Stand, sieht es so aus, dass die DK davon ausgeht, dass die PIN Eingabe beim ChipTAN Verfahren künftig aktiv sein wird. Würde ohne Session Pin bedeuten: Für jede Transaktion die PIN eingeben.

Zitat geschrieben von B.N.

Uhhhh....wie soll da noch mTAN und Co funktionieren?

Bei der mobilen TAN legitimierst Du dich vorher beim Handy
Zitat

Das mit den vielen Buchungen ist bzgl. den Auswirkungen sehr relativ.
Die Visualisierung in ChipTAN USB bedeutet das (gemäß Spezifikation) mindestens drei Datenelemente je Auftrag (wobei ein Sammler als ein Auftrag zählt) angezeigt und bestätigt werden müssen.
Bei 3 Aufträgen bedeutet das, mindestens 3 x 3 Datenelemente anzeigen und mit OK bestätigen, sprich 9 x OK drücken.
Eine kleine Hausverwaltung mit 10 Mietkonten, würde an dieser Stelle für den monatlichen Einzug 10 x 3 = 30 x Daten kontrollieren und mit OK bestätigen.
Das 3 x bestätigen je Auftrag, ist übrigens als Mindestanzahl zu sehen. Aktuell müsste man bei ChipTAN USB in der Regel mindestens 5 x kontrollieren und bestätigen.
Das bedeutet, das für jeden Kunden, der bereits heute aus Praxisgründen kein TAN Verfahren verwendet, ist mit der PSD/2 FinTS ohne Signaturkarte und eine Visualisierung außerhalb des Kartenlesers unbrauchbar.
D.h. in dem Fall kommen auf die Banken in den kommenden 18 Monaten richtig Arbeit zu….

Das muss zwangsläufig einzeln bestätigt werden? Da muss ich mir die aktuelle RTS wohl nochmal geben. Ist das da so explizit definiert? Dann wäre ja PhotoTAN und Co auch nicht PSD2 konform.
Das hat mit dem RTS nichts zu tun. ChipTAN funktioniert schlicht so, dass jeder Auftrag (oder jeder Sammler) einzeln im Display visualisiert wird und zu den einzelnen Aufträgen dann die TAN ermittelt wird. Ist auch völlig unproblematisch, für die, die heute bereits TAN Verfahren nutzen. Für die ist ChipTAN USB sogar ein deutlicher Komfortbeginn. Problematisch ist das für die Firmenkunden, die heute eine Chipkarte nutzen und einmal die PIN Eingeben und dann alle Aufträge signieren. Wenn bei denen die Chipkarte weg fällt und ChipTAN USB als Alternative gelten soll, bedeutet das eben die oben genannte Konsequenz. Das Handling ist übrigens das Gleiche, wie bei der Chipkarte (Signatur) und der Visualisierung im Secoder. Daher ist auch der Secoder und die Visualisierung der Daten dort für die meisten Firmenkunden keine Lösung.
Hat man aber die Chipkarte, könnte man die Aufträge auch anders anzeigen lassen – gibt der RTS nach aktueller Interpretation durchaus her.
Zitat geschrieben von B.N.

Dann wäre natürlich die Frage, wieso man bei den Sparkassen da gerade auf chipTAN setzt. Das macht es aufgrund der kleinen Anzeige, ja noch komplizierter.

Aus Sicht Firmenkunde mit mehreren Aufträgen/Sammlern ist die Frage -meiner Meinung nach- berechtigt……
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 04.01.2018 - 20:26 Uhr  ·  #24
Zitat geschrieben von Holger Fischer

Das Problem ist ja, dass heute die Banken vermuten müssen, wie, was von einem Prüfer ausgelegt werden könnte. Dazu gibt es zwei mögliche Wege:
Klare Anforderungen werden so wie gefordert umgesetzt und alle anderen so wie man sie selber am besten braucht und man korrigiert dann, wenn der Prüfer das fordert oder
man geht hin und setzt die nicht klaren Anforderungen so um, dass kein Prüfer auch nur ein Zweifel haben könnte, dass das passt….. Rate mal wozu man in Deutschland tendiert…. ;-)


Ja natürlich. Es will ja auch niemand eine 44er Prüfung heraufbeschwören. ;)
Hatte mich bei der chipTAN verlesen ...dachte die 9x bestätigen waren auf ein Auftrag bezogen. Klar...bei so vielen Aufträgen ist das natürlich nervig. Schwierig, langfristig denke ich aber nicht das die Sache so bleiben wird. Es wäre auch ziemlich unfair, wenn wir hier durch die Prüfungen der BaFIN den Hardcore Modus fahren und andere EU-Länder sich da einfache Lösungen ausdenken die nicht angekreidet werden. Natürlich will da die BaFIN nicht ihre Stellung im deutschen Markt verlieren, aber das könnte ernsthafte Wettbewerbsprobleme verursachen.

