Hallo,

ich verwende Hibiscus (2.0.3) mit Jameica 2.0.1 32bit.
Für HBCI mit der DBK benutze ich einen Reiner SCT cyberJack RFID standard.

Ich bin davon ausgegangen, dass mir der Kartenleser
bei einer Überweisung die Kontonummer des zu signierenden Auftrags anzeigen wird.
Tut er aber nicht, er fragt nur nach der PIN.
Wenn ich schon HBCI verwende, dann doch richtig!
Wie kann ich also einstellen, dass mir die Kontonummer angezeigt wird?

Beste Grüße
Manfred

Das unterstuetzt Hibiscus noch nicht. Ich weiss nicht, ob das ueberhaupt schon eine HBCI-Software unterstuetzt. Dieser Thread hier waere fuer das Thema vermutlich besser geeignet - da geht es genau datum: http://www.onlinebanking-forum…7311#77311

du meinst sicherlich die secoder-funktionalität. bietet deine bank das verfahren überhaupt an?

Ich habe mich mittlerweile aufgrund verschiedener Artikel in der c't für HBCI entschieden.
Die schreiben immer, dass Kartenleser der Klasse 3 UND Geräte nach dem Secoder Standard die Kontonummer vor der PIN-EIngabe anzeigen.
Damit der zu signierende Auftrag eben nicht manipuliert werden kann.

Ich bin jetzt wirklich überrascht, dass das nicht so einfach klappt.
Wenn ich im Kartenleser keine Kontrolle habe was ich signiere
ist die ganze Angelegenheit auch nicht viel besser als TAN... :?

Gruß
Manfred

klasse 3 leser können das nur, sofern sie auch die secoder-funktionalität unterstützen, dies ist aber bei den meisten geräten der fall. trotzdem kannst du das verfahren so nur nutzen wenn es deine bank auch anbietet. die kontrolle der tranaktionsdaten erfolgt ausschließlich bei der secoder-funktionalität.


was die kontrolle angeht, ja. trotzdem kannst du die chipkarte sicherheitstechnisch nicht mit dem pin/tan-verfahren in einen topf schmeißen. da sind welten dazwischen.

Diese Diskussion sollten wir jetzt nicht wieder aufrollen. Ich glaube, die wurde hier schon öfters geführt ;)

korrekt!

Ja, mit der Sicherheit bei HBCI habt ihr schon recht.
Ich werd's deswegen auch mit Freude und Vertrauen nutzen.
(Besonders weil Hibiscus wirklich eine tolle Software ist!)

Aber ich hatte mir das naiv so ein bisschen wie bei gpg vorgestellt.
Ein Datenpaket wird an den Kartenleser übertragen und der signiert es
(außerhalb und unabhängig vom PC) und diese Aktion ist daher extrem sicher.
Und da klingt es doch wie eine "Kleinigkeit", dass der Kartenleser
eben nochmal die Empfänger-Kontonummer aus dem Paket ausliest
und ich die mit OK bestätige. Damit mir da niemand was unterjubelt.
Da bräuchten dann auch die Banken nix mit zu tun haben...

Was genau schützt mich denn bei HBCI davor,
dass ich eine Überweisung signiere,
mit der mein liebes Geld ins Nirvana verschwindet?

Manfred

Wenn dem nur so waere. Das ist alles andere als trivial. Kannst ja mal einen Blick in http://www.hbci-zka.de/dokumen…ersion.pdf werfen ;)



Das haengt vom Verfahren ab. Bei den neuen TAN-Verfahren (smsTAN/chipTAN) hast du ja inzwischen die Anzeige der Transaktionsdaten auf dem Handy bzw. TAN-Generator. Beim Verfahren Chipkarte soll das dann mit dem Secoder-Standard gehen. Aber den beherrscht Hibiscus noch nicht. Wobei ich hier auch nicht weiss, ob und welche Banken das ueberhaupt schon anbieten.

