HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

...und die Suche nach Gründen...

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 07 / 2018
Betreff:

HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 03.07.2018 - 20:14 Uhr  ·  #1
Voraussetzung:
1.) von der Sparkasse erhielt ich diese Woche folgenden Brief (Auszug):

„Im Nov 2016 hatten wir lhnen ein neues Produkt,,HBCI- die neue Generation" angekündigt. Zwischenzeitlich wurde in den Gremien der Deutschen Kreditwirtschaft entschieden, das Sicherheitsverfahren HBCI weder in der neuen Generation noch in der von Ihnen genutzten alten Generation weiterzuentwickeln.

Wir kündigen … vereinbarte Signaturverfahren mit Chipkarte (HBCI) und die Bereitstellung von Chipkarten (HBCI) zum 31.12.2018.

Wir bitten Sie, sich mit den alternativen Sicherungsverfahren vertraut zu machen.
….
Die …Sparkasse wird das HBCI-Verfahren generell zum 31.12.2019 einstellen.“



2.) die alternativen Sicherheitsverfahren bei meiner Sparkasse sind:
PushTAN & ChipTAN

*bei der Deutschen Bank & der Commerzbank sind nach wie vor HBCI mit Chipkarte möglich
https://www.deutsche-bank.de/p…fints.html
https://www.commerzbank.de/por…alten.html

*schau ich auf die Seite der Deutschen Kreditwirtschaft
https://die-dk.de/
…ist kein Hinweis zu finden

...................................................................................................................................................................................................................

Behauptung:
HBCI wurde mir bislang von der Sparkasse als sicherstes Verfahren angepriesen.
Hinzu kommt, dass ich dieses Verfahren gar nicht im Browser nutzen kann – sondern nur mit einer Finanz-Software (etwa „Starmoney“).
PushTAN & ChipTAN sind aber auch im Browser nutzbar und damit m.E. anfälliger für Attacken (etwa Man-In-The-Middle).

Hinzu kommt, dass ich bei der Sparkasse über HBCI noch Kontoauszüge mit der Finanzsoftware ziehen kann. Mit den Alternativ-Verfahren muss ich mir jeden PDF-Kontoauszug aus dem elektronischen Postfach downloaden. Wenn man 50-100 Klienten-Konten verwalten muss, ist das schon ein Aufwand.

................................................................................................................................................................................................................

Lösung?:
Kann mir jemand erklären, warum HBCI eingestellt wird (bei der Sparkasse).
...die Sparkasse kann/will hierzu nichts sagen.
Hat das Kosten-, Sicherheits- oder technische Gründe?

PS: ich kann die Bank nicht wechseln, da ich für meine Klienten anderswo kein Konto erhalte
.................................................................................................................................................................................................................

Vielen Dank für die Antworten im Voraus!
Naslund
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 03.07.2018 - 21:22 Uhr  ·  #2
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4337
Dabei seit: 03 / 2007
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 03:01 Uhr  ·  #3
Umsätze abrufen ist über einen PIN/TAN-Zugang sogar einfacher, weil man zum Abruf nicht immer eine Karte stecken muss.
PIN/TAN-Zugang kann auch mit HBCI in einem Finanzprogramm genutzt werden. Damit kann man ggf. auch Kontoauszüge abrufen.
Einzig das Senden von Aufträgen ist bei vielen Zahlungen problematischer, da für jeden Auftrag bei EInzelaufträgen eine TAN generiert werden muss.
Man kann bei Sparkassen's allerdings Sammler versenden - mit vielen Zahlungen darin - und diese mit einem Kennzeichen versehen. Dann werden die Aufträge im Konto wie Einzelaufträge verbucht. Der gesamte Sammler wird mit einer TAN abgesendet. Allerdings braucht man dann für jeden Sammler eine TAN - und für jedes Absenderkonto muß man einen getrennten Sammler senden. Somit können das bei vielen Absenderkonten viele Sammler und viele TANs werden... Etwas schneller bzw. einfacher geht es mit den neuen Verfahren, bei dem die Kommunikation zwischen TAN-Generator und Computer nicht über den Flackercode erfolgt, sondern über usb. Trotzdem ist das natürlich weniger komfortabel wie mit der Chipkarte, bei der man einmalig die KartenPIN eingibt und dann alle Aufträge durchlaufen.
Die Chipkarten der Privatbanken (DeuBa, ComBa, HVB) und der Sparkassen sind völlig verschieden. Das (alte DDV-) Verfahren, das die Sparkassen einsetzen, ist "problematischer" als das, das die Privatbanken einsetzen. Die Sparkassen geben das Verfahren nun etwas eher auf, als es unbedingt nötig ist, aber es ist davon auszugehen, dass die anderen Banken das früher oder später genau so machen werden. Das große Problem bei ALLEN Chipkartenverfahren ist, dass der Kunde nicht kontrollieren kann, WELCHEN Auftrag er da freigibt. Bei den modernen TAN-Verfahren wird erst angezeigt, welche Empfänger-IBAN und welcher Betrag freigegeben wird (entweder in der PushTAN-App oder im TAN-Generator).

