Gern geschehen!
Ich denke nämlich auch, dass deine Sparkasse "dem Kind" einfach einen anderen Namen gegeben hat. Bei uns heißen solche Konten zum Beispiel "S-Kapital-Konten"... Ja, mit Sparschwein und Sparbuch war's klasse, oder? Ich erinner mich noch gut daran.

Nun nochmal eine Anmerkung zur Paranoia: Wir bewegen uns hier eindeutig in der [glow=red]Theorie[/glow]... denn [glow=red]praktisch[/glow] ist HBCI mit Chipkarte und einer Software das absolut sicherste Homebanking, was du im Moment machen kannst. Es gab bisher noch keinen Fall, in dem eine von euch konstruierte Manipulation passiert ist und ein Schaden entstanden ist. Klar muss man sich um solche Sachen Gedanken machen, aber es macht keinen Sinn deswegen Panik zu verbreiten. Risikobewußtsein schön und gut, nur wir sollten die Realität im Auge behalten, denke ich.

Hallo Christian,

zu deiner Frage zu SM: Ja :!:

Wenn du es kaufen willst, sprich auch mal deine Spardose aus. Da ist es manchmal billiger als bei Starfinanz. die Stick-Version wird aber nicht von jeder Spardose angeboten.

Zu WMG:

Der "Versionsmischmasch" der DDBAC kommt daher, daß die Bankingprogs in ihren Updates (warum auch immer) oft nur einen Teil der DDBAC updaten.
Also: Wie beschriben die DDBAC updaten und ohne WMG über die Systemsteuerung aufrufen. Wo wird bei der Synchronisation oder Neuanlage des Bankingkontaktes nach der Pin gefragt ??

CU

Frank

Dem stimme ich voll und ganz zu. Nur leider ist sich kaum jemand bewusst, dass der Einsatz eines aktuellen Chipkartenlesers nicht *so* viel Sicherheit bringt, wie einem die Banken bzw. Chipkartenterminal-Hersteller gern weismachen wollen. Von wegen "damit kann niemand mehr Ihre Signatur fälschen, weil die PIN ja abhörsicher über den Leser eingegeben wird" und so... Die Sicherheit der PIN allein bringt es nicht.

-Stefan-

http://hbci4java.kapott.org

Eine Banking-Software!

Nur so zur Info: In windata ist die komplette DDBAC 4.0.2.0 schon seit 25.01.06 enthalten. Die DDBAC hatte ein Problem mit dem Reiner SCT-Kartenleser, welcher aber in der aktuellen (und vor allem kompletten) Version behoben ist. siehe: http://www.bb-ag.net/bb-ag/rh-windata.htm

Vielleicht solltest Du's mal mit windata testen

Stefan Balk

die Aussage stimmt doch, die Sig. kannst du nach heutigem Stand ohne Zugriff auf die Karte nicht fälschen. Es ist höchstens möglich, die (Bank-)Software bis hinunter zum Betriebssystem zu faken, was aber ein immenser Aufwand darstellt.

Du kannst wahrscheinlich auch eine Chipkarte hart auslesen (röntgen, ätzen, Elektronenmikroskop), aber der Aufwand ist so kostspielig, dass es keiner mehr macht. Wozu auch, es gibt ja leichtere Opfer - und wer so fit ist, der kann sein Geld sicherlich auf ehrliche Art und Weise verdienen.

Das stimmt. Aber diese Aussage wird in der Regel gleichgesetzt mit "Durch Einsatz der Chipkarte wird genau das signiert, was ich signiert haben will. Und diese Signatur kann auch niemand fälschen.". Der zweite Teil der Aussage stimmt, der erste nicht.

-Stefan-

Ich wollte damit auch keine Diskussion anzetteln - ich denke, dass es IMMER Angriffsszenarien geben wird, und das die berühmte eierlegende Wollmilchsau hier auch noch nicht gefunden ist. Aber: Wenn ich einen Kunden habe, der mich nach der sichersten Homebankingvariante fragt, dann nenne ich ihm die Chipkarte in Verbindung mit einem Programm. Es macht doch keinen Sinn, ihm dann vorzurechnen, dass "vielleicht irgendwann" mal jemand auch da manipuliert und "hackt"... wozu? Das verunsichert die Leute nur. Ich denke der Berater sollte hier einfach auf seine Formulierung achten und den Kunden risikobewußt, aber doch realistisch beraten.

