Was ist eigentlich HBCI mit PIN/TAN

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 28.02.2003 - 21:01 Uhr · #1

Hallo Zusammen,

ich möchte mal versuchen, in einfachen Worten, zu erklären, was unter HBCI mit PIN/TAN zu verstehen ist.

Ersteinmal : Offiziell (ZKA) gibt es HBCI mit PIN/TAN nicht !!!
Das was wir unter HBCI PIN/TAN oder die Produkte, die auf den Kernel von Datadesign aufsetzen unter HBCI+ verstehen, wird offiziell als PIN/TAN Interface benannt werden.

Als erstes sollte man sich davon lösen, das alte HBCI als festes Sicherheitsverfahren zu sehen! Statt dessen sollte man sich HBCI als Baukasten vorstellen.
- Ein Baukasten enthält die Geschäftsvorfälle
- Ein Baukasten enthält die Formate, wie die Daten übertragen werden.
- Ein Baukasten enthält die Art und Form der Übertragung
- Und ein Baukasten enthält die Information, wie das Ganze abgesichert wird.
Bisher waren diese Elemente festverdrahtet. Für das PIN/TAN Interface hat man nun den alten Baukasten „Absicherung über DDV und RSA“ entfernt und durch PIN und TAN ersetzt. Als Verschlüsselung ist nun noch Standard SSL hinzugekommen Damit das ganze auch noch funktioniert hat man noch Geschäftsvorfälle für PIN/TAN ergänzt und .fertig ist ein neuer Standard dem alle bisher spezifizierten GVs zur Verfügung stehen!

Dieses Baukastenprinzip ist übrigens auch die Idee hinter FinTS! Wenn man das ganze weiterspinnt und z.B. den bisherigen Übertragungsweg wegnimmt und dort eine Einwahlverbindung einsetzt, oder ein FTP Protokoll einsetzt oder..........I
FinTS könnte noch sehr interessant werden!!!

Gruß

Holger

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 08:03 Uhr · #2

Anmerkung/Ergänzung:

HBCI-PIN/TAN ist nicht nur in den Produkten mit dem DataDesign Kerneln vertreten, sondern auch in anderen Produkten. Vielmehr hängt der Einsatz von Lizenzzahlungen ab, da das Verfahren von der Sparkassen Informatik entwickelt wurde. Das erste Produkt, das mit HBCI-PIN/TAN umgehen konnte, war StarMoney und dieses setzt auf den HBCI-Kernel des SIZ, der zufällig durch die Starfinanz umgesetzt/programmiert wird. Die ersten öffentlichen Gehversuche von HBCI-PIN/TAN mit StarMoney waren so Ende 2001.

Das HBCI-PIN/TAN kein offizielles Verfahren ist, geht etwas weit. Das Verfahren ist im Moment eine Eigenentwicklung, oder eine propietäre Erweiterung von HBCI. Der ZKA hat diese Erweiterung aber bereits in das oft erwähnte FinTS (oder den HBCI 3.0 Standard) mit aufgenommen. Somit ist es eigentlich offiziell, lediglich der ZKA ist zu lahm den neuen Standard zu veröffentlichen.

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 10:20 Uhr · #3

Hallo Captain,

erstmal Kompliment für Dein umfangreiches Hintergrundwissen! Trotzdem muss ich dich in einigen Punkten korrigieren bzw. ergänzen.

Zitat

HBCI-PIN/TAN ist nicht nur in den Produkten mit dem DataDesign Kerneln vertreten, sondern auch in anderen Produkten.

Das ist richtig, was ich aber gemeint habe, ist dass die Bezeichnung HBCI+ (Die wohl aus dem Arbeitspapier des ersten Drafts der SIZ stammt - In Anlehnung an HBCI Strich) in den DataDesignprodukten verwendet wird, obwohl dies keine offizielle ZKA Bezeichnung ist

Zitat

Vielmehr hängt der Einsatz von Lizenzzahlungen ab, da das Verfahren von der Sparkassen Informatik entwickelt wurde.

