Ich habe eine eigentlich ganz einfache Frage und hoffe, daß es darauf auch eine Antwort gibt:

Ich suche eine Homebanking-Software, die folgendes kann:

- Betriebssystem: Windows XP

- Kartenleser: Klasse 3 (Reiner SCT CyberJack e-com)

- Private Finanzen mit
* einem Konto (HBCI Chip-Karte Sparkasse Karlsruhe (66050101))
* einem Konto PIN/TAN (wahrscheinlich CC-Bank oder ingDiba)
* einem Geldbeutel (Bargeldbestand)
* einer Kreditkarte
* einer Geldkarte verwalten

- Sie darf mich NIE nach meiner PIN für meine HBCI-Karte fragen - das darf ausschließlich der Leser

- Sie sollte damit auskommen, daß ich ihr PIN/TAN für das zweite Konto Bedarfsgerecht angebe und nichts derartiges speichern möchte

- Unterstützung der Klasse 3-Features wie "(...) ein eigenes Display, auf dem die Daten unmittelbar vor der Signatur nocheinmal dargestellt werden." (Beschreibung bei http://www.reiner-sct.de/ zur Sicherheitsklasse 3)

- evtl. Installation auf einem USB-Stick (ist kein muß)


Was ich nicht will:

- mir meine Homebanking-Software selbst programmieren (Auch wenn ich dies sicher könnte, bevorzuge ich den Kauf, wenn ein passendes Produkt verfügbar ist und gepflegt wird)

- mir meine Homebanking-Software aus vielen Komponenten selber stricken müssen


Es wäre noch sehr angenehm, wenn ihr einen Hinweis darauf habt, ob es eine Testversion gibt - ich also nicht die zweite Katze im Sack kaufe.

Ich weiß, daß ich sehr viel - wenn nicht eher zu viel - verlange, aber ich möchte die "Sicherheit", die ich mit einem Klasse 3-Leser und HBCI aufbaue nicht durch eine Software untergraben und aushöhlen lassen. Und bitte nicht "das können sie alle" antworten, denn ich wurde mittlerweile eines besseren belehrt.

Was mich in diesem Zusammenhang noch interessieren würde: Gibt es eigentlich noch irgendwen auf dieser Welt, der HBCI wirklich auf Grund des Sicherheitsvorsprungs in dieser Richtung auch voll ausnutzt?
Beim lesen in allen möglichen (Support-)Foren, den Ratschlägen zum "degradieren" des Lesers auf Klasse 1 und beim Betrachten der Funktionen von so mancher Homebanking-Software mit dem Speichern der Karten-PIN drängt sich eher der Eindruck auf, daß es eher als "Vereinfachung" nutzen, da sie ja nicht mehr mit der TAN-Liste arbeiten müssen, denn die Software speichert die PIN und macht ja alles alleine... Mir stehen bei dem Gedanken regelmäßig die Haare zu Berge. Sind alle so unwissend, so faul oder rede ich mir die Gefahren des "Internetbanking" einfach nur ein und bin inzwischen etwas paranoid?


Vielen herzlichen Dank schon im Vorraus

Christian

Hallo Christian,

sorry, aber wir geben hier grundsätzlich keine Empfehlungen zu Softwareprodukten, da die meisten von uns in irgendeiner Form speziell mit einem Produkt oder einer Produktreihe beruflich zu tun haben. Das Einzige was wir machen können, ist Dir Hinweise zu geben, wenn sich spezielle Produkte aufgrund deiner Anforderungen ausschliessen.
Dies vorab.

Zu deinen Anforderungen:
Eigentlich hast Du keine Anforderung gestellt, die eine Standardbanking Software heute nicht erfüllt, mit einer Ausnahme:
Unterstützung Klasse 3 Funktionalitäten beim Banking.
Diese Möglichkeit besteht bei keiner Software, da Sie schlicht nicht sinnvoll nutzbar ist. Die Klasse 3 Funktionalität bedeutet vereinfacht gesagt, dass Du dass, was signiert werden soll im Display deines Kartenlesers angezeigt werden soll. Wenn eine einfache Überweisung 14 Verwendungszweckzeilen mit 27 Zeichen hat, der Betrag und die Empfängerdaten auch noch angezeigt werden sollen, hast Du in dem zweistelligem Display sehr viel zu scrollen. Daher macht der Klasse 3 Leser derzeit nur beim Bezahlen im Internet mit der Geldkarte Sinn.
Grundsätzlich funktionieren wird der Klasse 3 Leser wohl mit allen gängigen Programmen -allerdings nur als Klasse 2 leser.

Gruß

Holger

Das wird wohl nix, da der Kartenleser mit PIN/TAN nichts zu tun hat.

Gruß,
Vader

Hallo Holger,

nimm dies bitte nicht persönlich, denn es geht weder gegen dich, noch gegen irgendein anderes Forenmitglied, eine Firma oder eine sonstige Person oder Institution.



Ja, dieser Text muß hier irgendwo auf einem Button versteckt sein, den ich bisher noch nicht gefunden habe...