Jetzt driften wir auch hier in echte Paranoia ab .... :noidea:

Dazu ein entschiedenes "Jein" von mir!

Unter der Voraussetzung, dass _alles_ was ich signiere auf dem Display des (Klasse-3-)Kartenlesers angezeigt wird, stimmt auch der erste Teil der Aussage.
Ein Besipiel dafür wäre die Anzeige des Betrag bei Verwendung einer GeldKarte bei einer Online-Bezahl-Transaktion. Damit ist freilich nur sichergestellt, dass nicht mehr als der angezeigte Betrag von der GeldKarte abgezogen wird; an wen das Geld geht ist nicht gesichert...

Bei umfangreicheren Datenmengen ist es nicht praktikabel, diese auf dem typerweische 2x16 Zeichen-Display des Lesers auszugeben und daher existiert dort eine theoretische Angriffsmöglichkeit.

Die Aufwand-Nutzen-Relation wurde ja schon angesprochen, daher halte ich dies im Onlinebanking tatsächlich nur für ein rein theoretisches Szenario.
Im Hinblick auf qualifizierte elektronische Signaturen und verbindliche Rechtsgeschäfte muss jeder selbst entscheiden, wie er das Risiko bewertet...

Gruß
BW

Siehe oben. Solange die *Anwendung* auf dem PC steuert, was auf dem Display dargestellt wird, bringt dieses Anzeigen überhaupt keinen Sicherheitsgewinn. Nur wenn der Leser selbst eine integrierte Logik hätte, um die Daten, mit denen er gerade arbeitet, anzuzeigen, würde das etwas bringen. Aber dazu müsste in dem Leser eine Logik integriert sein, die die zu signierenden Nachrichten parsen und anwenderfreundlich darstellen kann (das gilt sowohl für HBCI also auch für die Geldkarte-Anwendung).

Aber ich wiederhole mich, und inzwischen sind wir schon weit off-topic und ich als paranoid verschrien...

-Stefan-

Paranoid sind wir doch alle...

OK, ist wirklich OT hier, aber trotzdem ein interessantes Thema.

Gruß
BW

Hallo alle miteinander,

ein kurzer Statusbericht:

Ich habe heute vormittag meinen Rechner öfter rebootet als in seinem ganzen Rechnerleben zuvor.

Ich habe inzwischen
- DDBAC deinstalliert
- mit regsvr32 alle DLLs nochmal ent-registriert
- die Dateien gelöscht.
- die Systemwiderherstellung ist abgeschaltet
- die neue Version installiert
- mich mit WMG wieder an der alten Version erfreut.

Aber ich denke die Lösung zu haben:

Ich habe einen W2k-Rechner genommen, der ja bekanntlich keine Systemwiederherstellung hat und an dem weder Kartenleser noch sonst irgendwelche Sicherheits- oder Homebankingrelevanten Dinge installiert sind und DDBAC 4.0.2 installiert und mir dann das Verzeichnis angesehen. (Siehe Screenshot obere Hälfte)
Wie man sieht sind alle Dateien vom 23.1.2006.
Dann habe ich den USB-Stick mit WMG Stick Edition an den Rechner gesteckt und WMG gestartet. Danach habe ich nocheinmal das Verzeichnis angesehen, was man in der unteren Hälfte des Screenshots sehen kann.

Wer sich meinen alten Screenshot ansieht, stellt fest, daß die FinTS 4.0-DLL das neue Datum weiter behält und auch die neue Version inne hatte. Die Erklärung findet sich in den Release Notes zum DDBAC:
"Die DDBAC Version 3.9.4.0 ist die letzte Version aus der 3-er-Reihe und zeigt in weiten Zügen schon den Weg zur DDBAC 4.0 auf (z.B. mit neuem Logo, integrierter FinTS 4.0-Unterstützung, BACStorage, etc.)"
Die mitgelieferte Version ist Älter als 3.9.4.0, denn da gab es noch keine FinTS 4.0.

Das Problem hatte ich zuvor auch bei meinem Windows-XP gesehen, konnte aber den Einfluß des Betriebssystems nicht hundertprozentig ausschließen. Es macht irgendwie auch Sinn, wenn die Stick-Variante alle nötigen API's mitbringt, allerdings sind diese wohl nicht aktualisiert worden.

Im Rahmen der Sicherheit macht es auch Sinn, eine vorhandene Installation durch die eigene "vertrauenswürdigere" zu überschreiben, was im Fortschrittsbalken beim Start des Programms wohl irgendwo zwischen 70 und 100% geschieht.