Dies ist nicht ganz richtig. Es sind keine Lizenzzahlungen notwendig! Der erste Entwurf kam in der Tat vom SIZ und wurde dann gemeinsam mit einer Rechenzentrale der Volks und Raiffeisenbanken soweit ausgearbeitet, das der Vorschlag in den ZAK eingebracht werden konnte. Nachdem auch die anderen Banken Ihre Anforderungen eingebracht haben, wurde das Verfahren in FinTS aufgenommen.

Zitat

Das erste Produkt, das mit HBCI-PIN/TAN umgehen konnte, war StarMoney und dieses setzt auf den HBCI-Kernel des SIZ, der zufällig durch die Starfinanz umgesetzt/programmiert wird. Die ersten öffentlichen Gehversuche von HBCI-PIN/TAN mit StarMoney waren so Ende 2001.

Ob StarMoney die ersten waren weiß ich nicht, was aber nicht richtig ist, ist dass StarMoney auf dem Kernel des SIZ aufsetzt. Das umgekehrte war der Fall. Dies hat sich aber nun, wie bei den Volks- und Raiffeisenbanken, auch geändert! Beide Gruppen setzen nun einen eigenen HBCI Kernel ein, der im Auftrag des SIZ und der Volks- und Raiffeisenbanken von PPI entwickelt wurde. PPI entwickelte meines Wissens nach vor allem HBCI-Lösungen für die Rechenzentralen. Dies mag auch der Grund gewesen sein, warum sich das SIZ und die Volks- und Raiffeisenbanken von der StarFinanz Lösung zurückgezogen haben.

Zitat

Das HBCI-PIN/TAN kein offizielles Verfahren ist, geht etwas weit. Das Verfahren ist im Moment eine Eigenentwicklung, oder eine propietäre Erweiterung von HBCI. Der ZKA hat diese Erweiterung aber bereits in das oft erwähnte FinTS (oder den HBCI 3.0 Standard) mit aufgenommen. Somit ist es eigentlich offiziell, lediglich der ZKA ist zu lahm den neuen Standard zu veröffentlichen.

Da bin ich missverstanden worden! HBCI+ ist keine offizielle ZKA Bezeichnung. Das PIN/TAN Interface (oder halt HBCI mit PIN/TAN Absicherung) ist offiziell vom ZKA verabschiedet worden und als zweites Verfahren in FinTS aufgenommen worden. FinTS ist übrigens nicht Identisch mit HBCI 3.0! sondern HBCI 3.0 ist Bestandteil von FinTS. Dies klingt in der Version 3.0 noch albern, wird aber bei späteren Erweiterungen deutlich.
Die entsprechenden Erweiterungen stehen übrigens auf den ZKA Seiten schon länger zum Download bereit.
Gruß

Holger

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 12:29 Uhr · #4

Hallo Holger,

mir war nicht so ganz klar, das du speziell auf die unterschiedlichen Bezeichnungen für das HBCI-PIN/TAN Verfahren eingehen wolltest. Sicherlich ist HBCI+ keine offizielle ZKA Bezeichnung und im engeren Sinne deshalb auch kein ZKA-Verfahren. Um aber die etwas weniger Erfahrenen nicht vollends zu überfordern setzte ich persönlich die verschiedenen Bezeichnungen (HBCI+, HBCI erweitert, HBCI-PIN/TAN, PIN/TAN Interface) einfach gleich. Gemeint ist doch eigentlich der HBCI-Dialog mit allen seinen GVV´s und eben als Legitimationsmedium PIN/TAN mit SSL-Verschlüsselung.

Die Sache mit den Lizenzzahlungen war missverständlich, ich werde das mal etwas konkretisieren. Sicherlich muss kein RZ Geld an die Sparkassen Informatik abdrücken, wenn sie ein etabliertes ZKA Verfahren einsetzen will.

Die Softwarehersteller müssen aber schon einen Obulus zahlen, und das nicht einmalig sondern wie es aussieht für jedes RZ oder jede Institutsgruppe. So wie es derzeit aussieht, gibt es leider schon wieder kleine Nuancen im Protokoll, so dass ein grundsätzlich HBCI-PIN/TAN fähiges Produkt nicht automatisch mit alles RZ umgehen kann. So wird SFirm32 z.B. erstmal nur HBCI-PIN/TAN in der SI-Variante können, die GAD Version erst später oder gar nicht (warum auch immer).

