Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Potsdam
Beiträge: 367
Dabei seit: 10 / 2003
Betreff:

Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 18.10.2005 - 19:30 Uhr  ·  #1
Hallo allerseits,
heute schrieb mir ein User:

"Zwischen HBCI PIN/TAN und PIN/TAN Internet gibts keinen Unterschied, beide Verfahren laufen über eine SSL-Verschlüsselung und es gibt keinen Sicherheitsvor- oder nachteil"

Kann man das wirklich so sehen? Es soll keinen Unterschied zwischen dem simplen Auslesen der Internetseite einer Bank und einem HBCI/FinTs PIN/TAN-Zugang geben?

Was sagen die Experten?
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 18.10.2005 - 21:07 Uhr  ·  #2
Hmm, würde dem so zustimmen, gleiches Sicherheitsmedium, gleiche Verschlüsselung.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayerisch Venedig
Homepage: sparkasse-passau.d…
Beiträge: 760
Dabei seit: 11 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 18.10.2005 - 21:35 Uhr  ·  #3
Moin,

ich gehe auch noch weiter

PIN/TAN über Internetbanking oder
PIN/TAN über FIN/TS oder
HBCI / FIN/TS mit Diskette

ist eine Kategorie an Sicherheit! :!:

Bei diesen Varianten leigt die Sicherheit in dem "bewußten" Umgang mit dem/den Sicherheitsmedien und ein virenfreies Kundensystem ist auch Voraussetzung.

In welcher Verschlüsselungsstärke die Daten den Kunden-PC verlassen und zur Bank gelangen (128 bis 1024 bit) ist bei den gegebenen Angriffspunkten auf Endkunden-Seite nur Makulatur bis hin zur Augenwischerei ( iTAN).

Ein MEHR an Sicherheit gibt es erst mit Einsatz der Chipkartenleser (Klasse2) und HBCI. Hier auch schon von Anfang an mit der HBCI-Version 2.01. Also auch keine Erfindung von FIN/TS (=HBCI=3.0).
Durch FIN/TS steigt hier "nur" die Verschlüsselung von 768 auf 1024 bis zu 2048 bit. Das ist dann mal ein echtes PLUS. Wobei hier mal wieder etwas typisch deutsches passiert: ein sicheres Verfahren wird noch sicherer und die bsiherige Hardware (Chipkarten) kann das dann nicht -
also neu/austauchen; so kreigt man auch ein kleines Konjunkturprogramm...

Na denn, auf weiterhin viele sichere Online-Transaktionen

Od
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 07:25 Uhr  ·  #4
HEy Odin,

lass dich nicht von den Verschlüsselungslängen alleine blenden.

Du musst noch dazu sagen das die PIN/TAN Geschichte sowie HBCI mit DDV (Sparkassen) syncron verschlüsselt ist. Die syncronen 128 bit rangieren sicherheitstechnisch im Bereich zwischen 786 und 1024 bit ansyncron (RSA).

Die Sicherheitsdatei hat in meinen Augen das größte Sicherheitsproblem, sie ist einfach und vor allem unbemerkt kopierbar und kennt keinen Kennwort-Fehlzugriffszähler. Zwar sind die geforderten 8 Stellen incl. Sonderzeichen nicht schlecht, aber für einen Brute-Force Angriff kein Problem.

Nettes Phishing:
Schicken Sie uns Ihre Sicherheitsdatei zwecks Prüfung, sie erhalten eine stärker verschlüsselte Version zurück.....

Die iTAN ist keine Augenwischerei, sie ist aber wohl nur keine dauerhafte Lösung gegen alle Szenarien. Es sei denn man setzt das Konzept nicht durchgängig um, siehe PB.

HBCI-PIN/TAN hat noch einen Vorteil gegenüber Internet-Banking:
Die Software prüft anhand der Zertifikate automatisch mit wem sie redet, der Kunde mit Internet-Banking muss das manuell machen - und tut es nicht, es ist auch zu aufwändig.. Deswegen gibt es Phishing.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 08:55 Uhr  ·  #5
Zitat geschrieben von Captain FRAG
HBCI-PIN/TAN hat noch einen Vorteil gegenüber Internet-Banking:
Die Software prüft anhand der Zertifikate automatisch mit wem sie redet, der Kunde mit Internet-Banking muss das manuell machen - und tut es nicht, es ist auch zu aufwändig.. Deswegen gibt es Phishing.


