Hallo zusammen,

ich habe eine Verständnisfrage zum Onlinebanking.

Zur Zeit bin ich Kunde bei der SEB Bank und greife über HBCI Chipkarte per Internetbrowser online auf das webbasierte Onlinetool der Bank zu.

Ich überlege, die Bank zu wechseln. Ich finde jedoch nur Banken, die über eine lokal gespeicherte Sotfware ( z.B. VRNetworld) auf die Bankrechner zugreifen. Mit dieser Software hole ich die Bankdaten ab, bearbeite sie lokal und sende Änderungen der Bank zu.

Nun meine Frage. Ist es sicher, die Daten lokal auf dem Rechner zu haben? Ich fühle mich mit dem SEB HBCI ohne lokale Software sicherer.

Welche Bank bietet ein ähnlicher Verfahren an? Sind meine Befürchtungen unberechtigt?

Gruß

Peter Honig

Hallo Peter,

deine Aussage verwundert mich. Speziell die Privatkundschaft ist die, die kaum mit lokaler Software arbeitet. Ich schätze das 85-90% ohne Software arbeiten. Wozu auch? Alles wesentliche liefert das Webinterface, ohne Pflegeaufwand und Zusatzkosten.

generell: Jede Bank hat Internet-Portale für Bankgeschäfte. Das was sich unterscheidet, ist das Sicherheitsverfahren. Die SEB hat gerne die (HBCI) Chipkarte angeboten. Andere Banken haben andere, teils ähnliche Verfahren, oftmals mehrere parallel.

Du solltest drauf achten, ein modernes Verfahren zu bekommen. Sowas wie TAN-Generatoren, SMS-TAN oder aktuelle Chipkarten-Lösungen. Chipkarten für Internet-Portale sind allerdings seltener, fest gebundene Lesegeräte passen organisatorisch und technisch schlechter zu einem prinzipiell überall verfügbaren System.

Eines bleibt aber: Die Sicherheit ist maßgeblich fast nur vom Kundenrechner abhängig (Viren/Trojaner etc.) und dort ist der Browser das am einfachsten angreifbare System. Erstens ist die Verbreitung am größten, andererseits kann eine lokale Banksoftware zusätzliche Prüfungen durchführen, die der Browser nicht leistet (mit wem tausche ich Daten aus?). Das kann man aber im Browser auch manuell über die Zertifikatsanzeige/-prüfung machen.

Hallo Captain FRAG,

Danke für die schnelle Antwort. Ich hatte mich missverständlich ausgedrückt. Ich suche eine Bank mit HBCI Zugriff auf ein Webinterface. Die meisten Banken bieten HBCI nur über eine Zusatzsoftware (zB. StarMoney) an. Ich kenne neben der SEB nur noch die Deutsche Bank, die HBCI mit Chipkarte auf direkten Zugriff auf ein Webinterface anbietet.

Und gefühlt kommt für mich auch nur dieses Verfahren in Frage. Vielleicht sollte ich einfach bei der SEB bleiben.

Gruß

Peter Honig

Bei den Genossenschaftsbanken (zumindest in der oberen Landeshälfte) gibt es die Secoder Lösung, d.h. Chipkarte incl. Anzeige der Transaktionsdaten vor Signatur auf dem Display des Lesers. Bei vielen Sparkassen gibt es die Lösung, das Bankportal mittels qual. Signatur nach Signatusgesetz zu bedienen, die Darstellung der Transaktionsdaten erfolgt dabei in einer unabhängigen und vom BSI zertifizierten Signatursoftware.

Die normale Chipkarte (ohne Anzeige der Transaktionsdaten, dürfte bei der SEB und auch die von dir erwähnte Deuba so sein) hat sicher auch gegenüber einem modernen PIN/TAN Verfahren das nachsehen. Eine Manipulation ist bei aktuellen TAN Verfahren durch die Anzeige der Daten in der SMS oder auf dem TAN-Generator erkennbar. Die "herkömmliche" Chipkarte (nur HBCI/finTS ohne Ergänzungen) führt dagegen immer zu einer Blindsignatur, das kann auch eine über den Browser mittels Trojaner manipulierte Überweisung nach Usbekistan oder sonstwo sein. Mit einer Software ist das nicht ganz so wild, aber der Browser ist immer noch das leichteste Angriffsopfer.

Hallo Peter!

