HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

Was, wenn man sie verliert?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 05 / 2018
Betreff:

HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 20:33 Uhr  ·  #1
Hallo,

Wie ist das bei einer HBCI-Schlüssel-Datei Auf zum Beispiel einem USB Stick, Wenn man diesen verliert?

Ich rede in diesem Fall von einer Schlüssel Datei mit Passwort.

Wenn diesen USB Stick nun jemand finden würde und vielleicht auch IBAN und BIC des betreffenden Kontos kennen würde:

Könnte ohne Kenntnis des Passworts der Schlüssel-Datei und ohne Zugang zum Rechner mit der Banking-Software irgendein Schaden angerichtet werden?

Zum Beispiel an einem anderen Rechner?

Danke!
H.
Benutzer
Avatar
Geschlecht:
Beiträge: 4529
Dabei seit: 06 / 2008
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:21 Uhr  ·  #2
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 05 / 2018
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:27 Uhr  ·  #3
Wie kann man sie denn löschen, wenn sie auf dem Stick ist, der verloren wurde?
Sorry: bin Neuling.
Und: ist das ein generelles Verfahren oder geht es nur bei bestimmten Banking-Programmen?
Benutzer
Avatar
Geschlecht:
Beiträge: 4529
Dabei seit: 06 / 2008
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:35 Uhr  ·  #4
geht es um einen aktuellen Fall?

evtl. bei welcher Bank - bitte dort auch schauen
zentral wäre bspw. die Sperrrufnummer 116116 - https://www.sperr-notruf.de/ - idR behilflich

über das webbanking kann man auch div. Sperren durchführen
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 05 / 2018
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:40 Uhr  ·  #5
Aktueller Fall, ja. Aber die Datei hat ein vernünftiges Passwort.
Wenn ich eine neue Schlüsseldatei mit INI-Brief erzeuge, sollte das Problem doch ebenso behoben sein, oder?

Der Rechner, mit den das Banking gemacht wird, ist unzugänglich für dritte.
Benutzer
Avatar
Geschlecht:
Beiträge: 4529
Dabei seit: 06 / 2008
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:45 Uhr  ·  #6
die Datei wird ja dann ersetzt - somit wüsste ich nicht was dagegen spricht.

Datei(en) wird es jedoch nicht mehr lange geben. (PSD2 - aber das ist ein anderes Thema)

Zitat
unzugänglich für dritte.

naja - so sicher gibt es kaum ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 4
Dabei seit: 05 / 2018
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 21:47 Uhr  ·  #7
Sehe ich es denn richtig, dass jemand auch Zugriff zu dem Rechner haben müsste, der den USB Stick findet?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 6755
Dabei seit: 03 / 2005
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 22.12.2018 - 23:06 Uhr  ·  #8
Zitat geschrieben von horstiborsti

Sehe ich es denn richtig, dass jemand auch Zugriff zu dem Rechner haben müsste, der den USB Stick findet?


Nein. Wenn er herausfindet, zu welchem Bankingprogramm die Schluesseldatei gehoert, kann er es sich installieren und die Datei dort importieren - insofern er das Passwort der Datei kennt. Der Schluessel nuetzt aber nur dann etwas, wenn dessen Hash noch bei der Bank hinterlegt ist. Wenn du fuer die Benutzerkennung jedoch einen neuen INI-Brief erstellst und bei der Bank einreichst, wird die verlorene Datei wertlos. Das ist dann wie ein Schluessel, zu dem das Schloss gar nicht mehr existiert. Wenn eine HBCI-Schluesseldatei nicht sperrbar waere, dann waere das ja auch ohne die neuen PSD2-Anforderungen ein ziemlich unsicheres Verfahren.

Also: Lass den Schluessel bei der Bank loeschen/zuruecksetzen und erstelle dir einen neuen INI-Brief. Problem geloest.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4955
Dabei seit: 03 / 2007
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 23.12.2018 - 02:36 Uhr  ·  #9
Anmerkungen:
1) Einen neuen Schlüssel einreichen geht bei allen mir bekannten Banken erst dann, wenn man den aktuellen Schlüssel hat löschen lassen.