Leider stößt er mir aber etwas bitter auf, denn er hat etwas von "eine Krähe hackt der anderen kein Auge aus". Ich weiß selber, daß fehlerfreie Software veraltet ist und das leider neue Features ebenso wie Bugs auf die große Prioritätenliste kommen und dort dann schonmal ein Bug einige Versionen lang gegenüber neuen Features verliert - kleines Einmaleins der Software-Entwicklung. Ich weiß auch, daß hier leicht ein Flame-war entstehen kann, wenn einer anfängt, die Schwächen des anderen auszubreiten und das die Abmahn-Keule inzwischen so locker sitzt, daß diese auf dem Fuße folgen würde.
Allerdings hatte ich eigentlich gehofft, daß dieses Forum mehr ist, als eine Außenstelle der Support-Abteilungen, die alle brav in ihren Gruppen die üblichen Benutzerprobleme lösen.
Ich hatte nicht wirklich eine Kaufempfehlung erwartet. Was ich mir erhofft hatte war ein "Ich weiß, daß dieses Produkt es kann, was nicht heißt, daß andere es nicht auch können." oder vielleicht ein "Ich nutze dieses Produkt und es kann das." Eine Liste mit Programmen die etwas können heißt noch lange nicht, daß die anderen das nicht können. Aber sie heißt, daß der Autor der Liste sich sicher ist, daß genau dieses Programm/diese Programme das können.



Leider habe ich es mit meiner aktuellen Homebanking-Software - trotzt befolgen aller Ratschläge des sehr fleißigen und bemühten Supports - nicht geschafft, meinen Leser voll als Klasse 2-Leser zu nutzen: Sie will die PIN in den Computer eingegeben haben. Die Software ist übrigens aktuell, ebenso wie alle (Software-)Komponenten, die irgendwie damit zu tun haben könnten.



Wenn das tatsächlich das Problem schlechthin wäre, hätte man dem Leser sicher früher oder später ein 10-zeiliges Display eingebaut - Kostet zwar etwas mehr aber wer viel Verwendungszweck verwendet, wird das zu schätzen wissen. Oder man hätte einfach in der Software die Option zum Umschalten zwischen Klasse 2 und 3-handling implementiert. Scheint ja immerhin mit Klasse 1 und 2-handling nicht so das Problem zu sein. Oder man könnte die Transaktion auch einfach bestätigen ohne alles zu lesen oder zu scrollen. Sicherheit angeboten bekommen und angebotene Sicherheit nutzen sind doch eh zwei paar Stiefel.

Es stellt sich dabei sowieso die Frage, seit wann Sicherheit eigentlich "einfach" ist. Wenn Sicherheit einfach und billig wäre, würde es dafür sicher keinen florierenden Markt geben. Wozu haben wir denn Unterschriften - egal ob elektronisch oder nicht? Warum haben Karten aller Art PIN-Nummern? Wozu haben wir Sicherheitsschlösser an unseren Haustüren und warum verwenden wir nicht für den Tresor den selben Schlüssel wie für die Haustür, die davor ist? Warum haben SIM-Karten eine PIN? Warum werden Karten deaktiviert, wenn man dreimal die falsche Identifikation verwendet hat? Warum verwenden wir Firewalls auf unseren Rechnern, die sich (wenn sie "sicher" eingestellt sind) regelmäßig extrem pingelig melden, wenn wir irgendwie ins Netz kommunizieren und warum haben Firmen noch extra Admins, die sich NUR um die Firewalls kümmern, wo das doch alles so einfach von jedermann an jedem Windows-PC zu machen ist? Warum haben wir Virenscanner, die uns das Leben schwer machen? Wozu Kennwörter in der kompletten IT? Verschlüsselungen? Wo ist da jetzt bitte "einfach"? Sicherheit kennt das Wort "einfach" nicht.
"Einfach" beim Homebanking ist, PIN und TAN in der Homebanking-Software zu speichern. Noch "einfacher" ist es, die Karten-PIN für HBCI in der Software zu speichern. Noch "einfacher" ist es natürlich, das Geld an einem frei zugänglichen Platz in Schein und Münze zu lagern. "Einfach" wäre auch, die (Haus-)Tür einfach offen stehen zu lassen, denn dann müßte man nicht jedesmal den Schlüssel aus der Tasche kramen, nur weil man durch will.

Soviel zum Thema Sicherheit und "einfach". Was mir allerdings noch viel mehr Sorgen macht, ist die Arglosigkeit des Personals in Banken. Ich möchte hier niemanden angreifen und ich bin mir sicher, daß es genügend Ausnahmen gibt, allerdings bin ich bisher in Banken und Sparkassen ebenso wie im Bekanntenkreis nur Bankangestellten begegnet, die ich in Sachen IT- und damit auch Online-Banking-Sicherheit als inkompetent bezeichnen würde (was nicht heißt, daß ich mich deswegen als Kompetent ansehe, allerdings setze ich bei den Meistern der Schlüssel, Tresore und des Geldes berufsbedingt etwas andere Maßstäbe an als bei mir.). Der Grundtenor ist immer: PIN/TAN ist total sicher, da kann nichts passieren. 95% wissen nichteinmal, daß es Online-Banking auch per Chip-Karte gibt. Man bekommt ja sogar Bank-Software empfohlen, in der man ganz praktisch alle PIN/TAN speichern und verwalten kann. (Angepriesenes Feature)
Sicherheitsprobleme gibt es da selbstverständlich nie und auf die Ausschlußbedingungen in der Internet-Banking-Zusatzvereinbarung angesprochen heißt es meist, daß das nur pro Forma sei und es sei ja noch nie etwas vorgekommen.
Leider vertrauen die meisten Leute ihren Bankberatern - was sollen sie auch anderes machen, wenn sie inzwischen ganz glücklich mal Online sind und der Herr von der Bank, bei dem man ja schon seit 20 Jahren Kunde ist und der einen immer gut beraten hat, hat gesagt, daß das alles gar kein Problem und sicher sei - und wo ist Geld sicherer als bei der Bank?