Soweit weiß ich bescheid. Wie sieht's in der Praxis aus?
Ein Schadprogramm hat, denke ich, relativ leichtes Spiel,
die Transaktion über eine Webseite zu manipulieren
und das fällt mir dann hoffentlich bei der TAN-Eingabe auf.
(Wegen der Kontrolle der Kontonummer)

Ist es momentan sicherer, HBCI und Hibiscus zu verwenden,
auch wenn ich hier die Daten vor der Signatur nicht im Gerät kontrollieren kann?
Kann die Kommunikation zw. Hibiscus und Kartenleser überhaupt
manipuliert werden?

Gruß
Manfred

Genau das ist ja der Sinn von der Anzeige der Transaktionsdaten in einem getrennten Medium (also Handy/TAN-Generator). Ein Angreifer müsste beide Seiten manipulieren. Also sowohl Rechner/Webseite als auch das separate TAN-Medium.



Also ich persönlich halte optisches chipTAN für die derzeit sicherste Variante. Aber das Thema ist dann nicht mehr Hibiscus-spezifisch sondern doch wieder die allgemeine Diskussion über die Sicherungsverfahren, die hier schon öfters - teils recht kontrovers - geführt wurde ;)



Wenn ein Trojaner vollen Zugriff auf einen Rechner hat, ist aus meiner Sicht überhaupt keine Anwendung (egal ob Hibiscus oder ein anderes Programm) zu 100% vor Manipulationen gefeit. Sicher verwendet hier jeder Software-Hersteller verschiedenste Verfahren, um Manipulationen nach Möglichkeit zu erkennen/zu verhindern. Bei Hibiscus sind z.Bsp. die Downloads (GnuPG, qual. elektronische Signatur) und die enthaltenen Java-Klassen signiert (via jarsigner). Hersteller kommerzieller/proprietärer Anwendungen schützen den Programmcode sicher vor Decompilern/Disassemblern.

Letztendlich aber ist auf einem Rechner alles manipulierbar. Und wenn das OS selbst (z.Bsp. via Rootkit) manipuliert wurde, kann sich die Anwendung selbst noch so sehr schützen - wenn das Betriebssystem, mit dem sie interagiert, nicht das ist, welches es vorgibt zu sein, läuft jeder Schutzmechanismus ins Leere.
Das Problem ist aber auch nichts Onlinebanking-spezifisches sondern das ganz elementare Problem Vertrauenskette in einem Rechner - beginnend bei Hardware und BIOS. Vor ein paar Jahren war hierzu mal das Thema TPM (http://de.wikipedia.org/wiki/Trusted_Platform_Module) in aller Munde. Aber irgendwie ist das wieder aus dem Focus der Öffentlichkeit verschwunden.

Wenn die Transaktionsdaten also nicht über ein getrenntes Medium (wie z.Bsp. bei chipTAN) übertragen/angezeigt werden, stellt sich die Frage der Sicherheit eher nach folgenden Kriterien:

- Wie aufwendig ist der Angriff auf die Anwendung und lohnt es sich dann noch fuer den Angreifer?
- Wie verbreitet ist die Software? Wuerde der Angreifer also ueberhaupt eine relevante "Zielgruppe" finden?

genau!

derzeit lohnt es sich schlicht und einfach für angreifer (noch) nicht die programme anzugreifen da erstens es eine recht große vielfalt gibt (da muss software, versionsnummer, ...etc alles passen sonst funktioniert das nicht) und zweitens ist die verbreitung verhältnismäßig klein. großer aufwand für wenig nutzen lohnt sich nicht (einfaches betriebswirtschaftliches denken).

was hingegen denkbar wäre sind gezielte angriffe auf großunternehmen wo dann entsprechend "genug" auf einen schlag abgegriffen werden kann dass es sich lohnen würde.

der privatanwender ist meiner meinung nachmit einer software derzeit noch ziemlich auf der sicheren seite.