HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

Voraussetzung:
1.) von der Sparkasse erhielt ich diese Woche folgenden Brief (Auszug):

„Im Nov 2016 hatten wir lhnen ein neues Produkt,,HBCI- die neue Generation" angekündigt. Zwischenzeitlich wurde in den Gremien der Deutschen Kreditwirtschaft entschieden, das Sicherheitsverfahren HBCI weder in der neuen Generation noch in der von Ihnen genutzten alten Generation weiterzuentwickeln.

Wir kündigen … vereinbarte Signaturverfahren mit Chipkarte (HBCI) und die Bereitstellung von Chipkarten (HBCI) zum 31.12.2018.

Wir bitten Sie, sich mit den alternativen Sicherungsverfahren vertraut zu machen.
….
Die …Sparkasse wird das HBCI-Verfahren generell zum 31.12.2019 einstellen.“


2.) die alternativen Sicherheitsverfahren bei meiner Sparkasse sind:
PushTAN & ChipTAN

*bei der Deutschen Bank & der Commerzbank sind nach wie vor HBCI mit Chipkarte möglich
https://www.deutsche-bank.de/p…fints.html
https://www.commerzbank.de/por…alten.html

*schau ich auf die Seite der Deutschen Kreditwirtschaft
https://die-dk.de/
…ist kein Hinweis zu finden

...................................................................................................................................................................................................................

Behauptung:
HBCI wurde mir bislang von der Sparkasse als sicherstes Verfahren angepriesen.
Hinzu kommt, dass ich dieses Verfahren gar nicht im Browser nutzen kann – sondern nur mit einer Finanz-Software (etwa „Starmoney“).
PushTAN & ChipTAN sind aber auch im Browser nutzbar und damit m.E. anfälliger für Attacken (etwa Man-In-The-Middle).

Hinzu kommt, dass ich bei der Sparkasse über HBCI noch Kontoauszüge mit der Finanzsoftware ziehen kann. Mit den Alternativ-Verfahren muss ich mir jeden PDF-Kontoauszug aus dem elektronischen Postfach downloaden. Wenn man 50-100 Klienten-Konten verwalten muss, ist das schon ein Aufwand.

................................................................................................................................................................................................................

Lösung?:
Kann mir jemand erklären, warum HBCI eingestellt wird (bei der Sparkasse).
...die Sparkasse kann/will hierzu nichts sagen.
Hat das Kosten-, Sicherheits- oder technische Gründe?

PS: ich kann die Bank nicht wechseln, da ich für meine Klienten anderswo kein Konto erhalte
.................................................................................................................................................................................................................

Vielen Dank für die Antworten im Voraus!
Naslund

Umsätze abrufen ist über einen PIN/TAN-Zugang sogar einfacher, weil man zum Abruf nicht immer eine Karte stecken muss.
PIN/TAN-Zugang kann auch mit HBCI in einem Finanzprogramm genutzt werden. Damit kann man ggf. auch Kontoauszüge abrufen.
Einzig das Senden von Aufträgen ist bei vielen Zahlungen problematischer, da für jeden Auftrag bei EInzelaufträgen eine TAN generiert werden muss.
Man kann bei Sparkassen's allerdings Sammler versenden - mit vielen Zahlungen darin - und diese mit einem Kennzeichen versehen. Dann werden die Aufträge im Konto wie Einzelaufträge verbucht. Der gesamte Sammler wird mit einer TAN abgesendet. Allerdings braucht man dann für jeden Sammler eine TAN - und für jedes Absenderkonto muß man einen getrennten Sammler senden. Somit können das bei vielen Absenderkonten viele Sammler und viele TANs werden... Etwas schneller bzw. einfacher geht es mit den neuen Verfahren, bei dem die Kommunikation zwischen TAN-Generator und Computer nicht über den Flackercode erfolgt, sondern über usb. Trotzdem ist das natürlich weniger komfortabel wie mit der Chipkarte, bei der man einmalig die KartenPIN eingibt und dann alle Aufträge durchlaufen.
Die Chipkarten der Privatbanken (DeuBa, ComBa, HVB) und der Sparkassen sind völlig verschieden. Das (alte DDV-) Verfahren, das die Sparkassen einsetzen, ist "problematischer" als das, das die Privatbanken einsetzen. Die Sparkassen geben das Verfahren nun etwas eher auf, als es unbedingt nötig ist, aber es ist davon auszugehen, dass die anderen Banken das früher oder später genau so machen werden. Das große Problem bei ALLEN Chipkartenverfahren ist, dass der Kunde nicht kontrollieren kann, WELCHEN Auftrag er da freigibt. Bei den modernen TAN-Verfahren wird erst angezeigt, welche Empfänger-IBAN und welcher Betrag freigegeben wird (entweder in der PushTAN-App oder im TAN-Generator).

Fazit: Die neuen TAN-Verfahren sind in gewisser Weise als Ersatz für den Chipkartenzugang geeignet, bei vielen Zahlungsaufträgen und vielen eigenen Konten kann es aber problematisch werden. Wenn man mit dem was ich geschrieben habe nicht zurecht kommt, kommt eigentlich nur der Übergang vom Verfahren FinTS (HBCI) auf das Verfahren EBICS in Frage. Letzteres ist allerdings unter'm Strich um einiges teurer - sowohl was die Software betrifft, als auch was die laufenden Bankgebühren betrifft.

STÖHN. Das stell ich mir bei Umsatzabfrage von knapp 400 Konten lästig vor...