Bis du dir sicher, dass bei HBCI PIN/TAN ein Zertifikat überprüft wird? Ist es nicht eher so, dass in der Software eine feste URL hinterlegt ist und diese nur angewählt wird?
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 09:14 Uhr  ·  #6
Noch nie die Meldung Zertifikat ungültig gesehen? :D

Die URL dagegen ist eigentlich überall änderbar, ausser in Starmoney.
Den Sinn weiss keiner, den das Zerti ist doch sowieso nur für die URL / Domain des Ziel-Rechners gültig.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 10:09 Uhr  ·  #7
Zitat geschrieben von Captain FRAG
Noch nie die Meldung Zertifikat ungültig gesehen? :D

Die URL dagegen ist eigentlich überall änderbar, ausser in Starmoney.
Den Sinn weiss keiner, den das Zerti ist doch sowieso nur für die URL / Domain des Ziel-Rechners gültig.


Da sieht man mal wieder, dass der Zertifikatswechsel schon wieder zu lange her ist ;-)

btw bei StarMoney kannst du doch auch die URL bei Einrichtung verändern, ändern läuft eben über löschen und neu einrichten ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 299
Dabei seit: 12 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 14:53 Uhr  ·  #8
Hallo Captain, kannst du mir das genauer erklären - Danke

Zitat
Die 128 bit rangieren sicherheitstechnisch im Bereich zwischen 786 und 1024 bit ansyncron (RSA).
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 16:52 Uhr  ·  #9
Bin zwar nicht Cap, aber bei [url=http://]Heise[/url] steht schon mal eine ganz brauchbare EInführung...

Gruß
BW
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 17:01 Uhr  ·  #10
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Hamburg
Beiträge: 150
Dabei seit: 08 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 17:10 Uhr  ·  #11
Also bei den obigen Aussagen gehts doch ein bisschen rund. "HBCI PIN/TAN und PIN/TAN Internet - es gibt keinen Sicherheitsvor- oder nachteil" -- das mag sich auf manche Teilaspekte wie die tatsächliche Verbindungs-encryption beziehen, aber die in letzter Zeit besonders geschilderten Angriffe auf PIN/TAN-Internet beziehen sich doch eben auf einen Man-in-the-Middle-Angriff. Dazu muss der Kundensoftware erstmal ein falsches Zertifikat untergeschoben werden. Und *das* ist bei HBCI ganz erheblich schwieriger als beim Internet-PIN/TAN. Beim HBCI-PIN/TAN wird die Kundensoftware einen Riesen-Rabatz machen, wenn sich das Zertifikat des (vermeintlichen) Bankservers "plötzlich" geändert hat, wogegen die Internet-Browser ja relativ gewöhnlich aussehende Meldungen geben, die dann "gewohnheitsgemäß" weggeklickt werden.

Die ganze Frage der Authentifikation ist bei HBCI doch im Gegensatz zum Internet-Pin/Tan wesentlich ausgereifter gelöst. Naja, bei PIN/TAN halt soweit es noch geht. Aber bei dem Disketten-HBCI ist es doch ein fundamentaler Unterschied, dass der Kunde den ausgedruckten Fingerprint der Bank vorliegen hat (also kein Man-in-the-Middle Angriff auf den Kunden möglich) und die Bank dann auch den Fingerprint des Kunden hat (also auch kein Replay in Richtung Bank möglich).

Okay, *wenn* ein Angreifer Zugriff auf die gespeicherten Schlüssel bekommen *und* außerdem noch die Schlüssel-PIN erobern kann, *dann* ist HBCI+Schlüsseldiskette auch geknackt. Aber die aktuellen Phishing- u.ä.-Wellen werden doch gerade deshalb so zahlreich, weil beim Internet-Pin/Tan der Man-in-the-Middle so dermaßen erfolgreich reinhauen kann. Und das alles eben völlig ohne Zugriff auf die Festplatte des Kunden (oder die danebenliegenden Schlüsseldisketten) und auch ohne keylogger. Und solange dies die einfachste Angriffsmöglichkeit ist, wird HBCI auch sicher bleiben.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 931
Dabei seit: 07 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 19.10.2005 - 17:32 Uhr  ·  #12
Zitat geschrieben von cstim
Also bei den obigen Aussagen gehts doch ein bisschen rund. "HBCI PIN/TAN und PIN/TAN Internet - es gibt keinen Sicherheitsvor- oder nachteil" -- das mag sich auf manche Teilaspekte wie die tatsächliche Verbindungs-encryption beziehen, aber die in letzter Zeit besonders geschilderten Angriffe auf PIN/TAN-Internet beziehen sich doch eben auf einen Man-in-the-Middle-Angriff. Dazu muss der Kundensoftware erstmal ein falsches Zertifikat untergeschoben werden. Und *das* ist bei HBCI ganz erheblich schwieriger als beim Internet-PIN/TAN. Beim HBCI-PIN/TAN wird die Kundensoftware einen Riesen-Rabatz machen, wenn sich das Zertifikat des (vermeintlichen) Bankservers "plötzlich" geändert hat, wogegen die Internet-Browser ja relativ gewöhnlich aussehende Meldungen geben, die dann "gewohnheitsgemäß" weggeklickt werden.