Fazit: Die neuen TAN-Verfahren sind in gewisser Weise als Ersatz für den Chipkartenzugang geeignet, bei vielen Zahlungsaufträgen und vielen eigenen Konten kann es aber problematisch werden. Wenn man mit dem was ich geschrieben habe nicht zurecht kommt, kommt eigentlich nur der Übergang vom Verfahren FinTS (HBCI) auf das Verfahren EBICS in Frage. Letzteres ist allerdings unter'm Strich um einiges teurer - sowohl was die Software betrifft, als auch was die laufenden Bankgebühren betrifft.
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5478
Dabei seit: 02 / 2003
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 08:53 Uhr  ·  #4
Zitat geschrieben von msa

Umsätze abrufen ist über einen PIN/TAN-Zugang sogar einfacher, weil man zum Abruf nicht immer eine Karte stecken muss.

Ab dem 14. September 2019 gilt das nicht mehr so uneingeschränkt. Dann ist die Umsatzabfrage nur noch maximal 4 x am Tag und maximal 90 Tage ohne Eingabe einer TAN möglich. Dafür ist es erlaubt Zahlungen unter bestimmten Rahmenbedingungen ohne Tan auszuführen.....Es verändert sich also einiges
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4337
Dabei seit: 03 / 2007
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 11:39 Uhr  ·  #5
Zitat geschrieben von Holger Fischer
Ab dem 14. September 2019 gilt das nicht mehr so uneingeschränkt. Dann ist die Umsatzabfrage nur noch maximal 4 x am Tag und maximal 90 Tage ohne Eingabe einer TAN möglich. Dafür ist es erlaubt Zahlungen unter bestimmten Rahmenbedingungen ohne Tan auszuführen.....Es verändert sich also einiges


STÖHN. Das stell ich mir bei Umsatzabfrage von knapp 400 Konten lästig vor... :'(
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 12:13 Uhr  ·  #6
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4337
Dabei seit: 03 / 2007
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 13:55 Uhr  ·  #7
Zitat geschrieben von infoman
die Info hatte @Holger schon hier mitgeteilt topic.php?p=135763#real135763
Dh. das chipTAN USB Verfahren wird evtl. das einzigst sinnvolle

Klar. Da drück ich dann 350 mal auf "OK, TAN übertragen" für einen Abruf. Ich bin am Überlegen, ob ich mir dafür dann einen Minijobber als Hilfskraft einstelle :-)

Achja, und ein Dauer-Karteleser-Austauschabo für die Gummiquietschtastatur brauch ich dann auch :-))
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 846
Dabei seit: 12 / 2004
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 14:25 Uhr  ·  #8
bei 400 Konten bist du aber sicher im EBICS Bereich oder ??
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4337
Dabei seit: 03 / 2007
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 14:37 Uhr  ·  #9
Nein, bin ich absichtlich nicht. Ebics bietet mir keinerlei Vorteile (HBCI ist "direkt" an den Bankrechner angebunden, EBICS ist "nur" Filetransfer), ist dafür aber massiv teurer...

Ich verwende HBCI fast nur zum Abrufen von Umsätzen, damit sie in einer Datenbank zum Suchen bereitstehen. Zahlungen werden darüber nur sehr wenige gemacht - nur bei eiligen Sachen, außerhalb der Batchverarbeitung des hauptsächlich verwendeten Systems. Ansonsten laufen Zahlungen über eine bei der Bank selbst gehostete Branchenanwendung, welche zu drei Terminen am Tag freigegebene Zahlungen direkt ins Fiducia-System übergibt.

Außerdem werden mitunter LA-Retouren über's Webbanking ausgelöst. Somit ist HBCI für mich optimal. Nur die Bankmitarbeiter, die den NetKey bei den öfters vorkommenden Änderungen pflegen müssen, stöhnen natürlich immer über die Größe :-)
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 14:41 Uhr  ·  #10
@msa
und da heißt es immer, wegen der Digitalisierung werden Arbeitsplätze gestrichen
als gleich ins Personalbüro und Planstelle vorbereiten
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 07 / 2018
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 19:54 Uhr  ·  #11
Zitat geschrieben von msa

PIN/TAN-Zugang kann auch mit HBCI in einem Finanzprogramm genutzt werden. Damit kann man ggf. auch Kontoauszüge abrufen.


Nein, das Abholen der Kontoauszüge ist mit ChipTAN (Sparkasse) in Starmoney 11 Deluxe (aktuellste Version) nicht möglich. Eine Kollegin nutzt ChipTAN aktuell - ich hatte es vorher auch getestet.