Ich habe zur Abwechslung mal wieder dem Support geschrieben, nicht das der noch auf die Idee kommt, daß mein Problem gelöst wäre.

Vielen herzlichen Dank euch allen, denn auch wenn ich mir eigentlich vorgenommen hatte, bei Produkten keine Bastelstunde mehr zu veranstalten, sondern konsequent ein nichtfunktionieren mit Verachtung zu strafen, bin ich mit einigem Aufwand doch an dem Punkt angelangt, das es prinzipiell gehen könnte, wenn es da nicht das eine oder andere Detail gäbe. Das war eigentlich auch der Grund, warum ich in einem meiner ersten Artikel erwähnt hatte, daß ich meine Software nicht selber schreiben wollte, da ich sie auch nicht selber debuggen wollte.

In diesem Sinne euch allen hoffentlich schöneres Wetter

Christian

Ja, ich habe schon die Spaßkassen-Edition beim Spaßshop gesehen.



Alles beim Alten, inkl. Version und PIN-Eingabe. Man muß WMG doch eine große Konsistenz, Geradlinigkeit und Konzept attestieren: Wenn es etwas macht, macht es es immer gleich. Ist eigentlich in Sachen Sicherheit schon fast beruhigend, daß es sich nicht einfach so von der Seite durch (meine) Basteleien durcheinenander bringen läßt, wenn da nicht dieses kleine Detail wäre...

Gruß

Christian

Ich würde sagen, daß es in diesem Fall das selbe Problem ist wie bei PIN/TAN: Jeder stellt das seine Verfahren als das sicherste dar. Eine Direktbank hat mir auch für ihr Homebanking die sagenhafte Verschlüsselung mit 128 Bit angeprießen. Wenn ich 128 Bit intus hätte, würde ich mich ganz sicher an der Haustür verschlüsseln.

Spaß beiseite: Tatsache ist leider, daß man sich entweder tiefgehend mit der Technik beschäftigen muß, oder es erzählt einem keiner wirklich etwas über die Risiken. Davon, daß Phising auf den Bankhomepages mittlerweile ein Thema ist, wird es beim Abschluß von Homebankingverträgen leider eher nicht thematisiert.

Vielleicht liegt es aber auch einfach daran, daß das ganze Thema zu komplex ist, so daß die Leute aussteigen, bevor sie richtig eingestiegen sind. Die einzigen, die etwas derartiges Massentauglich thematisieren können, sind die, die sich im Boulevard-Bereich unserer Medien angesiedelt haben. Und das sehe ich weder als ernsthaft, noch als Diskussionsgrundlage an, denn mit den Leuten, die sich darauf stürzen, kann man leider auch nicht mehr diskutieren. (Zumindest nicht über das Thema)

Ich kann trotz Viren und Trojaner nachts weiterhin gut schlafen, da werden auch potentielle Angriffsziele beim Homebanking nichts dran ändern. Allerdings denke ich, daß man anders damit umgeht wenn man weiß, daß es ein "Rest-Risiko" gibt, wie groß es ist und wo die Potentiale angesiedelt sind. Deswegen finde ich ein wenig Paranoia garnicht schlecht.

Gruß

Christian

... hat man mir beim Support mitgeteilt, daß das alles nicht beunruhigend ist und das das neueste Update "Daten aus älteren Versionen (die keine Verbesserung benötigten)" verwendet.

Interessanterweise funktioniert es bei allen, die nicht die Stick-Edition und dafür die komplette DDBAC 4.0.2 installiert haben nur bei mir mit meiner Stick Edition eben nicht.

Weiß vielleicht noch irgendjemand, ob die 3.0.8.1 schon Klasse 2-Pin-Eingabe beherrschte? Von meinen Erfahrungen her würde ich dies verneinen, aber der Support....

... wobei eigentlich ist mir der jetzt auch eher egal. Ich glaube ich brauche wirklich einfach eine neue Software, wo ich keinen Support brauche.

Desilusioniert und frustriert

Christian

Man verzeihe mir den kolossalen Necro, aber ist das noch aktuell?

Ich hab versucht selbst zu recherchieren und der aktuelle Wikipedia Beitrag zu HBCI suggeriert, dass es immer noch so ist. Außerdem ist das aktuelle Dokument vom ZKA über HBCI / FinTS 4.0 auf 2004 datiert, so dass ich vermute, dass sich seitdem nichts wesentliches geändert hat.