Ich glaub deine Aussage bringt auch noch ein bißchen wirrwarr mehr rein, denn im Ursprungspost ging es ja nicht um Browserbanking mit PIN/TAN, sondern um Screenscrapping mit einer Software und PIN/TAN, eben auch als PIN/TAN Internet bezeichnet ;-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 299
Dabei seit: 12 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 20.10.2005 - 15:38 Uhr  ·  #13
@Cap + Bratwurst

Danke - dein Link (BW) auf Heise funktioniert aber leider nicht :(
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 20.10.2005 - 15:51 Uhr  ·  #14
Was mich jetzt interessieren würde:
Findet bei Screenscraping auch eine Zerti Prüfung statt oder liest der HTML Parser nur ob im Quelltest ne Grafik namens Schloss.gif vorhanden ist?
:D

p.s.: Ironietags vergessen...

p.p.s.: Screenscraping sollte verboten werden
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 20.10.2005 - 17:53 Uhr  ·  #15
@Null8Null2:

Keine Ahnung, wieso das nicht geht, eigentlich dachte ich, dass man beim Einfügen von Links nichts falsch machen kann... :oops:

Also, gemeint war dies hier.
Und zur Strafe dann hier noch ein guter Heise-Artikel 😉

Gruß
BW
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 20.10.2005 - 18:30 Uhr  ·  #16
offtopic: wie sagte doch gerüchteweise ein Physiker, der das Startrek-Next-Generation-Drehbuchschreiber-Team in Technikfragen beriet, als er danach gefragt wurde, wie denn die Heisenberg-Kompensatoren funktionieren würden?

"Danke, gut!"
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Zeven
Beiträge: 1224
Dabei seit: 06 / 2003
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 21.10.2005 - 09:20 Uhr  ·  #17
@Odin

die HBCI-Disktette ist in meinen Augen nicht mit HBCI PIN/TAN gleichzusetzen. Die Schlüsseldatei ist leider so klein, daß es keinem auffällt, wenn die kopiert wird und mit der PIN über einen Key-Logger habe ich dann einen Freifahrtsschein!

Geht wirklich in windeseile!
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Bayerisch Venedig
Homepage: sparkasse-passau.d…
Beiträge: 760
Dabei seit: 11 / 2004
Betreff:

Re: Unterschied Internetbanking und HBCI / FinTS PIN/TAN

 · 
Gepostet: 21.10.2005 - 09:40 Uhr  ·  #18
@Mr Nett

"...in meinen Augen..." Sicherheit war schon immer mehr ein subjektives Gefühl denn objektive Realität.

Aber konkret:
Wenn denn schon ein keylogger zum Einsatz kommt, dann geht der gleiche Angriff auch bei HBCI-PIN/TAN. Und statt eines Dateitransfers muß dann der Angreifer allerdings nach der TAN-Eingabe das Banking unterbinden: PC abstürzen lassen, Firewall schließen oder ähnliches...
Gut der Angreifer hat dann nur Daten für EINE Transaktion - aber mal
ehrlich, das reicht doch!!! Es ist schon von der Art her ein Unterschied, aber die Auswirkungen sind doch gleich und der Angriff doch sehr ähnlich...Und bei welchem Fall sind schon mehrere Überweisungen vom Konto gegangen? Gut ich erwarte keine Meldungen...

Aber jetzt erstmal noch ein bischen Außendienst und dann ins Wochenende...

Bis dann

Od
Gewählte Zitate für Mehrfachzitierung:   0