/edit: narf Massenedit. Das Forum mag keine Ascii Smileys....musste das nochmal kürzer schreiben aber egal.
Benutzer
Avatar
Geschlecht:
Beiträge: 6681
Dabei seit: 06 / 2008
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 15.01.2018 - 12:47 Uhr  ·  #25
Der Ablauf einer Online-Banking Transaktion ähnelt dem bekannten Ablauf beim HBCI, nur dass Sie nun etwas öfter zur Kontrolle und Bestätigung des Vorgangs aufgefordert werden. Bitte beachten Sie deshalb auch immer die Anzeige Ihres Chipkartenlesers
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 15.01.2018 - 14:51 Uhr  ·  #26
Zitat geschrieben von infoman

Der Ablauf einer Online-Banking Transaktion ähnelt dem bekannten Ablauf beim HBCI, nur dass Sie nun etwas öfter zur Kontrolle und Bestätigung des Vorgangs aufgefordert werden. Bitte beachten Sie deshalb auch immer die Anzeige Ihres Chipkartenlesers


Das ist der Ablauf bei HHD 1.3 und verkürzter IBAN Bei HHD 1.4 kommt noch was dazu
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 15.01.2018 - 16:20 Uhr  ·  #27
Zitat geschrieben von Holger Fischer
Das ist der Ablauf bei HHD 1.3 und verkürzter IBAN


Also genau das, was die chipTAN USB einführenden Sparkassen praktizieren. 8-)

Otto
Benutzer
Avatar
Geschlecht:
Beiträge: 6681
Dabei seit: 06 / 2008
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 22.01.2018 - 20:46 Uhr  ·  #28
Benutzer
Avatar
Geschlecht:
Herkunft: Bayern
Beiträge: 78
Dabei seit: 09 / 2010
Betreff:

HHD 1.3 oder 1.4 bei der Sparkasse?

 · 
Gepostet: 29.01.2018 - 10:34 Uhr  ·  #29
Hallo ,

meine Nachfrage beim Reiner SCT Support ergab, dass die Frage, welcher HHD Standard von den Sparkassen unterstützt wird, vom jeweiligen Institut abhängt.
Meine Nachfrage diesbezüglich beim Support der Sparkasse Nürnberg ergab ganz klar, dass der Standard HHD 1.4 verwendet wird und somit die komplette IBAN mit allen 22 Stellen auf dem Display erscheint. :-)

Viele Grüße

kragenbär
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.01.2018 - 10:44 Uhr  ·  #30
Zitat geschrieben von kragenbär

meine Nachfrage beim Reiner SCT Support ergab, dass die Frage, welcher HHD Standard von den Sparkassen unterstützt wird, vom jeweiligen Institut abhängt.
Meine Nachfrage diesbezüglich beim Support der Sparkasse Nürnberg ergab ganz klar, dass der Standard HHD 1.4 verwendet wird und somit die komplette IBAN mit allen 22 Stellen auf dem Display erscheint. :-)

Mein Stand ist, dass die SPK weiterhin "nur" HHD 1.3 anbietet. (Die verkürzte IBAN geht auch bei 1.4) Bei 1.4 werden mehr Datenelemente abgefragt und es wird angezeigt in welche Richtung das Geld fliesst.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.01.2018 - 11:03 Uhr  ·  #31
Zitat geschrieben von kragenbär
Meine Nachfrage diesbezüglich beim Support der Sparkasse Nürnberg ergab ganz klar, dass der Standard HHD 1.4 verwendet wird und somit die komplette IBAN mit allen 22 Stellen auf dem Display erscheint. :-)


Die Frage ist, wie die deine Frage verstanden haben.

Die von denen verkauften TAN-Generatoren werden sicherlich neben dem 1.3er auch den 1.4er Standard unterstützen.

Aber die FI und somit auch die daran angeschlossenen Sparkassen nutzen HHD 1.3.

Otto
Benutzer
Avatar
Geschlecht:
Herkunft: Bayern
Beiträge: 78
Dabei seit: 09 / 2010
Betreff:

HHD 1.3 oder 1.4 bei der Sparkasse?