Das Witzige ist bzw. sind:

1.) es gibt von Starmoney eine Sparkassen-Version, auch damit geht es (der Download) nicht - da gibt es nur einen Sinnlos-Link ins "Elektronische Postfach" mit den PDF-Kontoausügen.

2.) als die Sparkasse vor 2 Jahren auf das "Elektronische Postfach" "upgegradet" hat - war das der Grund, warum ich auf HBCI-Chipkarte gewechselt bin, weil man damit die Kontoauszüge in die Finanzsoftware downloaden konnte...


by the way:
...die Frage, wann Starmoney das kann, ist eine Frage für das Starmoney-Forum, wo man aber eh keine Antwort bekommt - ruft man die Starmoney-Support-Hotline an, lande ich bei einem Mitarbeiter der hiesigen Sparkasse...

...der kann mir die Frage auch nicht beantworten, ob zuerst das Huhn oder das Ei da war ;(
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 20:20 Uhr  ·  #12
bei der Sparkasse anrufen und statt dem "elektronischen Postfach" auf die Abholung per Software umstellen lassen ... das geht
Benutzer
Avatar
Geschlecht:
Herkunft: Sachsen
Beiträge: 30
Dabei seit: 03 / 2006
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 04.07.2018 - 22:32 Uhr  ·  #13
Ich kann über die Website mit der PIN die Kontoauszüge
aus dem Postfach als PDF holen

und

Mit der HBCI Karte und StarMoney Business 8 kann ich die Umsätze und Kontoauszüge
abholen.

StarMoney --> Umsätze exportieren als .... --> einlesen in excel als .... (csv)
zur Weiterverarbeitung.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 07 / 2018
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 05.07.2018 - 19:30 Uhr  ·  #14
Zitat geschrieben von infoman

bei der Sparkasse anrufen und statt dem "elektronischen Postfach" auf die Abholung per Software umstellen lassen ... das geht

Leider ist auch das bei "meiner" Saalesparkasse nicht möglich. Ich zitiere aus dem Brief zur Einführung des "elektronischen Postfachs vom 09.11.2016:

"das elektronische Postfach steht seit der Einführung 2012 jedem Teilnehmer am Online-Banking zur Verfügung. Die Saalesparkasse nutzt es für die Versendung von zustellpflichtigen Dokumenten an Sie.

Die Bereitstellung ist derzeit über die lnternet-Filiale möglich, jedoch nicht mit lhrem aktuellen HBCI-Verfahren.

Sie verfügen in lhrem Online-Banking-Vertrag neben dem HBCI-Verfahren über smsTAN/chipTAN/pushTAN-Legitimationsdaten. Damit können Sie in der lnternet-Filiale lhr elektronisches Postfach nutzen.

....

Das Verfahren, elektronische Kontoauszüge über die Online-Banking-Anwendung ,,Elektronischer Kontoauszug" abzurufen, wurde abgekündigt. Nachdem 30.11.2016 ist dieser Abruf in einem Zahlungsverkehrsprogramm mit lhrem genannten PIN/TAN-Verfahren nicht mehr möglich."
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 07 / 2018
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 05.07.2018 - 19:49 Uhr  ·  #15
Zitat geschrieben von msa
...Das große Problem bei ALLEN Chipkartenverfahren ist, dass der Kunde nicht kontrollieren kann, WELCHEN Auftrag er da freigibt. Bei den modernen TAN-Verfahren wird erst angezeigt, welche Empfänger-IBAN und welcher Betrag freigegeben wird (entweder in der PushTAN-App oder im TAN-Generator).


Wirklich?

Ich schildere hier mal den Ablauf der Überweisung mit der HBCI-Chipkarte in Starmoney 11 Deluxe

1.) ich erstelle die Überweisung
2.) ich verschiebe die Überweisung in den Ausgangskorb (habe damit die Erstellung abgeschlossen)
3.) bevor ich die Überweisung mit der HBCI-Chipkarten-PIN freigebe, sehe ich folgenden Dialog:

 


4.) ...und werden diese Daten nicht verschlüsselt versendet - zumal auch die Finanzsoftware als solche verschlüsselt ist
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 05.07.2018 - 20:29 Uhr  ·  #16
Zitat geschrieben von Naslund
Ich zitiere aus dem Brief zur Einführung des "elektronischen Postfachs vom 09.11.2016

die Aussage mal zum damaligen Zeitpunkt gestimmt haben

bitte nochmals aktuellen Stand abfragen - in der Fachabteilung Onlinebanking
(nicht den Callcenter der für alles zuständig ist)

