Hallo,

ich hatte bisher einen Klasse-2-Leser (Kaan Advance). Um endgültig die Gefahr von Man-in-the-Middle auszuschalten habe ich jetzt einen cyberJack Secoder gekauft.

Ich ging davon aus, dass das Display dazu benutzt werden wird, mir, bevor ich eine Transaktion signiere, nochmals deren Details anzuzeigen, damit mir kein Krimineller eine gefälschte Transaktion unterschieben kann. Lag ich da falsch?

Tatsächlich zeigt das Gerät bei Benutzung mit Star Money 7.0 nämlich immer nur "PIN" an. So erhöht das Display also gar nicht die Sicherheit.

Mache ich etwas falsch? Im Chipkarten-Setup habe ich versucht den PIN-Modus auf 3 zu schalten, aber das hat nichts geändert.

Meine Internetrecherchen haben nichts ergeben, aber es ist auch schwer da auf die richtige Suchanfrage zu kommen. Vielen Dank für eure Hilfe!

Gruß,
notbug

Hallo Notbug,

sorry, das geht noch nicht. Die Secoderfunktion funktioniert - zumindest bei uns (GAD-Vobas) nur über die Browserseite der Bank. Für HBCI ist es noch nicht fertig, es wird daran aber gearbeitet.

Mir ist bis jetzt auch noch kein einziger Fall bekannt, bei dem ein Kunde mit Chipkarte und HBCI-Nutzung geschädigt wurde.

Gruß
Raimund

Hallo notbug,

das ist ein umfangreiches Thema.
In Kurzform: Zur Displayanzeige auf dem Leser muss die gesamte Verarbeitungskette aus Bank, Schnittstelle, Softwarelösung und Kartenleser secoder-fähig sein.

Bisher klappt das nur im Internet-Banking (die einheitliche Schnittstelle für Softwareprodukte kann es nicht) und nur bei den nordischen Geno-Banken.

chipTAN wäre dafür genauso geeignet gewesen und das Gerät ist viel billiger. Verfahren ist auch flexibler, da man nicht auf eine Software angewiesen ist.
Und man sieht Empfängerkonto und Betrag im Display.

Danke für deine Antwort.

Ist ja erstaunlich. Da hatte ich Klasse 3 wohl gründlich missverstanden.

Du schreibst "es wird daran gearbeitet". Heißt das, dass das definitiv demnächst kommen wird? Oder wird nur darüber nachgedacht? Wenn ich das gewusst hätte, hätte ich mir das neue Teil nicht bestellen müssen... lohnt es sich, es trotzdem zu behalten und zu warten (ich habe ja 14 Tage Rückgaberecht)?

Du hast Recht, auch mit Klasse 2 habe ich mir nie wirklich Sorgen gemacht, solange genug Leute auf 08/15-Phishing reinfallen... Aber natürlich kann sich schon morgen ein bösartiger Hacker entschließen eine Software zu schreiben, die HBCI angreift, und diese dann an Kriminelle zu verscherbeln...

Danke nochmals!

Klar, aber ich mag den Komfort von Desktop-Anwendungen statt Web-Anwendungen.

Auch die Desktop-Anwendungen beherrschen alle chipTAN.
Wollte nur den Vorteil erwähnen, Browserbanking ist mit chipTAN kein MUSS sondern ein KANN.
Ich persönlich finde es unvorteilhaft, rund 40,-- Euronen mehr für ein Gerät mit weniger Funktion und gleicher Sicherheit auszugeben und dann auch noch eine separate Karte dafür haben zu müssen.

Das interessiert mich jetzt tatsächlich. Ich habe Konten bei der HaSpa und der DKB. Geht das damit?

Welches Gerät ist empfehlenswert? Von Reinert gibt es ja drei.

Wie lästig ist es, das Gerät an den Monitor zu drücken?

Und wo kann ich noch mehr darüber lesen?

Danke!

Die HaSpa sollte m.E. chipTAN anbieten, müssten eigentlich (noch) FI sein. Bei der DKB bin ich nicht sicher, einfach mal dort fragen.

Hier ist eine kleine Anleitung, die meines Wissens für die meisten Sparkassen zutreffen dürften, weil gleiches RZ:
https://www.ksk-koeln.de/Anleitung_chipTAN.pdfx

Die Berliner Kollegen haben auch einiges etwas ausführlicher dazu geschrieben:
http://www.berliner-sparkasse….rator.html

Bei Seccorder hast Du in etwa die gleiche Funktion mit dem Display aber es ist halt ein Sonderverfahren der GAD-Volksbanken, soweit ich das überblicken kann. Und ob und wann andere Institute das anbieten weiß wohl keiner so genau.

Du musst das Gerät auch nicht auf den Monitor drücken sondern nah dran halten reicht auch. Die Kameras sind so gut ausgereift inzwischen, dass das wirklich angenehm zu handhaben ist.