Um mal wieder zum Thema zurückzukehren: Wo erwartet man dann noch etwas? Bei den Hotlines der Software-Hersteller kommen Ratschläge wie "Schalten sie die Option 'Klasse 2: Wenn möglich die sichere PIN-Eingabe nutzen' aus". Der Normalanwender hat keine Ahnung was das eigentlich bedeutet. "Sie haben ein sicheres Auto, aber lassen sie immer den Schlüssel stecken."
Die "Fachzeitschriften" im Bereich IT vergleichen bei Homebanking-Programmen anscheinend auch eher die Featureritis und Bequemlichkeit als wirklich die Sicherheit.
Dann bleiben also nur noch Internet-Foren und dann kommen Aussagen wie deine Einleitung. Es ist immerhin schon einmal toll, daß hier versucht wird, den Leuten Aktionen wie "ich speichere meine HBCI-Pins" oder "ich schreibe meine PINs auf meine Karten" auszutreiben, allerdings fühle ich mich sonst ähnlich ungelesen und unverstanden wie bei den meisten Support-Hotlines für egal was und worin mich Vader mit folgendem wieder bestätigte:

(Ich habe den Grund mal etwas hervorgehoben.)

Was mich eigentlich noch interessieren würde: Nachdem hier das Fachpersonal extremst vertreten ist und somit den meisten anwesenden die Sicherheitsrisiken bekannt sein sollte, ebenso wie die verschiedenen Verfahren: Wie viel Prozent hier trotz Alternativer Möglichkeiten PIN/TAN nutzen und viele Prozent davon wiederum PIN und oder TANs in ihrer Software deponieren. Ich würde beides auf deutlich über 50% ansetzen.

Fakt ist jedenfalls, daß ich mir - voreilig - eine Homebanking-Software gekauft habe, die es bisher nicht geschafft hat, meinen Kartenleser überhaupt voll als Klasse 2-Leser zu nutzen. Fakt ist auch, daß ich mir - anscheinend ebenso voreilig - danach einen Klasse 3-Leser gekauft habe, zu dem du mir jetzt gesagt hast, daß er - abgesehen von der Bezahlung im Internet - rausgeworfenes Geld ist.

Wenn tatsächlich jemand diesen Beitrag soweit verfolgt haben: Hat vielleicht jemand eine Liste aller Homebanking-Programme für Windows XP für mich oder fällt das auch unter "Wir empfehlen keine Programme..."? Ich bitte aber darum, die 16 Bit-Windows-Programme gesondert zu Kennzeichnen oder gleich ganz wegzulassen, soweit dies gestattet ist und nicht ein Produkt diskriminiert.

Vielleicht möchte sich auch jemand, der HBCI mit Chip-Karte und Leser ab Klasse 2 nutzt outen und mir verraten, welche Software er dafür verwendet? (Die das ja anscheinend problemlos tut, weswegen ich das nicht als negativ und verdammenswert ansehen würde)

Total desilusioniert und frustriert

Christian

PS: Es wäre nett, wenn mir trotz dieses eher negativen Beitrages jemand schreibt und vielleicht auch etwas zu diesem weit gestreuten Thema beitragen möchte...

PPS: Nein, die schlechten Erfahrungen hatte ich mit keinem der vorher genannten Kredit-Institute gemacht, denn ich habe dort einfach nur festgestellt was ich will und das dann auch bekommen über die Kompetenz dieser kann ich keine Aussage treffen. Aber man begegnet auf der Suche nach einer neuen Bank so einigen Kreditinstituten und Kundenberatern...

Hallo Christian,

keine Sorge, das macht niemand von uns!


Das hat mit den Krähen nichts zu tun, sondern schlicht und ergreifend mit der Intention dieses Boards! Wie schon geschrieben, die meisten von uns hier haben arbeiten in irgendeiner Form für eine Bank, einem Rechenzentrum, einem Softwarehersteller oder irgend einer anderen firma die direkt, oder indirekt mit dem Thema Onlinebanking zu tun hat. Wir haben uns daher hier darauf Verständigt, dass der Anwender mit seinen Fragen und Problemen im Vordergrund stehen soll und nicht der eigene Arbeitgeber. Dies kann man am einfachsten GEwährleisten, indem man keine spezielle Software empfiehlt, da so der Gedanke auch gelebt werden kann. Hinzu kommt, dass bei den meisten Anwendern, wenn man es objektiv betrachtet, es völlig egal ist, welche Software er einsetzt. Da die grundsätzlichen Funktionen von allen Programmen beherscht werden und es eigentlich nur auf den persönlichen Geschmack ankommt.