 · 
Gepostet: 29.01.2018 - 11:10 Uhr  ·  #32
Hallo Holger,

mein Gespräch mit dem Online Banking Support der Sparkasse Nürnberg erbrachte ganz eindeutig die Aussage:

1) Es wird der Standard HHD 1.4 verwendet.

2) Beim Banking mit ChipTan Generator nach HHD 1.4 Standard wird die komplette 22 stellige IBAN auf dem Display angezeigt.

Der Mitarbeiter der Sparkasse machte durchaus den Eindruck, dass er genau wusste, wovon die Rede ist.

Es scheint tatsächlich bei den Sparkassen keine einheitliche Regelung zu geben, so wie es der Reiner SCT Suport ja schon angedeutet hat.

Einen schönen Tag noch wünscht..

kragenbär
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 52
Beiträge: 6107
Dabei seit: 02 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.01.2018 - 11:28 Uhr  ·  #33
Zitat geschrieben von kragenbär

Es scheint tatsächlich bei den Sparkassen keine einheitliche Regelung zu geben, so wie es der Reiner SCT Suport ja schon angedeutet hat.

Das hat mit Regelung nichts zu tun, sondern damit, was das Rechenzentrum technisch kann/unterstützt. Und mein Stand ist da, dass das RZ konkret nur HHD 1.3 bzw. 1.3.1 kann. (VR Banken, PoBa nehmen da z.B. 1.3.2 und 1.4.)
Daher bin ich da etwas skeptisch. In der Praxis hat das für die Leserwahl keine Bedeutung.

Viele Grüße

Holger
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 29.01.2018 - 16:06 Uhr  ·  #34
Zitat geschrieben von kragenbär
mein Gespräch mit dem Online Banking Support der Sparkasse Nürnberg erbrachte ganz eindeutig die Aussage:

1) Es wird der Standard HHD 1.4 verwendet.

2) Beim Banking mit ChipTan Generator nach HHD 1.4 Standard wird die komplette 22 stellige IBAN auf dem Display angezeigt.

Der Mitarbeiter der Sparkasse machte durchaus den Eindruck, dass er genau wusste, wovon die Rede ist.

Es scheint tatsächlich bei den Sparkassen keine einheitliche Regelung zu geben, so wie es der Reiner SCT Suport ja schon angedeutet hat.


Das möchte ich doch stark anzweifeln, dass Nürnberg da eine Extralocke fahren kann.

Wenn ich in StarMoney ein fiktives Konto mit deren BLZ einrichte und die BPD/UPD abrufe, liefert die FI folgendes zurück (Auszug, das Interessante fettmarkiert):

Zitat
HITANS:182:1:4+1+1+1+J:N:0:0:920:2:smsTAN:smsTAN:6:1:TAN-Nummer:3:1:J:J:900:2:iTAN:iTAN:6:1:TAN-Nummer:3:1:J:J'HITANS:183:3:4+1+1+1+J:N:0:910:2:HHD1.3.0:chipTAN manuell:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:0:1:911:2:HHD1.3.0OPT:chipTAN optisch:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:0:1:912:2:HHD1.3.0USB:chipTAN USB:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:0:1:920:2:smsTAN:smsTAN:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:2:5:921:2:pushTAN:pushTAN:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:2:2:900:2:iTAN:iTAN:6:1:TAN-Nummer:3:1:J:2:0:N:N:N:00:0:0


Im für alle angeschlossenen Sparkassen, also auch Nürnberg, geltenden FI-Rundschreiben zu chipTAN USB steht außerdem eindeutig, dass auch für chipTAN USB die HHD-Spezifikation 1.3.2 verwendet wird und die Auftragsdatenanzeige exakt der bei chipTAN optisch entspricht.

Otto
Benutzer
Avatar
Geschlecht:
Herkunft: Bayern
Beiträge: 78
Dabei seit: 09 / 2010
Betreff:

Meine nochmalige Anfrage an den Sparkassen Support

 · 
Gepostet: 02.02.2018 - 09:42 Uhr  ·  #35
Hallo Otto,

insgesamt dreimal habe ich nun den Online Banking Support meiner Sparkasse kontaktiert, um mehr über den dort verwendeten HHD Standard bei ChipTan USB zu erfahren.

Die erste, spontan am Telefon erhaltene Antwort lautete sinngemäß: Ja, kein Problem, HHD 1.4 und 22 stellige IBAN Anzeige.