Zu den techn. Dingen/Zusammenhängen kann ich nicht viel sagen, aber das Verfahren HBCI mit z.B. Chipkarte über ein Webinterface, bietet die OLB und deren Tochter die Allianz Bank an.

Hallo Peter,

schön, dass Du soviel vertrauen in der bisherigen Web Lösung hast. Diese ist aber verglichen mit den modernen TAN Verfahren, wie mobile TAN und Sm@rt TAN plus (bzw. Chip TAN) deutlich unsicherer, da Du hier keine Manipulation der Anzeige erkennen kannst. Nur die Chipkartenlösung, wie sie bei den vom Captain erwähnten Volksbanken und Raiffeisenbanken und in einem Test bei den Sparkassen umgesetzt wurde, bietet mit dem Secoder eine entsprechende Sicherheit.

Gruß

Holger

Hallo Peter,

-bleibe bei deiner SEB, deinem Chipkartenleser und der zugehörigen Chipkarte!
-Es gib derzeit kein sicheres Verfahren, als HBCI mit Chipkarte!
-Lade dir eine Bankingsoftware auf deinen Rechner, die den HBCI-Standard wirklich
umsetzt: http://www.alf-banco.de/
-benutze das Webinterface der SEB für den Notfall.

Du hast nur einen Denkfehler mit deinem Gefühl. Denn, im Umkehrschluß würde das ja bedeuten, du mißtraust der Sicherheit deines Rechners, wenn du alle "lokalen Daten"
deines BankingGeschäfts lieber bei der SEB belassen möchtest.
Ich gehe davon aus, daß du dein BS und deine AntiVirenSoftware immer auf den aktuellsten Stand hast. Du auch sonst weißt, wo du im Internet surfst und nicht auf alles klickst, was dir sprichwörtlich "unter die Maus" kommt.

Wünsche viel Erfolg

Hallo Unklar,

das ist eine gefährliche Illusion! Kryptologisch hast Du im Ansatz sicherlich recht. Dies gilt zumindestens so lange die neuen Chipkarten mit dem RDH 6 - RDH 9 Profil und nicht die ursalten RDH 1 Karten mit 768 Bit genutzt werden. Das Dumme ist nur,heutige Angriffe erfolgen nicht auf die Kryprologie, sondern auf die Anzeige des Rechners. Und hier ist insbesondere beim Einsatz eines Browsers Tür und Tor für einen Angriff offen, wenn nicht die Kontrolle des Auftrags gesichert möglich ist. Bei der Chipkarte geht dies in Verbindung mit einem SECODER bzw. einem Klasse 3 Leser mit SECODER Unterstützung.
Hast Du beides nicht, sind die modernen TAN Verfahren sichderer als die Chipkarte im Internet!


Oder eine der anderen Produkte am Markt! Die setzen nämlich alle den HBCI und FinTS Standard wirklich um und lassen wie Alf Banco genügend Spielraum bei der Interpretation des Standards (sonst würden die Produkte nämlich nicht mit allen Banken laufen......).
-benutze das Webinterface der SEB für den Notfall.


was die gesündeste Einstellung zur Sicherheit ist!

Gruß

Holger

Wenn die Nachricht/der Auftrag vor dem Versand manipuliert wird, hilft die klassische HBCI-Chipkarte gar nicht. Die Aussagen von früher, das die Chipkarte das sicherste Medium und PIN/TAN schlecht ist, stimmt einfach nicht mehr. Das ist Wissen Stand gestern.

Man muss das ganze differenzierter betrachten und einfach erkennen, das nur Verfahren mit "Rückkopplung", also der zusätzlichen Anzeige von wenigstenes Teilen der vorab eingereichten Auftragsdaten einen echten Schutz bieten.

Auf die Sicherheit des eigenen Rechners darf man prinzipiell nicht vertrauen. Tut man dies, lässt man faktisch die einzig in der Praxis existente Sicherheitslücke unbetrachtet.

Hallo zusammen,

erstmal vielen Dank für die hilfreichen Antworten. Ich habe mich jetzt für die Ethikbank entschieden und stelle auf VR Networld mit HBCI Chipkarte um. Die Volksbanken wollen bald auch im Süden nachziehen mit dem neuen Secoderstandard. Der cyberJack® secoder ist schon bestellt.

Nur aus Neugierde: ist schonmal eine Banksoftware auf dem Rechner erfolgreich manipuliert worden oder ist das eher theoretisch möglich?

Gruß

Peter Honig