Unterschied Internetbanking und HBCI / FinTS PIN/TAN

Hallo allerseits,
heute schrieb mir ein User:

"Zwischen HBCI PIN/TAN und PIN/TAN Internet gibts keinen Unterschied, beide Verfahren laufen über eine SSL-Verschlüsselung und es gibt keinen Sicherheitsvor- oder nachteil"

Kann man das wirklich so sehen? Es soll keinen Unterschied zwischen dem simplen Auslesen der Internetseite einer Bank und einem HBCI/FinTs PIN/TAN-Zugang geben?

Was sagen die Experten?

Moin,

ich gehe auch noch weiter

PIN/TAN über Internetbanking oder
PIN/TAN über FIN/TS oder
HBCI / FIN/TS mit Diskette

ist eine Kategorie an Sicherheit! :!:

Bei diesen Varianten leigt die Sicherheit in dem "bewußten" Umgang mit dem/den Sicherheitsmedien und ein virenfreies Kundensystem ist auch Voraussetzung.

In welcher Verschlüsselungsstärke die Daten den Kunden-PC verlassen und zur Bank gelangen (128 bis 1024 bit) ist bei den gegebenen Angriffspunkten auf Endkunden-Seite nur Makulatur bis hin zur Augenwischerei ( iTAN).

Ein MEHR an Sicherheit gibt es erst mit Einsatz der Chipkartenleser (Klasse2) und HBCI. Hier auch schon von Anfang an mit der HBCI-Version 2.01. Also auch keine Erfindung von FIN/TS (=HBCI=3.0).
Durch FIN/TS steigt hier "nur" die Verschlüsselung von 768 auf 1024 bis zu 2048 bit. Das ist dann mal ein echtes PLUS. Wobei hier mal wieder etwas typisch deutsches passiert: ein sicheres Verfahren wird noch sicherer und die bsiherige Hardware (Chipkarten) kann das dann nicht -
also neu/austauchen; so kreigt man auch ein kleines Konjunkturprogramm...

Na denn, auf weiterhin viele sichere Online-Transaktionen

Od

Bis du dir sicher, dass bei HBCI PIN/TAN ein Zertifikat überprüft wird? Ist es nicht eher so, dass in der Software eine feste URL hinterlegt ist und diese nur angewählt wird?

Da sieht man mal wieder, dass der Zertifikatswechsel schon wieder zu lange her ist

btw bei StarMoney kannst du doch auch die URL bei Einrichtung verändern, ändern läuft eben über löschen und neu einrichten

Bin zwar nicht Cap, aber bei [url=http://]Heise[/url] steht schon mal eine ganz brauchbare EInführung...

Gruß
BW

Also bei den obigen Aussagen gehts doch ein bisschen rund. "HBCI PIN/TAN und PIN/TAN Internet - es gibt keinen Sicherheitsvor- oder nachteil" -- das mag sich auf manche Teilaspekte wie die tatsächliche Verbindungs-encryption beziehen, aber die in letzter Zeit besonders geschilderten Angriffe auf PIN/TAN-Internet beziehen sich doch eben auf einen Man-in-the-Middle-Angriff. Dazu muss der Kundensoftware erstmal ein falsches Zertifikat untergeschoben werden. Und *das* ist bei HBCI ganz erheblich schwieriger als beim Internet-PIN/TAN. Beim HBCI-PIN/TAN wird die Kundensoftware einen Riesen-Rabatz machen, wenn sich das Zertifikat des (vermeintlichen) Bankservers "plötzlich" geändert hat, wogegen die Internet-Browser ja relativ gewöhnlich aussehende Meldungen geben, die dann "gewohnheitsgemäß" weggeklickt werden.

Die ganze Frage der Authentifikation ist bei HBCI doch im Gegensatz zum Internet-Pin/Tan wesentlich ausgereifter gelöst. Naja, bei PIN/TAN halt soweit es noch geht. Aber bei dem Disketten-HBCI ist es doch ein fundamentaler Unterschied, dass der Kunde den ausgedruckten Fingerprint der Bank vorliegen hat (also kein Man-in-the-Middle Angriff auf den Kunden möglich) und die Bank dann auch den Fingerprint des Kunden hat (also auch kein Replay in Richtung Bank möglich).

Okay, *wenn* ein Angreifer Zugriff auf die gespeicherten Schlüssel bekommen *und* außerdem noch die Schlüssel-PIN erobern kann, *dann* ist HBCI+Schlüsseldiskette auch geknackt. Aber die aktuellen Phishing- u.ä.-Wellen werden doch gerade deshalb so zahlreich, weil beim Internet-Pin/Tan der Man-in-the-Middle so dermaßen erfolgreich reinhauen kann. Und das alles eben völlig ohne Zugriff auf die Festplatte des Kunden (oder die danebenliegenden Schlüsseldisketten) und auch ohne keylogger. Und solange dies die einfachste Angriffsmöglichkeit ist, wird HBCI auch sicher bleiben.

@Cap + Bratwurst

Danke - dein Link (BW) auf Heise funktioniert aber leider nicht

@Null8Null2:

Keine Ahnung, wieso das nicht geht, eigentlich dachte ich, dass man beim Einfügen von Links nichts falsch machen kann... ops:

Also, gemeint war dies hier.
Und zur Strafe dann hier noch ein guter Heise-Artikel

Gruß
BW

@Odin

die HBCI-Disktette ist in meinen Augen nicht mit HBCI PIN/TAN gleichzusetzen. Die Schlüsseldatei ist leider so klein, daß es keinem auffällt, wenn die kopiert wird und mit der PIN über einen Key-Logger habe ich dann einen Freifahrtsschein!

Geht wirklich in windeseile!