Etwas anderes ist es, wenn spezielle Anforderungen gestellt werden, die nur noch eine geringere Auswahl an Programmen zu lassen. Wenn Du z.B. erwartest, dass deine Software AZV auch ausserhalb der EU kann und dass Du mehrere Benutzer haben möchtsest, die unterschiedlich berechtigt werden sollen, dann würdest Du von uns sicherlich auch eine Auswahl an programmen genannt bekommen, die dies erfüllen! Nur die Wahl welches programm das richtige ist, ist deine Entscheidung, den Du musst damit zurecht kommen!
Ohne Dir zu nahe treten zu wollen das ist leider in Deutschland oft so üblich, man möchte irgendwie immer die Entscheidung von anderen abgenommen bekommen.

Zu deiner Software und dem Chipkartenleser:
Ich schätze mal eher, dass etwas falsch eingestellt ist! Mir selber ist keine aktuelle Software bekannt, die die sichere PIN Eingabe über die Tastatur des Kartenlesers nicht unterstützt. Eventuell findest Du im entsprechenden Unterforum hier ja einen Hinweis, oder stellst dort einfach die Frage nach der Aktivierung der sicheren PIN Eingabe - wenn Du grundsätzlich mit Deiner Software zufrieden bist.

Gruß

Holger

Mit den berühmten Krähen hat das weniger zu tun. Wenn du zu mir in die Bank kommst, werde ich dir "unsere" Programme anbieten. Da ich die Progs der anderen nicht bis ins Detail kenne (und weil ich natürlich nicht gegen mein Geschäft rede) werde ich dir kein Produkt vom Mitbewerber empfehlen. Was macht denn der Verkäufer von Mercedes, wenn du ihn nach einem Kleinwagen fragst? Smart ! zu Klein, Also A-Klasse ! zu groß ! Bei einem richtig guten fährst du mit nem SLK heim. Er wird dich aber kaum sofort zum VW-Händler gegenüber schicken.
Genau das wollen wir hier nicht. Deshalb geben wir hier keine Empfehlungen ab. Du findest im Forum reichlich Infos zu allen gängigen Programmen. Das sollte neben der bei den meisten erhältlichen Demo eine sehr gute Entscheidungsgrundlage sein.

Vielleicht können wir dir ja doch noch helfen. Deine Anforderungen an Software werden eigentlich von allen aktuellen Progs am Markt erfüllt. Wenn wir es jetzt noch schaffen, deinen Leser als Klasse2 ans fliegen zu kriegen würds doch passen, oder ?
Also gib uns bitte die Infos: Welche Software ?? Eine kurze auflistung der bisherigen "Rettungsversuche" wäre auch hilfreich, damit wir dir nicht allzuviele alte Hüte präsentieren.

Full ack !!

Die Lösung ist recht einfach: Rede mit den Spezialisten! Der armen Schweine an der Front sollen in den Augen der Kunden mindestens allwissend in allen Fragen Bankwesens sein Da ist schon nicht zu schaffen. Der perfekte Schaltermensch bei irgeneiner Bank ist ausgebildet als Bankkaufmann, Versicherungskaufmann, Immobilienmakler, Jurist, Volkswirt, Betriebswirt, Informatiker, Psychologe, ....
Wir Eb-ler hoffen, daß die meisten Kollegen am Markt die Kunden mit weitergehenden (und das ist bei vielen praktisch jede Fage zum EB ) an uns verweisen. Solltest du mich nach einer Anlagemöglichkeit fragen, würde wahrscheinlich auch was geistreiches ala Sparbuch rauskommen. Aber wozu jibbet den Anlageberater ??

In allen mir bekannten Bankingverträgen steht ein Passus, daß das Speichern der Legitimationsdaten verboten ist. Abgesehen von der Unwissenheit des Beraters hast du das Problem selbst oben sehr treffend beschrieben. Der Mittelweg zwischen Sicherheit und Bequemlichkeit wird von jedem anders ausgelegt. Du kannst dir nicht vorstellen bei wievielen Kunden die Tanliste unter der Tastatur liegt oder am Monitor klebt. Die Pin steht bequemerweise gleich drauf. Kein Witz, hab ich selbst schon gesehen. Für diese Kunden ist das Speichern der Daten im Prog in einer verschlüsselten Datenbank ein echter Gewinn.

Ganz soviele werden es nicht sein. das Problem ist aber ganz einfach mal wieder Sicherhiet kontra Bequemlichkeit kontra Geldbeutel. Nach dem Kauf von einer Software und zwei Kartenlesern dürfte das dir bewusst sein. Otto Normalkunde will totale Sicherheit und super Bequemllichkeit und vor allem nix zahlen. Leider drehen imho auch die PC-Vertreiber (z.B. Aldi und Konsorten) für den Normaluser vollkommen am Rad. Multimediaschnickschnack mit TV-Tuner und digitalem Videorecorder und Riesen-Videobearbeitungssoftware. Von diversen Speicherkartenlesern ganz zu schweigen.Das alles braucht keine Sau. Oder kennst du auf Anhieb jemanden, der so einen PC komplett nutzt ? Der Vorletzte Aldi hatte als erster einen Chipkartenleser und WisoMG vorinstalliert. Leider hat der nur PS/SC-Schnittstelle und somit war Essig mit Klasse 2. Der nächste Aldi hat nach dem Flop keinen Leser mehr. Dafür aber siehe oben :evil:

Zur Software nochmal: Grundsätzlich tun sie es alle. Deine Frage nach der Auflistung ist hier bildschirmfüllend beantwortet. Du hast du den gängigsten Progs auch eigene Foren mit weiteren Infos.