Klar. Da drück ich dann 350 mal auf "OK, TAN übertragen" für einen Abruf. Ich bin am Überlegen, ob ich mir dafür dann einen Minijobber als Hilfskraft einstelle

Achja, und ein Dauer-Karteleser-Austauschabo für die Gummiquietschtastatur brauch ich dann auch )

Nein, bin ich absichtlich nicht. Ebics bietet mir keinerlei Vorteile (HBCI ist "direkt" an den Bankrechner angebunden, EBICS ist "nur" Filetransfer), ist dafür aber massiv teurer...

Ich verwende HBCI fast nur zum Abrufen von Umsätzen, damit sie in einer Datenbank zum Suchen bereitstehen. Zahlungen werden darüber nur sehr wenige gemacht - nur bei eiligen Sachen, außerhalb der Batchverarbeitung des hauptsächlich verwendeten Systems. Ansonsten laufen Zahlungen über eine bei der Bank selbst gehostete Branchenanwendung, welche zu drei Terminen am Tag freigegebene Zahlungen direkt ins Fiducia-System übergibt.

Außerdem werden mitunter LA-Retouren über's Webbanking ausgelöst. Somit ist HBCI für mich optimal. Nur die Bankmitarbeiter, die den NetKey bei den öfters vorkommenden Änderungen pflegen müssen, stöhnen natürlich immer über die Größe

Nein, das Abholen der Kontoauszüge ist mit ChipTAN (Sparkasse) in Starmoney 11 Deluxe (aktuellste Version) nicht möglich. Eine Kollegin nutzt ChipTAN aktuell - ich hatte es vorher auch getestet.

Das Witzige ist bzw. sind:

1.) es gibt von Starmoney eine Sparkassen-Version, auch damit geht es (der Download) nicht - da gibt es nur einen Sinnlos-Link ins "Elektronische Postfach" mit den PDF-Kontoausügen.

2.) als die Sparkasse vor 2 Jahren auf das "Elektronische Postfach" "upgegradet" hat - war das der Grund, warum ich auf HBCI-Chipkarte gewechselt bin, weil man damit die Kontoauszüge in die Finanzsoftware downloaden konnte...


by the way:
...die Frage, wann Starmoney das kann, ist eine Frage für das Starmoney-Forum, wo man aber eh keine Antwort bekommt - ruft man die Starmoney-Support-Hotline an, lande ich bei einem Mitarbeiter der hiesigen Sparkasse...

...der kann mir die Frage auch nicht beantworten, ob zuerst das Huhn oder das Ei da war ;(

Ich kann über die Website mit der PIN die Kontoauszüge
aus dem Postfach als PDF holen

und

Mit der HBCI Karte und StarMoney Business 8 kann ich die Umsätze und Kontoauszüge
abholen.

StarMoney --> Umsätze exportieren als .... --> einlesen in excel als .... (csv)
zur Weiterverarbeitung.

Wirklich?

Ich schildere hier mal den Ablauf der Überweisung mit der HBCI-Chipkarte in Starmoney 11 Deluxe

1.) ich erstelle die Überweisung
2.) ich verschiebe die Überweisung in den Ausgangskorb (habe damit die Erstellung abgeschlossen)
3.) bevor ich die Überweisung mit der HBCI-Chipkarten-PIN freigebe, sehe ich folgenden Dialog:



4.) ...und werden diese Daten nicht verschlüsselt versendet - zumal auch die Finanzsoftware als solche verschlüsselt ist

Um das etwas deutlicher zu machen:
Was der PC anzeigt, kann jederzeit gefaked sein. Längst kann ein Trojander den PC übernommen haben und der kann dann am Bildschirm anzeigen, was er will. Er zeigt Dir an, dass Du 100 Eur an Deinen Energieversorger überweist... und im Hintergrund läßt der Trojaner 100.000 EUR nach Kenia signieren. Was definitiv beim Bankrechner angekommen ist, kannst Du nicht sehen. Und derlei Betrug ist nicht theoretisch, der ist bereits vorgekommen.

Bei den TAN-Verfahren ist das anders. Der TAN-Generator beim ChipTAN-Verfahren ist von außen nicht angreifbar, da er nur ein Anzeigemedium und kein programmierbarer Rechner ist. Die Kerndaten der Überweisung werden auf den TAN-Generator übertragen und dort ANGEZEIGT. Somit weiß man sicher, was man signiert. Mit dem Chip auf der Bankcard wird dann eine TAN generiert, die auf dem Bankrechner NUR zu einem Auftrag mit DIESER IBAN und DIESEM BETRAG passt. Sicher.

Und bei pushTAN sendet der Bankrechner auf einem verschlüsselten Kanal die Auftragsdaten, die er tatsächlich bekommen hat verschlüsselt auf ein anderes Gerät. Und er sendet auch verschlüsselt eine TAN, die nur dazu paßt. Somit ist auch das sicher.

...diese Überlegenheit begründet sich aber nicht zwingend aus dem Verfahren, sondern aus der Art der Einsatzmöglichkeit...
Das Problem ist eine mögliche Browsernutzung gegenüber einer reinen OB-Software-Umgebung. Da ist die reine OB-Umgebung stets im Sicherheitsvorteil gegenüber dem Browser der vom Grundkonzept offen für alles sein muss und soll... der secoder konnte zT auch schon im InternetBanking genutzt werden und schon unterliegt auch das Verfahren den gleichen "Fernsteuergefahren" wie alle TAN-Verfahren. Die Risikobetrachtung solte viel meht auf die Art der Nutzung gerichtet werden - mobil, Browser, Software - als auf die technischen Spezifikationen der Verfahren. Beim richtigen Einsatz sind die alle sicher bzw der Aufwand zum knacken so groß, das auch kaufmännisch denkende Betrüger dies sein lassen... Und daher sind wir im Hause am überlegen, eben solche verschiedenen Wege eben auch mit verschiedenen Limiten für die Kunden zu versehen, um das besser zu steuern - und ja - auch um die Kunden zu steuern...

Od