2) In den meisten Banking-Programmen ist ein sog. "Schlüsselwechsel" möglich. Dabei wird ein neuer Schlüssel erzeugt, dieser eingereicht und die Einreichung mit dem alten Schnlüssel signiert. Der alte Schlüssel ist dann sofort ungültig und der neue gültig. Dies sollte der schnellste und einfachste Weg sein, wenn man noch eine Sicherungskopie des alten (verlorenen) Schlüssels hat. Sollte man sowieso immer haben, da auch der usb-Stick nichts ewiges ist und die Sticks mitunter kaputtgehen.

3) Zum Thema "Schlüsseldatei gibt es sowieso nicht mehr lang" - das kann man so pauschal nicht sagen. Ich habe mich unlängst bei einer meiner vier Banken erkundigt, bei denen ich Schlüsseldateien im Einsatz habe, eine Bank aus dem VR-Lager. Dort hieß es, man habe den Privatkunden die Schlüsseldateien zum 1.12.2018 bereits gesperrt. Für Firmenkunden bleibt allerdings alles beim Alten, es wird weiterhin der Zugang mit Schlüsseldatei erhalten bleiben. Allerdings werden auch für Firmenkunden keine neuen Schlüsseldateien mehr ausgegeben. Und auch bei einem Vereinskonto bei der HVB habe ich bis heute noch keine Abkündigung der Schlüsseldatei erhalten. Zumal bei der HVB auch keinerlei sinnvoller Ersatz existiert. Außer Schlüsseldatei gibt es dort für HBCI nur iTANs von der Liste...
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 47
Beiträge: 5614
Dabei seit: 02 / 2003
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 23.12.2018 - 13:51 Uhr  ·  #10
Zitat geschrieben von infoman

Datei(en) wird es jedoch nicht mehr lange geben. (PSD2 - aber das ist ein anderes Thema)

Das hat sich nach aktueller Auslegung erledigt. U.a. Aufgrund des Passwortschutz der Datei
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: München
Homepage: subsembly.com/
Beiträge: 4138
Dabei seit: 11 / 2004
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 24.12.2018 - 15:11 Uhr  ·  #11
Auslegung hin oder her. Schlüsseldateien sind zwar praktisch, aber das mir großem Abstand unsicherste Verfahren. Schlüsseldatei plus Passwort reicht für einen unbegrenzten Zugriff auf alle Konten des Nutzers. Für einen Trojaner ist es beinahe trivial an beides zu kommen, ohne dass der Anwender das auch nur merkt. Selbst die alten TAN-Listen boten da eine höhere Sicherheit.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7696
Dabei seit: 08 / 2002
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 25.12.2018 - 14:33 Uhr  ·  #12
ja, aber nicht in der realen Welt - denn TAN am Telefon oder online weiter zu geben ist möglich und das passiert leider regelmäßig.
Von der Signaturdatei habe ich das noch nicht gehört. Zeigt gut, wie Theorie und Praxis auseinandergehen.
Auf die Signaturdatei setzen würde ich aussrücklich nur noch in sehr gut abgesicherten Systemen.
Zum eigentlichen Thema:
Das "Zurücksetzen" der alten Benutzerkennung und neue Einreichung ist nicht bei allen Banken möglich. Hier ist eine neue Kennung nötig.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 57
Beiträge: 4955
Dabei seit: 03 / 2007
Betreff:

Re: HBCI Schlüsseldatei mit Passwort: Sicherheitsfrage

 · 
Gepostet: 25.12.2018 - 20:19 Uhr  ·  #13
Zitat geschrieben von Raimund Sichmann
Das "Zurücksetzen" der alten Benutzerkennung und neue Einreichung ist nicht bei allen Banken möglich. Hier ist eine neue Kennung nötig.

Das kenne ich eigentlich nur vom Ex-GAD-System - und das ist ja bald Geschichte.
Gibt's noch andere?
Gewählte Zitate für Mehrfachzitierung:   0