Kopf hoch ! Erstmal versuchen wir uns an deinem aktuellen Prog.

Sooo negativ wars garnicht. Du hast mir in einigen Sachen aus der Seele gesprochen.

CU

Frank

Irgendwie verstehe ich die Wahl der Banken nicht, wenn dir doch das Arbeiten mit einer Bankingsoftware so wichtig ist, allerdings Banken in die engere Wahl nimmst, die noch nicht einmal eine offizielle Schnittstelle zu einer Bankingsoftware geschweige denn HBCI-Chipkarte unterstützen?

Klar muß ich es nicht verstehen, interessieren würde es mich trotzdem

Ich hatte vor dem "Konto" das Wort "Tagesgeld-" vergessen. Leider sind das die beiden einzigen Banken, von denen ich auf Anhieb Tagesgeldkonten empfohlen bekam. Und leider unterstützen beide nur PIN/TAN. Meine Sparkasse hat dafür anscheinend keine Tagesgeldkonten im Angebot.

Auch wenn hier grundsätzlich nichts empfohlen wird: Eine HBCI-Chip-fähige Bank oder Sparkasse mit Tagesgeldkonten im Angebot würde ich bevorzugen, soweit es etwas derartiges gibt oder man mir wenigstens einen (mehr oder minder) versteckten Hinweis darauf geben könnte.

Das kommt erstmal drauf an, was man als Tagesgeldkonto versteht? Versteht man darunter wirklich das alte klassische Tagesgeldkonto, das täglich neu angelegt oder verlängert wird oder versteht man darunter nur eine Anlagemöglichkeit mit täglicher Verfügbarkeit?

Geht es wirklich nur um die tägliche Verfügbarkeit, bin ich mir sicher hat jede Bank entsprechende Produkte im Angebot.

Wie Stoney geschrieben hat, muss man hier unterscheiden: Tagesgeld im eigentlichen Sinne wird meist nur noch von Firmen genutzt, die große Beträge in einem Zeitraum von 1-30 Tage festlegen und "parken" wollen. Für den Privatanleger wird dieses spezielle Produkt kaum noch benutzt - und ist von den Zinsen her auch nicht wirklich attraktiv.

Das "Tagesgeld" das die Direktbanken anbieten, ist meist nichts anderes als ein höher verzinstes, oft kostenloses Girokonto, dass deine Gelder täglich verfügbar bereit hält. Deine Sparkasse bietet so etwas eventuell auch selber an, vielleicht heißt es einfach nur anders. Bei der DiBa wirst du so ein Produkt sicher erhalten, nur wirst du beim Homebanking mit denen keine Freude haben. Die DiBa zieht es vor, ihre Kunden nur per Internetbanking zu bedienen, denn nur dort haben sie die Möglichkeit Werbung und Angebote zu platzieren - nutzt du eine Software, kommen sie nicht an dich ran. Darum weigert sich die DiBa auch - mit teilweise haarsträubenden Ausreden - HBCI einzuführen...

Ich würde vielleicht nochmal bei der Sparkasse nachfragen, ob es ein täglich verfügbares, besser verzinsliches Anlagekonto gibt - wenn der Azubi am Schalter "Tagesgeld" hört, sagt er vielleicht gleich: "Ham wa nich", ohne über Alternativen nachzudenken... was schade wäre, aber ich auch schon erlebt habe.

Soweit war mir das schon klar, weswegen ich ja genau von den Ein-Produkt-Experten ein "ich weiß, daß dieses Produkt das kann, aber das heißt nicht, daß es nicht auch andere können" erwartet. Wenn das drei Personen mit verschiedenen Software-Produkten machen, dann weiß ich immerhin, daß es drei Produkte gibt, von denen jemand sicher weiß, daß sie das können. Das heißt für mich aber nicht, daß die anderen 100 Produkte das nicht können. Ich hatte nicht erwartet, daß jemand kommt und sagt "Mein Produkt kann das nicht." (Mein Arbeitgeber bietet auch nur das Beste an und ich bin stetig darum bemüht, daß dies auch so bleibt. )




Software: WISO MG 2006 Stick Edition 7.1.1.29 (31.1.2006)
OS: Windows XP Professional aktuelle Updates
Kartenleser: ReinerSCT CyberJack e-com 5.5.2 (31.1.2006)
DataDesign-API: DDBAC 4.0.2 (31.1.2006)
Bank: Sparkasse Karlsruhe (BLZ: 66050101)

Wir hatte inzwischen schon
- Update aller irgendwie beteiligter Software, wie man evtl. an den Versionen sehen kann
- degradieren des Lesers auf Klasse 1 durch Systemsteuerung/Chipkarte deaktivieren von "Klasse 2: Wenn möglich die sichere PIN-Eingabe nutzen" (Ist aber auch schon wieder aktiviert)
- löschen des Datentresor-Inhaltes

Mein Problem versuche ich in Form eines Screenshots an diesen Eintrag anzuhängen. Kurz beschrieben bringt mir die Software beim Einrichten meines Kontos die Aufforderung, ich solle (an der PC-Tastatur) meine Karten-PIN eingeben. Immerhin erkennt sie, ob eine Chipkarte im Leser steckt oder nicht. Allerdings habe ich inzwischen festgestellt, daß MG die DDBAC aufruft, die wiederum diese Probleme macht. Zumindest enthalten irgendwann alle Fenster das DataDesign-Logo. Bei der Registerkarte "Herstellerhinweis" habe ich eine Übersicht der verwendeten DLL's wobei die Version 4.0.2 nur eine einzige DLL (FinTS 4.0 Komponente) betrifft, was mich aber nicht verwundert, da ein Update nicht zwingend alle Komponenten einschließen muß.