Das PPI die HBCI-Lösungen für die S-RZs herstellt, war mir bewusst. Das die Geno-RZs die auch einsetzen war mir nicht bekannt. Zumindest lässt mich die PPI Internet-Seite nichts derartiges erkennen. Setzen die Geno-RZs auch die Host basierte ELKO/BCS Lösung von PPi ein?

Nochmal Thema StarMoney und HBCI-Kernel. Es mag sein, das StarMoney tatsächlich auf einem Endprodukt-Kernel von PPI aufsetzt. Da SFirm32 aber definitiv auf einen "SIZ-Kernel" von Starfinanz aufbaut, ging ich davon aus das der Kernel auch in eigene Produkte verbaut wird.

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 13:56 Uhr · #5

Hallo Captain,

Zitat

Um aber die etwas weniger Erfahrenen nicht vollends zu überfordern setzte ich persönlich die verschiedenen Bezeichnungen (HBCI+, HBCI erweitert, HBCI-PIN/TAN, PIN/TAN Interface) einfach gleich. Gemeint ist doch eigentlich der HBCI-Dialog mit allen seinen GVV´s und eben als Legitimationsmedium PIN/TAN mit SSL-Verschlüsselung.

Genau aus dem Grund gehe ich immer nur auf HBCI+ ein, da diese Bezeichnung gerade zu Beginn der Umsetzung sehr gebräuchlich war und in den Sparkassen wohl auch noch genutzt wird. Ansonsten versuche ich immer das ganze PIN/TAN Interface zu nennen, da dies wohl die Namensgebung des ZKA sein soll.

Zitat

Die Softwarehersteller müssen aber schon einen Obulus zahlen, und das nicht einmalig sondern wie es aussieht für jedes RZ oder jede Institutsgruppe.

Ich glaube, da verwechselst Du etwas. Lizenzen pro Rechenzentrale sind nur beim Intercept/S (PIN/TAN im BTX Dialog über das Internet) Verfahren fällig. Oder beim ähnlichen Verfahren von StarFinanz (Hier kenne ich die Lizenzbedingungen aber nicht so genau)

Zitat

So wie es derzeit aussieht, gibt es leider schon wieder kleine Nuancen im Protokoll, so dass ein grundsätzlich HBCI-PIN/TAN fähiges Produkt nicht automatisch mit alles RZ umgehen kann. So wird SFirm32 z.B. erstmal nur HBCI-PIN/TAN in der SI-Variante können, die GAD Version erst später oder gar nicht (warum auch immer).

Technisch ist das ganze sogar etwas komplexer. Die SI Variante ist derzeit eine properitäre Variante, die nicht ganz ZKA komform ist (SI und GAD haben mit der Umsetzung schon vor dem Entscheid durch dem ZKA begonnen). Dies ist aber nicht das Problem, da es entsprechende Segmentkennungen gibt, mit denen Institutseigene Lösungen umgesetzt werden können. SI und GAD setzen in der ersten Stufe daher die gleiche Umsetzung ein. In der nächsten Stufe werden dann die ZKA Segmente umgesetzt werden, so dass dann alle wieder kompatibel sein sollte.

Zitat

Das PPI die HBCI-Lösungen für die S-RZs herstellt, war mir bewusst. Das die Geno-RZs die auch einsetzen war mir nicht bekannt. Zumindest lässt mich die PPI Internet-Seite nichts derartiges erkenne. Setzen die Geno-RZs auch die Host basierte ELKO/BCS Lösung von PPi ein?

Das weiß ich leider nicht. Aber unter www.hbci-kernel.de wird die Zusammenarbeit sehr schön dokumentiert.

Zitat

Nochmal Thema StarMoney und HBCI-Kernel. Es mag sein, das StarMoney tatsächlich auf einem Endprodukt-Kernel von PPI aufsetzt. Da SFirm32 aber definitiv auf einen "SIZ-Kernel" von Starfinanz aufbaut, ging ich davon aus das der Kernel auch in eigene Produkte verbaut wird.

Oh, war wohl nicht ganz sauber ausgedrückt von mir.
Derzeit setzen die GENO Produkte, StarMoney und SFirm32 alle den Kernel von StarFinanz ein.
Die neuen Versionen der GENO Produkte werden dagegen den neuen Kernel von PPI einsetzen. Da dieser Kernel eine Gemeinschaftsentwicklung mit dem SIZ ist, gehe ich davon aus, dass auch SFirm mittelfristig diesen Kernel erhalten wird.
Dann wird nur noch StarMoney den eigenen Kernel einsetzen.