Nach der ungläubigen Reaktion hier im Forum rief ich erneut an, diesmal ein anderer Mitarbeiter. Antwort etwas zögerlicher - nein, nur 10 stellige IBAN auf dem Display.

Dritter Versuch per Mail unter Hinweis auf die widersprüchlichen Auskünfte. Es erfolgte die Bestätigung, das sowohl StarMoney 11, als auch der Reiner SCT One, als auch die Sparkasse das ChipTan USB Verfahren unterstützen würde, jedoch nur mit 10 stelliger IBAN.

Welcher technische Standard (HHD) zum Einsatz käme, wäre der Sparkasse nicht bekannt, dazu könne man nichts sagen.
Offenbar war meine Anfrage, ob HHD 1.4 oder 1.3.2 verwendet wird, zu exotisch um einem privaten Banking Kunden korrekt darauf zu antworten.
Kann es sein, dass selbst aktiv tätigen Support Mitarbeitern einer Großsparkasse mit mehr als 1800 Mitarbeitern diese Begriffe weitgehend unbekannt sind?

Jedenfalls muß ich Abbitte leisten, meine Sparkasse verwendet offenbar tatsächlich nur den HHD 1.3 Standard. >_<

Nichts für Ungut, in Zukunft frage ich lieber gleich in diesem Forum, wo offenbar mehr Sachverstand zu finden ist.

der kragenbär
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8104
Dabei seit: 08 / 2002
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 02.02.2018 - 20:45 Uhr  ·  #36
Zitat
Kann es sein, dass selbst aktiv tätigen Support Mitarbeitern einer Großsparkasse mit mehr als 1800 Mitarbeitern diese Begriffe weitgehend unbekannt sind?

ja, so ist das.
Die aktuell und seit langem verkaufte Hardware ist seit langem durchweg 1.4 und damit geht - schön für die Sparkassen - auch die vorherige 1.3.2Version. Wenn man dann noch die "falschen" Test-Flackerbilder eines Herstellers probiert, kommen auch noch längere IBAN dazu. Insgesamt ist es schon verständlich, dass sich die Sparkassenleute dort schon mal vertun. Die Genobanker sind es gewohnt, hier genauer hinzusehen, die alten Hasen kennen das "Chip-TAN-Verfahren" noch aus der ersten Generation, als ein einfacher Tastendruck einfach die nächste TAN erzeugte. Dann kam 1.2 (plus) noch ohne Flacker, dann kurz 1.3.2, dann schnell 1.4 und die neue optische Lösung mit SmartTAN photo. Das jedenfalls für die exGAD-Banken, bei der Fiducia gab es noch die indizierte TAN-Liste.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Saxony
Beiträge: 679
Dabei seit: 09 / 2003
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 03.02.2018 - 13:42 Uhr  ·  #37
Hallo kragenbär,

danke für Deine offenen Worte. :happy:
Zitat geschrieben von kragenbär
Kann es sein, dass selbst aktiv tätigen Support Mitarbeitern einer Großsparkasse mit mehr als 1800 Mitarbeitern diese Begriffe weitgehend unbekannt sind?


Ich denke, die "Frontkämpfer" im (Sparkassen-)Support sind meist Praktiker und eher darauf spezialisiert, in Verbindung mit chipTAN einem Kunden z.B. die Unterschiede zwischen chipTAN optisch und chipTAN manuell zu erklären, wie man das umstellt, was man machen kann, wenn bei chipTAN optisch die Flickergrafik vom TAN-Generator nicht erkannt wird respektive die Übertragung abbricht, dass man pro Teilnehmer immer genau mit 1 Karte TANs erzeugt und nicht, wenn man mehrere Konten unter einem Online-Zugang verwaltet, für jedes Konto die jeweilige Karte zum TAN erzeugen muss usw. usf. - das dürften die aus dem Effeff beherrschen.

Die Frage nach der verwendeten Version der HHD-Spezifikation ist meiner Meinung nach eher was für "Theoretiker" und kommt seeehr selten wenn überhaupt in der Praxis mal vor. In der Sparkassenwelt gibt es - im Gegensatz zu Raimunds Ausführungen zur Volkbanken-Welt - eher die Unterteilung in chipTAN optisch, chipTAN manuell und neu chipTAN USB.

Zitat geschrieben von kragenbär
Nichts für Ungut, in Zukunft frage ich lieber gleich in diesem Forum, wo offenbar mehr Sachverstand zu finden ist.