Aus dieser Erkenntnis schließe ich jetzt, daß mein Problem nicht MG ist, sondern die von MG verwendete API. Daraus schließe ich wiederum, daß ich vorraussichtlich mit allen Programmen, die diese API verwenden, Probleme haben werde. (Also mindestens WISO MG, Quicken und WinData - was immer letzteres auch sein mag)

Der Support hat mich mit seiner letzten Mail total verunsichert. Vielleicht sollte ich erstmal die Spezifikation für Klasse 1, 2 und 3 durchlesen. Bisher war ich davon ausgegangen, daß
- Klasse 1 relativ "dumm" ist und alles im und über den PC geht.
- Klasse 2 ein PIN-Pad hat, über das (ausschließlich) die PIN eingegeben wird, so daß diese nie in den PC kommt.
- Klasse 3 einen Haufen Funktionen hat, die (derzeit) keiner nutzt und keiner braucht.
- Klasse 4 noch mehr Funktionen hat, von denen ich mir derzeit noch nicht wirklich ausmalen kann, wozu ich diese benötigen könnte. (Liegt wahrscheinlich daran, daß ich mich mit Klasse 4 nie beschäftigt habe)
Und alle Leser sind abwärtskompatibel.
Wenn ich daneben liegen sollte, würde ich auch um Aufklärung bitten.

Nachdem ich erst an meinem Leser oder meinen Installationskünsten gezweifelt hatte, habe ich einfach mal die Test-Version von StarMoney installiert und siehe da: Beim Einrichten meines Kontos fragt der Leser mich nach der PIN. So falsch kann er also garnicht funktionieren. Der Grund für meine Anfrage hier war eigentlich der, daß ich mit WISOMG schon nahezu abgeschlossen habe:
Die Software selber gefällt mir sehr gut. Ich hatte sie von mehreren Bekannten unabhängig empfohlen bekommen (Die allerdings alle ausschließlich PIN/TAN nutzen und Sicherheit auch gerne mal zu Gunsten von Bequemlichkeit unter den Tisch fallen lassen) und mich auch spontan damit angefreundet. Auch die Möglichkeit, sie auf einem USB-Stick unterbringen zu können, sagte mir sofort zu.
Nachdem ich jetzt aber an einen Umstieg denke (ich sehe den Kaufpreis in diesem Fall als Lehrgeld an und als Entlohnung für den Support-Aufwand, den man bisher mit mir hatte) wollte ich versuchen, das "Maximum" herauszuholen. Das heißt Sicherheitsmäßig die Eierlegende Wollmilchsau zu bekommen und nicht über den nächsten Tresor zu stolpern, bei dem man die Rückwand oder die Türscharniere vergessen oder eingespart hat.

Du magst mich als Paranoid bezeichnen und ich könnte das nichteinmal verneinen: Ich traue keinen Datentresoren, verschlüsselten Datenträgern oder anderen Dingen, die in meinem Rechner sind, denn leider weiß ich auch, wie leicht man Programme schreiben kann, die Keyboardeingaben mitprotokollieren. Die ersten "Jedermanns-Demonstrationen" waren damals Trojaner á la BackOrifice oder wie die auch immer hießen, die einem neben Screenshots auch alle Tastatureingaben im Klartext übermittelten. Ich glaube das muß man selber mal gesehen und getestet haben um sich wirklich die Dimensionen derartiger Programme zu vergegenwärtigen. Eigentlich kann ich nicht sicher sagen, ob ich diesem Kartenleser vor mir trauen kann. Allerdings müßte ich dann schon damit anfangen, meine Banken und alles, was damit zu tun hat, in Frage zu stellen. Vielleicht könnte ich den Kartenleser mit "das kleinere Übel" umschreiben?



Wenn ich es mir recht überlege, hast du garnicht unrecht, denn ich kenne das Problem auch: "Du kannst mir sicher bei meinem Windows-Problem helfen, denn du hast das ja studiert..." (Sagt wohl alles)
Man kann nur auch darauf hoffen, daß die Kunden entsprechend weitergeleitet werden und nicht gefährliches Halbwissen verbreitet wird. Meist erfährt man nämlich garnicht, daß es im Institut auch jemanden geben würde, der sich damit auskennt. Dazu scheint es mittlerweile in Mode zu sein, bevorzugt Azubis im Schalterbetrieb einzusetzen. (Nicht falsch verstehen, ich habe nichts gegen Azubis, allerdings sehe ich den Vorteil der durch die größere Aufgeschlossenheit neuer Technik gegenüber entsteht durch den Nachteil des Lernenden-Status wieder aufgehoben. Oder um es anders auszudrücken: Die Jugend ist Experimentier- aber auch Risikofreudiger. (Jetzt höre ich mich schon an, als ob ich 60 wäre...))