Angepackt wurde das Problem anscheinend mit dem "SECODER", aber wenn ich das richtig verstehe, hat der nichts mit HBCI zu tun, sondern wird gegebenfalls nur über ein Plugin über die Homebanking Webseite benutzt.

Liege ich soweit richtig?

Nicht ganz. HBCI und FinTS sind nur Überbegriffe für die Kommunikation zwischen Client und Bankrechner. Der Secoder hat also schon mit HBCI zu tun.
Und der Secoder soll auch genau das bewirken. Er zeigt Teile der Auftragsdaten im Display an, bevor man den Auftrag freigibt.
Ob eine Bank dieses Verfahren per Browserplugin über ihre Homepage anbietet oder über die FinTS Schnittstelle ist ihre Entscheidung. Hat m.W. mit dem Verfahren an sich nichts zu tun.
Dazu müsstest du deine Volksbank befragen. Sparkassen bieten das Verfahren nicht an.

Hi Chris,

Du hast Dir die nicht interessanten Dokumente zu dem Thmea angeschaut
Der Reihe nach:
FinTS 4.0 bringt (brachte) keine neue Sicherheit in das Protokoll, sondern war der Wechsel von einem properitären Syntax hin zu XML basierenden Strukturen.
Der SECODER ist (im Bankenumfeld) eine Weiterentwicklung der Klasse 3 Leser, bietet aber ausserhalb des Bankenumfeldes weniger Möglichkeiten als der besagte Klasse 3 Leser.
Der Unterschied zum Klasse 3 Lesern besteht darin -stark vereinfacht- das die Bank, die Daten, die zur Kontrolle angezeigt werden sollen, übergeben kann und der SECODER ab dem Moment -ohne Einflussmöglichkeit von aussen- die Anzeige der Daten, das Bilden einer Prüfsumme (Hashwert) über die angezeigten Daten und das Signieren des Auftrags automatisiert abarbeitet. Die Bank bekommt anschliessend den signierten Auftrag und die Prüfsumme über die angezeigten Daten zurück und kann so kontrollieren, ob die angezeigten und bestätigten Daten zum unterschriebenen Auftrag gehören.
Das ganze funktioniert erstmal völlig losgelöst von irgendeinem Protokoll und wird derzeit z.B. im Internetbanking einiger Volksbanken und Raiffeisenbanken als Option angeboten.

Unter hbci-zka.de -> Spezifikationen -> FinTS 3.0 gibt es neben den Security Dokumenten PIN\TAN und HBCI auch ein Dokument Secoder, der die Integration des Secoders im FinTS Protokoll beschreibt. Das Dokument ist relativ neu, so dass vermutlich erst in der nächsten Zeit mit einer Integration in die Systeme zu rechnen ist.

Viele Grüße

Holger

Hm, der Einwurf mit dem SECODER war für die Beantwortung meiner eigentlichen Frage nicht zielführend...



Ist das immer noch so?

Im Dokument FinTS_3.0_Security_Sicherheitsverfahren_HBCI_Rel_20080515_final_version in Kapitel C.1.3.3.1 (Seite 109 im PDF) steht immer noch, dass die Chipkarte einen Hashwert signiert. Der Hashwert wird in der Regel vom Endgerät erstellt. Was das Endgerät ist, ist etwas schwammig, aber ich vermute dass es manchmal der Kartenleser und manchmal die Anwendung ist, da das Endgerät auch so sachen wie "signierte HBCI-Nachrichten zur Weiterverarbeitung speichern" (Seite 104) machen soll aber das ist semantisch da das, was die Homebanking Anwendung macht.

Aber das bringt mich auch nicht weiter...

Also gibt es das HBCI Protokoll überhaupt her, dass ein Klasse 3 Kartenleser die zu signierenden Überweisungsdaten in seinem Display anzeigen kann?

Hi Chris,

doch der Einwurf mit dem Secoder war die Beantwortung deiner Frage.
Der Klasse 3 Leser nutzt Dir ohne SECODER Funktionalität nichts, da der Klasse 3 Leser nicht vorsieht, dass auch die angezeigten "signiert" werden.
Erst die SEOCDER Integration im Protokoll erlaubt -wie beschrieben- die angezeigten Daten ebenfalls zu "signieren" und auch der Bank mit zu übertragen.

Viele Grüße

Holger