zu deinem posting #15
hier kann die Software dir theoretisch was anderes anzeigen, als ausgeführt wird.
Die Daten sollen dir aber unabhängig auf einem weiteren/unabhängigen Gerät angezeigt werden
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 56
Beiträge: 4337
Dabei seit: 03 / 2007
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 05.07.2018 - 21:23 Uhr  ·  #17
Um das etwas deutlicher zu machen:
Was der PC anzeigt, kann jederzeit gefaked sein. Längst kann ein Trojander den PC übernommen haben und der kann dann am Bildschirm anzeigen, was er will. Er zeigt Dir an, dass Du 100 Eur an Deinen Energieversorger überweist... und im Hintergrund läßt der Trojaner 100.000 EUR nach Kenia signieren. Was definitiv beim Bankrechner angekommen ist, kannst Du nicht sehen. Und derlei Betrug ist nicht theoretisch, der ist bereits vorgekommen.

Bei den TAN-Verfahren ist das anders. Der TAN-Generator beim ChipTAN-Verfahren ist von außen nicht angreifbar, da er nur ein Anzeigemedium und kein programmierbarer Rechner ist. Die Kerndaten der Überweisung werden auf den TAN-Generator übertragen und dort ANGEZEIGT. Somit weiß man sicher, was man signiert. Mit dem Chip auf der Bankcard wird dann eine TAN generiert, die auf dem Bankrechner NUR zu einem Auftrag mit DIESER IBAN und DIESEM BETRAG passt. Sicher.

Und bei pushTAN sendet der Bankrechner auf einem verschlüsselten Kanal die Auftragsdaten, die er tatsächlich bekommen hat verschlüsselt auf ein anderes Gerät. Und er sendet auch verschlüsselt eine TAN, die nur dazu paßt. Somit ist auch das sicher.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7550
Dabei seit: 08 / 2002
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 06.07.2018 - 08:01 Uhr  ·  #18
zumindest ist Push sicherer als ältere Techniken wie SMS, theoretisch sind aber Angriffe denkbar, z.B. indem sämtliche Bedien-Komponenten ferngesteuert werden oder die Push-Software gehackt würde. Es wäre aber immens aufwändig, deshalb ist dies meiner Einschätzung nach nur Theorie und keine Praxis. Bei dem SmartTAN/ChipTAN-Verfahren muss man eben den Benutzer "fernsteuern", um an das Geld zu kommen, hier ist der Benutzer den gleichen "sozialen" Angriffen ausgesetzt, wie bei den anderen TAN-Verfahren. Da dies beim HBCI-Verfahren mit Signaturen nicht vorkommt, verlieren wir eigentlich ein Verfahren, was in der Theorie zwar schwächer aussieht, in der aktuellen Praxis aber vielen Techniken überlegen ist.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayerisch Venedig
Homepage: sparkasse-passau.…
Beiträge: 735
Dabei seit: 11 / 2004
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 06.07.2018 - 09:09 Uhr  ·  #19
...diese Überlegenheit begründet sich aber nicht zwingend aus dem Verfahren, sondern aus der Art der Einsatzmöglichkeit...
Das Problem ist eine mögliche Browsernutzung gegenüber einer reinen OB-Software-Umgebung. Da ist die reine OB-Umgebung stets im Sicherheitsvorteil gegenüber dem Browser der vom Grundkonzept offen für alles sein muss und soll... der secoder konnte zT auch schon im InternetBanking genutzt werden und schon unterliegt auch das Verfahren den gleichen "Fernsteuergefahren" wie alle TAN-Verfahren. Die Risikobetrachtung solte viel meht auf die Art der Nutzung gerichtet werden - mobil, Browser, Software - als auf die technischen Spezifikationen der Verfahren. Beim richtigen Einsatz sind die alle sicher bzw der Aufwand zum knacken so groß, das auch kaufmännisch denkende Betrüger dies sein lassen... Und daher sind wir im Hause am überlegen, eben solche verschiedenen Wege eben auch mit verschiedenen Limiten für die Kunden zu versehen, um das besser zu steuern - und ja - auch um die Kunden zu steuern...

Od
Benutzer
Avatar
Geschlecht:
Beiträge: 3861
Dabei seit: 06 / 2008
Betreff:

Re: HBCI mit Chipkarte (Sparkasse) – Ende am 31.12.18

 · 
Gepostet: 06.07.2018 - 10:07 Uhr  ·  #20
@Odin
Kreditkarten-Unternehmen oder Paypal haben doch kaum Hürten auf der Kundenseite und es funktioniert.
Man sollte evtl. statt den Kunden zu bevormunden, die andere Seite (also Empfänger / Zahlungsläufe) analysieren und hier weitere Sicherheiten für die Bank einbauen.
Denn nicht der Kunde wird geschützt, sondern die Bank schützt sich vor Schäden, da die eigentliche Kundenhaftung ja sowieso gering ist.
Gewählte Zitate für Mehrfachzitierung:   0