Geh' einfach mal durch die Büros um dich herum und schau' dir an, was da so alles an die Monitore geklebt und geschrieben ist und was auf und unter Schreibtischunterlagen und Tastaturen alles geschrieben steht oder liegt. Nimm dazu noch Login-/Paßwortlisten auf Abteilungslaufwerken oder an Pinwänden, Praktikanten-Logins, die nach der selben Struktur für alle Abteilungen existieren und Zugriff auf alle Daten der Abteilung haben und aus Faulheit oder Kosten gemeinsam genutzte Zugänge, dann kannst du erahnen, wie weit meine Vorstellungskraft gehen kann. Und das waren nur die Dinge, die ich bisher persönlich erlebt habe...

Den "Vorteil", den ich in der herumliegenden TAN-Liste sehe ist der physikalische Zugang, der Notwendig ist, um an sie zu kommen. Die Nachteile v.wg. Einbrecher/Besucher/Mitbewohner sind mir aber auch bekannt. Und ich kenne auch die alte Sicherheitsmaxim, daß die meisten Angriffe von innen kommen...



Ja, nach ca. 140 Euro und keinem wirklichen Erfolg fängt der Frust an zu wachsen. Allerdings ist mir auch bekannt, daß ich Sicherheit nicht gratis bekommen kann und ich mit diesem Betrag auch nicht wirklich allzulange Offline-Banking machen könnte. Ich bin derzeit auch bereit dazu, nocheinmal das Geld für eine neue Software draufzulegen, wenn sie dafür meinen Sicherheitsbedürfnissen entspricht. Das ist auch der Grund, warum ich mir einen Klasse 3 und keinen Klasse 2-Leser gekauft und warum ich fast 100 Euro für meinen Leser mit USB-Interface statt den 25 Euro für die RS232-Cashmouse ausgegeben habe. ("Wer billig kauft, kauft zweimal...")




Leider ja, aber auch nur um alles auszuprobieren und dann nie wieder zu nutzen. Bis aber dann alles probiert ist, kennt man ja "jemanden" der den Support miemt, was aber eine andere Geschichte ist.
Das ist leider etwas, was man in Geiz-Ist-Geil-Zeiten und im Große-Zahlen-Land Deutschland nicht in die Leute reinbringt: Wenn sie tatsächlich das kaufen würden, was sie brauchen, wären sie immernoch billiger. Aber dann hätten sie ja nicht sooo toll viel ergattern können...

Trotz Nebel draußen sehe ich Licht am Ende des Tunnels...

Christian

PS: Könnte vielleicht ein Anwender von StarMoney und einem Kartenleser mindestens Klasse 2 mir einfach bestätigen ob folgende Aussage stimmt: "StarMoney fragt niemals nach der HBCI-Pin. Bei sämtlichen Transaktionen wird diese nur vom Leser erfragt." Ein einfaches "Ja ich nutze es und das tut es bei mir" würde mir in diesem Fall schon genügen.

Ein wenig Off-Topic fürchte ich, aber dennoch...:



Im Falle von HBCI ist das Problem noch viel größer: "Signiert" (im Sinne von kryptografisch gesichert) wird von der Chipkarte nicht die komplette HBCI-Nachricht, sondern nur ein Hashwert der HBCI-Nachricht. Diesen Hashwert (20 Bytes) könnte der Leser durchaus anzeigen, bevor der Anwender die PIN für das Freischalten der Signatur-Funktionalität eingibt (wenn ein Leser denn diese *eingebaute* Funktion hätte). Allerdings nützt dem Anwender dieser Hashwert überhaupt nichts, weil er daraus ja nicht mehr auf den ursprünglichen Inhalt der Nachricht schließen kann.

Tatsächlich ist es nun aber so, dass die *Anwendung* steuert, was auf dem Display des Lesers sichtbar ist. Und wenn die Anwendung kompromittiert ist, wird sie natürlich die "richtigen" Daten auf dem Leser anzeigen lassen und gefälschte Daten (bzw. den Hashwert über die gefälschten Daten) signieren lassen.

Einziger Ausweg wäre, dass man einen HBCI-Nachrichten-Parser in einen Leser einbaut. Die Anwendung müsste dann die komplette HBCI-Nachricht an den Leser schicken, der parst die Nachricht und zeigt sie anwenderfreundlich nochmal an (wenn das Display groß genug ist *g), berechnet den Hashwert, signiert den Hashwert und gibt diese Signatur an die Anwendung zurück, die diese Signatur dann in die HBCI-Nachricht einbaut. Nur *so* könnte man wirklich sicher sein, dass auch eine kompromittierte Anwendung keine gefälschten Daten vom Leser signieren lässt.

Aber ich glaube, soweit sind die Leser noch lange nicht...

-Stefan-

Hallo Stoney und Angel,



Jetzt ist mir auch klar, wo ich diesen Begriff eigentlich her kenne...

