Hallo!

Heute Nacht in einer angeregten Diskussion mit einem Freund kam die Frage auf, wie sicher das HBCI banking eigentlich ist.

Mit einem Klasse 2 Leser (kenne mich damit nicht so gut aus.. ich glaube das ist einer mit ausgelagertem pinpad aber ohne Display) sichert sich die Bank eigentlich relativ gut ab, dass wirklich der Besitzer der Karte die eigentliche Überweisung getätigt hat, aber wie sichert sich der Besitzer ab, dass einem Die Bankingsoftware auch die richtigen Werte anzeigt.

Folgendes Szenario stellte sich uns als relativ realistisch dar:

Ein unbedarfter User bekommt einen Patch für seine Bankingsoftware, die allerdings die Software so patcht, dass sie die Überweisungsdaten fälscht. Statt den orginal eingegebenen Betrag überweist sie einen wahrscheinlich viel höheren Betrag auf ein schweizer Nummernkonto (Wie bei James Bond immer ops: ).

Ist das ein mögliches Szenario? Das wäre doch ein wenig einfach Unsere einzige Idee war, dass die Software signiert ist, was sich aber auch wieder fälschen läßt.

Vielleicht weiß jemand von euch, wie es wirklich ist. Würde ein Klasse drei Lesegerät an dem Szenario etwas ändern können?

grüße Nico

Hallo,

theoretisch denkbar ist ist sowas - aber auch noch ganz andere Sachen. Gib in der Forumssuche mal den Begriff "Paranoia" ein und du wirst sehen, was ich meine.
Du kannst aber sicher sein, daß die Programmhersteller diese Gefährdung auch kennen. Eigentlich ist es ganz einfach: Du musst nur tiefste Detailkenntnisse des Programmcodes haben, dann noch eine Möglichkeit, die Progammdatenbanken zu entschlüsseln. Sooo fast geschafft. Jezz fehlt nur noch das Zertifikat für die Verschlüsselung der Patchdatei mit dem Schlüssel, den die Originalsoftware als "echten" Patch akzeptiert. Das waren nur die Sachen , die mir auf die Schnelle einfallen. Der Hersteller hat sicher noch bessere Ideen gehabt ... Der einzige, der das alles hat ist der Hersteller. Der wird den Teufel tun und für einige wenige Kröten auf seinem lettischen Konto seine Existenz ruinieren. Außerdem wird sich ein Betrüger immer das leichteste mit der größten Verbreitung aussuchen. Das ist NIE eine Software, sondern allermeist ein gewisser uns allen bekannter Browser.


Momentan nicht, weil in HBCI eine Anzeige von Buchungsdetails im Leserdisplay nicht vorgesehen ist. Würde auch überhaupt nix bringen. Die Software übermittelt via Leser einen Hash-Wert der Zahlung an die Chipkarte und erhält eine Signatur zurück. Wenn da Klartextdaten VON DER SOFTWARE angehängt würden, was glaubst du, was der User in deinem Szenario sehen würde ???

CU
Frank

Du bist von Haus aus für AZV freigeschaltet ))) ????

P.S. Mein Vorredner hat schon alles wissenswerte gesagt - dem ist nichts hinzuzufügen.....

Zudem gibt es auf Grund des Druckes der EU keine "echten" Schweizer Nummernkonten mehr.

Strafverfolgungsbehörden der Schweiz bekommen zu Nummernkonten heute auch die Daten der Kontoinhaber ausgeliefert.

siehe auch hier:
http://swiss-bank-accounts.com…teile.html

bzw. dem dortigen Link auf die Gesetze.

Danke für die ausführliche Erklärung.
Da kann ich ja mein Programm wieder ohne schlechtes Gewissen benutzen

Hätte mich auch gewundert, wenn es anders wäre.


grüße Nico

Moment, mir faellt noch eine Moeglichkeit ein, mit der man das Risiko sehr gut mindern kann: Die Banking-Software selbst schreiben

Frei nach dem Motto: Traue keiner Bankingsoftware, die man nicht selbst manipuliert hat