Gruß

Holger

Bratwurst

Benutzer

Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 19:02 Uhr · #6

Hallo Holger,

Zitat

ich denke, ihr sprecht aneinander vorbei.

Richtig ist, dass Lizenzen pro RZ bei HBCI nicht erforderlich sind, richtig ist aber auch, dass Software-Hersteller zwar den HBCI-Kernel - egal ob von StarFinanz oder PPI - grundsätzlich kostenlos nutzen dürfen, aber in diesem Kernel ist keine Unterstützung pür PIN/TAN-Interface eingebaut => die kostet Geld (genauso wie übrigens Support oder die Umsetzung eigener Wünsche im Kernel).

Zitat

Das weiß ich leider nicht. Aber unter www.hbci-kernel.de wird die Zusammenarbeit sehr schön dokumentiert.

Die GENO-RZs nutzen das Multicom-System, keine Host-Lösung für BCS/FTAM.
Auch im Bereich HBCI geht die Nutzung der PPI-Produkte bei den GENO-RZs nicht so weit wie bei den S-RZs, die auch noch "hinter" dem Konverter PPI-Software einsetzen. Hier nutzen die GENO-RZs Eigenentwicklungen.

Zitat

Die neuen Versionen der GENO Produkte werden dagegen den neuen Kernel von PPI einsetzen. Da dieser Kernel eine Gemeinschaftsentwicklung mit dem SIZ ist, gehe ich davon aus, dass auch SFirm mittelfristig diesen Kernel erhalten wird.

Das ist wohl genauso zu erwarten.
Außerdem gibt es noch (mindestens) einen nicht Instituts-gebundenen Anbieter von Online-Banking-Software der den PPI-Kernel einsetzt.

Zitat

Dann wird nur noch StarMoney den eigenen Kernel einsetzen.

Das wird man sehen.

)
Neben den Programmen, die auf die DDBAC aufsetzen gibt es z.B. noch fun communications (T-Online-Banking), die derzeit den Star-Kernel nutzen. Mal sehen, wie die sich entscheiden...

Gruß
BW

Holger Fischer

Benutzer

Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6161
Dabei seit: 02 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 20:21 Uhr · #7

Hallo Bratwurst (geiler Name...

)

Zitat

ich denke, ihr sprecht aneinander vorbei.
Richtig ist, dass Lizenzen pro RZ bei HBCI nicht erforderlich sind, richtig ist aber auch, dass Software-Hersteller zwar den HBCI-Kernel - egal ob von StarFinanz oder PPI - grundsätzlich kostenlos nutzen dürfen, aber in diesem Kernel ist keine Unterstützung pür PIN/TAN-Interface eingebaut => die kostet Geld (genauso wie übrigens Support oder die Umsetzung eigener Wünsche im Kernel).

Da kann ich Dir in fast allen Punkten widersprechen!
Kostenlos darf Keiner dieser Kernel einfach so von einem Softwarehersteller genutzt werden! Der Softwarehersteller darf einen Lizenzpreis und einen Pflege- und Wartungspreis bezahlen. In der Regel sind in diesem Preis allgemeine Weiterentwicklungen enthalten. Sonderwünsche oder entsprechende Zusatzfunktionen müssen in der Regel, wie Du schon richtig geschrieben hast, extra bezahlt werden.

Beim PPI Kernel ist es so, dass PPI selber nicht der Lizenzgeber ist, sondern das SIZ und die GENO Rechenzentralen. Sicherlich auch ein Grund für eine Eigenentwicklung.

Gruß

Holger

Captain FRAG

Benutzer

Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 27.05.2003 - 22:53 Uhr · #8

Zitat geschrieben von Bratwurst

Zitat

Das ist wohl genauso zu erwarten.
Außerdem gibt es noch (mindestens) einen nicht Instituts-gebundenen Anbieter von Online-Banking-Software der den PPI-Kernel einsetzt.