Noch eine Frage:

Ich habe das hier (http://www.sparkassen-shop.de/sparkasse-mainfranken/shop/tan-generatoren,375/tanjack-3-anthrazit---matt,,2543/) gefunden.

Da steht "keine optische Schnittstelle". Wie funktioniert das dann? Welche Chipkarte wird benutzt? Die HBCI-Chipkarte?

EDIT: Ah ich nehme an, das hat den Nachteil, dass Man-in-the-Middle nicht verhindert wird (weil der "Start-Code" der Bank nicht genug Daten enthalten kann)?

EDIT 2: Doch eine Verhinderung von Man in the Middle auch ohne optisch, aber es entfällt beim optischen Verfahren wohl die Eingabe von Startcode und Kontonummer.

Ich werde mal bei der DKB nachfragen.

Edit2 ist korrekt.
Es gibt chipTAN in zwei Ausprägungen:
a) Comfort: Du gibst die Empfängerkontonr. + Betrag selbst über Tastatur am Generator ein und erhälst die TAN.
b) Optisch (auch Flickering genannt): Du hälst den TAN-Generator an den Monitor und erhälst die TAN.

Unterschied liegt einzig in den Geräten. Geräte mit Kamera kosten 5,-- Euronen mehr. Ansonsten identisch!

Ich hatte alle dort dargestellten Geräte im Test. Die drei oberen unterstützen Flickering, mir persönlich liegt der oberste von Reiner am besten, ist schön rot und die Tasten sind angenehm. Bei dem Kobil und dem Vasco störte mich immer, dass die Karte unten statt rechts raus hängt. Ist aber Geschmackssache.

Grüße

comfort und optisch ist das gleiche, es sind die Verfahren mit der Übertragung der Transaktionsdaten an den Generator über die Balkengrafik. Das manuelle Verfahren (Eingabe über Tastatur) heisst eben nur chipTAN oder zumindest so ähnlich - je nach Bank ein bisschen anders.

Die Haspa kann theoretisch chipTAN, aber kein comfort/optic, da sie derzeit im Altsystem der FinanzIT (will nicht zu tief in die Detail gehen) beheimatet ist. Es kann sein, das sie es mal lernen wird, sicher ist das aber aus verschiedenen Gründen nicht. Die DKB kann es technisch, die Frage ist eben inwieweit das Produkt auch derzeit vertrieben wird.

Als Karte kann eine halbwegs neue HBCI-Karte einer Sparkasse dienen, muss aber nicht. Üblicherweise nimmt man dafür eine eh vorhandene Kontokarte - Sparkassencard oder wie auch immer sie heisst.

Moin,


Das stimmt so nicht ganz. Im Bereich Online-Banking ist die Haspa seit jeher Eigenanwender und unterstützt zurzeit weder das chipTAN-noch das smsTAN-Verfahren.




Wenn meine Quellen stimmen, kann es nicht nur, sondern wird sein. Wann genau steht wohl noch nicht 100%-ig fest, aber irgendwann in 2010 sollen chipTAN-comfort/optic und -standard kommen.


Aber mal eine andere Frage:
Wie soll das eigentlich bei HBCI(RDH-Chipkarte) mit der Anzeige der Daten funktionieren?
Wenn ich mir überlege wieviele Aufträge ich manchmal auf einen Schlag z.B. über StarMoney abschicke, wird mir ganz anders wenn ich mir vorstelle, dass ich jeden einzelnen explizit bestätigen muss.
Ist es nicht gerade der große Vorteil von HBCI, das eben nicht jeder Auftrag einzeln bestätigt werden muss, sondern eine ganze Auftragsliste in einem Rutsch verschlüsselt und übertragen wird?

Gruß aus dem hohen Norden
Potz

Bei chipTAN muss man entweder jeden einzeln oder man macht je einen Sammler pro Auftragskonto, da bestätigt man dann die Gesamtsumme und die Postenzahl. Bei Seccos weiß ich nicht, wie es umgesetzt ist/wird. Viel mehr andere Lösungen fallen mir nicht ein. Ist ja auch eher nicht für Firmenkunden mit vielen Umsätzen. Bei denen würde man auf jeden Fall EBICS empfehlen.

So, habe mal die DKB kontaktiert: chipTAN wird nicht unterstützt und geplant ist es auch nicht.

Ich denke ich werde jetzt folgendes machen: Ich werde den Secoder erstmal behalten und die nächsten Tage regelmässig testen.

Mit meinem Kaan Advance hatte ich nämlich ständig Treiberprobleme, Standby-Probleme, Hänger in StarMoney, die Reboots erfordert haben, da der Leser danach nicht mehr ansprechbar war, usw.

Bisher scheint mir der Secoder wesentlich stabiler zu laufen. Wenn sich das bestätigt wäre er mir schon deshalb das Geld wert. Und zukunftssicher scheint er mit Secoder-Standard ja zu sein.

Danke für all die Infos!