Das die Banken mit ihren Tagesgeldkonten versuchen, Kundschaft für alle Produkte zu werben, habe ich inzwischen auch beim entsprechenden Wikipedia-Artikel gelesen. Irgendwie gibt es so viele neue Bankinstitute und in Sachen Sicherheit scheinen sie auch total unterschiedliche Meßlatten anzulegen. Eben bin ich über eine 1822direkt oder so gestolpert, die interessanterweise auch HBCI mit Chipkarte anzubieten scheint... Ich glaube meine verfügbare Geldanlage wird noch eine aufwenige Suche...

Aber deine übrige Beschreibung paßt genau auf das, was ich gerne haben möchte. Wahrscheinlich habe ich nur das Problem, daß das Produkt bei der Sparkasse nicht unbedingt unter "Tagesgeldkonto" beworben wird. Die Welt war so einfach, als ich noch so klein war, daß ich nur mein Sparschwein und das dazugehörige Sparbuch kannte...

Vielen Dank auf jeden Fall für den Tipp...

Christian

Hallo Stefan,



Ich sehe das ganz und garnicht als Off-Topic an..:

Wenn ich dich also richtig verstehe, ist das Display des Klasse 3-Lesers nichts anderes als der Monitor auch: Ich könnte darauf irgendetwas anzeigen oder eben den Hash-Wert, den ich dann von Hand nachrechnen kann? (Keine wirklich erstrebenswerte Aufgabe)

Das heißt ich könnte mir in meiner Paranoia vorstellen, daß jemand einen Trojaner schreibt, der direkt die Homebanking-Software angreift um andere Bankaufträge signieren zu lassen als ich eigentlich beauftrage und angezeigt bekomme?
In der einfachsten Fassung könnte ich mir da auch einen vorstellen, der sich der Einfachheit halber in die Kartenleser-API reinhängt und einfach nur der Homebanking-Software den Netzkontakt aus den Rippen leiert und auf Signatur-Aufruf an den Leser seine eigene Transaktion signieren läßt. Das quittiert zwar dann die Homebanking-Software mit einem Fehler, da irgendwie nicht alles zusammenpaßt oder nichts zurück kommt, aber der Trojaner hat seine signierte Transaktion, die er der Bank unterschieben kann...

Damit stellt sich aber für mich die nächste Frage: Gehe ich richtig in der Annahme, daß dies auch für sonstige eSig-Vorgänge gilt, die ja teilweise auch mit Klasse 3-Lesern ausgeführt werden können? Wird auch hier der Hash-Wert durch eine auf dem angeschlossenen Computer-System untergebrachte Software generiert und der Leser bekommt das Dokument nie selber "vorgelegt"?

Das wäre dann ja schon so schön wie die Kohlepapier-Tricks bei realen Unterschriften...

Und was ist nun sicher abgesehen vom Kündigen aller Konten und dem schnellen Ausgeben allen Geldes?

Endgültig reichlich hart auf dem Boden der Realität aufgeschlagen

Christian

@christian.hesse
Nur mal so: Dein DDBAC sieht etwas merkwürdig aus (Versionsmischmasch !?)

http://www.ddbac.de/internet/DDBAC.Download.htm

Ja.




Ja.




Das kann man so allgemein nicht sagen. Die Krypto-Funktionen einer "richtigen" Signatur-Anwendung unterstützen auch die Funktion, dass man den Text komplett an die Chipkarte schickt, diese errechnet dann daraus den Hashwert und verschlüsselt ihn auch gleich mit einem Schlüssel.

Was hier trotzdem noch fehlt ist eine Funktion, dass der Leser selbst anzeigen kann, was er gerade signiert. Soweit ich weiß, macht das noch kein Leser. Bei allen mir bekannten Lesern mit Display wird der anzuzeigende Text von der Anwendung gesteuert - die Daten, mit denen die Chipkarte letztendlich arbeitet (also z.B. die Daten, die signiert werden) bekommt man nicht zu sehen (jedenfalls nicht leser-gesteuert) - außer, man hängt einen APDU-Monitor an das Kabel vom Rechner zum Leser.

Und selbst dann weißt Du noch nicht, ob Du beim letzten Firmware-Update des Lesers nicht aus Versehen einen Trojaner auf Deinen Leser aufgespielt hast *noch-mehr-paranoia-schür*

-Stefan-

Wenn ich ehrlich bin, sieht deins deutlich aufgeräumter aus, aber auch auf ein deinstallieren und neu installieren der aktuellen Version wurde die Anzeige bei mir nicht wirklich schöner...

@christian.hesse
@vader

Moinzeit,

und mal wieder zurück zum Usprung des Threats...

Ich habe meine DDBAC noch auf dem Stand von 3.9.2.0 und hier kommt
sofort die gesicherte PIN-Abfrage NUR über den Kartenleser (Reiner cyberJack-Klasse 2)

Folglich liegt die Ursache in der DDBAC-Installation...

Viel Erfolg

Od

Hi,

mal
1) deinstall
2) reboot
3) install
4) reboot

getestet ?

@christian.hesse

Du hast doch XP...

Wie sieht das denn mit einer Systemwiederherstellung zum Zeitpunkt VOR der ersten Installation aus? Bei XP-Pro geht das ja - bei home keine Ahnung...

Ansosnten muß man wohl manuell die Registry aufräumen und die dlls per Hand löschen; Aber man weiß ja über die Liste welche das sind... :?

Erfolg Durch Versuchen

Od