Hier im Forum habe auch ich bereits einiges gelernt. 8-)

Otto
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 41
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 03.02.2018 - 19:18 Uhr  ·  #38
Zitat geschrieben von ottoager
Ich denke, die "Frontkämpfer" im (Sparkassen-)Support sind meist Praktiker und eher darauf spezialisiert, in Verbindung mit chipTAN einem Kunden z.B. die Unterschiede zwischen chipTAN optisch und chipTAN manuell zu erklären, wie man das umstellt, was man machen kann, wenn bei chipTAN optisch die Flickergrafik vom TAN-Generator nicht erkannt wird respektive die Übertragung abbricht, dass man pro Teilnehmer immer genau mit 1 Karte TANs erzeugt und nicht, wenn man mehrere Konten unter einem Online-Zugang verwaltet, für jedes Konto die jeweilige Karte zum TAN erzeugen muss usw. usf. - das dürften die aus dem Effeff beherrschen.

Das unterschreibe ich sofort. Der praktische Alltag als Supporter ist weniger von technischen Diskussionen bestimmt als von Dingen wie denen, die du beschrieben hast. Ich hätte die Frage zur technischen Ausgestaltung von chipTAN zwar beantworten können, aber auch nur weil ich entsprechendes Interesse hatte und mir Hintergrundinformationen angelesen habe. Für meinen Support brauchte ich das noch nie. Im Notfall hätte ich also auch beim Rechenzentrum nachfragen müssen, insofern muss ich eine kleine Lanze für die Kollegen brechen. :-)
Benutzer
Avatar
Geschlecht:
Herkunft: Bayern
Beiträge: 78
Dabei seit: 09 / 2010
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 13.02.2018 - 19:28 Uhr  ·  #39
Hallo Angel,

die ganze Diskussion um die IBAN Darstellung bei ChipTan mit 22 (In Deutschland), oder eben nur mit 10 Stellen erschien mir eigentlich nur aus zwei Gründen von Bedeutung zu sein.

1) Die nur im HHD 1.4 Standard mögliche, optimale Darstellung der in Deutschland 22 stelligen IBAN in fünf vierer Blöcken und einem zweier Block.
Diese Darstellung erleichtert die Kontrolle und verringert das Risiko, dass der Nutzer den 10 stelligen, monolithischen Zahlenblock nicht gewissenhaft kontrolliert.

2) Es stellt sich mir die Frage, inwiefern der Faktor 10 oder 22 stellige IBAN zumindest theoretisch eine Sicherheitsrelevanz aufweist.
Wäre ein Betrugsfall denkbar, der bei gewissenhafter Kontrolle der 10 stelligen IBAN gelingt, bei kompletter 22 stelliger Darstellung inc. der BLZ aber auffliegen würde?
Könnte das, was mir bei der 10 stelligen IBAN nicht angezeigt wird, nämlich die BLZ, unbemerkt im Hintergrund manipuliert werden?
Könnte also jemand, der über die gleiche Kontonummer bei einer anderen Bank verfügt, mittels Trojaner die Überweisung umleiten, ohne dass ich es rechtzeitig bemerken könnte?

Beste Grüße vom
kragenbär <_<
Benutzer
Avatar
Geschlecht:
Herkunft: NRW
Alter: 41
Beiträge: 726
Dabei seit: 06 / 2005
Betreff:

Re: Informationen zum chipTAN USB Verfahren - Reiner SCT

 · 
Gepostet: 14.02.2018 - 08:04 Uhr  ·  #40
Guten Morgen Kragenbär,

Zitat geschrieben von kragenbär
Diese Darstellung erleichtert die Kontrolle und verringert das Risiko, dass der Nutzer den 10 stelligen, monolithischen Zahlenblock nicht gewissenhaft kontrolliert.

Ich stimme dir zu, aber - aus der Praxis kann ich dir versprechen - von 10 Nutzern kontrolliert maximal 1 Person die Daten, die der TAN-Generator anzeigt. Ansonsten wird hektisch auf "OK" gedrückt, bis endlich (!) die TAN erscheint. Der Rest ist nur Schmuck am Nachthemd. Ist bei smsTAN übrigens genauso, der Inhalt wird meist nicht gelesen und mitnichten *akribisch* kontrolliert. Das ist auch oft der Grund für Sperren, weil versehentlich ältere SMS geöffnet werden, die noch auf dem Smartphone vorhanden sind - und schwupps wird eine alte TAN nochmals eingegeben, diese ist dann natürlich verbraucht und somit falsch. Ist ein kleiner Exkurs, aber soll verdeutlichen, dass eine gewissenhafte Kontrolle leider an der Realität vorbei geht, weil so gut wie niemand es tut. Darum würde in meinen Augen auch eine Anzeige der 22 Stellen in 4er Blöcken nichts ändern.