Ganz so sicher bin ich mir da noch nicht. Zwar existiert in SFirm in der HBCI-Verwaltung ein Auswahldialog für mittlerweile drei HBCI-Kernel (Übertragunskomponente SIZ <-Starfinanz, Übertragunskomponente BdB und Banking-Kernel SIZ <- wird wohl PPi sein), nutzbar ist jedoch nur die Starfinanz Geschichte.
Da der Hersteller eigentlich weniger mit der S-Organisation zu tun hat (Kollegin von der Voba sagte, das die wohl auch die neue NetWorld Software machen), wird wohl eher die kostengünstigste Lösung favorisiert. Nach meinem Wissensstand ist der Starfinanz Kernel frei verfügbar und kostenlos aber eben auch use-as-is. HBCI-PIN/TAN wird z.B. noch mit dem Starfinanz Kernel realisiert.

Mehrere HBCI-Kernel gleichzeitig erwarte ich nicht wirklich, das ist zwar im FTAM Bereich im Moment möglich, aber auf Dauer eher zu kompliziert und wartungsunfreundlich.

Gruss
Captain FRAG

Bratwurst

Benutzer

Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 28.05.2003 - 17:38 Uhr · #9

Hallo Holger,

jetzt muss ich dir widersprechen:

Zitat

Darf ich den HBCI-Kernel bei der Entwicklung eines kommerziellen Produktes nutzen und mit diesem vertreiben?
Ja, der HBCI-Kernel darf so wie er zum Download zur Verfügung steht, lizenzgebührenfrei in kommerzielle Produkte eingebunden und mit diesen ausgeliefert werden. Die genauen Details der Lizenzbedingungen sind in der Datei License.txt im Installationsverzeichnis des HBCI-Kernels zu finden.

Das steht so im Mitgliederbereich auf <a href='http://www.hbci-kernel.de' target='_blank'>http://www.hbci-kernel.de</a> in den FAQs, gilt für den Star-Kernel und ist doch recht eindeutig, oder?

Wie das genau beim PPI-Kernel sein wird, entzieht sich meiner Kenntnis, aber es wird zumindest einen kostenlosen Download des Native-C-Kernels geben:

Zitat

[...] Der Banking Kernel HBCI wird den bisherigen HBCI-Kernel ablösen und in der Variante C Native (ohne PIN/TAN-Möglichkeit) kostenlos als Download im Juni hier zur Verfügung stehen.

Steht auch unter der o.a. Adresse.

Dass SIZ und AGR natürlich nicht den Kernel, den sie selbst bezahlen, kostenlos an etwaige Mitbewerber im Bereich Online-Banking-Software abgeben werden, versteht sich natürlich von selbst.

Wie das aber bei Klein- oder Kleinst-Anwendern aussehen wird, da muss man wohl noch abwarten ...

Gruß
BW

Bratwurst

Benutzer

Geschlecht: keine Angabe
Beiträge: 480
Dabei seit: 05 / 2003

Betreff:

Re: Was ist eigentlich HBCI mit PIN/TAN

· Gepostet: 28.05.2003 - 17:47 Uhr · #10

Hallo Cap,

Zitat

Da der Hersteller eigentlich weniger mit der S-Organisation zu tun hat (Kollegin von der Voba sagte, das die wohl auch die neue NetWorld Software machen), wird wohl eher die kostengünstigste Lösung favorisiert. Nach meinem Wissensstand ist der Starfinanz Kernel frei verfügbar und kostenlos aber eben auch use-as-is. HBCI-PIN/TAN wird z.B. noch mit dem Starfinanz Kernel realisiert.

Dann ist der Star-Kernel aber nicht mehr kostenlos, wie gesagt, PIN/TAN ist nicht im freien Kernel enthalten.
Außerdem hat die BIVG (Hersteller von SFirm) ganz sicher nichts mit der VR-NetWorld Software des GENO-Verbundes zu tun, das macht eine GENO-RZ im Auftrag der GENO-Zentralbanken.

Zitat

Mehrere HBCI-Kernel gleichzeitig erwarte ich nicht wirklich, das ist zwar im FTAM Bereich im Moment möglich, aber auf Dauer eher zu kompliziert und wartungsunfreundlich.

Sehe ich auch so, vor allem der Support für so was ist der blanke Horror ...

Gruß
BW