Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

Kleinsparschwein

Benutzer

Geschlecht: keine Angabe
Beiträge: 181
Dabei seit: 12 / 2011

Betreff:

Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 21.01.2019 - 17:38 Uhr · #1

Hallo,

wenn ich bei DKB eine bankseitige Terminüberweisung abschicken möchte, erhalte ich auf dem Kartenleser-Display eine unvollständige IBAN-Angabe, nämlich nur die letzten zehn Ziffern (Kontonummer).

Bei normalen Überweisungen erhalte ich die vollständige IBAN, also auch den ersten Teil mit den Prüfziffern, jeweils zum Weiterklicken mit OK.

Ist das bei Terminüberweisungen normal oder hab ich da irgendwo einen Fehler drin? Ich habe den Auftrag sicherheitshalber mal abgebrochen.

Gruß
Kleinsparschwein

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 63
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 21.01.2019 - 18:30 Uhr · #2

Interessant, ich bekomme auch bei normalen Überweisungen nur die eigentliche Kontonummer - also die letzten 10 Stellen - angezeigt und nach OK dann den Betrag. Volle IBAN habe ich noch nie bekommen, auch mit verschiedenen Kartenlesern und Banken nicht.

hibiscus

Benutzer

Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11391
Dabei seit: 03 / 2005

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 09:26 Uhr · #3

Was konkret im Display angezeigt wird, kann die Bank im Rahmen der Spezifikation (https://www.hbci-zka.de/spec/chipTAN.htm) selbst festlegen. Die Verkürzung der angezeigten IBAN diente u.a. beim manuellen chipTAN-Verfahren (also wo noch gar keine Bildschirmübertragung möglich war) dazu, dass der User nicht die komplette IBAN im Gerät eintippen muss.
Hibiscus selbst kann nicht beeinflussen, was auf dem Gerät angezeigt wird. Es reicht den Flickercode mehr oder weniger 1:1 von der Bank an das Gerät weiter. Dort drin sind dann die anzuzeigenden Daten codiert.

Kleinsparschwein

Benutzer

Geschlecht: keine Angabe
Beiträge: 181
Dabei seit: 12 / 2011

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 09:44 Uhr · #4

Uff. Das scheint tatsächlich bei DKB und Sparkasse so zu sein: gekürzte IBAN und Betrag, das wars. Noch nicht mal vorher eine Ansage, was für eine Auftragsart geplant ist: "SEPA-Überweisung" oder "SEPA-Terminüberweisung".

Das kenne ich zumindest von Fiducia, Sparda und Postbank anders.

Wo ist der Schutz vor einem man in the middle, wenn man die IBAN gar nicht ganz abgleichen kann? (Die Frage geht natürlich an die Banken).

Danke!
Kleinsparschwein

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 54
Beiträge: 6247
Dabei seit: 02 / 2003

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 10:01 Uhr · #5

Zitat geschrieben von Kleinsparschwein

Wo ist der Schutz vor einem man in the middle, wenn man die IBAN gar nicht ganz abgleichen kann? (Die Frage geht natürlich an die Banken).

In der Theorie, ist die Reduzierung auf 10 Stellen natürlich nicht so sicher, wie die vollständige IBAN. Aber in der Praxis müsste der Angreifer bei einer anderen Bank ein Konto mit der gleichen Kontonummer haben, um erfolgreich angreifen zu können. Sehr aufwendig bei wenig nutzen.

Ansonsten ist es bei den TAN Verfahren auif Basis chipTAN so, je höher die Version, desto mehr theoretische Angriffsansätze werden berücksichtigt.

B.N.

Benutzer

Geschlecht: keine Angabe
Beiträge: 235
Dabei seit: 12 / 2006

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 16:06 Uhr · #6

Zitat geschrieben von Kleinsparschwein

Was ist denn überhaupt mit "bankseitige Terminüberweisung" gemeint?

Bei normalen Überweisungen wird ja die IBAN komplett angeben wie du selber schreibst. Meinst du eine Terminüberweisung an ein externes Konto bei einer anderen Bank?

Wenn ja, dann verstehe ich auch nicht wieso die DKB dort keine IBAN übergibt und bei der "normalen" Überweisung schon. Wenn sich das aber um eine interne Terminüberweisung handelt, also von einen DKB-Konto auf ein anderes, dann kann die doch sowieso nicht doppelt existieren die Kontonummer.

Kleinsparschwein

Benutzer

Geschlecht: keine Angabe
Beiträge: 181
Dabei seit: 12 / 2011

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 16:12 Uhr · #7

Zitat

Aber in der Praxis müsste der Angreifer bei einer anderen Bank ein Konto mit der gleichen Kontonummer haben, um erfolgreich angreifen zu können.

@Holger Fischer
Hoffentlich ist es so.

Zitat

Bei normalen Überweisungen wird ja die IBAN komplett angeben wie du selber schreibst.

@B.N.
Nein, bei DKB doch nicht. Ich hatte einfach bei DKB noch keine Standard-Überweisung ausprobiert.

Bankseitige Terminüberweisung wird von Hibiscus angeboten. Ein echter SEPA-Überweisungsauftrag, der jetzt legitimiert und an die Bank geschickt wird, aber von der Bank erst zum Termin ausgeführt wird.

msa

Benutzer

Geschlecht:
Herkunft: München
Alter: 63
Beiträge: 7571
Dabei seit: 03 / 2007

Betreff:

Re: Terminüberweisung per chipTAN: Kartenleser zeigt unvollständige IBAN an

· Gepostet: 22.01.2019 - 19:53 Uhr · #8

Klarer benannt als "Bankseitig verwaltete Terminüberweisung" im Gegensatz zu "Programmseitig (lokal) verwaltete Terminüberweisung"

Aber wie gesagt: FI (Sparkassen + DKB) sendet bei allen Überweisungen generell immer "nur" die Kontonummer (10stellig) und nicht die komplette IBAN. Die FI arbeitet ja auch mit HHD 1.3, während Fiducia mit HHD 1.4 arbeitet - dort ist wohl die komplette Anzeige üblich, was ich aber noch nicht gesehen habe, da ich bei allen meinen VR-Banken nur mit SecureGo arbeite.