Zitat geschrieben von kragenbär
2) Es stellt sich mir die Frage, inwiefern der Faktor 10 oder 22 stellige IBAN zumindest theoretisch eine Sicherheitsrelevanz aufweist.

Das ist ein wenig OT, aber Sicherheit ist ja immer ein Thema. Theoretisch hast du also möglicherweise Recht, wobei die Konstellation "gleiche Kontonummer bei einer anderen Bank" das Ganze ins Reich der Unmöglichkeit schickt. Allerdings möchte ich kurz auf das Thema "Trojaner" und Betrug eingehen, einfach einen kleinen Einblick in die momentane Situation - da in diesem Thema laufend Bewegung ist, mag das in ein paar Monaten anders aussehen.

Im Moment sind die Tage, in denen ein Trojaner eine Überweisung im Hintergrund manipuliert und so große Beträge z.B. ins Ausland verschoben hat, vorbei. Aktuelle Betrügereien laufen ganz anders - zwei Beispiele.

1. Es ist wirklich ein Trojaner im Spiel. Der Nutzer meldet sich im Online-Banking an und erhält einen Hinweis, es sei versehentlich eine große Summe auf sein Konto überwiesen worden, die ihm aber gar nicht zustehe. Er möge diese doch bitte sofort zurück überweisen. Die fälschliche Gutschrift ist sowohl in den Umsätzen des Bankings zu sehen, ebenso steht netterweise gleich ein Button "Rücküberweisung" zur Verfügung. Der Nutzer klickt also frohgemut auf den Button und überweist die Summe. In seinem TAN-Generator stehen natürlich die korrekten Daten - also z.B. 5000 EURO an IBAN XY - für den Nutzer okay, denn es handelt sich ja eindeutig um die falsche Gutschrift. In Wirklichkeit hat diese Gutschrift natürlich niemals stattgefunden, und der Nutzer löst die schadhafte Überweisung von seinem Konto selbst aus. Eine akribische Kontrolle der Daten im Display des TAN-Generators hätte hier also nichts gebracht, egal wie viele Stellen angezeigt werden.

2. Das große Thema "Microsoft-Anrufe". Wenn du das in die Suchmaschine deiner Wahl eingibst, bekommst du massenhaft Artikel dazu. Kurz: Ein Betrüger ruft an, gibt sich als Mitarbeiter von Microsoft aus und teilt dem Nutzer mit, dass sein PC mit diversen Viren und Trojanern verseucht sei. Er könne dies aber in Ordnung bringen. Als Erstes bringt man den Nutzer nun dazu, dem Betrüger per Fernwartung Zugriff auf den Rechner zu gestatten. Der zeigt dem Nutzer dann diverse "Nachweise" der Verseuchung und "Echtheitszertifikate", die beweisen sollen das er wirklich von Microsoft ist. Dann wird auf dem Rechner ohne Zutun des Nutzers Schadsoftware installiert - und dann geht's ans Online-Banking. Es gibt verschiedene Varianten, aber oft ist es so, dass der Nutzer für die Bereinigung des Rechners zahlen soll. Der Betrüger sorgt dafür, dass der Nutzer sich im Online-Banking einloggt und danach TAN-Nummern erzeugt (chipTAN) oder vorliest (smsTAN, pushTAN). Auch hier würde eine Kontrolle der Daten nicht helfen, weil der Betrüger ja glaubhaft versichert, dass die Zahlungen rechtmäßig sind...

Du siehst, es geht heute nicht mehr um Manipulation im Hintergrund, sondern um ein widerliches Spiel mit Ängsten und Gutgläubigkeit von Menschen. Die Betrüger machen sich meist nicht mehr die Mühe technischer raffinierter Angriffsmöglichkeiten, sondern setzen da an, wo die Schwachstelle sitzt - VOR dem Rechner. Darum bleiben deine Sorgen wirklich nur Theorie, zumindest momentan. Wenn die Menschen weiterhin bereitwillig Zugangsdaten, TAN und persönliche Daten in irgendwelche Formulare eintasten oder gar am Telefon rausgeben, dann haben wir keine Chance, EGAL wie gut die Sicherheitsmedien sind.

Sorry für den etwas längeren Exkurs, aber mir war das wichtig. :-)
Gewählte Zitate für Mehrfachzitierung:   0